Назад | Перейти на главную страницу

Блокировка веб-сайта с помощью GPO или брандмауэра в Windows Server 2012

Используя Windows Server 2012, как заблокировать любой конкретный веб-сайт во всех браузерах с помощью групповой политики?

Другие ответы здесь только предотвращают доступ пользователя к веб-сайту с использованием имени DNS, они не мешают им получить доступ к нему через IP-адрес. Пользователи часто оказываются более хитрыми, чем вы думаете.

Если вы собираетесь предположить, что у веб-сайта есть фиксированный IP-адрес (что неверно для многих сайтов, использующих геолокационные веб-узлы и сети распространения контента), лучшим вариантом будет просто добавить правило блокировки исходящего трафика в брандмауэр Windows для рассматриваемые IP-адреса. Это блокирует пользователя, использующего имя или IP-адрес.

Вы можете легко использовать групповую политику для развертывания правил в брандмауэре Windows на всех ваших клиентских системах.

Проблема, которую вы здесь обнаружите, заключается в том, что объекты групповой политики будут работать в Internet Explorer, но не в других браузерах, таких как Firefox и Chrome.

Вы, вероятно, могли бы выдвинуть политику межсетевого экрана, но лучше всего использовать DNS для блокировки сайта. Я делал это раньше, и он отлично работает.

Используйте DNS для блокировки веб-сайта

Предполагается, что вы используете домен, что, как я полагаю, вы из-за упоминания в групповой политике. Также клиентские машины будут использовать DNS-серверы вашего домена.

  1. Откройте DNS из MMC или войдите в контроллер домена и откройте DNS
  2. Зоны прямого просмотра правой кнопкой мыши - Новая зона
  3. Первичная зона
  4. Ко всем DNS-серверам, работающим на контроллерах домена в этом домене (или в лесу, если у вас есть лес)
  5. Имя зоны будет DNS-именем сайта, например: facebook.com (обратите внимание, что www не существует)
  6. Не разрешать динамические обновления

Добавить записи в новую зону

  1. Вы увидите новую зону под зонами прямого просмотра.
  2. Щелкните правой кнопкой мыши зону - Новый хост (A или AAAA)
  3. Оставьте поле имени пустым
  4. IP-адрес - 127.0.0.1 (перенаправит обратно на себя)
  5. Добавить хост
  6. Повторите шаги 2–5 для поддоменов, добавьте www или приложения в поле имени.

Добавление заблокированного сообщения

Если вам интересно, вы можете создать локальный веб-сервер и создать настраиваемое сообщение блока с помощью HTML, тогда вместо использования 127.0.0.1 в IP-адресе укажите IP-адрес веб-сервера. Они попытаются перейти на facebook.com, но увидят ваше сообщение о блокировке. Раньше у меня была фотография Чака Норриса, поднимающего палец вверх, как часть моего заблокированного сообщения. Получил несколько странных телефонных звонков ...

Вы можете использовать файл hosts для блокировки определенных веб-сайтов. Создайте групповую политику для обновления C: \ Windows \ System32 \ drivers \ etc \ hosts

Затем следуйте инструкциям Вот