Windows Server 2008R2のグループポリシーを介してインターネットアクセスを完全にブロックする

Question

Windows Server 2008R2の一部のユーザーのインターネットアクセスをブロックする必要があります。この質問をグーグルで検索すると、InternetExplorerを無効にしてプロキシを0.0.0.0に設定することを提案する多くの結果が見つかります。残念ながら、これは、たとえばポータブルFirefoxを使用して簡単にバイパスできます。

より制限的な解決策はありますか？ telnetやftpなどでも機能しない方法を見つける必要があります。

ご協力いただきありがとうございます！

明確にするための更新：このサーバー上の一部のユーザーではなく、すべてのユーザーのインターネットアクセスをブロックしたいと思います。

Paul Ackerman · Accepted Answer

最善の解決策は、おそらくプロキシを使用してネットワークレベルでこれを行うことです。 WCCPなどを使用して、インターネットにバインドされたすべてのトラフィックをプロキシ経由で強制的に送信でき、ホスト自体には何も設定しません。それ以外の場合は、すべてのアウトバウンドトラフィックをキャッチするGPO経由でこのアウトバウンドトラフィックを禁止するようにWindowsファイアウォールを構成できる可能性があると思います。さらに、それはサーバーであるため、静的IPを持っている可能性があり、サーバー自体からのインターネットアクセスを実際にブロックしようとしていると仮定すると、境界ファイアウォールでアウトバウンドトラフィックをブロックすることができます。すべてのユーザー（サーバーとGPOを使用して実行）、またはサーバーからのアクセスをブロックしたい場合。

Bart Silverstrim · Answer

... DHCPのゲートウェイをルーティングされていないアドレスまたは空白のアドレスに設定して、トラフィックが発信されないようにしないのはなぜですか？それらのユーザーのMACアドレスに設定して、ユーザーが常にその（誤った）ゲートウェイアドレスを取得するようにします。

それ以外の場合は、プロキシしてログに記録し、これがビジネス分野の問題である場合はそれらを起動します。

joeqwerty · Answer

これにはプロキシを使用するか、ルーターにACL（アクセス制御リスト）を設定して、問題のワークステーションからのアウトバウンドトラフィックをブロックすることができます。

ewwhite · Answer

高価な商用推奨を与えるのは嫌いですが、 Barracuda Web Filter 31 はあなたが求めているすべてのことを行い、間違いなくADトポロジに結び付けることができます。コンテンツとプロトコルを認識しているため、ユーザーまたはグループごとにダウンロード、telnet、ftpなどを制限できます。

sleske · Answer

唯一の現実的なオプションは、おそらく直接インターネットアクセスを無効にして、すべてのインターネットトラフィックをプロキシ経由で強制することです。次に、認証を要求するようにこのプロキシを構成します（理想的にはActive Directory [AD]に対して）。そうすれば、誰もがオンラインになるために認証する必要があります。

短所：

サーバー上のプログラムにネットアクセスが必要な場合は、アクセスを許可する特別なサービスアカウント（実際のADアカウント、またはプロキシ上の特別なアカウント）を取得する必要があります。もちろん、これらのアカウントは保護する必要があります。
一部のプログラムまたはユーザーが簡単にプロキシできないプロトコル（エキゾチックプロトコルなど）を必要とする場合は、ケースバイケースの解決策を見つける必要があります。
これは、すべてのユーザーにとって追加の構成を意味します（ただし、一部のブラウザーはプロキシに自動的にログオンできると思います）

私はこれを実装したことがありませんが、うまくいくはずだと思います。少なくとも Squid はあなたに ADに対して認証する ;他のプロキシでも同じことができると思います。