На прошлом вебинаре задали вопрос «Как ограничить доступ к сети интернет для разных компьютеров»?.
Давайте попробуем решить данный вопрос
Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку
Лично я бы выбрал один из следующих способов:
— Настройка файла HOSTS – благодаря чему, мы можем указывать на какие сайты можно ходить, а на какие нет. Об этом я уже снимал видео.
— Используя прокси-сервер или файервол, который устанавливается на пути между интернетом и локальной сетью и в зависимости от настроек, выдает тем или иным пользователям и компьютерам доступ в интернет. Про подобную систему я так же рассказывал в видео по программе IDECO UTM, более подробно понять, как это работает вы, можете посмотрев данное видео.
— Настройка антивируса – как правило в современных корпоративных антивирусных решениях есть модуль, отвечающий за интернет контроль, настроив который мы можете так же ограничивать доступ к сайтам.
— Настройка сетевого подключения
— Настройка брандмауэра Windows
Вот как раз о последних двух, мы сейчас поговорим более подробно…
Настройка сетевого подключения
Если у вас интернет раздает сервер, то в сетевых настройках мы указываем IP адрес сервера, который раздает интернет. И указываем мы его в качестве шлюза.
Как работает шлюз?
Есть сервер с двумя сетевыми картами, одна смотрит в локальную сеть, вторая в сеть интернет. И все настроено так, что, если какой-то компьютер в локальной сети хочет выйти в сеть интернет, он отправляет свой запрос на ШЛЮЗ, т.е. как раз на этот сервер, который имеет выход в сеть интернет. Тот в свою очередь перенаправляет запрос на внешнюю сетевую кару, потом Интернет и уже нужную информацию обратным путем Интернет – Внешняя сетевая кара – Локальная сетевая карта – Компьютер пользователя.
В итоге, если мы просто оставим пустой строку с указанием ШЛЮЗА, то компьютеры в локальной сети не будут знать, через кого выходить в интернет, а значит будут изолированы от внешней среды. Однако смогут пользоваться локальными сетевыми ресурсами
Давайте проверим.
Заходим на клиентский компьютер \ Изменить сетевые настройки \ Если мы под обычным пользователем, не администратором, то для изменения настроек потребуется указать логин и пароль администратора. Это тоже важный момент, так как если пользователь будет администратором на своем компьютере, он сможет ввести адрес ШЛЮЗА и интернет у него появится.
Но, тут еще один нюанс, так как у меня поднят сервер DHCP, а он автоматически прописывает адрес ШЛЮЗА, то нам необходимо исключить из настроек те IP адреса, которые предназначены для компьютеров, без выхода в интернет. Иначе, он может назначить какой-нибудь машине такой же адрес и будет конфликт IP адресов. (Диспетчер серверов \ Средства \ DHCP \ Область \ ПКМ \ Свойства \ Смотрим какой вообще диапазон и можем его изменить \ Пул адресов \ ПКМ \ Диапазон исключения… \ Добавить 150-200)
При данной настройке у нас получится следующее, те кто выходит в интернет будут иметь адреса 100-150, остальные 150-200, но все настройки нам придется прописывать вручную.
Проверяем, включаем DHCP интернет есть, вбиваем вручную без ШЛЮЗА, интернета нет.
Настройка брандмауэра
В данном случае, мы создадим правило, запрещающее отправлять запросы по протоколам http и https, через которые пользователь получает данные из браузера (Этот компьютер \ Панель управления \ Брандмауэр \ Дополнительные параметры \ Правила исходящего подключения \ ПКМ \ Создать правило \ Для порта \ Определенные удаленные порты \ 80, 8080, 443 \ Блокировать подключение \ Все профили \ Блокировка интернета \ Готово)
Проверить на Edge и iexplorer.
Данное правило можно раскидать по компьютерам через групповую политику, если у вас есть домен.
При таким методе, вы отключаете пользователя от возможности просматривать интернет страницы, но сохраняется возможность работать с почтовыми программами, так как они работают по другим протоколам.
А это довольно часто требуется, чтобы пользователи работали с почтой, но не могли ходить по разным сайтам.
Но, через данный запрет мы запрещаем пользоваться любыми интернет ресурсами по указанным протоколам. Так что, если у вас в сети поднят локальный веб-сервер, допустим для доступа к 1С через браузер, то работа с ним также будет запрещена.
Так что самый надежный и более гибкий способ, это использование прокси-сервера, там можно настроить куда более универсальные правила.
Учитывая, что на выходе стоит микротик с 6 уровнем лицензии.
В голову приходит только маркировка пакетов, как-то делал такое на linux, но можно ли такой трюк повторить в windows?
PS полностью блокировать выход в интернет нельзя, есть системные утилиты работающие на этом же ПК, которым нужен доступ к интернету, в тоже время за ПК сидят пользователи, которым интернет явно не нужен и только отвлекает их от прямых обязанностей.
-
Вопрос задан
-
32035 просмотров
Пригласить эксперта
Да, самое правильное и логичное решение — машину с мониторингом пускать только туда, куда должны ходить тулзы, а за второй рабочей — пусть делают что хотят…
Без использования прокси, можно организовать доступ ко внешнией сети с авторизацией через 802.1X, PPPoE или PPTP, т.е. наоборот — запретить всем, а с авторизацией кому надо — разрешить.
прокся ваше спасение + авторизация
Поставить грамотный файрвол типа аутпоста и его настроить на параноидальный режим.
Я бы всё таки порекомендовал для таких целей поставить второй комп — всяко надёжнее и в текущих условиях не так дорого.
А так вот какие возникают идеи:
Используя виндовый файрволл разрешить доступ в сеть только тем программам, которые нужны. Остальное заблокировать. Пользователю урезать права, чтобы не мог рулить фаерволом.
Если утилит ограниченное количество, то явно прописать на микротике разрешённые адреса для этих утилит, а остальное банить.
Из предыдущего комментария не очень понял, но если эти утилиты только слушают адреса, то опять же прописать правила, которые разрешают только входящие соединения к этим утилитам, а остальное банить.
Главный вопрос: чем отличаются «системные утилиты» от запущенных юзером. Можно предположить, что «системные утилиты» запускаются под другой учеткой. Если у юзера ограниченные права и/или квалификация юзера близка к уровню плинтуса, то можно попробовать копать в сторону локальных файрволов и каким-либо образом сказать «процессы, запущенные под vpupkin, не пущать».
Настроить на целевой машине фаерволл, от имени администратора. Обычный пользователь не сможет изменить его настройки.
А маркировка пакетвов — ненадежно, как вы можете гарантировать, что пользователь сам не промаркирует свой пакет? Да и возможно ли это вообще?
отключаю в ESS NOD32 — родителський контроль… Системные программы без проблем работают, а вот браузер пользователя никуда не пускает. Думаю, что такая фича есть в каждом современном антивирусном пакете…
Можно еще Родительский контроль попробовать (Панель Управления)…
-
Показать ещё
Загружается…
10 окт. 2023, в 11:47
15000 руб./за проект
06 окт. 2023, в 22:23
15000 руб./за проект
10 окт. 2023, в 11:45
300000 руб./за проект
Минуточку внимания
Друзья, привет. Как запретить Windows доступ в Интернет, если это нужно, к примеру, в целях родительского контроля или ограничения использования вашего компьютера иными лицами? Для ограничения Интернета в случае с детьми лучше, конечно, использовать функцию родительского контроля, встроенную в Windows или реализуемую сторонним софтом. А для тех, с кем не хочется, но нужно делить один компьютер, можно создать стандартную учётную запись без прав администратора и отключить сетевую карту или адаптер Wi-Fi. Без админправ пользователь обратно эти устройства не включит. К тому же, стандартные учётки можно всячески по ситуации ограничивать с помощью локальной групповой политики. Безусловно, что серьёзный функционал родительского контроля, что настройка стандартных ограниченных учёток требуют времени на вникание в их суть работы. А есть ли простое решение поставленной задачи, если на компьютере для всех пользователей используется единственная учётка администратора?
Запретить и разрешить доступ в сеть можно средствами самой Windows. Можно заблокировать исходящие соединения с помощью брандмауэра системы. Можно покопаться в настройках роутера, установив на доступ к ним отличный от стандартного пароль. Это, кстати, самый надёжный способ, пароль роутера не изменится даже при переустановке Windows. Можно отключить сетевые устройства в надежде, что ребёнок или иной субъект ограничений не догадается об этом способе, либо же внести корректировки доступа к отдельным сайтам с помощью файла hosts (инструкции смотрите в п.4 этой статьи). Также можно задать в системе неверные настройки прокси-сервера, правда, браузеры этот способ сдадут с потрохами.
Но проще и удобнее запретить в Windows доступ в Интернет или как минимум сделать его безопасным для детей с помощью простейших утилит от компании-разработчика Sordum. Эта компания предлагает бесплатное минималистичное ПО для управления отдельными аспектами работы Windows. В частности, теми, что регулируются самой же системой, только в упрощённой и понятной реализации. Ну и заодно, друзья, в контексте рассматриваемой темы познакомимся с софтом компании Sordum.
Для полной блокировки доступа к Интернету Sordum предлагает бесплатную утилиту Net Disabler. Страница загрузки:
Net Disabler – это небольшая портативная программка, она позволяет быстро блокировать и разрешать доступ к Интернету тремя разными способами:
• Путём отключения сетевой карты или Wi-Fi адаптера;
• Путём изменения настроек DNS;
• Путём создания правила в брандмауэре Windows.
Выбираем любой из способов, а лучше все их трое. И жмём «Apply Settings».
Изменения вступают в силу немедленно. Возобновляется Интернет обратным способом – снятием галочки и применением настроек.
Net Disabler предусматривает защиту паролем на тот случай, если ребёнок или взрослый пользователь, для которого всё это действо устраивается, догадается запустить утилиту и снять установленную нами блокировку.
Впрочем, ничего не мешает же нам спрятать куда подальше исполняемый файл утилиты. Или вообще запускать её с флешки. Поскольку Net Disabler не мониторит действия пользователя, опытному пользователю не составит труда обойти блокировку, вручную восстановив заблокированные утилитой системные настройки. Но как минимум это окажется не под силу ребёнку младшего школьного возраста. Собственно, вот почему и рекомендуется использовать все три способа блокировки.
Net Disabler также предусматривает работу из командной строки, быстрый доступ к штатным средствам Windows — диспетчеру устройств, сетевым устройствам, настройкам брандмауэра.
Другая бесплатная портативная утилита от компании Sordum — Dns Angel. Она в простом юзабильном формате реализует возможность применения DNS-сервисов с фильтрацией вредоносных и нежелательных для детей сайтов. Страница загрузки:
В числе поддерживаемых таких DNS-сервисов: Yandex Family, OpenDns Family, Cleanbrowsing, Neustar Family. Запускаем утилиту, кликаем тот или иной DNS-сервис, закрываем её и прячем куда подальше.
При попытке доступа к сайту из фильтра DNS-сервиса ребёнок увидит в браузере вот это.
Убирается действие DNS-сервиса кнопкой в окне утилиты «Default DNS».
- Примечание: друзья, используя компьютер совместно с ребёнком, не забываем включать на сайте YouTube безопасный режим в настройках профиля.
Ещё один способ, как запретить доступ в Интернет – блокировка браузеров. В арсенале Sordum для этих целей есть бесплатная портативная утилита Simple Run Blocker. Страница загрузки:
Утилита реализует принцип блокировки классических программ Win32 (с файлами запуска EXE), предусмотренный локальной групповой политикой Windows. Только в реализации Simple Run Blocker всё гораздо проще. Запускам утилиту, выбираем в правом верхнем углу «Блокировать только список». Значком плюса добавляем в перечень утилиты EXE-файлы запуска всех установленных в системе браузеров. Не забываем про Internet Explorer. И кликаем кнопку зелёной галочки для сохранения перечня.
В перечень утилиты можно добавить не только браузеры, но любой иной классический софт. При запуске браузеров и программ из перечня система выдаст такое уведомление.
Далее, естественно, прячем утилиту. Если нужно будет разблокировать заблокированные программы, запускаем Simple Run Blocker, в правом верхнем углу выставляем «Отключить блокировку» и кликаем кнопку зелёной галочки.
Этих действий будет достаточно в среде Windows 7 и 8.1. А как быть, если используется Windows 10? Браузер Microsoft Edge не относится к типу классических программ, и у него нет файла запуска EXE. Компания Sordum позаботилась об этой проблеме и создала бесплатную утилиту Edge Blocker, которая, как видим из названия, блокирует работу Microsoft Edge. Страница скачивания:
Запускаем утилиту и просто кликаем кнопку «Block».
Ну и тоже прячем утилиту. Для разблокировки Microsoft Edge в окне утилиты жмём кнопку «Unblock».
Но на Microsoft Edge у Windows 10 не заканчивается возможность выхода в Интернет. Вспомним, в систему можно внедрить браузер из магазина Microsoft Store из числа UWP-приложений. И вот для такого рода задач у утилиты Simple Run Blocker есть решение в виде блокировки Microsoft Store.
Такие вот у компании Sordum простые решения сложных задач. Если вам, друзья, понравились эти решения, отписывайтесь. Утилит у компании много, может ещё что годное когда-нибудь рассмотрим.
Как родители сначала учат ребенка говорить, а потом – молчать, так и пользователи компьютера сначала ищут возможность свободного доступа в интернет, а впоследствии – возможность закрыть к нему доступ. Что за причины заставляют отказываться от интернета, и какими простыми методами можно этого достичь, попытаемся рассмотреть в данной статье.
Желание “перекрыть кислород” своему компьютеру может возникнуть в том случае, если вы не желаете оплачивать трафик, который будет расходоваться в ваше отсутствие, или же вас беспокоит бесконтрольный доступ в сеть ваших детей, родственников, сотрудников по работе. Также, вполне понятно опасение утечки информации во время работы со специализированными программами и конфиденциальной информацией. Как вариант, бывает необходимо заблокировать доступ в сеть игровым, или прочим программам, не ограничивая доступ в сеть по-отдельности, а полностью заблокировав выход в интернет.
Осмелимся предложить вам несколько более или менее радикальных способов блокировки интернета на компьютере под управлением Windows 7:
- Отключение сетевого адаптера в системе
- Установка неверного прокси в системных настройках
- Блокирование исходящих соединений посредством встроенного брандмауэра
- Блокирование соединений при помощи сторонних фаерволов
- Установка родительского контроля в специализированных программах и антивирусах
- Обратится к специалистам для настройки блокировки доступа к Интернет
1. Отключение сетевого адаптера в системе
Этот кардинальный метод напрочь лишает компьютер связи с внешним миром, будь то сеть интернет или локальная сеть. Вам необходимо открыть “Диспетчер устройств” (пройдя по пути Панель управления / Система и безопасность / Система),
где, найдя вашу сетевую карту, кликните на ее названии правой кнопкой мыши и выберите пункт “Отключить”:
Сетевая карта будет отключена для всех учетных записей компьютера и вернуть ее к работе будет возможно только пользователю с правами администратора, проделав весь путь сначала и выбрав пункт “Задействовать”.
2. Установка неверного прокси в системных настройках
Этот способ заставляет программы использовать ложные настройки прокси-сервера (например, можно указать адрес вашего же компьютера, 127.0.0.1) и хорош тем, что установить его можно для каждой учетной записи в отдельности. Однако одним из недостатков является возможность легко отключить его, если пользователь знает, где это сделать – ограничений пользователя в правах для этой настройки нет.
Запустив Internet Explorer, и открыв “Свойства обозревателя” на вкладке “Подключения”, нажмите кнопку “Настройка сети”:
В раскрывшемся окне установите адрес прокси-сервера 127.0.0.1 – и если на вашем компьютере прокси-сервер не установлен, программы, использующие системный прокси, будут сурово обмануты.
К сожалению, не каждая программа использует адрес системного прокси, так что, быть может, этот метод применим не для каждого случая.
Продвинутым пользователям можно также порекомендовать подмену в файле hosts адресов DNS-серверов. Как работать с этим файлом мы уже писали здесь.
3. Блокирование исходящих соединений посредством встроенного брандмауэра
С помощью этого метода можно запретить исходящие соединения по протоколу TCP, блокировав доступ в интернет программам, пытающимся получить туда доступ.
Откройте настройки брандмауэра (Панель управления / Система и безопасность / Брандмауэр Windows) и выберите пункт “Дополнительные параметры”:
Далее вам необходимо в “Правилах для исходящего подключения” создать новое правило:
Правило необходимо создавать “для порта”:
Укажите, что правило для всех уделенных портов:
Выберите “блокировать подключение”:
Введите понятное вам название правила:
После создания правила можете убедиться – подключение к интернету блокировано. Теперь, в любое время, можете как отключать его, так и включать заново.
Обратите внимание, что изменение настроек брандмауэра доступно только пользователям с административными привилегиями.
4. Блокирование соединений при помощи сторонних фаерволов
Мы уже описывали здесь возможности фаерволов сторонних изготовителей, настал черед обратить внимание на возможность полностью заблокировать интернет с их помощью. В Outpost Pro, например, это делается чрезвычайно просто – сменой политики на “блокировать все”, для чего нужно кликнуть правой кнопкой мыши на его иконке в системном лотке
и выбрать в меню необходимый пункт:
Такую блокировку легко как включить, так и отключить, поэтому если вы хотите закрыть доступ к интернету другому человеку – заблокируйте изменения настроек при помощи пароля, благо большинство фаерволов и антивирусов это позволяют:
Если вы пользуетесь каким-либо другим фаерволом или антивирусной системой, уверяю вас, там имеются аналогичные настройки.
5. Установка родительского контроля в специализированных программах и антивирусах
Мы уже разбирали родительский контроль в предыдущей статье, однако стоит заметить, что он отлично работает и для блокирования интернета полностью.
Достаточно всего лишь в настройках доступа в интернет указать период с 00:00 до 00:00, либо любой другой, необходимый вам. Стоит упомянуть, что настройки родительского контроля в каждой программе защищаются паролем, так что изменить их не санкционированно будет очень сложно.
Упомянув способы блокировки доступа в сеть, стоит обратить ваше внимание на тот факт, что имея административные права и некоторый опыт, пользователь может отключить любые ваши ограничения, все зависит только от времени, которое ему понадобится на это. Потому, для обеспечения достаточной безопасности, стоит обязательно ограничивать пользователя в правах. А как это сделать, подробно описано в статье “Разграничение рабочей и административной учетной записи“.
You can use netcut software. It’s free to download and can disconnect the internet of other user sharing same internet.
nKandel
2721 gold badge3 silver badges10 bronze badges
answered Apr 19, 2013 at 7:37
If you use LAN Connection, you could try this
- Create a new user group
- Add a standard user to this group
- Set up a LAN connection using Network and Sharing Center
- Now change parameters ( such as IP, domain, DNS) in LAN Connection properties to a value which doesn’t work.
- Go to Group Policy Editor -> <Group_Name> -> Administrative Templates -> Network -> Network Connections -> Prohibit access to properties of LAN connection.
answered Apr 19, 2013 at 4:15
KamalKamal
2611 silver badge8 bronze badges
1
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.