Comment bloquer laccès à Internet à laide de la stratégie de groupe (GPO)

Cet article vous montrera comment bloquer l'accès à Internet pour les utilisateurs ou les ordinateurs dans l'objet de stratégie de groupe Active Directory. Cette fonctionnalité a été testée sur Windows 7, Windows 10 et elle fonctionne très bien !

Il existe de nombreux didacticiels expliquant comment bloquer l'accès en implémentant un proxy inexistant. Cette méthode fonctionnera pour certaines choses, mais le problème est que tous les logiciels n'utilisent pas nécessairement ces paramètres pour se connecter à Internet, et n'empêchent pas nécessairement un utilisateur spécifique d'utiliser ces paramètres.

Ce guide recommande d'utiliser le pare-feu Windows géré via Active Directory pour bloquer toutes les adresses IP Internet supplémentaires, en appliquant des proxys inexistants.

Sans faire les deux, les proxys peuvent exister sur votre réseau dans des plages IP privées (autorisées) et ainsi avoir une activité Internet. Vous pouvez appliquer cette stratégie de groupe à des utilisateurs individuels ou à des unités organisationnelles entières, selon le cas, et elle fonctionnera correctement sur tous les appareils.

Veuillez noter qu'avec le pare-feu Windows, l'ordre des règles n'a pas vraiment d'importance, les actions de blocage auront priorité sur les règles d'autorisation. Par conséquent, toutes les plages IP non privées doivent être bloquées, ou en d’autres termes, toutes les adresses IP sur Internet au sens large, sans même spécifier les plages privées RFC 1918 et RFC 5735.

Version résumée

Créez une stratégie de pare-feu Windows et spécifiez ces plages d'adresses IP dans la règle BLOC :

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

Crée également un proxy inexistant et empêche les utilisateurs de modifier ce paramètre.

Objet de stratégie de groupe de pare-feu Windows

Modifiez la stratégie de groupe comme vous le feriez normalement et sélectionnez un objet approprié auquel appliquer la nouvelle stratégie.

Modifiez la stratégie de groupe comme vous le feriez normalement

Donnez-lui un nom raisonnable et cliquez sur OK.

Et puis dans l'écran de droite, modifiez le GPO que vous venez de créer.

Ensuite, accédez à Stratégies – Paramètres Windows – Paramètres de sécurité – Pare-feu Windows avec sécurité avancée – Règles sortantes .

Naviguer par chemin

Sur le panneau de droite, faites un clic droit et sélectionnez « Nouvelle règle… ».

Dans la boîte contextuelle, sélectionnez « Règle personnalisée » , puis cliquez sur Suivant.

Laissez l'option par défaut sur « Tous les programmes » et cliquez sur Suivant.

Laissez le protocole par défaut sur « Any » et cliquez sur Next.

Cet écran suivant est l'endroit où vous ajouterez la majorité de vos paramètres, dans la section « Adresses IP distantes » , sélectionnez « Ces adresses IP » et cliquez sur « Ajouter ».

Dans la fenêtre contextuelle suivante, vous devez ajouter des plages IP, alors cliquez sur « Cette plage IP » et entrez la plage 0.0.0.1 – 9.255.255.255 , comme ceci :

Ajouter quelques plages IP

Vous devrez répéter les deux étapes ci-dessus pour ajouter les plages IP suivantes :

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

Lorsque vous aurez terminé cette liste, vous aurez un écran qui ressemble à ceci. Si vous êtes satisfait, cliquez sur Suivant.

Liste des plages IP une fois complétée

Sur l'écran suivant, assurez-vous que l'action est marquée « Bloquer » et cliquez sur « Suivant ».

Dans votre profil, vous souhaiterez peut-être mettre en évidence tous ces emplacements, puis cliquer sur « Suivant ».

Donnez à la règle un nom raisonnable et cliquez sur « Terminer ».

Installer un GPO Internet

Ensuite, vous devrez configurer un faux proxy. Vous devrez peut-être d'abord télécharger le package d'administration d'IE .

Accédez à Configuration utilisateur – Préférences – Paramètres du panneau de configuration – Paramètres Internet et cliquez avec le bouton droit sur l’option Créer de nouveaux paramètres dans le panneau de droite.

Cliquez ensuite sur Connexions , puis sur Paramètres LAN .

Dans la case qui apparaît, cochez « Utiliser un serveur proxy pour votre LAN » et dans la zone d'adresse, saisissez « 127.0.0.1 » sur le port « 3128 » , comme ceci :

Cochez « Utiliser un serveur proxy pour votre réseau local »

Cliquez ensuite deux fois sur OK pour revenir à l’écran principal du GPO.

Cliquez deux fois sur OK pour revenir à l'écran principal du GPO

Ensuite, dans le GPO, accédez à Configuration utilisateur – Modèles d’administration – Composants Windows – Internet Explorer .

Sur le côté droit, vous devez trouver l'option qui dit "Désactiver la modification des paramètres de connexion" . Lorsque vous le voyez, ouvrez-le en double-cliquant dessus.

Activez ce paramètre et cliquez sur OK.

Fermez toutes les fenêtres GPO et vous avez terminé !

En savoir plus :

• Comment bloquer l'accès à Internet pour un compte utilisateur spécifique