Limitar acceso a internet mediante GPO

Un pregunta recurrente en entornos corporativos e industriales, limitar el acceso a internet en puestos de trabajo concretos. En entornos Windows podemos aplicar infinidad de políticas de grupo para gestionar los permisos de todas las aplicaciones. Una manera rápida y efectiva es configurar un proxy local inexistente y añadir algunas excepciones. Esta es una forma sencilla y rápida pero no la única.

Añadimos al registro de Windows tres valores nuevos en una nueva directiva de usuario:

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Internet Settings
ProxyEnable [REG_DWORD]: 00000001
ProxyServer [REG_SZ]: 127.0.0.1:8080
ProxyOverride [REG_SZ]: *.mainmind.com;10.0.0.*;*.miempresa.com;localhost

En la dirección del proxy, utilizamos la IP del propio equipo, para no generar tráfico de red innecesario, y un puerto fuera de uso de tal manera que todas las peticiones no obtengan respuesta y no se pueda acceder si no está en la lista de excepciones.

Ejemplo de directiva de configuración proxy inexistente

Para evitar que la configuración pueda ser modificada desde el panel de control deberemos activar en la política de grupo la limitación al usuario:

Configuración de usuario > Directivas > Plantillas administrativas > Componentes de Windows > Internet Explorer
"Impedir el cambio de configuración de proxy"

También es posible establecer y comprobar el proxy, desde powershell:

netsh winhttp set proxy 127.0.0.1:8080 "*.mainmind.com;10.0.0.*;*.miempresa.com;localhost"
netsh winhttp show proxy

Deja una respuesta

You have to agree to the comment policy.