GPO : bloquer l’accès à internet

GPO : bloquer l’accès à internet

Les stations d’administrations ne devraient normalement pas accéder à internet : il s’agit d’une mesure de protection élémentaire qui permet d’éviter une primo-infection sur un poste disposant d’accès sensible. Cette GPO vous permettra de l’interdire directement au niveau du poste : elle vient en complément d’une stratégie au niveau du réseau (vlan d’administration dédié par Tiers) et fait parti d’une stratégie pour les PAW nomades.

Attention : cette explication n’est applicable que si l’on respecte les valeurs standards pour les plans d’adressage public et privé. Dans le cas contraire, il faudra l’adapter.

Prérequis

Tout d’abord, créez une nouvelle GPO et nommez-la en fonction de votre convention (dans cette exemple : Sec_Paw_denyInternet).  Configurez ensuite la GPO pour qu’elle ne s’applique qu’à vos stations d’administrations (par l’appartenance à un groupe par exemple). Une fois cela fait, éditer la GPO.

Première étape : interdire la communication réseau directe vers internet.

  • Allez dans la section Configuration Ordinateur | Paramètres Windows | Paramètres de sécurité | Parefeu Windows Defender avec fonctions avancées
  • Faites un clic-droit sur Règles de Trafic Sortant puis sélectionnez Nouvelle Règle…
Stratégie SEC_PAW denylnternet 
v Configuration ordinateur 
v Stratégies 
Paramètres du logiciel 
v Paramètres Windows 
Stratégie de résolution de noms 
Scripts (démarrage/arrêt) 
Imprimantes déployées 
Paramètres de sécurité 
Stratégies de comptes 
Stratégies locales 
Journal des événements 
Groupes restreints 
Services système 
Registre 
Système de fichiers 
Stratégies de réseau filaire (IEEE 802 3) 
Pare-feu Windows Defender avec fonctions avanc 
Pare-feu Windows Defender avec fonctions av 
Règles de trafic entrant 
Règles de trafic so 
Règles de sécurité 
Stratégies du gestionnaire 
Stratégies de réseau sans 
Stratégies de clé publique 
Stratégies de restriction la 
Stratégies de contrôle de I 
Stratégies de sécurité IP s 
Configuration avancée de 
Qas basée sur la stratégie 
Modèles d'administration : défin- 
Préférences 
Nouvelle règle... 
Filtrer par profil 
Filtrer par état 
Filtrer par groupe 
Affichage 
Actualiser 
Exporter la liste...
Création d’une nouvelle règle de pare-feu pour un trafic sortant
  • Sélectionnez Personnalisée et cliquez sur Suivant
  • Sélectionnez Tous les Programmes et cliquez sur Suivant
  • Sélectionnez Tout Type de Protocole et cliquez sur Suivant
  • Dans la section A Quelles Adresses IP Distantes Cette Règle s’Applique-t-Elle ?, sélectionnez Ces Adresses IP et cliquez sur Ajouter…
  • Sélectionnez Cette Plage d’Adresse IP et ajouter toutes les plages ci-dessous :
DEA
0.0.0.19.255.255.255
11.0.0.0126.255.255.255
169.255.0.0172.15.255.255
172.32.0.0192.167.255.255
192.169.0.0198.17.255.255
198.20.0.0255.255.255.254
Plan d’adressage IP à bloquer
Assistant Nouvelle règle de trafic sortant 
Etendue 
Spécifiez les adresses IP locales et distantes auxquelles s applique cette règle 
Type de règle 
Programme 
Protocole et ports 
Èendue 
Action 
Profil 
Nom 
A IP loc*s c*te ? 
@ Toute adresse IP 
C) Ces adresses IP 
Personnaliser les types d interfaces auxquels cette règle s applique 
A IP c*te ? 
C) Toute adresse IP 
@ Ces adresses IP 
000 1*255255255 
ISS 2550 M72 15255255 
172320 MS2 255255 
0-255255255254 
Aouter
Filtrer les IP
  • Cliquez sur Suivant
  • Sélectionnez Bloquer la Connexion et cliquer sur Suivant
  • Sélectionnez tous les profiles et cliquer sur Suivant
  • Nommez la règle selon vos convention et ajouter un commentaire si nécessaire
  • Cliquez sur Terminer

Seconde étape : forcer un proxy sur les paramètres IE pour bloquer une évasion via un mandataire dans le réseau local

  • Allez dans la section Configuration Utilisateur | Préférences | Paramètres du Panneau de Configuration
  • Faites un clic-droit sur Paramètres Internet et sélectionnez Nouveau | Internet Explorer 10
Stratégie SEC_PAW denylnternet 
v Configuration ordinateur 
Stratégies 
Préférences 
v Configuration utilisateur 
Stratégies 
v Préférences 
Paramètres Windows 
v Paramètres du Panneau de configuration 
Sources de données 
Périphériques 
Options des dossiers 
Paramètres Interne 
Utilisateurs et gra 
Options réseau 
Options d'alimen 
Imprimantes 
Options régional 
Têches planifiées 
Menu D 
emarrer 
Toutes les tiches 
Affichage 
Copier 
Imprimer 
Actualiser 
Exporter la liste... 
Paramètr 
Traitement en cours 
Internet Explorer 5 et 6 
Internet Explorer 7 
Internet Explorer 8 et g 
Internet Explorer 10
Personnaliser IE
  • Sélectionnez Connexions puis Paramètres Réseau
  • Dans le section Serveur Proxy, saisissez l’adresse 127.0.0.1 et le port 3128, puis cochez la case Ignorer le Serveur Proxy pour les Adresses Locales
Serveur proxy 
Lltliser un serveur proxy pour votre réseau local. (Ces paramètres ne 
[Z] s'appliqueront pas à des connexions deccès à distance ni à des connexions 
VPN.) 
Adresse: 127.0.0.1 
esses locales,
Configuration du Proxy
  • Cliquez sur OK deux fois pour revenir à l’écran principal

Dernière étape : interdire la modification des paramètres de proxy par l’utilisateur (et donc un by-pass)

  • Allez dans la section Configuration Utilisateur | Stratégies | Modèles d’administration | Composants Windows | Internet Explorer
  • Identifiez le paramètre Désactiver la Modification des Paramètres de Connexion et activez-le
Console de gestion Microsoft 
Contenu claud 
Dossiers de travail 
Emplacement et capteurs 
Exécution de l'application 
Explorateur de fichiers 
Flux RSS 
Gadgets du Sureau 
Gestionnaire de fenêtres du Sureau 
Gestionnaire de piècesjointes 
Interface utilisateur d'informations d'identifica 
Interface utilisateur latérale 
Internet Explorer 
Magnétophone 
Microsoft Edge 
Paramètre 
Désactiver la fonction de zoom 
Désactiver la fonctionnalité Aperçu mosaïque 
Désactiver la fonctionnalité de saisie semi-automatique des . 
Désactiver la fonctionnalité de saisie semi-automatique des „ 
Désactiver la fonctionnalité de vérification des paramètres 
Désactiver la fonctionnalité Rétablir les paramètres Web 
Désactiver la géolocalisatian du navigateur 
Désactiver la gestion des fenêtres publicitaires 
Désactiver la gestion du filtre SmartScreen pour Internet Exp... 
Désactiver la mise en cache des scripts de proxy automatiqu... 
Désactiver la modification de la page d'accueil 
Désactiver la modification des parametres d'accessibilité 
Désactiver le mcclificeticn paramètres cie ccnnexicn 
Désactiver la modification CIES parametres CIE couleurs 
État 
Non configuré 
Non configuré 
Non configuré 
Nan configuré 
Non configuré 
Non configuré 
Non configuré 
Non configuré 
Non configuré 
Non configuré 
Non configuré 
Nan configuré 
Activé 
Non ccnfiquré 
Commentaire 
Nan 
Nan 
Nan 
Nan 
Nan 
N cn 
Non
Paramètre de blocage de la modification

Conclusion

Fermez la GPO puis appliquez-la dans votre environnement afin de la tester avant la mise en production ! Si vous utilisez des navigateurs complémentaires (firefox, chrome, …), pensez à reproduire la configuration du proxy pour chacun d’eux.

Proudly powered by WordPress | Theme: HoneyBee by SpiceThemes