Alex Ruben
如何在 Windows Server 2022 和 2019 上使用群組原則限制網域使用者的 VPN 存取
介紹
所以,事實證明,阻止人們透過網域網路上的 VPN 連線並非易事,但並非不可行。基本上,您需要設定 GPO(群組原則物件),以限制在其 PC 上建立或使用 VPN。如果您擔心未經批准的 VPN,或者只是想更嚴格地控制誰可以訪問什麼,這些步驟確實很有幫助。但請注意,在某些設定下,這些策略可能需要重新啟動或執行 gpupdate /force 才能正常生效。另外,由於 Windows 喜歡製造一些驚喜,因此先在小組中測試一下是個好主意。
先決條件
在深入探討這些有趣的內容之前,請確保你已經擁有:
- Windows Server 2019 或 2022 電腦上的管理員權限。
- 已安裝群組原則管理主控台 (GPMC) — 通常是遠端伺服器管理工具的一部分。
- 充分了解您的 Active Directory 結構,例如您的 OU 在哪裡。
步驟 1:開啟群組原則管理控制台
第一步是找到 GPMC。前往「伺服器管理員」,點選「工具」,然後選擇「群組原則管理」。如果你沒有找到,你可能需要安裝 RSAT 工具。打開後,你會看到你的網域清單。
步驟2:建立新的GPO
在左側導覽至您的網域樹(例如yourdomain.local),以滑鼠右鍵按一下 OU(如果您想要建立統一規則,則以滑鼠右鍵按一下網域本身),然後選擇在此網域中建立 GPO,並將其連結到此處。將其命名為Block VPN Access。聽起來很明顯,但這樣可以讓以後的事情更清晰。在某些設定中,此操作第一次可能會失敗 – 只需重新啟動 GPMC 或登出並重新登入即可。
步驟 3:編輯 GPO 以新增 VPN 限制
右鍵點選新的 GPO,然後選擇“編輯”。它將開啟群組原則管理編輯器。現在,您需要在左側窗格中執行下列步驟:
使用者設定 → 策略 → 管理範本 → 網路 → 網路連接
當然,Windows 必須讓封鎖 VPN 變得有點棘手。某些相關策略可能位於不同的節點下,具體取決於您的版本或更新,因此請留意。
步驟 4:啟用政策以停止 VPN 使用
奇蹟就在這裡發生。啟用以下策略:
-
雙擊“禁止 TCP/IP 進階配置”。 將其設為“已啟用”。這將阻止使用者編輯某些設定中可能包含 VPN 設定的網路配置。
-
雙擊「禁止存取新連線精靈」。 啟用此選項。它可能不會阻止所有 VPN,但它可以阻止透過精靈啟動新連線。
-
在進階選單中雙擊「禁止存取遠端存取首選項」 。 啟用它。
-
最後,禁止存取 LAN 連線屬性。 請將其打開。
好處:這些策略基本上讓使用者更難看到 VPN 選項或調整網路設定。這就是目標。什麼時候會用到?幾乎每當用戶試圖違反公司政策自行設定 VPN,或是當你試圖加強安全措施時。
你該期待什麼? VPN 彈跳窗較少,使用者意外或故意連線到外部 VPN 的可能性較低。而且,重新啟動或gpupdate /force在客戶端設備上執行命令可以加快速度。
步驟 5:推出變更
保存後,這些策略將在一段時間後或重新啟動後生效。如果您想加快客戶端電腦上的運行速度,請開啟命令提示字元或 PowerShell 並執行:
gpupdate /force
這會強制策略立即刷新。請注意,在某些機器上,可能需要登出並重新登入或重新啟動才能完全強制執行限制。
額外提示和常見問題
讓這個過程更順暢的一些技巧:
- 首先在一小部分使用者或電腦上進行測試——沒有什麼比在生產中出現問題更令人沮喪的了。
- 檢查可能存在衝突或透過本機原則或安全設定允許 VPN 的其他 GPO。
- 讓用戶了解情況—沒有任何警告的突然限制可能會造成混亂。
結論
雖然不知道為什麼它有效,但這些設置可以阻止大多數簡單的VPN設置,從而提高網路存取的安全性。雖然它並非完美,但至少是一個好的開始。請記住,科技總是領先一步——新的VPN應用或技巧可能會被識破,所以要保持警惕。
常見問題
GPO 到底是什麼?
它只是您可以推送到 Active Directory 中的使用者或電腦帳戶的規則集合,有點像是設定的遠端控制。
這可以限制於特定用戶嗎?
當然可以。只需將 GPO 連結到僅包含您想要限制的使用者或電腦的 OU 即可。非常簡單。
我已經安裝了 VPN。這會阻止它們嗎?
它可能不會刪除該軟體,但它應該阻止用戶連接或配置它 – 至少理論上是這樣。