Eu descobri como vou fazer isso. Criei um arquivo especial noaccess.rat para o consultor de conteúdo do Internet Explorer. Adicionado os endereços que eles precisam acessar e nada mais. Problema resolvido.
Então isso pode ser impossível, mas me pediram para tentar encontrar algo sobre isso. Até agora nada que eu encontrei é possível.
Eu preciso restringir máquinas específicas ou contas de usuários do acesso regular à Internet, mas permitir que eles tenham acesso à parte da intranet da nossa rede. Eu não tenho controle do Active Directory, nem alguém no meu local de trabalho local (controle corporativo em um estado diferente). Eu tentei passar por IPsec e fazer isso por máquina local, mas esse sistema parece ter sido removido das imagens que estão instaladas nessas máquinas para que seja lançado.
Até agora, a única outra opção que consigo pensar é atribuir às máquinas um endereço IP específico e remover seu acesso ao gateway. Isso provavelmente funcionaria, mas as máquinas precisam receber atualizações que estão sendo enviadas por meio do ePO e LanDesk.
Eu realmente gostaria de fazer isso no nível do usuário, porque se eu precisar fazer um trabalho técnico na máquina e precisar de acesso à Internet, eu posso acessá-la, mas um usuário "especial" pode fazer login e não conseguir entrar qualquer coisa.
O firewall / roteador externo é provavelmente o mais seguro. Você pode configurar um portal murado de jardim / cativo (muito parecido com aqueles que você obtém quando faz login em um hotspot wifi) que permite acesso aos serviços de atualização, mas nada mais, a menos que uma senha de superusuário seja inserida.
Isto é definitivamente algo que é melhor feito na rede.
Você pode usar um roteador barato hackeado para usar algo como link
Você pode conectar isso entre a rede da sua empresa e os computadores que deseja isolar.
Você deve poder usar a página de administração do roteador para permitir o acesso à sua LAN e a certas redes na lista branca (para suas atualizações), mas restringir todas as outras.
O benefício de fazê-lo no nível da rede é bloquear todas as redes, não apenas o DNS ou a porta 80/443 (web / ssl), como fazem algumas soluções para esse problema. Ambos podem ser facilmente contornados por usuários qualificados, mas é muito mais difícil para os usuários contornarem um portal cativo. Não é impossível, mas então nada é!
Os fóruns do DD-WRT devem ajudá-lo a fazer isso.
Pode haver soluções comerciais que alcancem o mesmo. Qualquer firewall estilo Layer 7 tecnicamente tem a capacidade de fazer isso - já que eles podem inspecionar pacotes tcp / ip e modificá-los / bloqueá-los em tempo real de acordo com regras especificadas. Se esta funcionalidade é exposta ao nível do usuário em um determinado produto é algo a ser discutido com o fabricante.
No entanto, se você não puder fazer isso na sua rede devido à política da empresa, poderá:
(i) investigar software projetado para impedir que crianças acessem a Internet sem supervisão de patentes; ou
(ii) veja se um firewall de software permitiria a você lista branca / lista negra de determinadas redes. Você pode colocar na lista de permissões sua rede interna e redes específicas às quais deseja se conectar, além de listar tudo o mais.