Ich hatte heute in einem mittelständischen Produktionsbetrieb die Herausforderung, dass möglichst mit Boardmitteln ohne zusätzliche Kosten einzelnen Pcs unter W11 der Zugriff zum Internet verwehrt werden soll.
Die Netzstruktur ist sehr flach. Eine richtige Firewall gibt es nicht. VLANs sind auf den Switchen nicht verfügbar.
Der Zugriff auf das interne LAN muss gegeben sein. Der PC muss für Updates leicht wieder an das Internet angebunden werden können.
Billo Lösung für das Austragen des Gateways:
Die einfache Lösung. Das Gateway muss weg 🙂
Beim Kunden ist es ein einfacher Router mit der Netzadresse 192.168.1.250
route delete 0.0.0.0
Das wirkt universell und in allen Netzen.
Das Kommando habe ich in der Datei „internet-aus.cmd“ geschrieben und auf dem PC in einem Ordner ohne Zugriffrechte für den User abgelegt.
Das erste Problem:
Der Befehl kann leider nicht als „normales“ Script ausgeführt werden, weil es „höhere Rechte“ beim Ausführen benötigt.
In anderen Worten: CMD als Administrator, bzw. Scriptdatei – Ausführen als Administrator
Aus diesem Grund kann man es auch nicht einfach in den Autostart Ordner der Users schieben.
Das zweite Problem:
Der Befehl trägt das Gateway leider nur bis zum nächsten Neustart aus.
Die Lösung ist die o.g. Datei per Taskscheduler als geplanten Job beim Neustart des PCs als Systemuser auszuführen. Getestet – geht!
Billo Lösung für erneute setzen des Gateways:
Zum Einschalten des Internetzugriffs wird das Gateway mit diesem Befehl wieder eingetragen.
route add 0.0.0.0 mask 0.0.0.0 192.168.1.250
Hier muss individuell das richtige Gateway verwendet werden!
Die Datei „internet-an.cmd“ habe ich dazu im gleichen Ordner und auf dem Desktop des Admin Kontos wie oben beschrieben abgelegt.
Sie wird momentan bei Bedarf vom Admin mit „Ausführen als Administrator“ manuell gestartet.
Kür:
Geplant aber noch nicht umgesetzt.
Der Task Scheduler von Windows 11 lässt sich benutzerabhängig steuern.
Ich teste, ob die „Internet-an.cmd“ alternativ bei Administrator Login automatisch angebunden werden kann.