Как заблокировать изменение параметров DNS в Windows 11?
 

Есть 3 сетевых адаптера (LAN, Wi-Fi и VPN), на каждый из них я выставил DNS вручную в параметрах ipv4 и ipv6 (защита от небезопасного контента). Необходимо сделать так, чтобы их никак нельзя было изменить в настройках или панели управления. Также, чтобы я не мог установить другой VPN (а следовательно и новый сетевой адаптер) и обойти систему, нужно заблокировать возможность установки новых сетевых адаптеров. Если это покажется вам глупым, то не переживайте: если мне придётся делать изменения в условном реестре, то я легко смогу заблокировать службу regedit в отдельной программе (PluckEye или Cold Turkey Blocker). Прошу также не говорить о возможности создания другого пользователя, так как это создаёт некоторые проблемы в работе с системой.
Буду невероятно благодарен за любые советы по моему вопросу! Помните, за любую вашу помощь в решении данного вопроса вас будут благодарить десятки интернет-зависимых людей. Спасибо =)

Взаимоисключающие параграфы. Если у вашего текущего пользователя есть права администратора, то он сможет изменять любые настройки, ставить любое оборудование и т.д.

а админский доступ юзеру обязателен?
Просто у обычного юзера вроде как нет доступа к сетевым настройкам вообще.

Я же говорю, что у меня есть Cold Turkey. Я просто заблокирую в нём условный regedit и не смогу пользоваться данной службой до истечения определённого времени (delay - задержка, защита от импульсивности).

Крайне желателен. А вообще, много ли будет минусов, если использовать 2 учётки? Помимо того, что блокировщики вроде PluckEye или Cold Turkey могут перестать работать.

ОК, давайте вот представим что вы мне попытались что-то заблокировать. Я просто загружусь на таком ПК в безопасном режиме и грохну там папку с этой программой. Ну, это я к тому, чтобы у вас было чёткое понимание одного простого факта: если пользователь имеет доступ к учетной записи с правами администратора, то никаким софтом вы по сути ничего заблокировать не сможете. В лучшем случае притормозите деятельность человека на несколько минут, пока он будет гуглить способы избавиться от этой дряни.

Нет в этом никаких минусов, это штатный механизм Windows. Учтите только, что многие игры и программы хранят свои настройки и прочие файлы в профиле конкретного пользователя, т.е. какие-то программы придется настраивать по сути дважды - для каждого юзера.

Они изначально "работает" лишь весьма условно, поскольку обойти такую защиту труда не составит при желании. Хотя, конечно, все упирается в квалификацию конечного пользователя. Если у вас там совсем малые дети или пенсионеры за ПК сидят, тогда да, такой защиты хватит.

Вы ошибаетесь) Данный софт не могут обойти даже программисты. Я лично пробовал сносить PluckEye в Process Hacker, да запускать в безопасном режиме - он всё также был надёжно защищён и не прекращал свою работу. В противном же случае можно просто заблокировать доступ к таск менеджеру в проге, отключить safe mode в том же реестре и заблокировать к нему доступ с помощью блокера. Разработчик работает на фиксом любой лазейки. Пользователю остаётся лишь блокировать то, что не находится в зоне ответственности программы - бут меню, например. Стоит просто установить случайный пароль на биос, а чтобы не потерять к нему доступ, закинуть пасс в lockbox от plucky, где его можно будет в будущем достать с задержкой. Этот софт мощный даже для совсем конченых шизофреников, которые ставят блок, чтобы вечно пытаться обойти его. Советую попробовать его и самостоятельно убедиться, а не говорить о чём-то, не имея об этом представления ;)

Уж извините, но мне это не интересно. Я не параноик и не шизофреник, мне такой софт без надобности.

В любом случае, сформулируйте точнее свой вопрос, потому как сейчас непонятно что именно вы хотите сделать. Заблокировать запуск файла regedit.exe? Или что?

Любым возможным способом пустить принудительный DNS. Вторая учётная запись не подходит, так как можно просто установить любое ВПН расширение и защита обойдётся в 2 клика.

dofoh88849, Еще раз: пока будет доступ уровня администратора, любые ваши телодвижения будут лишены всякого смысла.

Вам если нужно сделать фильтрацию какую-то, чтобы юзеры ходили только на конкретные сайты, то для этого нужен отдельный прокси-сервер. И всех выпускать в сеть только через него. Могу ошибаться, если тут есть системные администраторы, пускай поправят меня. Но чисто со стороны если смотреть, то затея глупая в зародыше: любой человек сейчас с телефона может зайти куда захочет, ему ваши блокировки на рабочем ПК побоку будут.

dofoh88849, может, есть смысл выдавать нужным клиентам полный пакет параметров с DHCP-сервера? (привязав по МАС-адресу, ну и фаерволом перекрыть движение на порт 53)

dmitryst, Мне кажется, смысла в принципе нет, учитывая наличие анонимомайзеров, которым в принципе DNS не нужен для работы. Например, я вот сейчас прописал у себя на компе 127.0.0.1 в качестве DNS-сервера. После этого все сайты по именам открываться, естественно, перестали. Но по прямому адресу https://64.227.120.231 можно зайти на анонимомайзер, вбить там нужный адрес и далее серфишь в сети как обычно. Скорость падает радикально, конечно, но если цель - потрындеть с кем-нибудь в чатике ВКонтакте, то это вполне себе вариант.

Так я имею ввиду под второй учёткой учётку без прав.
За телефон можете не беспокоиться, на нём у меня стоит тотальная фильтрация без надежды на обход (благо андроид позволяет). Но, тем не менее, попрошу отвечать именно по вопросу)

Я ламер. Объясните конкретнее, пожалуйста, о чём вы. DNS обычный, если что. Cloudflare Family 1.1.1.3.

dofoh88849, Так вопрос-то в чем? Не хотите куда-то заходить? Не заходите. В чем проблема-то?

Прописал сейчас ради интереса у себя 1.1.1.3 - после этого сайт для взрослых не открылся, но через https://64.227.120.231/ пустило без проблем. В общем, как я и говорил, все эти заморочки с DNS лишены какого-либо смысла. Кому это не интересно, они и так ходить никуда не будут, а кто захочет, найдет обходные пути.

http://forum.oszone.net/thread-128151.html - если учетка ограничена в правах, это может сработать, но сам не пробовал. Попробуйте, отпишитесь потом о результатах. Хотя как по мне, вы что-то недоговариваете и пытаетесь микроскопом гвозди забивать.

Проблема в том, что подобная логика не работает с наркоманами (в том числе и частично со мной). Я занимаюсь этим вопросом сейчас, так как в первую очередь делаю подробный курс по реабилитации для других людей. В котором я разбираю все доступные методы. Да, кому-то хватит DNS в роутере и он даже не вкурит как это сбросить по кнопке, но есть ребята прошаренные. Безусловно, это всё костыли, но они необходимы на первое время. Поэтому я просто хочу получить поддержку по технической части.
Мне всего-то в заключение осталось разобраться с этим моментом. Вторая учётка кажется хорошим решением, ведь она не даёт возможности работать даже Tor, но всё ещё остаются малюсенькие лазейки в виде расширений. Да, можно пойти радикальным путём и кастрировать браузер или загрузить систему огромным чёрным списком и фильтровать всевозможные сайты с упоминание VPN или Proxy, но это довольно непрактично.

dofoh88849, Наркоманами в каком смысле? Если речь о тех, кто себе всякую дрянь вводит в организм, то непонятно какое отношение это все к DNS имеет. У наркоманов-то и денег на компы нет.

Да, я уже видел это. Звучит интересно, но в нынешних реалиях по сути тоже кастрация, так как VPN нужен чуть-ли не на каждом шагу в интернете. Было удобно, когда есть родной отфильтрованный VPN и можно без проблем обходить блокировки в РФ. Если выхода не останется, то да, придётся.

Так и сейчас не сложно: плагин FastProxy поставил и он сам трафик разделяет. На обычные сайты пускает напрямую, на заблокированные - через прокси.

Я просто не понимаю какого результата вы хотите добиться.

Цифровых наркоманов =) Зависимых от порно, шок-контента, компульсивного шопинга, новостей, соцсетей, почты и так далее. Хотя защита, которую я предоставляю также может защитить и от физически наркотиков, так как DNS фильтрует NSFW, Tor заблокирован и Telegram также отфильтрован в отдельном форке.

Я хочу просто пустить принудительный DNS. Если единственной лазейкой будет использование анонимайзеров, то придётся активировать фильтр на нужные ключевые слова. Ну и так далее.
А FastProxy и не нужен, есть АнтиЗапрет ByPass, но он не поможет зарегистрироваться россиянину на OpenAi, например.

А, эти... Честно говоря, никогда с такими персонажами не сталкивался, но как постороннему наблюдателю мне очевидно, что блокировка ресурсов в сети - это борьба со следствием, а не с причиной. Проще говоря, к психологу идти надо, а не DNS настраивать.

Вы правы, но это не совсем так работает. Попрошу, дайте ответ по теме. Можно ли как-то принудительно пустить DNS, не блокируя изменение IP-адреса? К сетевому адаптеру установленного VPN смог же применить DNS, почему к какому-то жалкому расширению в браузере нельзя сделать так же?

dofoh88849, Потому что плагин в браузере может вообще не задействовать DNS, а обращаться напрямую по IP. Например, мой НТТР-сервер не имеет доменного имени, однако зная IP и номер порта, на него можно зайти. Представьте вот что я на нем прокси-сервер поднял (собственно, он у меня там как раз и был раньше поднят). А вы пропишете адрес моего прокси у себя в браузере. Ему будет нужен DNS для работы? Нет конечно. Потому что все запросы обрабатывает мой прокси, а браузер получает готовые сведения. Упомянутый выше анонимомайзер https://64.227.120.231/ работает по тому же принципу.

Я допускаю, что вашу проблему можно решить, погуглив какие настройки в браузере отвечают за изменение прокси-сервера в нем. И запретить их менять. Но я так подозреваю, это можно вылечить путем банального создания второго профиля в браузере, т.е. даже ограниченная учетка не спасет.

dofoh88849, ИМХО, тема сложная... Как я и предлагал выше, можно выдать нужный ДНС вместе с адресом, с DHCP сервера. Заблокировать трафик на все 53 порты всех сервреров ДНС, кроме вашего. Но, как справедливо указал коллега Avatar-Lion, анонимайзеры продолжат работать. Можно и их прикрыть, но рутер придется загружать таблицами блокируемых ресурсов (анонимайзеров и т.п. сервисов). У меня в офисе так и настроено, и работает довольно давно, но уровень юзеров ниже плинтуса, максимум, что они могут сделать - прописать свой ДНС в параметрах адаптера, но он работать не будет, т.к. весь ДНС-трафик, кроме "моего", блокируется. Правда, кое-куда можно зайти по IP, предварительно узнав его где-нибудь )))
Как вариант - прописать "белый список" сайтов в файл hosts, а в днс вписать 127,0,0,1, например. Остается доступ по адресу и через анонимайзеры (блокируем фаерволлом на рутере)

Мне кажется, поставленная задача в принципе не имеет решения, поскольку очень уж много обходных путей существует. И даже если целенаправленно перекрыть все лазейки на одном конкретном ПК, то другие-то компьютеры и телефоны по-прежнему будут в свободном доступе. Я вот просто пытаюсь поставить себя на место такого зависимого человека... Допустим, мне обрубили доступ к он-лайн казино какому-нибудь, где я регулярно деньги спускаю. Потыкавшись туда-сюда и не решив проблему самостоятельно, у меня остается как минимум три варианта:
1) Пойти в какой-нибудь компьютерный клуб или интернет-кафе.
2) Пойти к друзьям и знакомым.
3) Купить отдельный смартфон и втайне пользоваться им.

Последний вариант самый разумный как мне кажется. Посмотрел вот сейчас цены в DNS (какая ирония...) и там самый дешевый смартфон 3 000 рублей стоит. С такими ценами любые блокировки теряют всякий смысл, т.к. пациент легко организует себе доступ к нужным ресурсам и процесс воздержания будет злостно нарушаться.

Важно понимать, что в первую очередь мой курс предназначен для людей, которые осознают свою проблему и готовы с ней бороться. То есть, разумеется, если человек конченый нарик, который буквально стремится к самоубийству по сути, не остановится ни на одном из препятствий. Мои решения - это домашний наркодиспансер. Да, ты можешь выйти, и даже необязательно через окно, но разве ты не хочешь немного потерпеть и через некоторое время чувствовать себя свободнее, больше не нуждаться в подобных учреждениях?
Все 3 варианта мы можем отсечь ещё на этапе поиска потенциальных лазеек, но даже если человек настолько болен... То можно найти опекуна, который будет заправлять твоими средствами в банке, а друзьям (и сотрудникам клуба) рассказать о своей проблеме и попросить о напутствии.

У меня уже отфильтрованы по корень мой андроид и айос. Благо в них это делается очень просто (особенно в айос - тупо встроенная функция). И на 70% разобрался со способами фильтрации на Windows, xBox, PS, MacOS, TV, Роутеры и Linux. Поэтому простому человеку придётся лишь воспользоваться моей инструкцией, отфильтровать все устройства и наслаждаться пением сирен, словно Одиссей, привязавший себя к мачте.

А что вы предлагаете? У меня есть Cold Turkey или Pluckeye, которые могут блокировать любые приложения и сайты по паролю или задержке. И что дальше? Есть вторая учётная запись, лишённая прав администратора. По сути - этого достаточно, но вся система рушится установкой любого нищего расширения с VPN...

dofoh88849, Ну.. родительский контроль ведь не смотрит на адрес сайта, а на его содержимое. Я так понимаю...