Disabilitare i componenti aggiuntivi e le barre degli strumenti di IE con Criteri di gruppo?


12

Mi piacerebbe avere la tranquillità di sapere che nessuno dei miei desktop ha barre degli strumenti, "browser helpers" o qualsiasi altra schifezza come quella in esecuzione.

Qualcuno ha fatto questo con successo con Criteri di gruppo?

Ho trovato questo articolo, ma non è poi così chiaro:

http://support.microsoft.com/kb/883256

Se voglio bandire tutti i plugin tranne Google Toolbar, Flash e Windows Update su XP, non c'è una spiegazione chiara su come farlo. Sembra che dovrei conoscere il ClassID di ogni barra degli strumenti che vorrei consentire.

L'articolo non spiega come un amministratore possa trovare questi ClassID. Flash ha un ClassID diverso per ogni versione? Varia in base al sistema operativo? Che dire di Windows Update su scatole XP - richiede un plug-in che dovrebbe essere abilitato espressamente.

È un problema così comune che dovrebbe esserci una soluzione semplice. Sarebbe bello se ci fosse solo un elenco di plug-in di plug-in comuni, in modo da poter abilitare Flash per tutti, Google Toolbar per sviluppatori, Windows Update per XP, ecc.

Risposte:


7

Disabilitare l'opzione "Abilita estensioni del browser di terze parti" in Strumenti -> Opzioni Internet -> Avanzate (o Pannello di controllo -> Opzioni Internet) disabilita correttamente la maggior parte delle barre del browser pur consentendo i plug-in tipici (Java, Flash, ecc.).

Se ricordo bene, puoi controllare questa opzione in GP. L'impostazione è disponibile in "Configurazione utente -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Internet Explorer -> Pannello di controllo di Internet -> Pagina avanzata -> Consenti estensioni del browser di terze parti"


2

Per XP con IE6, l'origine KB è una soluzione praticabile.

Ho aggiunto CLSID per flash (trovato dall'origine HTML di youtube.com) e l'ho bloccato aggiungendolo alla politica di sicurezza locale "Configurazione utente> Modelli amministrativi> Componenti di Windows> Internet Explorer> Funzionalità di sicurezza> Gestione dei componenti aggiuntivi> Elenco dei componenti aggiuntivi "

Inserisci CLSID e uno 0 per valore (disabilita) e al prossimo aggiornamento di IE, Flash non si carica.

Sembra che l'aggiunta di un elenco dei trasgressori più comuni a un oggetto Criteri di gruppo si occuperebbe della maggior parte dei problemi.


2

Ho le stesse domande che fai riguardo ai possibili cambiamenti di ClassID quando javascript e flash vengono aggiornati.

Ad ogni modo, nel tentativo di trovare maggiori informazioni su questo ho capito in IE9, puoi selezionare un componente aggiuntivo e premere "Ulteriori informazioni" in basso a sinistra e ti dà l'ID classe. Ho confermato che IE6 non ha questo. Al momento non ho IE7 o 8 disponibili per il test. Tuttavia, l'articolo microsoft mostra come trovare gli ID di classe che sono stati bloccati nella sezione "Risoluzione dei problemi della funzionalità Gestione componenti aggiuntivi". Purtroppo non sembra un lavoro veloce, ci vorrà qualche ricerca



1

Hai citato XP. È solo una soluzione per XP?

Per Windows 7 Applocker GPO può aiutare. È una whitelist dell'applicazione e una funzione di blacklist in Criteri di gruppo (ma funziona solo per client Windows 7).

Ci sono alcuni buoni video introduttivi da TechEd (cerca quel sito per altri video di Applocker).

Il modo rapido e sporco (ma non esaustivo) è quello di consentire tutto e aggiungere regole di rifiuto per ciò che si desidera bloccare. Il modo più completo è quello di creare una lista bianca di tutte le app su tutti i tuoi computer (non solo IE). Se fai veloce e sporco, crea un nuovo oggetto Criteri di gruppo e abilita il monitoraggio di exe e dll e trova i componenti aggiuntivi del browser più comuni sul tuo computer che non vuoi e aggiungili con una regola di rifiuto.

Puoi provare tutti i modi per bloccarli ... come bloccare l'installazione tramite editore cert (cioè bloccare tutte le app da yahoo), bloccare i percorsi dei file di dove inserisce le installazioni, ecc.

Durante il test, consiglio di utilizzare la politica di sicurezza locale. Assicurarsi che il servizio Identità applicazione sia in esecuzione (quindi attendere 5 minuti).

Solo per vedere come avrebbe reagito, ho aggiunto una regola di rifiuto per bloccare tutte le DLL in% SYSTEM32% \ Macromed \ Flash *. * E IE ha agito con grazia come se Flash non fosse mai installato.


1

C'è un'impostazione in Group Policity che ti consente di negare tutti i componenti aggiuntivi se non espressamente consentito. Può essere trovato qui: "Configurazione utente -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Internet Explorer -> Funzionalità di sicurezza -> Gestione componenti aggiuntivi"

Abilita l'opzione 'Nega tutti i componenti aggiuntivi ..' e poi aggiungi solo quelli che vuoi mantenere nell'opzione 'Elenco componenti aggiuntivi'


0

Il problema sembra essere non appena aggiungi una lista bianca, TUTTO è disabilitato ad eccezione di ciò che è lì. Giava. Veloce. Ecc. Speravo di trovare un elenco di estensioni comuni, ma finora è MOLTO lavoro per usare una lista bianca.


Questo post non sembra rispondere alla domanda del PO, in merito all'uso di un criterio di gruppo per la whitelisting. Potresti modificarlo per renderlo più correlato alla domanda?
Castaglia,

0

Per ottenere l'ID classe di un componente aggiuntivo, ti consigliamo di accedere a Gestisci "componenti aggiuntivi" dalla voce di menu Strumenti, quindi nella finestra risultante dovrebbe esserci un menu a discesa per scegliere "TUTTI AGGIUNGI- ONS "fai clic con il pulsante destro del mouse sul componente aggiuntivo che desideri inserire nell'oggetto Criteri di gruppo e seleziona ALTRE INFORMAZIONI nella finestra a comparsa risultante fai clic sul pulsante Copia, che copierà tutto negli Appunti. Incolla nel tuo editor di testo preferito, ora puoi copiare il CLASSID di cui hai bisogno e incollarlo nel campo Nome valore dell'oggetto Criteri di gruppo. Il campo 'valore' dovrebbe essere 0 negato, 1 consenti all'utente non può cambiare, 2 consenti all'utente di cambiare.


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.