Я хотел бы иметь спокойствие, зная, что ни на одном из моих компьютеров нет панелей инструментов, «помощников браузера» или какой-либо другой подобной ерунды.
Кто-нибудь сделал это успешно с групповой политикой?
Я нашел эту статью, но не все так ясно:
http://support.microsoft.com/kb/883256
Если я хочу запретить все плагины, кроме панели инструментов Google, Flash и Windows Update в XP, нет четкого объяснения, как это сделать. Похоже, мне нужно было бы знать ClassID каждой панели инструментов, которую я хотел бы разрешить.
В статье не говорится о том, как администратор может найти эти ClassID. У Flash есть свой ClassID для каждой версии? Это зависит от ОС? Что насчет Центра обновления Windows на устройствах XP - для него требуется плагин, который должен быть явно включен.
Это настолько распространенная проблема, что должно быть простое решение. Было бы здорово, если бы был только список общих плагинов, чтобы вы могли включить Flash для всех, панель инструментов Google для разработчиков, Центр обновления Windows для XP и т. Д.
Отключение опции «Включить сторонние расширения браузера» в меню «Сервис» -> «Свойства обозревателя» -> «Дополнительно» (или «Панель управления ->« Свойства обозревателя ») успешно отключает большинство панелей браузера, но при этом позволяет использовать стандартные плагины (Java, Flash и т.
Если я правильно помню, вы можете контролировать эту опцию в GP. Настройку можно найти в разделе «Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления Интернет -> Страница дополнительных настроек -> Разрешить сторонние расширения браузера».
Для XP с IE6 ваш источник КБ - работоспособное решение.
Я добавил CLSID для флеш-памяти (найден в HTML-источнике youtube.com) и заблокировал его, добавив в локальную политику безопасности "Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Internet Explorer> Функции безопасности> Управление надстройками> Список надстроек". "
Введите CLSID и 0 для значения (отключить), и при следующем обновлении IE Flash не загрузится.
Похоже, добавление списка наиболее распространенных нарушителей к GPO решит большинство ваших проблем.
У меня те же вопросы, что и у вас в отношении возможного изменения ClassID при обновлении javascript и flash.
В любом случае, пытаясь найти дополнительную информацию об этом, я понял в IE9, вы можете выбрать надстройку и нажать «Дополнительная информация» в левом нижнем углу, и он даст вам идентификатор класса. Я подтвердил, что в IE6 этого нет. В настоящее время у меня нет доступных для тестирования IE7 или 8. Однако в статье Microsoft ДЕЙСТВИТЕЛЬНО показано, как найти идентификаторы класса, которые были заблокированы в разделе «Устранение неполадок с функцией управления надстройками». К сожалению, это не похоже на быструю работу, потребуется некоторое исследование
Прежде всего, существует решаемая проблема javascript с отключенными надстройками: http://support.microsoft.com/kb/915729
Здесь Панель инструментов что упрощает задачу отключения - это не решение с флажком, но оно близко.
Если вы хотите сделать это вручную, вы можете узнать идентификаторы CLSID Вот.
Вы упоминаете XP. Это просто решение для XP?
Для Windows 7 Applocker GPO может помочь. Это функция белого и черного списков приложений в групповой политике (но работает только для клиентов Windows 7).
Есть некоторые хорошие вступительные видео от TechEd (поищите на этом сайте больше видеороликов Applocker).
Быстрый и грязный (но не исчерпывающий) способ - разрешить все и добавить правила запрета для того, что вы хотите заблокировать. Более полный способ - составить белый список всех приложений на всех ваших компьютерах (не только в IE). Если вы делаете это быстро и грязно, создайте новый объект групповой политики и включите отслеживание exe и dll, найдите на своем компьютере наиболее распространенные надстройки браузера, которые вам не нужны, и добавьте их с помощью правила запрета.
Вы можете попробовать всевозможные способы заблокировать их ... например, заблокировать установку с помощью сертификата издателя (т.е. заблокировать все приложения от Yahoo), заблокировать пути к файлам, в которые они помещают установки, и т. Д.
При тестировании рекомендую использовать локальную политику безопасности. Убедитесь, что служба идентификации приложения запущена (затем подождите 5 минут).
Чтобы посмотреть, как он отреагирует, я добавил правило запрета, чтобы заблокировать все библиотеки DLL в% SYSTEM32% \ Macromed \ Flash *. *, И IE работал изящно, как если бы Flash никогда не устанавливался.
В групповой политике есть параметр, позволяющий запрещать все надстройки, если это специально не разрешено. Можно найти здесь: «Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Функции безопасности -> Управление надстройками».
Включите опцию "Запретить все надстройки ...", а затем просто укажите те, которые хотите сохранить, в опции "Список надстроек".
Кажется, проблема в том, что как только вы добавляете белый список, ВСЕ отключено, кроме того, что там есть. Ява. Вспышка. И т.д. Я надеялся найти список распространенных расширений, но пока что использование белого списка - это ОЧЕНЬ много работы.
Чтобы получить идентификатор класса надстройки, вам нужно перейти в «Управление надстройками» из пункта меню инструментов, затем в появившемся окне должен быть раскрывающийся список, в котором вы можете выбрать «ВСЕ ДОБАВЛЕНИЯ- ONS "щелкните правой кнопкой мыши надстройку, которую вы хотите ввести в GPO, и выберите ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ в появившемся всплывающем окне, нажмите кнопку копирования, которая скопирует все в буфер обмена. Вставьте в свой любимый текстовый редактор, теперь вы можете скопировать нужный вам CLASSID и вставить его в поле «Имя значения» вашего объекта групповой политики. В поле «значение» должно быть указано 0, 1 разрешить, пользователь не может изменить, 2 разрешить, пользователь может изменить.
Здесь есть хорошее объяснение с изображениями и видео о том, как его настроить: