Désactiver les modules complémentaires et les barres d'outils IE avec la stratégie de groupe?


12

Je serais ravi d'avoir la tranquillité d'esprit de savoir qu'aucun de mes ordinateurs de bureau n'a de barres d'outils, d '"aides de navigateur" ou de toute autre merde comme celle-ci.

Quelqu'un at-il fait cela avec succès avec la stratégie de groupe?

J'ai trouvé cet article, mais ce n'est pas si clair:

http://support.microsoft.com/kb/883256

Si je veux interdire tous les plugins sauf la barre d'outils Google, la mise à jour Flash et Windows sur XP, il n'y a pas d'explication claire sur la façon de le faire. Il semble que je devrais connaître le ClassID de chaque barre d'outils que j'aimerais autoriser.

L'article n'entre pas vraiment dans la façon dont un administrateur trouverait ces ClassID. Flash a-t-il un ClassID différent pour chaque version? Cela varie-t-il selon le système d'exploitation? Qu'en est-il des boîtes Windows Update sur XP - cela nécessite un plugin qui devrait être expressément activé.

C'est un problème si courant qu'il devrait y avoir une solution facile. Ce serait formidable s'il n'y avait qu'une liste de cases à cocher des plugins communs, afin que vous puissiez activer Flash pour tout le monde, la barre d'outils Google pour les développeurs, Windows Update pour XP, etc.

Réponses:


7

La désactivation de l'option "Activer les extensions de navigateur tiers" sous Outils -> Options Internet -> Avancé (ou Panneau de configuration -> Options Internet) désactive avec succès la plupart des barres de navigateur tout en autorisant les plug-ins typiques (Java, Flash, etc.).

Si je me souviens bien, vous pouvez contrôler cette option dans GP. Le paramètre se trouve sous «Configuration utilisateur -> Stratégies -> Modèles d'administration -> Composants Windows -> Internet Explorer -> Panneau de configuration Internet -> Page avancée -> Autoriser les extensions de navigateur tiers»


2

Pour XP avec IE6, votre source KB est une solution viable.

J'ai ajouté le CLSID pour flash (trouvé à partir de la source HTML youtube.com) et l'ai bloqué en l'ajoutant à la stratégie de sécurité locale "Configuration utilisateur> Modèles d'administration> Composants Windows> Internet Explorer> Fonctions de sécurité> Gestion des modules complémentaires> Liste des modules complémentaires "

Mettez le CLSID et un 0 pour la valeur (désactiver) et lors de la prochaine actualisation IE, Flash ne se chargera pas.

On dirait que l'ajout d'une liste des délinquants les plus courants à un objet de stratégie de groupe résoudrait la plupart de vos problèmes.


2

J'ai les mêmes questions que vous en ce qui concerne le changement possible de ClassID lorsque javascript et flash sont mis à niveau.

Quoi qu'il en soit, dans le processus d'essayer de trouver plus d'informations à ce sujet, j'ai compris dans IE9 que vous pouvez sélectionner un module complémentaire et cliquer sur `` Plus d'informations '' dans le coin inférieur gauche et cela vous donne l'ID de classe. J'ai confirmé qu'IE6 ne l'a pas. Je n'ai actuellement aucun IE7 ou 8 à tester. Cependant, l'article de Microsoft vous montre comment trouver les ID de classe qui ont été bloqués dans la section «Dépannage de la fonction de gestion des modules complémentaires». Malheureusement, cela ne ressemble pas à un travail rapide, il faudra des recherches


1

Tout d'abord, il existe un problème javascript résolu avec les modules complémentaires désactivés: http://support.microsoft.com/kb/915729

Il y a ToolbarCop qui facilite la tâche de désactivation - ce n'est pas une solution de case à cocher, mais elle est proche.

Si vous voulez le faire à la main, vous pouvez apprendre les CLSID ici .


1

Vous mentionnez XP. Est-ce juste une solution pour XP?

Pour Windows 7, le GPO Applocker peut vous aider. Il s'agit d'une fonctionnalité de liste blanche et de liste noire des applications dans la stratégie de groupe (mais ne fonctionne que pour les clients Windows 7).

Il y a de bonnes vidéos d'introduction de TechEd (recherchez sur ce site plus de vidéos Applocker).

Le moyen rapide et sale (mais pas exhaustif) consiste à tout autoriser et à ajouter des règles de refus pour ce que vous souhaitez bloquer. Le moyen le plus complet consiste à dresser une liste blanche de toutes les applications sur tous vos ordinateurs (pas seulement IE). Si vous faites vite et sale, créez un nouvel objet de stratégie de groupe et activez le suivi des fichiers exe et dll et trouvez les modules complémentaires de navigateur les plus courants sur votre machine que vous ne voulez pas et ajoutez-les avec une règle de refus.

Vous pouvez essayer toutes sortes de façons de les bloquer ... comme bloquer l'installation via le certificat de l'éditeur (c.-à-d. Bloquer toutes les applications de Yahoo), bloquer les chemins de fichiers de l'endroit où il place les installations, etc.

Pendant les tests, je recommande d'utiliser la politique de sécurité locale. Assurez-vous que le service d'identité d'application est en cours d'exécution (puis attendez 5 minutes).

Juste pour voir comment cela réagirait, j'ai ajouté une règle de refus pour bloquer toutes les DLL dans% SYSTEM32% \ Macromed \ Flash *. * Et IE a agi gracieusement comme si Flash n'était jamais installé.


1

Il existe un paramètre dans Group Policity qui vous permet de refuser tous les modules complémentaires, sauf autorisation expresse. Peut être trouvé ici: 'Configuration utilisateur -> Stratégies -> Modèles d'administration -> Composants Windows -> Internet Explorer -> Fonctions de sécurité -> Gestion des modules complémentaires'

Activez l'option "Refuser tous les modules complémentaires ..", puis ajoutez simplement ceux que vous souhaitez conserver dans l'option "Liste des modules complémentaires"


0

Le problème semble être dès que vous ajoutez une liste blanche, TOUT est désactivé sauf ce qui s'y trouve. Java. Éclat. Etc. J'espérais trouver une liste d'extensions courantes, mais jusqu'à présent, c'est beaucoup de travail d'utiliser une liste blanche.


Ce message ne semble pas répondre à la question du PO concernant l'utilisation d'une stratégie de groupe pour la liste blanche. Pourriez-vous modifier cela pour le rendre plus lié à la question?
Castaglia

0

Pour obtenir l'ID de classe d'un module complémentaire, vous voudrez aller dans Gérer les modules complémentaires à partir de l'élément de menu Outils, puis dans la fenêtre résultante, il devrait y avoir une liste déroulante pour que vous choisissiez "TOUT AJOUTER- ONS "cliquez avec le bouton droit sur le module complémentaire que vous souhaitez entrer dans le GPO et sélectionnez PLUS D'INFORMATIONS dans la fenêtre contextuelle résultante, cliquez sur le bouton Copier, qui copiera tout dans le presse-papiers. Collez dans votre éditeur de texte préféré, vous pouvez maintenant copier le CLASSID dont vous avez besoin et le coller dans le champ Nom de la valeur de votre objet de stratégie de groupe. Le champ «valeur» doit être un 0 refusé, 1 autoriser l'utilisateur ne peut pas changer, 2 autoriser l'utilisateur peut changer.


En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.