Deaktivieren von IE-Add-Ons und Symbolleisten mit Gruppenrichtlinien?

12

Ich hätte gerne die Gewissheit, dass auf keinem meiner Desktops Symbolleisten, "Browser-Helfer" oder ähnliches ausgeführt werden.

Hat jemand dies erfolgreich mit Gruppenrichtlinien durchgeführt?

Ich habe diesen Artikel gefunden, aber es ist nicht ganz klar:

http://support.microsoft.com/kb/883256

Wenn ich alle Plugins außer der Google Toolbar, Flash und Windows Update unter XP sperren möchte, gibt es keine eindeutige Erklärung dafür. Es scheint, als müsste ich die ClassID jeder Symbolleiste kennen, die ich zulassen möchte.

Der Artikel geht nicht wirklich darauf ein, wie ein Administrator diese ClassIDs finden würde. Hat Flash für jede Version eine andere ClassID? Variiert es je nach Betriebssystem? Was ist mit Windows Update auf XP-Boxen? Es wird ein Plugin benötigt, das ausdrücklich aktiviert werden muss.

Es ist so ein verbreitetes Problem, dass es eine einfache Lösung geben sollte. Es wäre großartig, wenn es nur eine Checkbox-Liste mit gängigen Plugins gäbe, damit Sie Flash für alle, die Google Toolbar für Entwickler, Windows Update für XP usw. aktivieren könnten.

John Hoge
quelle

Antworten:

7

Durch Deaktivieren der Option "Browsererweiterungen von Drittanbietern aktivieren" unter Extras -> Internetoptionen -> Erweitert (oder Systemsteuerung -> Internetoptionen) werden die meisten Browserleisten erfolgreich deaktiviert, während die typischen Plugins (Java, Flash usw.) weiterhin zugelassen werden.

Wenn ich mich richtig erinnere, können Sie diese Option in GP steuern. Die Einstellung finden Sie unter "Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internet-Systemsteuerung -> Erweiterte Seite -> Browsererweiterungen von Drittanbietern zulassen".

Edmond Burnett
quelle
2

Für XP mit IE6 ist Ihre KB-Quelle eine praktikable Lösung.

Ich habe die CLSID für Flash (gefunden aus der HTML-Quelle von youtube.com) hinzugefügt und sie blockiert, indem ich sie der lokalen Sicherheitsrichtlinie "Benutzerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Internet Explorer> Sicherheitsfunktionen> Add-On-Verwaltung> Add-On-Liste" hinzufügte "

Geben Sie die CLSID und eine 0 für den Wert ein (deaktivieren) und beim nächsten IE-Update wird Flash nicht geladen.

Klingt so, als würde sich das Hinzufügen einer Liste der häufigsten Straftäter zu einem Gruppenrichtlinienobjekt um die meisten Ihrer Probleme kümmern.

Bret Fisher
quelle
2

Ich habe die gleichen Fragen, die Sie in Bezug auf ClassIDs haben, die sich möglicherweise ändern, wenn Javascript und Flash aktualisiert werden.

Wie auch immer, während Sie versuchen, weitere Informationen zu diesem Thema zu finden, haben Sie in IE9 herausgefunden, dass Sie ein Add-On auswählen und unten links auf "Weitere Informationen" klicken können und die Klassen-ID erhalten. Ich habe bestätigt, dass IE6 dies nicht hat. Ich habe derzeit weder IE7 noch 8 zum Testen verfügbar. Der Microsoft-Artikel zeigt Ihnen jedoch, wie Sie die Klassen-IDs finden, die im Abschnitt "Fehlerbehebung bei der Verwaltung von Add-Ons" blockiert wurden. Leider sieht es nicht nach einem schnellen Job aus, der Nachforschungen erfordert

Gregg
quelle
1

Zunächst gibt es ein lösbares Javascript-Problem mit deaktivierten Add-Ons: http://support.microsoft.com/kb/915729

Es gibt die ToolbarCop , die die Deaktivierungsaufgabe erleichtert - es ist keine Checkbox-Lösung, aber nahe.

Wenn Sie es von Hand machen möchten, können Sie die CLSIDs hier lernen .

addam
quelle
1

Sie erwähnen XP. Ist das nur eine Lösung für XP?

Für Windows 7 kann Applocker GPO helfen. Es handelt sich um eine Whitelist- und Blacklisting-Funktion für Anwendungen in Gruppenrichtlinien (funktioniert jedoch nur für Windows 7-Clients).

Es gibt einige gute Intro-Videos von TechEd (durchsuchen Sie diese Website nach weiteren Applocker- Videos ).

Der schnelle und schmutzige (aber nicht umfassende) Weg besteht darin, alles zuzulassen und Ablehnungsregeln für das hinzuzufügen, was Sie blockieren möchten. Die umfassendere Möglichkeit besteht darin, eine Whitelist aller Apps auf allen Ihren Computern (nicht nur auf dem IE) zu erstellen. Wenn Sie schnell und schmutzig vorgehen, erstellen Sie ein neues Gruppenrichtlinienobjekt und aktivieren Sie die Nachverfolgung von EXE- und DLL-Dateien. Suchen Sie auf Ihrem Computer nach den häufigsten Browser-Add-Ons, die Sie nicht möchten, und fügen Sie sie mit einer Verweigerungsregel hinzu.

Sie können alle möglichen Methoden ausprobieren, um sie zu blockieren ... z. B. das Blockieren der Installation über das Publisher-Zertifikat (dh das Blockieren aller Apps von Yahoo), das Blockieren der Dateipfade, in denen die Installationen abgelegt werden usw.

Beim Testen empfehle ich die Verwendung der lokalen Sicherheitsrichtlinie. Stellen Sie sicher, dass der Application Identity-Dienst ausgeführt wird (warten Sie dann 5 Minuten).

Um zu sehen, wie es reagieren würde, habe ich eine Ablehnungsregel hinzugefügt, mit der alle DLLs in% SYSTEM32% \ Macromed \ Flash *. * Blockiert werden. Der IE hat sich so verhalten, als wäre Flash nie installiert worden.

Bret Fisher
quelle
1

In Group Policity gibt es eine Einstellung, mit der Sie alle Add-Ons ablehnen können, sofern dies nicht ausdrücklich gestattet ist. Hier finden Sie: 'Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Sicherheitsfunktionen -> Add-On-Verwaltung'

Aktivieren Sie die Option "Alle Add-Ons ablehnen" und fügen Sie die gewünschten Add-Ons in die Option "Add-On-Liste" ein

chr
quelle
0

Das Problem scheint zu sein, sobald Sie eine Whitelist hinzufügen, wird ALLES deaktiviert, außer was sich dort befindet. Java. Blitz. Ich hatte gehofft, eine Liste der gängigen Erweiterungen zu finden, aber bisher ist es eine Menge Arbeit, eine weiße Liste zu verwenden.

user343222
quelle
Dieser Beitrag scheint die Frage des OP bezüglich der Verwendung einer Gruppenrichtlinie für das Whitelisting nicht zu beantworten. Könnten Sie das bearbeiten, um es mit der Frage zu verknüpfen?
Castaglia
0

Um die Klassen-ID eines Add-Ons zu erhalten, gehen Sie über den Menüpunkt Tools zu Manage 'Add-Ons'. In dem sich daraus ergebenden Fenster sollte sich ein Dropdown-Menü befinden, in dem Sie "ALL ADD-" auswählen können. Klicken Sie mit der rechten Maustaste auf das Add-On, das Sie in das Gruppenrichtlinienobjekt eingeben möchten, und wählen Sie im daraufhin angezeigten Popup-Fenster WEITERE INFORMATIONEN aus. Klicken Sie dann auf die Schaltfläche "Kopieren", um "Alles" in die Zwischenablage zu kopieren. Fügen Sie sie in Ihren bevorzugten Texteditor ein. Jetzt können Sie die benötigte CLASSID kopieren und in das Feld "Wertname" Ihres Gruppenrichtlinienobjekts einfügen. Das Feld 'Wert' sollte eine 0 sein, die abgelehnt wird, 1 Benutzer darf nicht geändert werden, 2 Benutzer darf geändert werden.

Lahru
quelle