我希望能够安心地知道我的桌面上没有工具栏、“浏览器助手”或任何类似的垃圾程序在运行。
有人使用组策略成功完成此操作吗?
我找到了这篇文章,但内容不太清楚:
http://support.microsoft.com/kb/883256
如果我想禁止除 Google Toolbar、Flash 和 XP 上的 Windows Update 之外的所有插件,没有明确的说明如何操作。似乎我必须知道我想允许的每个工具栏的 ClassID。
这篇文章并没有真正深入介绍管理员如何找到这些 ClassID。Flash 的每个版本都有不同的 ClassID 吗?它会因操作系统而异吗?XP 机器上的 Windows 更新怎么样 - 它需要一个需要明确启用的插件。
这是一个很常见的问题,应该有一个简单的解决方案。如果有一个常用插件的复选框列表就好了,这样您就可以为所有人启用 Flash、为开发人员启用 Google 工具栏、为 XP 启用 Windows 更新等。
答案1
禁用“工具”->“Internet 选项”->“高级”(或“控制面板”->“Internet 选项”)下的“启用第三方浏览器扩展”选项可成功禁用大多数浏览器栏,同时仍允许使用典型的插件(Java、Flash 等)。
如果我没记错的话,您可以在 GP 中控制此选项。可以在“用户配置 -> 策略 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板 -> 高级页面 -> 允许第三方浏览器扩展”下找到设置
答案2
对于带有 IE6 的 XP,您的 KB 源是一个可行的解决方案。
我添加了 flash 的 CLSID(从 youtube.com HTML 源中找到),并通过将其添加到本地安全策略“用户配置 > 管理模板 > Windows 组件 > Internet Explorer > 安全功能 > 附加组件管理 > 附加组件列表”来阻止它
输入 CLSID 并将值设为 0(禁用),下次刷新 IE 时,Flash 就不会加载。
听起来,将最常见的违法者列表添加到 GPO 中可以解决大部分问题。
答案3
我和你有同样的疑问,关于当 javascript 和 flash 升级时 ClassID 是否可能会发生变化。
无论如何,在尝试查找更多信息的过程中,我发现在 IE9 中,您可以选择一个附加组件并点击左下角的“更多信息”,它会为您提供类 ID。我确认 IE6 没有这个。我目前没有任何 IE7 或 8 可供测试。但是微软文章确实向您展示了如何在“管理附加组件功能故障排除”部分中找到被阻止的类 ID。遗憾的是,这看起来不像是一项快速的工作,需要进行一些研究
答案4
您提到了 XP。这只是针对 XP 的解决方案吗?
对于 Windows 7,Applocker GPO 可以提供帮助。它是组策略中的应用程序白名单和黑名单功能(但仅适用于 Windows 7 客户端)。
有些TechEd 的精彩介绍视频(在该网站搜索更多 Applocker 视频)。
一种快速而粗略(但不全面)的方法是允许所有内容,并为您想要阻止的内容添加拒绝规则。更全面的方法是为所有计算机上的所有应用程序(不仅仅是 IE)制作白名单。如果您快速而粗略地这样做,请创建一个新的 GPO 并启用对 exe 和 dll 的跟踪,然后找到您机器上您不想要的最常见的浏览器插件,并使用拒绝规则添加它们。
您可以尝试各种方法来阻止它们...例如通过发布者证书阻止安装(即阻止来自雅虎的所有应用程序)、阻止安装的文件路径等。
测试时我建议使用本地安全策略。确保应用程序标识服务正在运行(然后等待 5 分钟)。
为了看看它会如何反应,我添加了一个拒绝规则来阻止 %SYSTEM32%\Macromed\Flash*.* 中的所有 DLL,而 IE 却表现得很正常,就好像从未安装过 Flash 一样。