鉴于最近发现的 MSHTML 漏洞(因为这通常是一个好主意),我想通过组策略禁止下载 ActiveX 组件。但是,我的策略设置似乎被忽略了。
这是我的组策略设置:
然后,我刷新客户端 PC 上的组策略(在非提升的 shell 中,因为这是一个用户策略):
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
但 IE 似乎忽略了我的新设置:
我肯定我忽略了一些显而易见的事情。那是什么?
答案1
你已禁用策略设置。这意味着不应用组策略设置。
你需要做的是使能够政策制定,然后配置政策制定已禁用换句话说,不是这样的:
你应该这样做:
您还可以在摘要视图中看到差异。这是错误的:
这是正确的:
不幸的是,设置的名称(需要启用)和设置内选项的名称(需要禁用)完全相同,这使得这种错误很容易被忽视。正如@Swisstone在评论中提到的,可以在这里提供帮助。这是“错误”情况下(超级详细)gpresult
的输出:gpresult /Z
/Z
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
正确情况如下:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
后一个条目将此注册表值设置为dword:00000003
,这是您想要的结果。请注意,IE 现在尊重此设置: