A la luz de laVulnerabilidad MSHTML descubierta recientemente(y porque es una buena idea en general), quiero no permitir la descarga de componentes ActiveX a través de la política de grupo. Sin embargo, parece que se ignora la configuración de mi política.
Aquí está la configuración de mi política de grupo:
Luego actualizo la política de grupo en mi PC cliente (en un shell no elevado, ya que es una política de usuario):
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
Sin embargo, IE parece ignorar mi nueva configuración:
Estoy seguro de que estoy pasando por alto algo obvio. ¿Qué es?
Respuesta1
Túdesactivadoel establecimiento de políticas. Esto significa que no se aplica la configuración de política de grupo.
Lo que debes hacer en su lugar espermitirla configuración de políticas y luegoconfigurarel establecimiento de políticas paradesactivado. En otras palabras, en lugar de esto:
debes hacer eso:
También puedes ver la diferencia en la vista de resumen. Esto está mal:
Y esto es correcto:
Desafortunadamente, el nombre de la configuración (que debe estar habilitada) y el nombre de la opción dentro de la configuración (que debe estar deshabilitada) son exactamente iguales, lo que hace que este error sea fácil de pasar por alto. Como @Swisstone mencionó en los comentarios, gpresultpuede ayudar aquí. Esta es la salida de gpresult /Z( /Zpara superdetallado) en el caso "incorrecto":
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
Y esto en el caso correcto:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
La última entrada establece este valor de registro en dword:00000003, que es el resultado deseado. Tenga en cuenta que IE respeta esta configuración ahora:
