에 비추어최근 발견된 MSHTML 취약점(그리고 일반적으로 좋은 생각이기 때문에) 그룹 정책을 통해 ActiveX 구성 요소를 다운로드하는 것을 허용하지 않으려고 합니다. 그러나 내 정책 설정이 무시되는 것 같습니다.
내 그룹 정책 설정은 다음과 같습니다.
그런 다음 클라이언트 PC(권한이 없는 셸에서 사용자 정책이므로)에서 그룹 정책을 새로 고칩니다.
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
그러나 IE는 내 새로운 설정을 무시하는 것 같습니다.
나는 분명한 것을 간과하고 있다고 확신합니다. 그것은 무엇입니까?
답변1
너장애가 있는정책 설정. 이는 그룹 정책 설정이 적용되지 않음을 의미합니다.
대신 당신이 해야 할 일은~할 수 있게 하다정책 설정 후구성정책 설정은장애가 있는. 즉, 다음과 같이 대신합니다.
당신은 그렇게 해야 합니다:
요약 보기에서도 차이점을 확인할 수 있습니다. 이것은 잘못된 것입니다:
그리고 이것은 맞습니다:
안타깝게도 설정 이름(활성화해야 함)과 설정 내 옵션 이름(비활성화해야 함)이 정확히 동일하므로 이러한 오류를 간과하기 쉽습니다. 의견에서 @Swisstone이 언급했듯이 gpresult
여기에서 도움이 될 수 있습니다. 다음은 "잘못된" 경우의 gpresult /Z
( /Z
매우 장황한 경우) 의 출력입니다 .
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
그리고 올바른 경우는 다음과 같습니다.
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
후자 항목은 이 레지스트리 값을 dword:00000003
의도한 결과인 으로 설정합니다. 이제 IE는 이 설정을 존중합니다.