À luz doVulnerabilidade MSHTML descoberta recentemente(e porque é uma boa ideia em geral), quero proibir o download de componentes ActiveX por meio de política de grupo. No entanto, parece que minhas configurações de política são ignoradas.
Aqui está minha configuração de política de grupo:
Em seguida, atualizo a política de grupo no meu PC cliente (em um shell não elevado, já que esta é uma política de usuário):
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
No entanto, o IE parece ignorar minhas novas configurações:
Tenho certeza de que estou negligenciando algo óbvio. O que é?
Responder1
Vocêdesabilitadoa configuração da política. Isso significa que a configuração de política de grupo não é aplicada.
O que você precisa fazer éhabilitara definição de política e depoisconfigurara definição de política paradesabilitado. Em outras palavras, em vez disso:
você deveria fazer isso:
Você também pode ver a diferença na visualização resumida. Isto está errado:
E isso está correto:
Infelizmente, o nome da configuração (que precisa ser habilitada) e o nome da opção dentro da configuração (que precisa ser desabilitada) são exatamente os mesmos, o que torna esse erro fácil de ignorar. Como @Swisstone mencionou nos comentários, gpresultpode ajudar aqui. Esta é a saída de gpresult /Z( /Zpara super detalhado) no caso "errado":
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
E isso no caso correto:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
A última entrada define esse valor de registro como dword:00000003, que é o resultado pretendido. Observe que o IE respeita esta configuração agora:
