В светенедавно обнаруженная уязвимость MSHTML(и поскольку это вообще хорошая идея), я хочу запретить загрузку компонентов ActiveX через групповую политику. Однако, похоже, мои настройки политики игнорируются.
Вот мои настройки групповой политики:
Затем я обновляю групповую политику на своем клиентском ПК (в оболочке без повышенных прав, поскольку это политика пользователя):
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
Однако IE, похоже, игнорирует мои новые настройки:
Я уверен, что упускаю из виду что-то очевидное. Что именно?
решение1
Тынеполноценныйпараметр политики. Это означает, что параметр групповой политики не применяется.
Вместо этого вам нужно сделать следующее:давать возможностьнастройка политики, а затемнастроитьнастройка политики длянеполноценный. Другими словами, вместо этого:
вам следует сделать это:
Вы также можете увидеть разницу в сводном виде. Это неправильно:
И это правильно:
К сожалению, имя настройки (которую нужно включить) и имя опции внутри настройки (которую нужно отключить) полностью совпадают, что позволяет легко пропустить такую ошибку. Как отметил @Swisstone в комментариях, gpresultможет помочь здесь. Это вывод gpresult /Z( /Zдля super-verbose) в «неправильном» случае:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
А это в правильном случае:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
Последняя запись устанавливает это значение реестра в dword:00000003, что является вашим предполагаемым результатом. Обратите внимание, что IE теперь учитывает эту настройку:
