Меню

Запрет изменения настроек прокси



Как запретить изменение настроек прокси-сервера через GPO, за минуту

Как запретить изменение настроек прокси-сервера через GPO, за минуту

Добрый день! Уважаемые читатели и гости одного из крупнейших IT порталов Pyatilistnik.org. В прошлый раз мы с вами разобрали, как скопировать файл и папку через групповую политику. Сегодня мы вновь воспользуемся их возможностями и рассмотрим ситуацию, при которой вам необходимо настроить запрет изменения настроек прокси-сервера с помощью GPO для браузеров Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер. Мы рассмотрим для чего это нужно, что это даст в практическом выражении для системного администратора.

Для чего нужно убирать возможность изменения настроек прокси-сервера

Перед практической частью я бы хотел описать реальные случаи из своей практики, где мне пришлось ограничивать пользователей в данном вопросе.

  1. Первый пример, я работаю в очень крупной компании, это подразумевает. что некоторые мелкие или рутинные задачи проектов или под проектов могут выполнять подрядчики. Для подрядчиков есть отдельный терминальный стол, где они варятся. Для некоторых из них необходимы особые условия, например запрет выхода в интернет, но при этом иметь возможность обращаться к локальным ресурсам. Особо продвинутые могут попытаться найти бесплатные адреса прокси и прописать их в браузере, чтобы этого не произошло необходимо убрать у них возможность менять настройки прокси-сервера.
  2. Второй пример, это RDS ферма, где так же работают сотрудники компании. Они выходят в интернет через определенный шлюз. Чтобы это не обойти прописав в настройках сторонний прокси сервер, нужно заблокировать у них такую возможность. На самом деле вариантов применения очень много.

Методы запрета изменения настроек прокси сервера

В данном примере я покажу вам несколько вариантов, которые вы сможете использовать по своим требованиям. Первый вариант, это использование ISE настроек групповой политики, второй вариант, это использование ключей реестра.

И так у меня в домене Active Directory есть компьютер W10CL02 под управление операционной системы Windows 10 и пользователь Барбоскин Геннадий.

Мне бы хотелось запретить ему изменять настройки прокси сервера в Internet Explorer и в настройках Proxy на уровне системы. В прошлый раз мы с вами через групповые политики назначили на его компьютере свои настройки прокси-сервера, которые были прописаны в настройках «Параметры — Прокси сервер«

или же в «Настройках параметров локальной сети» в Internet Explore 11.

Вся проблема заключается в том, что Геннадий умеет изменять эти настройки и знает, что для этого не требуется наличие административных прав в системе. Это не порядок и давайте это исправлять. Откройте оснастку «Управление групповой политикой», можно из окна выполнить, введя gpmc.msc

Читайте также:  Assassins creed syndicate настройка графики для 2 гб видеокарты

Найдите ваше организационное подразделение к которому вы будите применять объект групповой политики, тут нужно не забывать, что вы можете настроить ограничение на уровне пользователя или на уровне компьютера, если сделаете на уровне компьютера, то это будет распространяться на всех его пользователей, обычно это делают на терминальных серверах. В моем примере я сделаю настройку для компьютера, но и покажу и для пользователя. Создаем новый объект GPO и задаем ему нужное вам имя. Переходим к ее редактированию.

Откройте ветку настроек, если для компьютера:

Включение параметра «Запретить изменение параметров прокси» отнимет права на изменение данной функции.

Откройте ветку настроек, если для пользователя:

Произведем обновление групповых политик на компьютере пользователя и проверим результат нашей политики по ограничению настроек прокси-сервера. Если политика была нацелена на компьютер, то она применится сразу ,если на пользователя ,то ему придется произвести выход из системы, чтобы увидеть данные настройки. При следующей авторизации я зашел в настройки Internet Explorer, где я вижу, что политика успешно отработала.

На вкладке «Подключения — Настройки сети» я не могу взаимодействовать со вкладкой «Прокси-сервер: использовать прокси-сервер для локальных подключений (не применяется для коммутируемых или VPNподключений)», она просто неактивна.

Если попытаться изменить настройки для Google Chrome или Mozilla, то вас перекинет в параметры Windows или же на вкладку подключений Internet Explorer, где вы так же не сможете ничего изменить.

В Edge та же песня, из вкладки «Дополнительно — Открыть параметры прокси-сервера«

То же самое можно проверить в параметрах Windows 10 в разделе «Прокси-сервер», где у меня не активен ползунок «использовать прокси-сервер«. Ограничения отлично работают.

Как включить запрет изменения настроек прокси через реестр Windows

Если вы не в курсе, то любые настройки которые вы меняете через групповые политики и расширения ISE, это просто изменение ключей реестра Windows на удаленной системе. Зная, это вы можете производить ограничения и через ключи, которые можете распространять через скрипты, туже групповую политику. Нам потребуется создать два ключа реестра, делать я это буду так же через объект GPO созданный ранее, но уже вам необходимо будет перейти в раздел преференций:

тут необходимо будет кликнуть правым кликом мыши по пустому пространству и создать новый элемент реестра.

В свойствах окна нужно настроить:

  • В области «действие» выберите пункт «Обновить», в результате этого действия существующий параметр реестра будет обновлен
  • В разделе «Куст» выберите HKEY_CURRENT_USER
  • В пути к разделы укажите Software\Policies\Microsoft\Internet Explorer\Control Panel
  • В имени параметра пропишите Proxy
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на изменение настроек прокси-сервера в Windows для любого браузера Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер.
  • База — укажите десятичный формат
Читайте также:  Настройка видеорегистратора best electronics

У меня получилось вот так

Если вы хотите вообще ограничить просмотр свойств Internet Explorer, то можете создать ключ NoBrowserOptions:

В свойствах окна нужно настроить:

  • В области «действие» выберите пункт «Обновить», в результате этого действия существующий параметр реестра будет обновлен
  • В разделе «Куст» выберите HKEY_CURRENT_USER
  • В пути к разделы укажите Software\Policies\Microsoft\Internet Explorer\Restrictions
  • В имени параметра пропишите NoBrowserOptions
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на доступ к свойствам IE
  • База — укажите десятичный формат

теперь попытавшись открыть свойства Internet Explorer у вас появится предупреждение:

Вообще полный список ключей для изменения настроек Internet Explorer вы можете найти по ссылке слева. Так же хочу отметить, что вы легко можете вносить изменения в реестре и на не доменных рабочих станциях, для этого вам нужны права администратора. дающие права на удаленное подключение к реестру. Так же вы можете использовать ветки реестра и значения в своих скриптах на базе PowerShell, вариантов уйма.

Источник

Запрет изменения настроек прокси-сервера с помощью групповой политики

В некоторых организациях при централизованной настройке параметров прокси-сервера в Windows с помощью групповых от администраторов требуется запретить возможность ручной смены настроек прокси-сервера пользователем без прав администратора, заблокировав соответствующие элементы диалогового окна Internet Explorer. Рассмотрим как выполнить эту задачу.

На сегодняшний день Internet Explorer 11 является единственной официально поддерживаемой версией браузера (помимо Edge) и большинство пользователей уже должны перейти на эту версию браузера (Microsoft даже выпускало отдельное обновление с уведомлением об окончании поддержки старых версий IE). И, если в предыдущих версиях, IE предполагал настройку своих параметров через раздел групповой политики Internet Explorer Maintenance(IEM) то, начиная с Internet Explorer 10 (представленном в Windows Server 2012 / Windows 8), централизованная настройка параметров браузера выполняется только через раздел User Configuration -> Preferences -> Control Panel Settings -> Internet Settings (подробности здесь).

После того, как к пользователю будет применена политика с параметрами IE (в нашем примере мы задали только настройки прокси), в любой момент он при желании может изменить назначенные параметры прокси. Хотя эти изменения будут переопределяться каждые 90 минут при очередном цикле обновления политик, хотелось бы полностью заблокировать данное диалоговое окно, запретив пользователям домена без прав администратора менять параметры прокси-сервера, заданные политикой.

Читайте также:  Mikrotik hap ac lite настройка 4g мегафон

В консоли GPMC.msc создайте новую GPO и перейдите в режим редактирования. Откройте раздел Computer Configuration ->Administrative Templates -> Windows Components -> Internet Explorer и включите политику Prevent changing proxy settings.

Назначьте политику на OU с компьютерами и обновите политику на клиенте. Проверьте настройки прокси сервера в IE. Как вы видите, текстовые поля с настройками заблокированы.

Помимо имеющейся политики, запретить смену прокси можно и через реестр. Для этого в разделе User Configuration -> Preferences ->Windows Settings -> Registry создадим в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel ключа типа DWORD с именем Proxy и значением 00000001.

Чтобы политика не действовала на локальных администраторов, нужно на вкладке Delegation добавить нужные группы пользователей на которых не должна применяться политика (например, corp_srvadmins), указав для данных групп в разрешении Apply Group policy – Deny.

Источник

Запрет изменения настроек прокси

Профиль | Отправить PM | Цитировать

Сообщения: 25159
Благодарности: 3791

Конфигурация компьютера
Материнская плата: MSI G41M-P33 Combo
HDD: SSD OCZ-AGILITY3 — 120GB
ОС: Windows 10 Pro x64 (11082)

Несколько примеров настройки через реестр (можно и политики распространить членам домена).

Скрыть вкладку «Подключения» в Свойствах обозревателя (полностью):

Заблокировать доступ к изменению параметров Подключения, кроме кнопки «Установить»:

Заблокировать рамку «Прокси-сервер» (Подключения-Настройка локальной сети (LAN)):

Все то же самое можно сделать в редакторе групповых политик: gpedit.msc — Конфигурация пользователя — Административные шаблоны — Internet Explorer — Меню обозревателя — а там смотрите какие параметры нужны, вероятно лучше и проще «Меню Сервис: Отключить команду Свойства обозревателя»

Это сообщение посчитали полезным следующие участники:

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Источник

Adblock
detector