Użytkownik JerzyM napisał:
> może ktoś poratować opisem jak zablokować IE na maszynce ??
>
> wersja IE 5.5 lub 6.0
> os: Win98, WinMe
>
> Mam pare kompów które nie powinny mieć dostępu do inetu (przez www) mając jednocześnie dostęp do innych usług .... (fizyczne wypięcie kabelka z sieci nie wchodzi w rachubę)
>
> P.S. Sytuację gdy user spróbuje zainstalować sobie inną przeglądarkę mam już zabezpieczoną.
Generalnie zablokowanie IE to bardzo dobra sprawa. Należy zablokować go
funkcjonalnie. Ja swego czasu zrobiłem tak, że:
1. wywaliłem skrót z pulpitu
2. zablokowałem poprzez policies dostęp do dysku C:\, dokumenty są na
dysku sieciowym.
3. zablokowałem wyświetlanie panelu sterowania
4. ustawiłem proxy na nieistniejące IP i wywaliłem możliwość
skorzystania z menu Opcje internetowe (tak na wszelki wypadek).
5. wywaliłem z menu start opcję Uruchom
6. zrobiłem listę aplikacji, które user może uruchamiać i NIE MA tam
iexplore.exe. To działa dobrze w starszych systemach (na przykład
WinNT), gdzie Internet Explorer nie służył aż tak do przeglądania
zasobów lokalnych.
7. wywaliłem Otoczenie sieciowe z pulpitu
powyższe zrobisz łatwo za pomocą poledit.exe albo trochę trudniej, ale
za to masowo, przygotowując odpowiedni skrypt *.reg
zmiany o których mówię, dokonują się w
HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer i
tutaj trzeba pododawać odpowiednie wartości.
Oto przykład wraz z komentarzami:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000001
"NoSetFolders"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoFind"=dword:00000001
"NoDrives"=dword:03ffffff
To oczywiste, by luser się nie dostał łatwo do dysku C:\ skąd uruchomi
iexplore.exe i nie zamapował sobie dysku z innego komputera
"NoNetHood"=dword:00000001
brak otoczenia sieciowego j.w.
"NoDesktop"=dword:00000001
"NoSaveSettings"=dword:00000001
utwardzi ustawienia
"NoOptions"=dword:00000001
na opcje internetowe i opcje w eksploratorze
"NoGoTo"=dword:00000001
"NoFileMenu"=dword:00000001
w eksploratorze brak menu Plik - bardzo pożyteczna opcja
"NoCommonGroups"=dword:00000001
wywala wspólne ikony i foldery z Menu Start i pulpitu
"NoNetConnectDisconnect"=dword:00000001
Brak opcji podłączenia dysku sieciowego
"NoFileAssociate"=dword:00000001
Żeby nie mogli zmieniać ustawień skojarzonych plików
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000001
Wyłącza panel sterowania
8. utwardziłem profil usera zmieniając nazwę pliku hive z ntuser.dat na
ntuser.man
9. Jeśli masz JVM na komputerze to uważaj bo są przeglądarki napisane w
javie i nie tak prosto jest je wyłączyć.
10. u mnie miał być dostęp do Internetu i tę rolę na zakorkowanych
komputerach pełniła okrojona Mozilla, gdyż jest o niebo bezpieczniejsza
od IE.
Na komputerach z systemem Windows NT możesz obejść kłopotliwe poledit
przygotowując sobie skrypt *.reg, tworząc usera z prawami
administratora, ustawiając jego profil, scalając ten plik a potem po
przelogowaniu wywala się userowi prawa admina i gotowe. Ten schemat jest
nieco dokuczliwy, ale bez domeny jest chyba najprościej. Sprawdzone i
działa.
Marcin M.
Received on Fri Jun 4 08:50:19 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 04 Jun 2004 - 09:42:02 MET DST