none
Zákaz importu .reg file pomocí GPO?

    Dotaz

  • Dobrý den všem,

    řešíme na stanicích problém, kdy si uživatelé mění proxy server nastavený z GPO pomocí jednoduchého importu do registru:

    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 
    "ProxyEnable"=dword:00000000

    Udělají si na ploše texťák, přejmenují jako .reg a šupnou do registru. Jsou v doméně klasicky jen ve skupině Domain Users.

    Lze tohle nějak ošetřit? Zkoušel jsem pomocí "Prevent access to registry editing tools", ale to je pouze pro práci s regeditem.


    Díky moc za radu!


    7. května 2013 22:48

Odpovědi

  • JJ, zaklad "zabezpeceni" je pocitacum vubec nedavat DEFAULT gateway, maximalne par nutnych a SPECIFICKYCH zaznamu v routovaci tabulce. Proxy se nastavi zcela AUTOMATICKY pomoci WPAD/DHCP 252 - to snad umeji veskere bezne aplikace nativne a pokud ne spolehnou se winhttp a pokud ne nemaji pravo zit.

    MP


    9. května 2013 8:15
    Moderátor

Všechny reakce

  • Podle operačního systemu a situace prichazi v úvahu dve moznosti: Software Restriction Policy a AppLocker.

    M.

    8. května 2013 6:09
    Moderátor
  • nene, ta politika tam má přece výběr, jestli chcete omezit jen regedit, nebo jestli chcete omezit také jeho "silent" spuštění - to vám potom nepojede ani ten import.

    ondra.

    8. května 2013 6:36
  • jinak obecně, speciálně ve vašem případě, nemůžete spoléhat na to, že si uživatelé nezmění proxy. to je obvyklé nastavení prohlížeče, které je v moci uživatelů. jestli je chcete opravdu přinutit, aby chodili přes proxy, musíte mít síťový firewall, který to vynutí. jinak to mohou různě obcházet.

    ondra.

    8. května 2013 6:38
  • Souhlasím s Ondrou.

    Snažíš se na špatném místě. Zařízni to globálně na bráně. Pak změna tohoto nastavení bude mít za následek nefunkční internet a hned přestane snažení o obcházení.

    Co se týče změny nastavení, mohl by jsi ještě změnit práva tohoto klíče.

    Dalo by se to udělat přes script při spuštění počítače.


    JCH

    8. května 2013 8:31
  • Není možné zakázat internet úplně. Je tam cca 6 sajtů, na které se uživatelé musí dostat. Jinak co se nastavení proxy týče, tak samozřejmě nemá uživatel vůbec přístup do nastavení IE, sítě, atd. Viz. nastavení GPO. Samozřejmě řešením by byla transparentní proxy na každé pobočce, kde by se 80 a 443 TCP redirektovala dle nějakého ACL (může/nesmí) na proxy a tím pádem by odpadlo jakékoli nastavení politiky pro IE a řešilo by to samozřejmě i použití nějakých portable browserů.

    Tohle bude v plánu později. Mě nyní zajímalo, zda jde pořešit ten import .reg. Zkusím to ještě s tou silent možností.

    edit: tak vyzkoušena i ta silent možnost a importu to nezabránilo :(


    User Configuration (Enabled)hide
    Policieshide
    Administrative Templateshide
    Policy definitions (ADMX files) retrieved from the local machine.Control Panelhide
    Policy Setting Comment 
    Prohibit access to the Control Panel Enabled  
    
    Desktophide
    Policy Setting Comment 
    Hide Network Locations icon on desktop Enabled  
    Remove Computer icon on the desktop Enabled  
    Remove My Documents icon on the desktop Enabled  
    Remove Properties from the Computer icon context menu Enabled  
    Remove Properties from the Documents icon context menu Enabled  
    Remove the Desktop Cleanup Wizard Enabled  
    
    Start Menu and Taskbarhide
    Policy Setting Comment 
    Add Logoff to the Start Menu Enabled  
    Do not keep history of recently opened documents Enabled  
    Force classic Start Menu Enabled  
    Remove common program groups from Start Menu Enabled  
    Remove Documents icon from Start Menu Enabled  
    Remove drag-and-drop and context menus on the Start Menu Enabled  
    Remove Favorites menu from Start Menu Enabled  
    Remove Games link from Start Menu Enabled  
    Remove Help menu from Start Menu Enabled  
    Remove Music icon from Start Menu Enabled  
    Remove Network Connections from Start Menu Enabled  
    Remove Network icon from Start Menu Enabled  
    Remove Pictures icon from Start Menu Enabled  
    Remove Recent Items menu from Start Menu Enabled  
    Remove Run menu from Start Menu Enabled  
    Remove Search Computer link Enabled  
    Remove Search link from Start Menu Enabled  
    Remove the Action Center icon Enabled  
    Remove user folder link from Start Menu Enabled  
    Remove user's folders from the Start Menu Enabled  
    Turn off personalized menus Enabled  
    
    Systemhide
    Policy Setting Comment 
    Prevent access to registry editing tools Enabled  
    Disable regedit from running silently? Yes 
     
    
    System/Removable Storage Accesshide
    Policy Setting Comment 
    Removable Disks: Deny read access Enabled  
    
    Windows Components/Internet Explorerhide
    Policy Setting Comment 
    Disable changing accessibility settings Enabled  
    Disable changing connection settings Enabled  
    Disable changing proxy settings Enabled  
    Disable Import/Export Settings wizard Enabled  
    
    Windows Components/Internet Explorer/Browser menushide
    Policy Setting Comment 
    Tools menu: Disable Internet Options... menu option Enabled  


    8. května 2013 11:27
  • Ja jsem radu od JCH pochopil tak, ze bez proxy nema jit internet vubec. Nemusite mit transparentni proxy. Jen jednoduche FW ACL pravidlo, ze se klientske PC dostane jen na adresy jinych pobocek, nikoliv ven. Muzete resit pravidlem lokalniho FW (neprijmene na praci, nekonzistetntni), nebo na hlavnim FW pobocek (lepsi reseni).

    Pak budou nuceni pouzivat standardni netrasparentni proxy a budete mit klid.

    EDIT: u nas default gateway na internet nepousti.

    9. května 2013 6:39
  • přesně tak jsem to myslel :-) dostávat se přes výchozí bránu se do internetu je zbytečně otevřené a příliš jednoduché pro různé viry a infekce zevnitř ven. jediné, co potřebuje mnohdy přímý přístup na internet bez proxy jsou operační systémy serverů a někdy i stanic, kvůli aktualizacím různého druhu. To jde pro Windows aplikace (myslím tím Windows aplikace i jiných výrobců než Microsoft, typu adobe a antiviry) nastavit obvykle pomocí:

    NETSH WINHTTP SET PROXY jmenoproxy:8080

    pro jiné programy typu Java aplikace apod. se to musí pak ta proxy nastavit ručně podle konfigurace těch jiných programů.

    ondra.

    9. května 2013 6:56
  • JJ, zaklad "zabezpeceni" je pocitacum vubec nedavat DEFAULT gateway, maximalne par nutnych a SPECIFICKYCH zaznamu v routovaci tabulce. Proxy se nastavi zcela AUTOMATICKY pomoci WPAD/DHCP 252 - to snad umeji veskere bezne aplikace nativne a pokud ne spolehnou se winhttp a pokud ne nemaji pravo zit.

    MP


    9. května 2013 8:15
    Moderátor
  • >>  samozřejmě nemá uživatel vůbec přístup do nastavení IE, sítě, atd.

    To jste jim sebral JEN GUI.

    Pokud to chcete zakázat všem uživatelům. Musíte změnit práva těchto klíčů v registru.

    Nyní jsou to uživatelská nastavení a proto uživatel má právo toto změnit.

    .

    >> Ja jsem radu od JCH pochopil tak, ze bez proxy nema jit internet vubec.

    Ano to bylo mým cílem mé rady.


    JCH


    9. května 2013 10:06
  • Nebo možná nastavit proxy. Vynechat tech 6 mimo proxy v IE. a na GW povolit z LAN PC na tech 6. Pokud vypnou v registrech proxy, tak na tech 6 se dostanou, ale jinde nee. Otázka zda si zase nenapíšou nový reg soubor. + naplánovaná uloha a po restartu znovu přepis registrů na původní hodnotu. Budou si to měnit, zalováš ať si restartnou a mělo by to fungovat :-)
    10. května 2013 8:35