我很想知道自己的桌面上没有工具栏,“浏览器帮助程序”或其他类似运行的废话,因此请放心。
有人通过组策略成功做到了吗?
我找到了这篇文章,但还不是很清楚:
http://support.microsoft.com/kb/883256
如果我想禁止XP上的Google Toolbar,Flash和Windows Update以外的所有插件,则没有明确的说明。看来我必须知道我想允许的每个工具栏的ClassID。
本文并未真正探讨管理员如何找到这些ClassID。Flash的每个版本都有不同的ClassID吗?它因操作系统而异吗?那么XP盒上的Windows Update呢?它需要一个需要明确启用的插件。
这是一个普遍的问题,应该有一个简单的解决方案。如果只有通用插件的复选框列表会很棒,因此您可以为所有人启用Flash,为开发人员提供Google工具栏,为XP提供Windows Update等。
Answers:
首先,存在一个可解决的JavaScript问题,其中包含禁用的加载项:http : //support.microsoft.com/kb/915729
有一个ToolbarCop,它使禁用任务更容易-它不是复选框解决方案,但是已经很接近了。
如果您想手动操作,可以在此处了解CLSID 。
您提到XP。这只是XP的解决方案吗?
对于Windows 7,Applocker GPO可以提供帮助。这是组策略中的应用程序白名单和黑名单功能(但仅适用于Windows 7客户端)。
TechEd提供了一些不错的介绍性视频(可在该网站上搜索更多Applocker视频)。
快速而肮脏(但不全面)的方法是允许所有操作并为要阻止的内容添加拒绝规则。更全面的方法是对所有计算机(不仅仅是IE)上的所有应用程序添加白名单。如果您又快又脏,请创建一个新的GPO并启用对exe和dll的跟踪,并在您不需要的计算机上找到最常见的浏览器加载项,并使用拒绝规则添加它们。
您可以尝试各种方式来阻止它们……例如通过发布者证书阻止安装(即阻止来自yahoo的所有应用程序),阻止将安装位置放置在文件路径等。
在测试时,我建议使用本地安全策略。确保Application Identity服务正在运行(然后等待5分钟)。
为了了解它的反应,我添加了一个拒绝规则,以阻止%SYSTEM32%\ Macromed \ Flash *。*中的所有DLL,IE的行为就像从未安装Flash。