¿Deshabilitar complementos y barras de herramientas de IE con la directiva de grupo?

Me encantaría tener la tranquilidad de saber que ninguno de mis escritorios tiene barras de herramientas, "ayudantes de navegador" o cualquier otra basura como esa ejecutándose.

¿Alguien ha hecho esto con éxito con la Política de grupo?

Encontré este artículo, pero no está tan claro:

http://support.microsoft.com/kb/883256

Si quiero prohibir todos los complementos, excepto la barra Google, la actualización de Flash y Windows en XP, no hay una explicación clara sobre cómo hacerlo. Parece que tendría que conocer el ClassID de cada barra de herramientas que me gustaría permitir.

El artículo realmente no explica cómo un administrador encontraría estos ClassID. ¿Flash tiene un ClassID diferente para cada versión? ¿Varía según el sistema operativo? ¿Qué pasa con Windows Update en cajas XP? Requiere un complemento que debería habilitarse expresamente.

Es un problema tan común que debería haber una solución fácil. Sería genial si solo hubiera una lista de casillas de verificación de complementos comunes, por lo que podría habilitar Flash para todos, Google Toolbar para desarrolladores, Windows Update para XP, etc.

Deshabilitar la opción "Habilitar extensiones de navegador de terceros" en Herramientas -> Opciones de Internet -> Avanzado (o Panel de control -> Opciones de Internet) deshabilita con éxito la mayoría de las barras del navegador al tiempo que permite los complementos típicos (Java, Flash, etc.).

Si no recuerdo mal, puedes controlar esta opción en GP. La configuración se puede encontrar en 'Configuración de usuario -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Internet Explorer -> Panel de control de Internet -> Página avanzada -> Permitir extensiones de navegador de terceros'

Para XP con IE6, su fuente de KB es una solución viable.

Agregué el CLSID para flash (que se encuentra en la fuente HTML de youtube.com) y lo bloqueé agregándolo a la Política de seguridad local "Configuración de usuario> Plantillas administrativas> Componentes de Windows> Internet Explorer> Funciones de seguridad> Administración de complementos> Lista de complementos "

Coloque el CLSID y un 0 para el valor (deshabilitar) y en la próxima actualización de IE, Flash no se cargará.

Parece que agregar una lista de los delincuentes más comunes a un GPO se encargaría de la mayoría de sus problemas.

Tengo las mismas preguntas que haces con respecto a la posible modificación de ClassID cuando se actualizan javascript y flash.

De todos modos, en el proceso de tratar de encontrar más información sobre esto, descubrí en IE9 que puede seleccionar un complemento y presionar 'Más información' en la parte inferior izquierda 'y le da la ID de clase. Confirmé que IE6 no tiene esto. No tengo IE7 u 8 disponibles para probar actualmente. Sin embargo, el artículo de Microsoft le muestra cómo encontrar los ID de clase que se bloquearon en la sección 'Solución de problemas de la función Administrar complementos'. Lamentablemente no parece un trabajo rápido, tomará un poco de investigación

En primer lugar, hay un problema de JavaScript solucionable con complementos deshabilitados: http://support.microsoft.com/kb/915729

Existe ToolbarCop que facilita la tarea de desactivación: no es una solución de casilla de verificación, pero está cerca.

Si desea hacerlo a mano, puede aprender los CLSID aquí .

Mencionas XP. ¿Es esto solo una solución para XP?

Para Windows 7, Applocker GPO puede ayudar. Es una función de lista blanca y lista negra de aplicaciones en la Política de grupo (pero solo funciona para clientes de Windows 7).

Hay algunos buenos videos introductorios de TechEd (busque en ese sitio más videos de Applocker).

La forma rápida y sucia (pero no exhaustiva) es permitir todo y agregar reglas de denegación para lo que desea bloquear. La forma más completa es hacer una lista blanca de todas las aplicaciones en todas sus computadoras (no solo IE). Si lo hace rápido y sucio, cree un nuevo GPO y habilite el seguimiento de exe y dll y encuentre los complementos de navegador más comunes en su máquina que no desee y agréguelos con una regla de rechazo.

Puede probar todo tipo de formas de bloquearlos ... como bloquear la instalación a través de cert de editor (es decir, bloquear todas las aplicaciones de yahoo), bloquear las rutas de los archivos donde se ubican las instalaciones, etc.

Durante las pruebas, recomiendo usar la Política de seguridad local. Asegúrese de que el servicio Application Identity se esté ejecutando (luego espere 5 minutos).

Solo para ver cómo reaccionaría, agregué una regla de denegación para bloquear todas las DLL en% SYSTEM32% \ Macromed \ Flash *. * E IE actuó con gracia como si nunca se hubiera instalado Flash.

Hay una configuración en Group Policity que le permite denegar todos los complementos a menos que esté específicamente permitido. Se puede encontrar aquí: 'Configuración de usuario -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Internet Explorer -> Funciones de seguridad -> Administración de complementos'

Active la opción 'Denegar todos los complementos ...' y luego agregue los que desea mantener en la opción 'Lista de complementos'

El problema parece ser tan pronto como agrega una lista blanca, TODO está desactivado excepto lo que está allí. Java. Destello. Etc. Esperaba encontrar una lista de extensiones comunes, pero hasta ahora es mucho trabajo usar una lista blanca.

Para obtener la ID de clase de un complemento, querrá ir a Administrar 'complementos' desde el elemento del menú de herramientas, luego, en la ventana resultante, debe haber un menú desplegable para que elija "TODOS AÑADIR- ONS "haga clic derecho en el complemento que desea ingresar en el GPO y seleccione MÁS INFORMACIÓN en la ventana emergente resultante, haga clic en el botón Copiar, que copiará todo al portapapeles. Pegue en su editor de texto favorito, ahora puede copiar el CLASSID que necesita y pegarlo en el campo Nombre de valor de su GPO. El campo 'valor' debe ser un 0 denegado, 1 permitir que el usuario no pueda cambiar, 2 permitir que el usuario pueda cambiar.

Aquí hay una buena explicación con imágenes y videos sobre cómo configurarlo:

https://www.itscforum.dk/showthread.php?64-Windows-Get-rid-of-those-toolbars-and-add-ons-in-Internet-Explorer