Как запретить internet explorer на терминальном сервере

Обновлено: 03.07.2024

Конфигурация усиленной безопасности Internet Explorer (IE ESC) активирована в Windows Server 2012 R2 по умолчанию, пользователь постоянно видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE.

Данная статья поможет вам отключить эту функцию на рабочем сервере под управлением Windows Server 2012 R2. Рассмотрим два простых способа отключения:

Отключение Конфигурации усиленной безопасности Internet Explorer через интерфейс Windows Server

Для наглядной демонстрации наши инженеры записали gif, как отключить конфигурацию усиленной безопасности Internet Explorer.

1. Запустите "Диспетчер серверов"
2. Перейдите во вкладку "Локальный Сервер"
3. Найдите строчку "Конфигурация усиленной безопасности Internet Explorer" и нажмите на статус, по умолчанию статус "Включено"
4. У вас есть два варианта отключения Конфигурации усиленной безопасности Internet Exporer:
   1. отключение конфигурации только для аккаунта Администратора
   2. для всех пользователей

   Рекомендуем использовать аккаунт без прав администратора - и отключить Конфигурацию только для данного пользователя. Использование локального аккаунта администратора может стать источником дополнительных угроз безопасности при отключённом режиме конфигурации усиленной безопасности.

   Отключение Конфигурации усиленной безопасности Internet Explorer через PowerShell

   Откройте PowerShell и вставьте следующий скрипт, после исполнения данного скрипта конфигурация усиленной безопасности IE отключится.

   function Disable-IEESC < $AdminKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” $UserKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” Set-ItemProperty -Path $AdminKey -Name “IsInstalled” -Value 0 Set-ItemProperty -Path $UserKey -Name “IsInstalled” -Value 0 Stop-Process -Name Explorer Write-Host “IE Enhanced Security Configuration (ESC) has been disabled.” -ForegroundColor Green > Disable-IEESC

   Здравствуйте, такой вопрос, есть сервер 2003 и 1С в среде пользователя запуск 1С , при ctrl+shift+esc пользователь попадает в эксплорер и спокойно сливает базу куда угодно, как этому воспрепядствовать? запретить одним словом все кроме работы в 1С ?
   Заранее спасибо. Trinux
   Если я правильно понял, то пользователь открывает: "Диспетчер задач Windows"->"Новая задача", тогда включите политику: "Конфигурация пользователя"->"Административные шаблоны"->"Панель задач и меню Пуск"->"Удалить команду Выполнить из меню Пуск"

   Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

   То же самое можно реализовать вызвыв справку по F1, и из строки адреса запустить эксплорер.

   -------
   MVP: Exchange Server 2009 - 2018
   Microsoft Regional Director 2015 - 2017

   диспетчер бы ещё вообще убрать для юзеров.

   Telepuzik, открывается диспетчер, файл--выполнить эксплорер и погнали базу лить

   Trinux
   Попробуйте: "Конфигурация пользователя"->"Административные шаблоны"->"Система"->"Возможности Ctrl+Alt+Del"->"Удалить диспетчер задач"

   Чтобы запретить пользователю возможность запуска Диспетчера задач Windows, установите значение параметра типа DWORD DisableTaskMgr в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System равным 1
   Даже у админа быдет выключен таск менеджер.

   админу нужно конечно же оставить.

   дело в том что при комбинации ctrl+shift+esc уже запускается эксплорер. запретить бы сочетания клавиш к примеру.

   PS: жаль не linux

   gpedit.msc, далее такое:
   1.UC/Administrative Templates/Windows Components/Windows Explorer/Hides the Manage item on the Windows Explorer context menu - enabled
   2.UC/Administrative Templates/Windows Components/Windows Explorer/Prevent access to drives from My Computer - enabled
   3.UC/Administrative Templates/Windows components/Windows Explorer/Turn off Win+X hotkeys - enabled

   4.UC/Administrative Templates/Start Menu and Taskbar/Remove links and access to Windows Update - enabled
   5.UC/Administrative Templates/Start Menu and Taskbar/Remove common program groups from Start Menu - enabled
   6.UC/Administrative Templates/Start Menu and Taskbar/Remove My Documents icon from Start Menu - enabled
   7.UC/Administrative Templates/Start Menu and Taskbar/Remove Document menu from Star Menu - enabled
   8.UC/Administrative Templates/Start Menu and Taskbar/Remove programs on Settings menu - enabled
   9.UC/Administrative Templates/Start Menu and Taskbar/Remove Search menu from Start Menu - enabled
   10.UC/Administrative Templates/Start Menu and Taskbar/Remove Help menu from Start Menu - enabled
   11.UC/Administrative Templates/Start Menu and Taskbar/Remove Run menu from Start Menu - enabled
   12.UC/Administrative Templates/Start Menu and Taskbar/Add Logoff to the Start Menu - enabled
   13.UC/Administrative Templates/Start Menu and Taskbar/Remove Drag-and-drop context menus on the Start Menu - enabled
   14.UC/Administrative Templates/Start Menu and Taskbar/Prevent changes to Taskbar and Start Menu Settings - enabled
   15.UC/Administrative Templates/Start Menu and Taskbar/remove access to the context menus for the taskbar - enabled
   16.UC/Administrative Templates/Start Menu and Taskbar/remove pinned programs list from the Start Menu - enabled
   17.UC/Administrative Templates/Start Menu and Taskbar/remove frequent programs list from the Start Menu - enabled
   18.UC/Administrative Templates/Start Menu and Taskbar/remove All Programs list from the Start Menu - enabled
   19.UC/Administrative Templates/Start Menu and Taskbar/remove user name from Start Menu - enabled
   20.UC/Administrative Templates/Start Menu and Taskbar/Hide the notification area - enabled

   21.UC/Administrative Templates/Desktop/Hide and disable all items on the desktop - enabled
   22.UC/Administrative Templates/Desktop/Remove My Computer icon on the desktop - enabled
   23.UC/Administrative Templates/Desktop/Remove the Desktop Cleanup Wizard - enabled

   24.UC/Administrative Templates/Control Panel/Prohibit access to the Control Panel - enabled
   25.UC/Administrative Templates/Control Panel/Display/Password protect the screen saver - disabled
   26.UC/Administrative Templates/Control Panel/Display/Screen Saver - disabled

   27.UC/Administrative Templates/System/Ctrl+Alt+Del Options/Remove Task Manager - enabled
   28.UC/Administrative Templates/System/Ctrl+Alt+Del Options/Remove Lock Computer - enabled
   29.UC/Administrative Templates/System/Ctrl+Alt+Del Options/Remove Change Password - enabled

   НО перед этим вставлял ярлык 1С в "Пуск" (только от-туда можно что-либо запустить) и прописуем БД заранее.

   Запрет Internet Explorer
   Добрый день! Я нашел коды ,которые запрещают вход на сайт через IE. Но, картинки находятся на.

   Запрет на использование Internet Explorer
   Добрый день! Я делаю сайт, правда он не очень корректно отображается в Intenren Explorer. Я бы.

   Работа с Internet Explorer через Excel
   Здравствуйте! Подскажите, пожалуйста, простой макрос, который делал бы refresh страницы в IE и.

   От инета сервер не как отключать нельзя.. через инет подключаются RDP клиенты. по этому и всякие настройки типа прокси трогать не хотелось. Сделал проще запретил запуск программы в GP На сколько я знаю, полностью отключить эксплорер вам не получится, а через GPO поставьте всем пользователям принудительный прокси типа "0.0.0.0" и интернетом они пользоваться не смогут. От инета сервер не как отключать нельзя.. через инет подключаются RDP клиенты Ну так пробросьте порты на маршрутизаторе до сервера и будет Вам счастье.
   Второй вариант закрыть порты в системе, кроме RDP-шного. Все же запрет запуска программы лучший вариант из всех опробованных 1) не как не затрагивает сетевые настройки и порты. 2)Есть привилегированные пользователи кому нужен IE в терминале. 3) простота и быстрота настройки. Все же запрет запуска программы лучший вариант из всех опробованных Не лучший, а дырявый и делает сервер уязвимым для атак из вне.
   Есть привилегированные пользователи кому нужен IE в терминале Если некоторым нужен IE, то поднимите прокси-сервер, а проброс порта это минимальная мера безопасности.
   К тому же если Вы запретите сипользование IE средствами GPO, тогда как привилегированные пользователи смогут юзать инет? И что им будет мешать использовать portable версию другого браузера, если на сервере будет открыт инет? Нужны ли Вам такие дыры?

   Не скачиваются файлы через Internet Explorer
   Windows 7 Ult x64 Послу нажатия на ссылку с файлом ничего не происходит. Т.Е. обычно вылазить окно.

   Работа с Checkbox в Internet Explorer через VBA
   Добрый день. Подскажите пожалуйста: Есть интернет страница, там есть элемент Checkbox с отмеченным.

   Нужно вытащить файл через Internet Explorer
   Вообщем проблема такая. Нужно вытащить файл через Internet Explorer. html файл вытаскиваю через.

   Офис, Internet Explorer через другого пользователя
   Доброе время суток всем, На работе запретили интернет многим пользователям. Но есть лазейка.

   Все браузеры стали открываться через Internet Explorer
   Здравствуйте. Очень нужна ваша помощь!! Короч, я что-то в Удалениях программ напортачила. Хотела.

   При скачке фильмов через Internet Explorer возникает ошибка
   При скачке фильмов через Експлорер выдает такую &quot;ошибку&quot;: Microsoft Visual C++Runtime libary.

   Админу на заметку - 9. Как отключить конфигурацию усиленной безопасности Internet Explorer.

   Как показывает практика, многие администраторы не знают, как отключить конфигурацию усиленной безопасности Internet Explorer в серверных ОС семейства Windows, предпочитая установку альтернативных браузеров. Однако данное решение нельзя назвать оптимальным, так как, в отличие от IE, сторонние браузеры не позволяют централизованно управлять своими настройками, что представляет потенциальную угрозу безопасности. В тоже время конфигурация усиленной безопасности отключается очень просто.

   Конфигурация усиленной безопасности Internet Explorer - вещь крайне специфичная, настолько специфичная, что пользоваться ею практически невозможно. Нет, идея безусловно хорошая, но вот реализация.

   Данная настройка успешно затрудняет доступ даже к родному сайту компании, из-за чего попытка скачать патч, обновление или какой-либо компонент превращается в нетривиальную задачу с добавлением всего, чего только можно в зону доверенных узлов.

   Неудивительно, что многие предпочитают первым делом поставить сторонний браузер. Но не спешите, данную настройку очень легко отключить.

   Windows Server 2003

   Открываем оснастку Установка и удаление программ, переходим в раздел Установка компонентов Windows и снимаем галочку с компоненты Конфигурация усиленной безопасности Internet Explorer.

   
   

   Windows Server 2008 / 2008R2

   Открываем Диспетчер сервера, переходим на самый верхний (одноименный) уровень дерева и справа находим ссылку Настроить конфигурацию усиленной безопасности Internet Explorer.

   
   

   Данная ОС предлагает нам выбор: отключить настройку можно для Администраторов и/или Пользователей, что бывает полезно, если последние имеют доступ к серверу, например в терминальной сессии. Также следует помнить, что если вы хотите отключить конфигурацию усиленной безопасности Internet Explorer для пользователей сервера терминалов, то лучше это сделать прежде, чем будет поднята роль терминального сервера.

   
   Windows Server 2012

   Дизайн Диспетчера сервера в данной версии Windows Server претерпел значительные изменения. Теперь он называется Диспетчер серверов и позволяет управлять как локальным, так и удаленным сервером. Переходим в раздел Локальный сервер и в правой колонке находим ссылку Конфигурация усиленной безопасности Internet Explorer. Дальше все точно также как и в предыдущей версии ОС, мы можем отдельно задать настройки для Администраторов и Пользователей.

   
   

   Теперь при запуске браузера он будет уведомлять вас, что Конфигурация усиленной безопасности Internet Explorer выключена и снабжать подробными инструкциями по ее включению.

   
   

   При этом не стоит забывать, что сервера гораздо более подвержены атакам из интернета и последствия таких атак могут иметь гораздо более тяжелые последствия, поэтому старайтесь ограничить использование интернета на серверах разумным минимумом и посещением только доверенных ресурсов.

   
   Репутация: 15
   Дух

   2. Так же пользователь может в 1С "создать", "открыть", что дает ему доступ опять таки к EXPLORER.

   Решение:
   Закрытие доступа к диспетчеру задач в регистре?

   А вот как быть с "создать", "открыть"?
   

   
   

   
   Репутация: 6
   Дух

   А зачем так глубоко капать все прекрасно делается средствами политик безопасности и правами пользователя. Или у Тебя что то для пользователя запускается от имени админа ?

   
   

   
   Репутация: 213
   Активист
   

   Даже если пользователи с правами админа, но не достаточно продвинуты в понимании раздачи прав на файлы, нужно поставить DENY на следующие файлы explorer.exe, iexplorer.exe и taskmgr.exe для тех, кому запускать их не положено.
   На всякий случай, после назначения deny, стоит перепроверь возможность запуска explorer.exe через горячие клавиши, если запустится, то нужно искать отключение этой функции через правку реестра.

   
   

   
   Репутация: 30
   Cтаршой
   

   вот путь к счастью:

   Пуск - выполнить
   - regedit.exe
   - gpedit.msc

   ps: кроме taskmgr и explorer не забудь про cmd

   
   

   
   Репутация: 15
   Дух

   Как отключить таск менеджер я нашел, через gpedit.msc - административные шаблоны-системма-Возможности Ctrl+Alt+Delete

   И как запретить доступ к другим приложениям, тоже нашел.
   Но вот основной проблеммой остается то, что пользователь в 1С может при сохранении файла нажать правой кнопкой "Открыть" на папке и у него появляется проводник. Ну и отсуда он может снова таки запустить explorer.exe

   Было бы классно вообще скрыть это "открыть", "проводник". Но нашел только запрет на контекстное меню.

   
   

   
   Репутация: 213
   Активист
   

   А ограничение доступа к проводнику через назначения права денай на экзешник (explorer.exe) почему не подходит?
   Ну а чтобы скрыть "открыть" и "проводник" в 1С, это уже нужно обращаться к программистам этого софта, как я понимаю.

   
   

   
   Репутация: 30
   Cтаршой
   

   может стоит сделать запрет запуска любого exe-шника на компе?

   
   

   
   Репутация: 15
   Дух

   К програмистам нельзя, так как они тоже незнают как это сделать, вот пришли к админам.
   Полный запрет на все ехе - это грубо. так как сковывает самого себя. даже резервное копирование базы не запустишь.
   Дело в том, что я ставлю запрет на запуск всех приложений кроме регедита, а вот експлорер.ехе всеравно запускается.

   
   

   
   Репутация: 213
   Активист
   

   Да, ограничить доступ к Проводнику оказалось непростой задачей.
   Решил перепроверить свой же совет с deny на explorer.exe и. лажа. После чего вспомнил, что это же не просто экзешник или процесс, это оболочка, среда в которой работает юзер, а значит заблокировать его запуск не так-то просто.

   Может быть, хотя бы в качестве временного решения, имеет смысл ограничить функциональность Проводника? Например, скрыть диски

   » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть. «

   A: 01 00 00 00,
   B: 02 00 00 00,
   C: 04 00 00 00,
   D: 08 00 00 00,
   E: 10 00 00 00,
   F: 20 00 00 00

   
   

   
   Репутация: 132
   Старожил
   

   В виде можно выставить разрешение на запуск пользователем строго определённого списка программ.

   Если занести в этот список только 1С, то винда ни чего по идее не запустит .

   Подобное не пробовали?

   
   

   
   Репутация: 15
   Дух

   Скрытие дисков? А току с этого? Если запущен експлорер. Пробовал. В любом окошке прописываешь С: и вот он диск С.

   olexande
   Вынужден повториться. Запрет на определеный список программ работает, но не ЕХРLORER, он запускается.

   
   

   
   Репутация: 213
   Активист
   

   Скрытие дисков? А току с этого? Если запущен експлорер. Пробовал. В любом окошке прописываешь С: и вот он диск С. Ок, просто скрыть диски недостаточно, но здесь опять можно воспользоваться ограничениями через файловую систему, пусть не ко всем папкам, но всё же.

   
   

   
   Репутация: 30
   Cтаршой
   

   а что если просто запретить менюшку по ПКМ ??
   вот рег файл:
   запрет выскакивания контекстного меню в эксплорере по ПКМ:
   

   Windows Registry Editor Version 5.00

   соотв. разрешить меню - вписать в значение параметра 0

   как вам токое решение проблемы?
   соотв. файлик применить к машинке, на кот. стоит 1С

   ps. еще решение:
   

   Блокирование запуска программ

   Этот раздел дает возможность ограничить список программ, которые могут быть запущены пользователями, точнее, создать список программ, разрешённых для запуска, все остальные будут запрещены для запуска. Создайте в нём новый параметр с именем
   «RestrictRun» (dword) и значением 1, и новый раздел с таким же именем, в котором создайте строковые параметры, свой для каждой программы, именуя их числами по возрастанию. Например:

   «1»=«Regedit.exe»
   «2»=«Explorer.exe»
   «3»=«Winword.exe»

   Без кавычек.
   Не забудьте указать файл «Regedit.exe», иначе Вы сами не сможете больше запустить редактор реестра, а также не забудьте про «Проводник» и программы из автозагрузки. Перезагрузитесь.

   Если Вы хотите, наоборот, создать список программ запрещённых для запуска (все остальные программы будут разрешены для запуска), то создайте новый параметр с именем
   «DisallowRun» (dword) и значением 1, и новый раздел с таким же именем, в котором создайте строковые параметры, свой для каждой программы, именуя их числами по возрастанию. Например:

   Читайте также:

     
   • Командная строка очистить файл
     
   • Ошибка установки файла inf причина слишком много попыток занесения события для семафора
     
   • Как в экселе поменять местами дату и месяц
     
   • Какое расширение имеют временные файлы
     
   • Цифры 0 и 1 хранящиеся в клетках памяти компьютера называется байтом верно или нет