Добавление доменов в зоны безопасности internet explorer, при помощи групповой политики

Привет. Наверняка вы обращали внимание, что если вы запускаете bat скрипт из сетевой папки, то у вас выскакивает предупреждение безопасности.

Либо если вы заходите на какой-то сайт, например онлайн банк-клиент, то у этого сайта очень многие элементы заблокированы. Решить подобные проблемы можно, если добавить необходимые доменные имена ресурсов в определенные зоны безопасности в Internet Explorer. Как правило — это местная интрасеть, либо надежные сайты.

И если с добавлением единичных сайтов, для одного пользователя проблем нет, то в массовых случаях нужно что-то придумывать, что б не бегать по всем компьютерам.

Сегодня хочу показать вам как можно автоматически добавлять домены и сайты в зоны безопасности, при помощи групповых политик.

Покажу вам 2 способа.

Первый способ – воспользуемся административными шаблонами.

Для этого в редакторе групповых политик идем в User Settings – Administrative Templates – Windows Components – Internet Explorer – Internet Control Panel – Security Page. Тут нам нужен параметр Site to Zone Assignment List.

Включаем его, и задаем необходимые зоны. В поле Value name вписываем, например dc.test.loc или ]]> http://dc.test.loc ]]> , в зависимости от ваших нужд. Так же в Value можно задать IP адрес, или диапазон IP адресов. В поле Value – задаем цифровое значение, где 1 –Местная Интрасеть (Intranet Zone), 2 – Доверенные Сайты (Trusted Sites), 3 – Зона Интернета (Internet Zone) и 4 – Небезопасные Сайты (Restricted Sites).

После применения этой политики в свойствах зоны будут те домены, которые вы указали, но при этом пользователю самостоятельно будет запрещено редактировать эти зоны.

Если же вам нужно распространить зоны и при этом, дать пользователям возможность еще и самостоятельно добавлять необходимые им сайты, тогда нужно распространять их через реестр, а не через административные шаблоны.

Второй способ:

Для этого опять же идем в редактор групповой политики и идем по пути User Configuration – Preferences – Windows Settings – Registry. Тут добавляем новый элемент реестра.

Для области указываем HKEY_CURRENT_USER, для пути – Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\test.loc\dc Соотвественно тут я добавляю домен host.test.loc. Если нужно добавить целый домен, тогда добавляйте в конце строки просто \test.loc

В поле Value name указываем протокол (http, https и т.д.), если необходимо добавить все протоколы, тогда указываем *.

Value Type должен быть REG_DWORD.

В Value Data должна быть цифра. Цифры тут такие же, как и для зон при задании через административные шаблоны (1 –Местная Интрасеть (Intranet Zone), 2 – Доверенные Сайты (Trusted Sites), 3 – Зона Интернета (Internet Zone) и 4 – Небезопасные Сайты (Restricted Sites)).

Если вы хотите, чтобы для зоны стояла галка – Для всех сайтов зоны требуется проверка подлинности серверов (https), то нужно добавить следующую запись в реестр, так же для ветки пользователя (HKCU):

Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\

Value name – Flags

Value type – REG_DWORD

Value Data – 71 – для того, что бы галка стояла, и 67 – что бы была отключена.

Если вы хотите добавить диапазон IP адресов, тогда нужно добавлять 2 параметра.

SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local

Value name — :Range

Value type – REG_SZ

Value Data – 192.168.1.0-254

SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local

Value name — * (или нужный вам протокол)

Value type – REG_DWORD

Value Data – 1 (номер зоны)

Hkcu software microsoft windows currentversion internet settings zonemap domains

Добавьте компьютер, с которого вы запускаете файл, в зону безопасности Internet Explorer Местная интрасеть (Intranet Zonе).
Пошаговая инструкция на скриншоте:

При этом учтите, что уровень безопасности зоны Местная интрасеть должен быть Ниже среднего (по умолчанию), но не выше, в противном случае предупреждение системы безопасности будет показано.
Также нужно учитывать, как вы обращаетесь по сети к компьютеру, с которого запускаете исполняемый файл: если по IP-адресу, то в узлы зоны безопасности нужно прописывать IP, если же по DNS-имени компьютера, то нужно прописывать его. И в любом из вариантов добавлять узел в зону безопасности необходимо как сетевой, то есть либо \\server либо \\192.168.0.1

Примеры reg-файлов для добавления в зону безопасности Местная интрасеть компьютера server (1) и IP-адреса 192.168.0.1 (2)

Однако там все зоны — Trusted, Restricted, Intranet Zonе. Для раздельного экспорта воспользуйтесь утилитой ExportZone. Полученные reg-файлы можно распространить на машины сети любым из способов, перечисленных в статье Distributing Registry Changes

Примечание. В домене это настраивается групповыми политиками: Конфигурация пользователя (или компьютера)\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности -> параметр «Список назначения зоны безопасности для веб-узлов» (по-английски: Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page -> параметр «Site to Zone Assignment List»).

Бывает, что при установленном Internet Explorer 7 зона «Местная интрасеть» определяется некорректно. Тогда заходим в Свойства обозревателя -> вкладка Безопасность -> Местная интрасеть -> кнопка Узлы -> снимаем галку Автоматически определять принадлежность к интрасети и включаем остальные три галки.

Примечание. В домене групповая политика: Конфигурация пользователя (или компьютера)\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности -> отключить параметр «Включить автоматическое определение интрасети» (Turn on automatic detection of the intranet).

Задать параметры SaveZoneInformation и LowRiskFileTypes (пример), либо соответствующие политики:
Описание работы диспетчера вложений в пакете обновлений 2 (SP2) для Windows XP

Настройка списка надежных сайтов в Internet Explorer через групповые политики

Привет! Казалось бы что может быть проще настроить список “Надежных сайтов” в Internet Explorer используя GPO? А все оказалось не так-то просто. Всё началось с того, имеется несколько сот компьютеров и терминальный сервер. Для пользователей была развернута политика, которая настраивала Internet Explorer на клиентских компьютерах.
Но почему-то эта политика не отрабатывала не терминальном сервере. На нем была включена “Усиленная безопасность”.
Путем долгих попыток настроить этот сервер было выяснено, что политика, которая настраивает зоны в Internet Explorer, вносит свои изменения в ветку реестра, которая не читается, если Explorer работает в режиме усиленной безопасности. Что в таком случае делать? Я отключил эту настройку в политике и создал новую, которая настраивает соответствующие ветки реестра, используемые IE во всех режимах работы.
Прежде чем создавать такую политику, советую создать файл с расширением .reg с нужными строками, чтобы удостовериться, что вы нигде не ошиблись.

Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\security_1cv8.exe]
«about»=dword:00000002
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\security_1cv8c.exe]
«about»=dword:00000002
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\kontur.ru]
«https»=dword:00000002
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\security_1cv8.exe]
«about»=dword:00000002
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\security_1cv8c.exe]
«about»=dword:00000002

Чтобы IE мог видеть список сайтов в режиме усиленной безопасности, необходимо добавлять их в ветку реестра “EscDomains”, для обычного режима работы – в ветку “Domains”.
Благодаря этому удалось настроить доступ к странице security_1cv8.exe и security_1cv8c.exe в 1C на терминальном сервере в режиме усиленной безопасности браузера.
Казалось бы задача простая, но пришлось долго с этим провозиться.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Hkcu software microsoft windows currentversion internet settings zonemap domains

Вопрос

Hi, I’m trying to figure out how to push a registry file to add a server name to the intranet zone list. So far I already tried to add my server under the following key:

But I seem to be missing something here. Because when I try to launch my application on the server I still get the question if I really want to launch the application or cancel it. So what must I do to make it work? We have some Windows XP workstations left
but are running Windows 7 as our primary OS.

Thanks in advance for the help!

Все ответы

the English forum is more appropriate:

Oups! Désolé Je traduis ma question à l’instant.

J’essaie de trouver un moyen de pousser une clé de registre pour ajouter un nom de serveur à la zone de sécurité «Intranet local». Jusqu’à présent j’ai ajouté 2 clés de registre.

Que donne un gpupdate /force à partir du controleur de domaine ?

Idem sur une station de travail (fermez le navigateur). Application de la politique de mise à jour.

Vérifiez dans les options d’internet que le serveur a été ajouté.

sans l’acquisition d’un immense superflu chaque condition se sent misérable. DIDEROT

Bonjour Bricoleur, la raison principale que je veux utiliser une clé de registre pour faire le travail est que nous n’avons pas de contrôleur de domaine. Notre réseau n’est pas un réseau Microsoft d’un bout à l’autre. J’ai donc besoin de pousser les clés de registre nécessaires d’une autre façon pour que nos serveurs fassent partie de la liste «Intranet». À moins qu’il existe une autre façon de faire le même travail sans utiliser un contrôleur de domaine ou encore d’avoir à pousser des clés de registre bien sûr.

Merci d’avance pour l’aide!

Vous êtes-vous inspiré de ce qui suit ?

Je pense que ceci va répondre à vos besoins:

sans l’acquisition d’un immense superflu chaque condition se sent misérable. DIDEROT

Bonjour, j’ai ajouté une clé de registre contenant ceci.

Je redémarre ensuite mon ordinateur et j’ai j’obtiens de nouveau le massage d’avertissement me demandant si je veux «Exécuter» ou non mon programme. Mon serveur fait pourtant partie de mon intranet et mon ordinateur client est un Windows 7 Ent SP1 x64 qui a bien tous les droits nécessaires pour pouvoir démarrer le programme. Qu’est-ce que j’oublie de faire ici?

Merci encore pour ton aide!

Il me semble que la méthode que vous utilisez, vous oblige à installer «Extensions côté client pour la stratégie de groupe préférences pour windows» sur toutes les machines.

Extensions pour XP:

Extensions (correctif) pour 7:

Celà reste à vérifier, vous allez désactiver «Ajouter/Supprimer» les «Sites/Urls, pour l’utilisateur final à moins que celà soit le but recherché.

Si vous rencontrez toujours les mêmes problèmes après avoir installé les extensions côté clients,

modifiez votre clef de registre en gardant la même valeur DWORD, ainsi:

EscDomains est à peu de chose près identique à Domains, mais EscDomains s’applique aux protocoles définis par la configuration Enhanced Security Configuration (Esc). Qui à été introduit sauf erreur de ma part à partir de serveur 2003.

sans l’acquisition d’un immense superflu chaque condition se sent misérable. DIDEROT

• Помечено в качестве ответа Dan Bajenaru Microsoft employee 14 марта 2013 г. 12:02
• Снята пометка об ответе GBoucher 21 марта 2013 г. 19:00

Merci de nous tenir au courant.

Bonjour, désolé pour le délai mais j’ai du m’occuper de certains dossiers plus urgent. Ceci étant dit j’ai créé un petit script vbs.