Андрей Смирнов
Время чтения: ~14 мин.
Просмотров: 39

Включения прокси-сервера через групповые политики windows в 10 шагов



Как запретить изменение настроек прокси-сервера через GPO, за минуту

Как запретить изменение настроек прокси-сервера через GPO, за минуту

proxy-logo.jpgДобрый день! Уважаемые читатели и гости одного из крупнейших IT порталов Pyatilistnik.org. В прошлый раз мы с вами разобрали, как скопировать файл и папку через групповую политику. Сегодня мы вновь воспользуемся их возможностями и рассмотрим ситуацию, при которой вам необходимо настроить запрет изменения настроек прокси-сервера с помощью GPO для браузеров Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер. Мы рассмотрим для чего это нужно, что это даст в практическом выражении для системного администратора.

Для чего нужно убирать возможность изменения настроек прокси-сервера

Перед практической частью я бы хотел описать реальные случаи из своей практики, где мне пришлось ограничивать пользователей в данном вопросе.

  1. Первый пример, я работаю в очень крупной компании, это подразумевает. что некоторые мелкие или рутинные задачи проектов или под проектов могут выполнять подрядчики. Для подрядчиков есть отдельный терминальный стол, где они варятся. Для некоторых из них необходимы особые условия, например запрет выхода в интернет, но при этом иметь возможность обращаться к локальным ресурсам. Особо продвинутые могут попытаться найти бесплатные адреса прокси и прописать их в браузере, чтобы этого не произошло необходимо убрать у них возможность менять настройки прокси-сервера.
  2. Второй пример, это RDS ферма, где так же работают сотрудники компании. Они выходят в интернет через определенный шлюз. Чтобы это не обойти прописав в настройках сторонний прокси сервер, нужно заблокировать у них такую возможность. На самом деле вариантов применения очень много.

Методы запрета изменения настроек прокси сервера

В данном примере я покажу вам несколько вариантов, которые вы сможете использовать по своим требованиям. Первый вариант, это использование ISE настроек групповой политики, второй вариант, это использование ключей реестра.

Благодаря данной инструкции вы сможете запретить изменение настроек прокси в Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер, в разделе прокси-сервер в Windows 10

Так же хочу отметить, что данная политика будет иметь эффект если пользователь имеет административные права в ОС, чтобы этого избежать произведите настройки фильтрации в ACL GPO политики

И так у меня в домене Active Directory есть компьютер W10CL02 под управление операционной системы Windows 10 и пользователь Барбоскин Геннадий.

zapret-izmeneniya-proksi-servera-01.jpg

Мне бы хотелось запретить ему изменять настройки прокси сервера в Internet Explorer и в настройках Proxy на уровне системы. В прошлый раз мы с вами через групповые политики назначили на его компьютере свои настройки прокси-сервера, которые были прописаны в настройках «Параметры — Прокси сервер«

zapret-izmeneniya-proksi-servera-02.jpg

или же в «Настройках параметров локальной сети» в Internet Explore 11.

zapret-izmeneniya-proksi-servera-03.jpg

Вся проблема заключается в том, что Геннадий умеет изменять эти настройки и знает, что для этого не требуется наличие административных прав в системе. Это не порядок и давайте это исправлять. Откройте оснастку «Управление групповой политикой», можно из окна выполнить, введя gpmc.msc

zapret-izmeneniya-proksi-servera-04.jpg

Найдите ваше организационное подразделение к которому вы будите применять объект групповой политики, тут нужно не забывать, что вы можете настроить ограничение на уровне пользователя или на уровне компьютера, если сделаете на уровне компьютера, то это будет распространяться на всех его пользователей, обычно это делают на терминальных серверах. В моем примере я сделаю настройку для компьютера, но и покажу и для пользователя. Создаем новый объект GPO и задаем ему нужное вам имя. Переходим к ее редактированию.

Откройте ветку настроек, если для компьютера:

Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer — Запретить изменение параметров прокси (Computer Configuration — Administrative Templates — Windows Components — Internet Explorer — Prevent changing proxy settings)

Включение параметра «Запретить изменение параметров прокси» отнимет права на изменение данной функции.

zapret-izmeneniya-proksi-servera-07.jpg

Откройте ветку настроек, если для пользователя:

Конфигурация пользователя — Политики — Административные шаблоны — Компоненты Windows — Internet Explorer — Запретить изменение параметров прокси (User Configuration — Administrative Templates — Windows Components — Internet Explorer — Prevent changing proxy settings)

zapret-izmeneniya-proksi-servera-08.jpg

хочу напомнить, что настройки на уровне компьютера более приоритетнее, чем политика на пользователя, поэтому если на уровне компьютера стоит запрет, а на уровне пользователя разрешение, то суммарным результатом будет запрет

Произведем обновление групповых политик на компьютере пользователя и проверим результат нашей политики по ограничению настроек прокси-сервера. Если политика была нацелена на компьютер, то она применится сразу ,если на пользователя ,то ему придется произвести выход из системы, чтобы увидеть данные настройки. При следующей авторизации я зашел в настройки Internet Explorer, где я вижу, что политика успешно отработала.

zapret-izmeneniya-proksi-servera-09.jpg

На вкладке «Подключения — Настройки сети» я не могу взаимодействовать со вкладкой «Прокси-сервер: использовать прокси-сервер для локальных подключений (не применяется для коммутируемых или VPNподключений)», она просто неактивна.

zapret-izmeneniya-proksi-servera-10.jpg

Если попытаться изменить настройки для Google Chrome или Mozilla, то вас перекинет в параметры Windows или же на вкладку подключений Internet Explorer, где вы так же не сможете ничего изменить.

zapret-izmeneniya-proksi-servera-12.jpg

В Edge та же песня, из вкладки «Дополнительно — Открыть параметры прокси-сервера«

zapret-izmeneniya-proksi-servera-13.jpg

То же самое можно проверить в параметрах Windows 10 в разделе «Прокси-сервер», где у меня не активен ползунок «использовать прокси-сервер«. Ограничения отлично работают.

Как включить запрет изменения настроек прокси через реестр Windows

Если вы не в курсе, то любые настройки которые вы меняете через групповые политики и расширения ISE, это просто изменение ключей реестра Windows на удаленной системе. Зная, это вы можете производить ограничения и через ключи, которые можете распространять через скрипты, туже групповую политику. Нам потребуется создать два ключа реестра, делать я это буду так же через объект GPO созданный ранее, но уже вам необходимо будет перейти в раздел преференций:

Конфигурация пользователя — Настройки Конфигурация Windows — Реестр (User Configuration — Preferences — Windows Settings — Registry)

тут необходимо будет кликнуть правым кликом мыши по пустому пространству и создать новый элемент реестра.

zapret-izmeneniya-proksi-servera-11.jpg

В свойствах окна нужно настроить:

  • В области «действие» выберите пункт «Обновить», в результате этого действия существующий параметр реестра будет обновлен
  • В разделе «Куст» выберите HKEY_CURRENT_USER
  • В пути к разделы укажите SoftwarePoliciesMicrosoftInternet ExplorerControl Panel
  • В имени параметра пропишите Proxy
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на изменение настроек прокси-сервера в Windows для любого браузера Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер.
  • База — укажите десятичный формат

zapret-izmeneniya-proksi-servera-15.jpg

У меня получилось вот так

zapret-izmeneniya-proksi-servera-16.jpg

Если вы хотите вообще ограничить просмотр свойств Internet Explorer, то можете создать ключ NoBrowserOptions:

В свойствах окна нужно настроить:

  • В области «действие» выберите пункт «Обновить», в результате этого действия существующий параметр реестра будет обновлен
  • В разделе «Куст» выберите HKEY_CURRENT_USER
  • В пути к разделы укажите SoftwarePoliciesMicrosoftInternet ExplorerRestrictions
  • В имени параметра пропишите NoBrowserOptions
  • Тип параметра будет REG_DWORD
  • Значение 1, будет активировать запрет на доступ к свойствам IE
  • База — укажите десятичный формат

zapret-izmeneniya-proksi-servera-17.jpg

теперь попытавшись открыть свойства Internet Explorer у вас появится предупреждение:

Операция отменена из-за действующих для компьютера ограничений. Обратитесь к своему системному администратору

Вообще полный список ключей для изменения настроек Internet Explorer вы можете найти по ссылке слева. Так же хочу отметить, что вы легко можете вносить изменения в реестре и на не доменных рабочих станциях, для этого вам нужны права администратора. дающие права на удаленное подключение к реестру. Так же вы можете использовать ветки реестра и значения в своих скриптах на базе PowerShell, вариантов уйма.

Если вам лень самим создавать эти ключи реестра, то я подготовил для вас уже готовые, вам осталось их просто скачать

На этом у меня все, мы с вами разобрали методы запрещающие изменять настройки прокси-сервера в браузерах Internet Explorer, Google Chrome, Mozilla Firefox, Yandex браузер. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. До скорых встреч.

Сен 22, 2019 09:00 При использовании прокси сервера в доменной сети встаёт задача раздать настройки прокси сервера для всех компьютеров в домене, в групповых политиках есть возможность указать настройки для браузера Internet Explorer разных версий Но с прокси к сожалению этот вариант не всегда работает, и чаще не работает совсем. При поисках был найден единственный рабочий вариант, который заключается в раздаче ветки реестра с настройкой прокси в обозревателе. Далее рассмотрим это решение. Имеется прокси сервер с адресом 192.168.3.253 порт 8080На контроллере домена вручную выполняем настройку параметров прокси сервера в браузере Internet Explorer. Собственно с него мы будем брать потом ветку реестра как эталон и раздавать её на весь домен. Создаем политику в домене и открываем её в редакторе управления групповыми политиками. Настройки прокси у нас будут раздаваться для пользователя вошедшего в систему, идем Конфигурация пользователя->Настройка->Конфигурация Windows->Реестр, и создаем элемент реестра, через Мастер реестра. Далее Идем по пути HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings и выбираем все опции кроме (по умолчанию)

Жмем Готово, затем проверяем добавленные настройки, правильно ли у нас добавился ProxyServer, ищем его в списке слева и проверяем значение. Готово. Далее распространяем политику на подразделение с пользователями, которым нужно раздать настройки прокси и проверяем раздаются ли настройки на клиентские машины. Если не получилось, вот ссылка на видео в котором аналогичная настройка выполняется для англоязычной версии Windows. Задайте вопрос Быстрый доступ

Серверные ОС Windows > Windows Server 2012 R2/2012
  • Вопрос

  • Не было никогда и вот опять…

    Задача банальна: задать всем через GPO параметры прокси-сервера.

    Создана групповая политика и слинкована в корень домена

    Параметры определены в разделе: User Configuration / Preferences / Control Panel Settings / Internet Settings

    Созданы два параметра для IE 10 и 8+9.

    Задана стартовая страница, на вкладке Connections / LAN Settings указан адрес прокси-сервера с портом, установлена галочка Bypass proxy server for local addresses, а так же в Advanced указаны localhost и несколько сетей, находящихся в других офисах через «;».

    При таком подходе, после обновления политики устанавливается параметр прокси-сервер и его порт, ставится галочка Bypass proxy server for local addresses, но сети в Advanced не появляются и стартовая страница тоже не меняется.

    Загуглил решение — определение прокси через реестр.

    Убил эту политику, создал новую, в которой установил три ключа по пути:

    1. HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

    Start Page REG_SZ «ссылка на корпоративный сайт»

    2. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

    ProxyOverride REG_SZ «<local>;12;192.168.1.0/24″</local>

    Стартовая страница появилась, параметры прокси — нет. Галочки включения прокси сервера и отключение прокси для локальных адресов установлены, но поля пустые и браузер через прокси не ходит.

    Удалил эту политику и сделал третий вариант — стартовую страницу определяю через реестр, а остальные политики через…политики=) Масло масляное)

    Осталось разобраться со вкладкой Advanced — не получается определить параметры хоть ты тресни.

    При получении результирующей политики на компьютере (rsop.msc), политики, определяющей прокси, вообще нет, но если результат просчитать через групповые политики на контроллере, то там все показывается (возможно так и должно быть?)

    Совсем забыл, клиенты Windows 10 Pro, домен на 2012R2/2008R2 серверах, уровень 2008.

    4 сентября 2017 г. 11:52 Ответить | Цитировать

Ответы

  • У вас поля на странице параметров прокси-сервера (Lan Settings) отображаются с красными штрихами. Нажмите f5, поля будут подчеркнуты зеленым, сохраните изменения.

    Касательно того, почему прокси блокирует — в исключениях Internet Explorer  у вас не добавлены ip-адреса, для которых прокси использовать не нужно. Задайте их в формате 10.200.*.*

    Innovation distinguishes between a leader and a follower — Steve Jobs

    • Изменено4 сентября 2017 г. 14:04
    • Помечено в качестве ответа6 сентября 2017 г. 13:40

    4 сентября 2017 г. 14:03 Ответить | Цитировать

  • Покажите скриншоты настроек.

    F5 – Enable all settings on the current tab.

    Innovation distinguishes between a leader and a follower — Steve Jobs

    • Помечено в качестве ответа6 сентября 2017 г. 13:40

    4 сентября 2017 г. 12:50 Ответить | Цитировать

Все ответы

  • Покажите скриншоты настроек.

    F5 – Enable all settings on the current tab.

    Innovation distinguishes between a leader and a follower — Steve Jobs

    • Помечено в качестве ответа6 сентября 2017 г. 13:40

    4 сентября 2017 г. 12:50 Ответить | Цитировать

  • GPO

    Через правку

    Результирующая политика на контроллере домена

    Результирующая политика через rsop.msc с локального компьютера

    Попытка подключиться к веб-интерфейсу принтера сопровождается вот такой ошибкой

    ИП прокси в ошибке другой, это тестовый ТМГ ещё не выведеный в бой, но почему он все равно лезет на него, если стоит галка «Не использовать прокси для локальных адресов»?

    • Изменено4 сентября 2017 г. 13:34

    4 сентября 2017 г. 13:30 Ответить | Цитировать

    • Изменено4 сентября 2017 г. 14:04

    4 сентября 2017 г. 13:58 Ответить | Цитировать

  • У вас поля на странице параметров прокси-сервера (Lan Settings) отображаются с красными штрихами. Нажмите f5, поля будут подчеркнуты зеленым, сохраните изменения.

    Касательно того, почему прокси блокирует — в исключениях Internet Explorer  у вас не добавлены ip-адреса, для которых прокси использовать не нужно. Задайте их в формате 10.200.*.*

    Innovation distinguishes between a leader and a follower — Steve Jobs

    • Изменено4 сентября 2017 г. 14:04
    • Помечено в качестве ответа6 сентября 2017 г. 13:40

    4 сентября 2017 г. 14:03 Ответить | Цитировать

  • Обнаружил занимательную вещь….

    Один контроллер домена 2008R2 русская, второй 2012R2 православная английская

    До сих пор лазил через 2012, сейчас залез через 2008 — при просмотре политике он отругался

    В меню создания параметров политики IE нет варианта IE10 и выше, как в 2012R2

    4 сентября 2017 г. 14:05 Ответить | Цитировать

  • В исключениях пробуйте не 192.168.12.0/24, а 192.168.12.* + не видно в исключениях сетку 10.200.0.*

    The opinion expressed by me is not an official position of Microsoft

    4 сентября 2017 г. 14:10 Ответить | Цитировать

  • Сеть 10.200.0.0/22 локальная, если и добавлять, то пропадает.

    Сейчас попробую.

    Индиферентно. Все как было, так и осталось…

    • Изменено4 сентября 2017 г. 14:35

    4 сентября 2017 г. 14:21 Ответить | Цитировать

  • Я можно вставлю тут?

    Задача банальна: задать всем через GPO параметры прокси-сервера.

    Создана групповая политика и слинкована в корень домена

    Это получается, на сервер любой зайдете и прокси прилетит сразу? Не лучше ли бы нормально сразу линковать политику на оушку с пользователями?

    В меню создания параметров политики IE нет варианта IE10 и выше, как в 2012R2

    И не будет, если хмлку откроете, черным по белому написано 10 и выше.

    До сих пор лазил через 2012, сейчас залез через 2008 — при просмотре политике он отругался

    Не надо пытаться редактировать новые шаблоны на старых версиях контроллеров.

    Всегда это делается оснасткой GP management из набора RSAT на рабочем месте администратора. Ходить по контроллерам только для того чтобы оснастку открыть сомнительное удовольствие.

    ИП прокси в ошибке другой, это тестовый ТМГ ещё не выведеный в бой

    Ну стало быть не применились параметры о чем Вам и написали коллеги выше. Проверяйте настройки политики.

    6 сентября 2017 г. 11:06 Ответить | Цитировать

  • У вас поля на странице параметров прокси-сервера (Lan Settings) отображаются с красными штрихами. Нажмите f5, поля будут подчеркнуты зеленым, сохраните изменения.

    Касательно того, почему прокси блокирует — в исключениях Internet Explorer  у вас не добавлены ip-адреса, для которых прокси использовать не нужно. Задайте их в формате 10.200.*.*

    Innovation distinguishes between a leader and a follower — Steve Jobs

    Илья, прошу пардону, как-то невнимательно пролистал Ваше замечание. Черт побери, именно так и есть! А я жамкал функциональные клавиши в просмотре политики! Мега-респект, побежал тестировать!6 сентября 2017 г. 13:40 Ответить | Цитировать

  • Я можно вставлю тут?

    Задача банальна: задать всем через GPO параметры прокси-сервера.

    Создана групповая политика и слинкована в корень домена

    Это получается, на сервер любой зайдете и прокси прилетит сразу? Не лучше ли бы нормально сразу линковать политику на оушку с пользователями?

    В меню создания параметров политики IE нет варианта IE10 и выше, как в 2012R2

    И не будет, если хмлку откроете, черным по белому написано 10 и выше.

    До сих пор лазил через 2012, сейчас залез через 2008 — при просмотре политике он отругался

    Не надо пытаться редактировать новые шаблоны на старых версиях контроллеров.

    Всегда это делается оснасткой GP management из набора RSAT на рабочем месте администратора. Ходить по контроллерам только для того чтобы оснастку открыть сомнительное удовольствие.

    ИП прокси в ошибке другой, это тестовый ТМГ ещё не выведеный в бой

    Ну стало быть не применились параметры о чем Вам и написали коллеги выше. Проверяйте настройки политики.

    В небольших сетя с WPAD есть одна пренеприятность — каким образом определять группы пользователей, которым нужно настроить один прокси, а вторым другой? Сейчас нахожусь на стадии миграции с ISA на TMG, нужны тестеры из рядов обычных пользователей, если есть решение, я был бы рад услышать.

    Прокси прилетит сразу, а в чем проблема?

    На контроллере с 2008R2 нет возможности создать политику для IE10, только для 8, нет функционала.

    Спасибо за критику относительно администрирования контроллеров, старые привычки, которые, порой, трудно искоренить =) Буду работать над этим.

    Действительно, параметры не применились, ещё раз спасибо.

    • Изменено6 сентября 2017 г. 13:54

    6 сентября 2017 г. 13:51 Ответить | Цитировать

  • На контроллере с 2008R2 нет возможности создать политику для IE10, только для 8, нет функционала.

    Люди точно также удивлялись почему с 2003-го не видят тех же шаблонов, что есть на контроллерах под 2008. Всегда- редактирование или на последней версии клиента, либо на последней версии контроллера.

    6 сентября 2017 г. 19:31 Ответить | Цитировать

Используемые источники:

  • http://pyatilistnik.org/how-to-prohibit-changing-proxy-through-gpo/
  • https://ilyubimov.blogspot.com/2018/09/gpo.html
  • https://social.technet.microsoft.com/forums/ru-ru/833b4547-db2d-4dc0-8b39-27334be0c2e0/105310721089109010881086108110821072

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации