1

Я некоторое время гуглил и не нашел простого способа сделать это.

По сути, я хочу убедиться, что пользователи IE в моей сети не могут просматривать фишинговый сайт или те, которые скомпрометированы ненадежным сертификатом. В настоящее время они получат предупреждение о недоверенности, но все равно смогут его обойти.

Я ищу что-то можно сделать с помощью групповой политики.

Может ли кто-нибудь помочь? Спасибо вперед!

2 ответа2

0

Самый простой подход с брандмауэром периметра:

 Deny source destination tcp 80.
 Allow source destination tcp 443.

Используйте клиентский брандмауэр Windows, если блокировка периметра является слишком строгой. Преимущества межсетевого экрана:

  • ограничивает исходящее правило для приложения (т. е. IE)
  • Простая настройка GPO.

Пример PowerShell:

New-NetFirewallRule -Protocol TCP -RemotePort 80 -Program “C:\Program Files\Internet Explorer\iexplore.exe” -Action Block -Profile Domain, Private -DisplayName “Block IE TCP 80” -Description “Block WWW TCP 80 from IE” -Direction Outbound

Дополнительные соображения

  • Закрепление сертификата Microsoft EMET.
  • Применение политики таблицы политик разрешения имен Microsoft (NRPT) для смягчения последствий DNS-отравлений и DNS MITM.
  • Дополнительные исходящие правила для публичных и приватных профилей. Разрешите только этим профилям подключаться к внешним VPN-шлюзам компании или RDP.
  • Используйте прокси-сервер, который обеспечивает 443 для вашего профиля домена.

Я думаю, что ограничение всего трафика WWW до 443 - хорошая идея. Это не будет работать для всех ситуаций, хотя. Удачи!

0

В Windows Internet Explorer нет политики / опции, которая позволяла бы вам это делать. Вы можете попробовать написать собственный браузер, который предотвращает загрузку любого веб-сайта с недействительной сертификацией, но это, вероятно, много усилий для достижения того, чего вы пытаетесь достичь.

Существует "хак", который я бы не рекомендовал, но должен позволить вам настроить страницы ошибок в Internet Explorer, отредактировав файл ieframe.dll.mui. Однако вам нужно будет сделать это на каждом ПК и повторно применить его, когда Microsoft обновит этот файл.

Если вы сделаете это, вам понадобится немного программного обеспечения под названием Resource Hacker, а затем используйте его для редактирования файла C:\Windows\System32\en-US\ieframe.dll.mui . Там перейдите к 23\INVALIDCERT.HTM\1033 и удалите сегмент <!-- continue to site--> .

Опять я бы не рекомендовал это. Вместо этого, почему бы не отфильтровать весь веб-трафик ваших пользователей через прокси-сервер с хорошим программным обеспечением для веб-безопасности, чтобы предотвратить последние фишинговые сайты.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .