В одной из предыдущих статей мы показывали, как централизованно задать параметры прокси-сервера в Windows через GPO. Однако даже после этого пользователи могут вручную изменить настройки прокси-сервера на своих компьютерах. В этой статье мы рассмотрим, как с помощью групповых политик запретить пользователям менять настройки прокси-сервера в Windows.
После того, как администратор назначил пользователям настройки прокси-сервера через GPO, пользователь в любой момент может изменить их. В Windows 10 и 11 можно изменить настройки прокси из панели Settings -> Network and Internet -> Proxy.
Хотя настройки прокси-сервера будут перезаписывать каждые 90 минут при обновлении групповых политик, иногда нужно полностью запретить пользователям домена менять параметры прокси-сервера, заданные через GPO.
- Откройте консоль управления доменными групповыми политиками (
gpmc.msc
) и отредактируйте вашу политику с настройками прокси-сервера; - Перейдите в раздел GPO User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer;
- Найдите политику Prevent changing proxy settings и измените ее значение на Enabled;
Аналогичная политика есть в разделе Computer Configuration. Политика в этом разделе позволит запретить менять настройки прокси для всех пользователей компьютера.
- После обновления политик на клиенте, в окне с настройками прокси в Windows появится надпись “Some of these settings are hidden or managed by your organization”. Поля с параметрами прокси-сервера при этом станут недоступными для редактирования.
Данная политика действует на все браузеры, которые берут настройки прокси сервера из Windows-proxy (Google Chrome, Microsoft Edge, Internet Explorer и в Mozilla Firefox с режимом Use system proxy settings) как в Windows 10, так и в Windows 11.
В Windows 10/11 вы можете скрыть окно с настройками прокси-сервера в панели Settings. Для этого включите следующую политику в разделе User (или Computer) Configuration –> Administrative Templates –> Control Panel -> Settings Page Visibility.
Для скрытия настроек прокси нужно в текстовом поле политики указать:
Hide:Network-Proxy
Вкладка с настройками прокси в панели управления Settings будет скрыта после обновления настроек локальных политик.
Вы можете запретить менять настройки прокси через рассмотренную выше политику или через реестр. Внести изменения в реестр можно через Group Policy Preferences (User Configuration -> Preferences -> Windows Settings -> Registry). Создайте в указанном разделе GPO новый параметр реестра со следующими настройками:
- Hive: HKEY_CURRENT_USER
- Key Path: SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
- Value name: Proxy
- Value type: REG_DWORD
- Value data: 1
Чтобы политика блокировки настроек прокси сервера не применялась для локальных администраторов компьютера, нужно настроить Item-Level Targeting.
Для этого в настройках параметра реестра перейдите на вкладку Common, включите опцию Remove this item when it is no longer applied. Затем включите опцию Item-Level Targeting и нажмите кнопку Targeting. Создайте новое правило: New Item -> Security Group -> Item option -> Is not и укажите имя группы, для которой не должна применяться данная политика. В нашем примере это группа
spb_admins
, которая добавлена на компьютерах в группу локальных администраторов через GPO.
Также можно запретить применение политики для определенной группы пользователей через GPO Security Filtering. Добавьте группы пользователей, к которым не должна применяться GPO на вкладке Delegation в консоли Group Policy Management (например
spb_admin
), указав для данных групп в разрешениях Apply Group policy – Deny.
Обратите внимание, что пользователь с правами локального администратора все еще может отредактировать настройки прокси сервера непосредственно в своей ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
Обычный пользователь также может запустить редактор реестра и отредактировать параметры в своей ветке реестра, подавив запрос UAC.
Чтобы изменить адрес прокси сервера достаточно отредактировать значение параметра ProxyServer. Настройки прокси, внесенные в этой ветке реестре, применяются в Windows немедленно.
В предыдущей статье мы показали вам, как централизованно устанавливать параметры прокси-сервера в Windows с помощью объекта групповой политики. Однако даже в этом случае пользователи могут вручную изменить настройки прокси на своих компьютерах. В этой статье мы рассмотрим, как запретить пользователям изменять настройки прокси в Windows с помощью групповой политики.
После того, как администратор назначил параметры прокси-сервера пользователям через GPO, пользователь может изменить их в любое время. В Windows 10 и 11 вы можете изменить настройки прокси в Панели настроек -> Сеть и Интернет -> Прокси.
Хотя параметры прокси-сервера перезаписываются каждые 90 минут при обновлении групповой политики, иногда необходимо полностью запретить пользователям домена изменять параметры прокси-сервера, установленные с помощью объекта групповой политики.
- Откройте консоль управления групповой политикой домена (
gpmc.msc) и измените свою политику с настройками прокси-сервера;
- Перейдите в Конфигурация пользователя GPO -> Административные шаблоны -> Компоненты Windows -> Internet Explorer;
- Найдите политику Запретить изменение настроек прокси и измените ее значение на Включено; Аналогичная политика есть в разделе «Конфигурация компьютера». Политика в этом разделе позволит вам запретить изменение настроек прокси для всех пользователей компьютера.
- После обновления политики на клиенте в окне настроек прокси в Windows появляется сообщение «Некоторые из этих параметров скрыты или управляются вашей организацией». В этом случае поля с параметрами прокси-сервера будут недоступны для редактирования.
Эта политика применяется ко всем браузерам, которые берут настройки прокси-сервера с прокси Windows (Google Chrome, Microsoft Edge, Internet Explorer и Mozilla Firefox в режиме использования системных настроек прокси) как в Windows 10, так и в Windows 11.
В Windows 10/11 вы можете скрыть окно настроек прокси на панели настроек. Для этого включите следующую политику в разделе «Конфигурация пользователя (или компьютера)» -> «Административные шаблоны» -> «Панель управления» -> «Видимость страницы настроек.
Чтобы скрыть настройки прокси, нужно указать в текстовом поле политики:
Hide:Network-Proxy
Обновите шаблоны административной групповой политики, если этот параметр отсутствует в редакторе GPO.
Вкладка настроек прокси на панели управления «Настройки» будет скрыта после обновления настроек локальной политики.
вы можете предотвратить изменение настроек прокси-сервера с помощью описанных выше политик или через реестр. Вы можете вносить изменения в реестр с помощью настроек групповой политики (Конфигурация пользователя -> Настройки -> Настройки Windows -> Реестр). Создает новое значение реестра в указанном объекте групповой политики со следующими параметрами:
- Улей: HKEY_CURRENT_USER
- Путь ключа: ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Политики \ Microsoft \ Internet Explorer \ Панель управления
- Имя значения: Прокси
- Тип значения: REG_DWORD
- Данные значения: 1
Чтобы предотвратить применение политик блокировки настроек прокси-сервера к администраторам локальных компьютеров, таргетинг должен быть настроен на уровне элемента.
Для этого перейдите на вкладку Общие в настройках параметров реестра, включите опцию Удалять этот элемент, когда он больше не применяется. Затем включите параметр Таргетинг на уровне элемента и нажмите кнопку Таргетинг. Создайте новое правило: «Новый элемент» -> «Группа безопасности» -> «Параметр элемента» -> «Нет» и укажите имя группы, для которой эта политика не должна применяться. В нашем примере это группа
spb_admins
, которая была добавлена на компьютерах в группу локальных администраторов через GPO.
вы также можете запретить применение политики к определенной группе пользователей с помощью GPO фильтра безопасности. Добавьте группы пользователей, к которым не следует применять GPO, на вкладке «Делегирование» в консоли управления групповой политикой (например,
spb_admin
), указав Запретить для этих групп в разрешениях «Применить групповую политику.
Обратите внимание, что пользователь с правами локального администратора по-прежнему может изменять настройки прокси-сервера непосредственно в разделе реестра HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings.
Обычный пользователь также может запустить редактор реестра и изменить настройки в своей ветке реестра, подавив запрос UAC.
Чтобы изменить адрес прокси-сервера, просто измените значение параметра ProxyServer. Настройки прокси, сделанные в этой ветке реестра, сразу же применяются в Windows.
Источник изображения: winitpro.ru
Для операционных систем «Window 7 Начальная», «Window 7 Домашняя базовая» и «Window 7 Домашняя расширенная». Для браузеров Internet Explorer, Chrome и Яндекс.Браузер. Чтобы запретить изменение настроек прокси сервера для необходимо произвести изменение в реестре операционной системы. Сделать это можно вручную, либо, скачав файл авто настройки реестра, которой необходимо запустить от имени администратора. Ручная настройка.
- Выполните настройки прокси как написано в инструкции, соответствующей Вашему браузеру.
- Чтобы запустить «Редактор реестра» нажмите “Пуск → Все программы → Стандартные →Выполнить” (или нажмите комбинацию клавиш Win + R).
Появится окно выполнения команд «Выполнить». В поле открыть, введите “regedit” и кликните по кнопке OK.
- С помощью дерева каталогов пройдите по следующим путям и установите параметры:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
«AutoConfigURL»=http://www.ligainternet.ru/proxy/proxy.pac
«ProxyEnable»=dword:00000001
«ProxyServer»= «proxy.ligainternet.ru:8080»
«ProxyOverride»=»» - Если нет раздела [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer] создайте его.
- Если нет раздела [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] создайте его.
Установите в разделе параметр
«Proxy»=dword:00000001 - Если нет раздела [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] создайте его.
Установите в разделе параметр
«NoBrowserOptions»=dword:00000001
- Теперь пользователь без административный прав не сможет сменить адрес прокси сервера.
Чтобы запретить (заблокировать) изменение настроек прокси-сервера в Mozilla Firefox, нужно немного отредактировать файл mozilla.cfg, который находится в папке с установленным браузером, в моем случае C:\Program Files\Mozilla Firefox. Открываем этот файлик любым текстовым редактором и заменяем, либо добавляем такой вот код://Для тех, кто хоть немного знает английский — понятно, что в первых четырех строчках запрещается обновление браузера. Дальше строчкой lockPref(«network.proxy.type», 1); устанавливается, что будут использоваться ручные настройки прокси-сервера и блокируется изменение настроек прокси-сервера. В следующей строке lockPref(«network.proxy.http», «*.*.*.*»); указываем ip прокси сервера, порт указывается в строке lockPref(«network.proxy.http_port», ****);. В следующей строке указываем исключения для использования прокси сервера, как показано на примере выше. Сохраняем изменения и перезапускаем Mozilla Firefox, убеждаемся, что настройки прокси заблокированы.
try {
lockPref("app.update.enabled", false);
lockPref("app.update.autoUpdateEnabled", false);
lockPref("extensions.update.enabled", false);
lockPref("extensions.update.autoUpdateEnabled", false);
lockPref("network.proxy.type", 1);
lockPref("network.proxy.http", "*.*.*.*");
lockPref("network.proxy.http_port", ****);
lockPref("network.proxy.no_proxies_on", "*.*.*.*,vk.com,v.obhodilka.ru,cameleo.ru");
} catch(e) {
displayError("lockedPref", e);
}
—————————————————————
Что же касается браузера Internet Explorer, то в этом случае нужно создать reg-файлы, в котором укажем, какие изменения нужно занести в реестр, потому как настройки прокси в IE прописываются в реестре. Первый файлик назвем к примеру ie_lock_proxy_change.reg — создается и открывается любым текстовым редактором. В этом файлике сохраняем такой код:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Proxy"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserOptions"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"="*.*.*.*:****"
"ProxyOverride"="10.*.*.*;vk.com;"
Данный код создает определенные ветки в реестре, а потом создает значения, необходимые для блокировки либо разблокировки настроек. Например: значение «Proxy»=dword:00000001 блокирует изменение настроек прокси-сервера в IE. Если вместо 1 поставить 0, тогда настройки прокси разблокируются. Значение «NoBrowserOptions»=dword:00000000 при 0 разрешает доступ к настройкам IE, если же ставим 1, тогда запрещается доступ к Tools-Internet Options, т.е. запрещается менять любые настройки IE. Значение «ProxyServer»=»*.*.*.*:****» указывает на прокси-сервер и порт, например «ProxyServer»=»192.168.1.1:8080» указывает на то, что будет использоваться прокси-сервер 192.168.1.1 и порт 8080. В следующей строке записываем адреса, для которых не нужно использовать прокси-сервер. В вышеуказанном примере — это айпи-адреса 10.*.*.*, сайт vk.com и локальные адреса
. Для того, чтобы эти reg-файлы можно было запускать на удаленной машине и не выпадало окошко с вопросом о разрешении внесения изменений в реестр windows, можно создать bat-файл с таким кодом:
regedit /s ie_lock_proxy_change.reg
Тогда можно отправить bat-файл в автозагрузку, так что автоматом будут блокироваться настройки прокси IE. Если reg-файл лежит не в той же папке, что и bat-файл, тогда нужно в bat-файле указать полный путь к reg-файлу. Вот, вобщем-то, и все пока что…
I have my office workstation where some script is running in the background and changes the proxy setting to some pre-defined value which I don’t want to use. I have to check the proxy setting every time I open the browser and change it to the value I want. Is there any way I could prevent the automatic change by restricting permissions to some keys in the registry or something like that?
soandos
24.2k28 gold badges102 silver badges134 bronze badges
asked Jun 28, 2011 at 8:00
2
I guess the script runs under an administrator account, so you cannot prevent it from changing the proxy settings. What you could do:
- Write a script of your own, that changes the settings back
- Ask which script changes the proxy settings and turn it off
If your policies allow to change proxies, you should be allowed to turn the script off, if changing proxies is the only thing it does.
answered Jun 28, 2011 at 8:45
culariscularis
1,2498 silver badges10 bronze badges
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.