Как заблокировать Internet Explorer
Обновлено: 21.11.2024
Не знаете, как отключить Internet Explorer? Вот как можно заблокировать Internet Explorer доступ к Интернету и удалить его.
Internet Explorer, любимая боксерская груша в Интернете, стал для большинства пользователей запоздалой мыслью. Хотя он по-прежнему включен в Windows 10 для устаревших корпоративных целей, Microsoft теперь включает Edge в качестве браузера Windows по умолчанию.
Несмотря на это, вы все еще можете задаться вопросом, как отключить Internet Explorer (IE). Возможно, вы не хотите, чтобы другие пользователи вашей системы работали в неуклюжем браузере, или просто ненавидите его и хотите заблокировать Internet Explorer в своей системе.
1. Как запретить Internet Explorer доступ в Интернет через брандмауэр Windows
Windows включает встроенный брандмауэр, который позволяет контролировать взаимодействие программ с Интернетом. Здесь вы можете настроить новое правило, чтобы блокировать все подключения через Internet Explorer.
Для начала найдите брандмауэр Windows и откройте брандмауэр Защитника Windows в режиме повышенной безопасности. Нажмите Правила для исходящих подключений на левой панели, затем выберите Новое правило справа.
В появившемся окне "Тип правила" выберите "Программа" и нажмите "Далее". Затем вам нужно будет найти исполняемый файл для Internet Explorer.
В 64-разрядной версии Windows 10 папки для Internet Explorer находятся как в папке Program Files, так и в папке Program Files (x86). В нашем тестировании блокировка версии IE внутри Program Files не дала результата, но блокировка файла внутри Program Files (x86) блокировала запуск обоих исполняемых файлов.
В результате вам следует заблокировать следующий файл, если вы используете 64-разрядную версию Windows:
Если вы используете 32-разрядную версию Windows, это будет в следующем месте:
Двигаясь дальше, выберите «Блокировать подключение» и установите его для применения ко всем трем доступным типам местоположений. Наконец, дайте ему описательное имя, например «Блокировать Internet Explorer». Вы также можете установить описание, если хотите.
После того, как вы это подтвердите, Internet Explorer не сможет получить доступ ни к чему в Интернете.
2. Как полностью отключить Internet Explorer
Если недостаточно просто заблокировать для Internet Explorer доступ к Интернету, давайте рассмотрим ядерный вариант. Вы можете полностью отключить Internet Explorer в своей системе, чтобы никто не мог его использовать.
Как выяснилось, Windows Internet Explorer нельзя удалить, как обычную программу, так как он считается частью Windows. Вместо этого вам придется отключить его в меню "Функции Windows".
Выполните поиск функций Windows в меню «Пуск» и выберите пункт «Включить или отключить функции Windows». Это приведет вас к панели со списком дополнительных функций в Windows. Здесь снимите флажок для Internet Explorer 11 и нажмите OK.
Windows потребуется некоторое время, чтобы удалить Internet Explorer, затем вам будет предложено перезагрузить компьютер, чтобы завершить процесс. После перезагрузки вы не увидите никаких следов Internet Explorer в вашей системе.
Если вам когда-нибудь понадобится снова получить доступ к IE, просто повторите этот процесс и установите флажок для Internet Explorer 11, чтобы снова включить его.
3. Блокировка Internet Explorer с помощью поддельного прокси-сервера
Это «классический» метод блокировки доступа в Интернет для Internet Explorer. Windows поддерживает использование прокси-сервера для подключения к Интернету. Вы можете воспользоваться этим, чтобы заблокировать весь сетевой трафик, направив свой компьютер на фиктивный прокси-сервер.
К сожалению, у этого трюка есть существенный недостаток. Почти все другие браузеры (включая Chrome и Firefox) используют настройки прокси-сервера, которые вы выбрали для Internet Explorer, а это означает, что это не позволит вам выходить в Интернет с помощью других браузеров. Таким образом, это почти слишком эффективно, так как вам нужно будет удалить настройку, когда вы захотите выйти в Интернет.
Чтобы изменить настройки прокси-сервера в Windows 10, выберите «Настройки» > «Сеть и Интернет» > «Прокси». Здесь отключите ползунок «Автоматически определять настройки» в верхней части страницы.
Далее перейдите в самый низ и включите параметр Использовать прокси-сервер. Установите для адреса фиктивное значение; 0.0.0.0 будет работать нормально. Оставьте Порт 80 и нажмите Сохранить.
После сохранения эти изменения вступят в силу немедленно. Чтобы отменить их и снова подключиться к Интернету, просто отключите ползунок «Использовать прокси-сервер».
Запретить другим изменять прокси-сервер
Было бы проблемой, если бы кто-то мог зайти в приложение "Настройки" и отключить настроенные вами параметры прокси-сервера. Чтобы предотвратить это, вы можете заблокировать доступ к этим настройкам.
Если вы используете Windows 10 Pro, вы можете сделать это с помощью редактора групповой политики. Введите gpedit.msc в меню «Пуск», чтобы открыть его, затем перейдите к следующему объекту:
Установите для этого параметра значение «Включено», и он заблокирует доступ к странице настроек, использованной выше, а также к настройкам прокси-сервера в устаревшем разделе «Свойства обозревателя» панели управления.
Те, у кого нет Windows 10 Pro, должны узнать, как получить доступ к редактору групповой политики в Windows Home. Хотя вы можете внести аналогичные изменения с помощью редактирования реестра, они немного неуклюжи для этого из-за того, что настройки прокси-сервера доступны как в панели управления, так и в приложении «Настройки».
4. Используйте семейный родительский контроль Windows 10
Windows 10 включает параметры родительского контроля под общим названием «семья». Это позволяет вам ограничить то, что ваши дети могут делать на компьютере. Одним из инструментов, которые он предоставляет, является возможность внесения определенных веб-сайтов в белый и черный списки с помощью Internet Explorer и Edge.
Если вы установите флажок Разрешить только эти веб-сайты, вы можете ограничить их просмотром только этих страниц. Объедините это с пустым списком, и вы фактически заблокируете доступ Internet Explorer к Интернету. Конечно, это работает только для детской учетной записи, но все же полезно.
Ознакомьтесь с нашим руководством по родительскому контролю в Windows 10, чтобы начать настройку семьи.
Настройка правильной учетной записи пользователя
Вышеуказанные методы являются основными способами отключения Internet Explorer и предотвращения его выхода в сеть. После того как вы настроите один из них, важно убедиться, что пользователи, которым вы не хотите предоставлять доступ к Internet Explorer, не смогут изменить эти настройки и сразу войти в него.
Для этого убедитесь, что эти учетные записи настроены как обычные пользователи, а не как администраторы. Перейдите в «Настройки» > «Учетные записи» > «Семья и другие пользователи», чтобы просмотреть учетные записи пользователей в вашей системе и убедиться, что они настроены как стандартные учетные записи.
Убедитесь, что вы также понимаете управление учетными записями пользователей в Windows. При использовании UAC учетные записи администраторов запускают программы от имени администратора только при необходимости. Обычные пользователи не могут вносить изменения на уровне системы (например, изменять правила брандмауэра) без предоставления учетных данных администратора.
Вы узнаете, что функция ограничена UAC, когда увидите сине-желтый экран рядом с ней. К сожалению, их нет в приложении "Настройки", так как они в основном появляются в устаревшей Панели управления.
При правильной настройке методов и правильных ограничениях для учетных записей пользователей Internet Explorer будет полностью заблокирован. И у кого-то другого не будет простого способа отменить ваши изменения. Дополнительные идеи см. в нашем руководстве по блокировке учетных записей пользователей Windows.
Блокировка Internet Explorer: успешно!
Мы рассмотрели, как заблокировать Internet Explorer доступ в Интернет. Метод брандмауэра — лучший выбор для большинства людей, хотя его полное удаление из Windows также работает. Что бы вы ни выбрали, убедитесь, что у вас заблокированы учетные записи, для которых вы вообще не хотите получать доступ к IE.
Помните, что большинство этих советов имеют довольно узкую направленность. Вы можете просмотреть наше полное руководство по родительскому контролю для защиты на других платформах.
Поддержка настольного приложения Internet Explorer 11 будет прекращена 15 июня 2022 г. Те же приложения и сайты IE11, которые вы используете сегодня, можно открывать в Microsoft Edge в режиме Internet Explorer. Узнайте больше здесь.
В этой статье описывается, как отключить и включить любую поддерживаемую версию Internet Explorer в Windows.
Применимо к: Windows
Исходный номер базы знаний: 4013567
Подробнее
Используйте один из следующих способов, чтобы отключить или включить Internet Explorer.
Если вы удалите Internet Explorer с помощью DISM, точка входа iexplore.exe будет удалена из файловой системы, но его механизм рендеринга останется в системе. Поэтому вам следует продолжать устанавливать обновления безопасности, применимые к Internet Explorer, даже после его отключения, если это применимо.
Чтобы восстановить программу на вашем компьютере, мы рекомендуем вам использовать тот же метод, который вы использовали для ее отключения (Панель управления или DISM).
Если отключить Internet Explorer одним из следующих способов, режим Internet Explorer (IE) в Microsoft Edge также будет недоступен. Чтобы продолжить использовать режим IE в Microsoft Edge для доступа к устаревшим приложениям, отключите Internet Explorer с помощью групповой политики, как описано в разделе Отключение Internet Explorer 11 как автономного браузера.
Способ 1. Использование дополнительных функций в панели управления (только клиентские системы)
Применимо к: Windows 10, версия 1703 и более поздние версии
Мы рекомендуем использовать метод «Дополнительные функции», если он доступен на ваших устройствах.
В клиентских системах выполните следующие действия, чтобы отключить Internet Explorer с помощью дополнительных функций в панели управления:
- Выберите «Пуск» > «Настройки».
- Выберите Приложения.
- Выберите Дополнительные функции.
- В списке установленных компонентов найдите Internet Explorer 11, выберите его, а затем выберите Удалить.
- Перезагрузите компьютер при появлении запроса на перезагрузку.
Чтобы включить Internet Explorer, выполните следующие действия:
- Выберите «Пуск» > «Настройки».
- Выберите Приложения.
- Выберите Дополнительные функции.
- Выберите Добавить функцию.
- Выберите Internet Explorer 11.
- Выберите «Установить» (1).
- Перезагрузите компьютер при появлении запроса на перезагрузку.
Способ 2. Использование дополнительных функций с DISM (клиентская и серверная системы)
Применимо к: Windows 10, версия 1703 и более поздние версии
Мы рекомендуем использовать метод «Дополнительные функции», если он доступен на ваших устройствах.
В клиентских и серверных системах используйте инструмент командной строки системы обслуживания образов развертывания и управления ими (DISM), чтобы отключить Internet Explorer.
Например, выполните следующие действия для Internet Explorer 11:
Отключить функцию
Выполните следующую команду в командной строке с повышенными привилегиями, чтобы отключить Internet Explorer 11: dism /online /Remove-Capability /CapabilityName:Browser.InternetExplorer~~~~0.0.11.0 .
Появится следующее сообщение:
Включить функцию
Выполните следующую команду в командной строке с повышенными привилегиями, чтобы снова включить Internet Explorer 11: dism /online /Add-Capability /CapabilityName:Browser.InternetExplorer~~~~0.0.11.0 .
Появится следующее сообщение:
Способ 3. Использование функций Windows в панели управления (только клиентские системы)
В клиентских системах выполните следующие действия, чтобы отключить Internet Explorer с помощью функций Windows на панели управления:
- Нажмите клавишу с логотипом Windows+R.
- В поле "Выполнить" введите appwiz.cpl и нажмите кнопку "ОК".
- В разделе "Программы и компоненты" выберите "Включить или отключить функции окна".
- В диалоговом окне "Компоненты Windows" снимите флажок установленной версии Internet Explorer. Например, найдите Internet Explorer 11 и снимите с него флажок.
- Нажмите "ОК".
- Перезагрузите компьютер.
Способ 4. Использование компонентов Windows с DISM (клиентская и серверная системы)
В клиентских и серверных системах используйте инструмент командной строки системы обслуживания образов развертывания и управления ими (DISM), чтобы отключить Internet Explorer.
Например, выполните следующие действия для Internet Explorer 11:
Отключить функцию
Выполните следующую команду в командной строке с повышенными привилегиями, чтобы отключить Internet Explorer 11: dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64 .
Появится следующее сообщение:
Перезагрузите компьютер при появлении запроса на перезагрузку.
Включить функцию
Выполните следующую команду в командной строке с повышенными привилегиями, чтобы снова включить Internet Explorer 11: dism /online /Enable-Feature /FeatureName:Internet-Explorer-Optional-amd64 .
Поддержка настольного приложения Internet Explorer 11 будет прекращена 15 июня 2022 года (список вопросов см. в разделе часто задаваемых вопросов). Те же приложения и сайты IE11, которые вы используете сегодня, можно открывать в Microsoft Edge в режиме Internet Explorer. Узнайте больше здесь.
В этой статье описывается, как отключить Internet Explorer 11 как автономный браузер в вашей среде.
Предпосылки
Требуются следующие обновления Windows и программное обеспечение Microsoft Edge:
- Windows 10, версия 21H1 или более поздняя
- Windows 10, версия 2004; Windows Server версии 2004; Windows 10, версия 20H2; Windows Server версии 20H2: KB4598291 или новее
- Windows 10 версии 1909: KB4598298 или новее
- Windows Server 2019; Windows 10 Корпоративная 2019 LTSC: KB4598296 или новее
- Windows Server 2016; Windows 10 Корпоративная 2016 LTSB: KB4601318 или более поздняя версия
- Windows 10 Корпоративная 2015 LTSB: KB4601331 или более поздняя версия
- Windows 8.1; Windows Server 2012 R2: KB4601384 или более поздняя версия
- Windows Server 2012: KB4601348 или более поздняя версия
Стабильный канал Microsoft Edge
Обзор
Для организаций, которым требуется Internet Explorer 11 (IE11) для совместимости с устаревшими версиями, режим Internet Explorer (режим IE) в Microsoft Edge обеспечивает удобную работу с одним браузером. Пользователи могут получить доступ к устаревшим приложениям из Microsoft Edge, не переключаясь обратно на IE11.
После настройки режима IE вы можете отключить IE11 как автономный браузер, не затрагивая функциональность режима IE в вашей организации с помощью групповой политики.
Если вам нужно отдельное приложение IE11 для определенных сайтов и вы хотите перенаправить весь остальной трафик браузера в Microsoft Edge, вы можете настроить политику Отправлять все сайты, не включенные в список сайтов, в Microsoft Edge, чтобы перенаправлять сайты из IE в Microsoft Край.
Взаимодействие с пользователем после перенаправления трафика в Microsoft Edge
При включении политики «Отключить Internet Explorer 11» в качестве отдельной политики браузера все действия IE11 перенаправляются в Microsoft Edge, и пользователи получают следующие возможности:
- Значок IE11 в меню "Пуск" будет удален, но значок на панели задач останется.
- Когда пользователи пытаются запустить ярлыки или ассоциации файлов, использующие IE11, они будут перенаправлены на открытие того же файла/URL-адреса в Microsoft Edge.
- Когда пользователи пытаются запустить IE11, напрямую вызывая двоичный файл iexplore.exe, вместо этого запускается Microsoft Edge.
В рамках настройки политики для этого интерфейса вы можете дополнительно отображать сообщение о перенаправлении для каждого пользователя, пытающегося запустить IE11. Это сообщение можно настроить для отображения «Всегда» или «Один раз для каждого пользователя». По умолчанию сообщение о перенаправлении, показанное на следующем снимке экрана, никогда не отображается.
Если ваш список сайтов в режиме предприятия содержит приложения, которые настроены для открытия в приложении IE11, и вы отключите IE11 с помощью этой политики, они будут открываться в режиме IE в Microsoft Edge.
Была известна проблема с пользовательским потоком, когда сайт настроен на открытие в приложении IE11 и задана политика отключения IE11. Проблема устранена в Microsoft Edge версии 91.0.840.0 или более поздних.
Отключить Internet Explorer 11 как отдельный браузер
Чтобы отключить Internet Explorer 11 с помощью групповой политики, выполните следующие действия:
Убедитесь, что у вас установлены необходимые обновления операционной системы. Этот шаг обновит файлы ADMX непосредственно на вашем компьютере (в частности, inetres.adml и inetres.admx). Обратите внимание: если вы хотите обновить центральное хранилище, вам потребуется скопировать файлы .adml и .admx с компьютера, на котором установлены необходимые обновления. Дополнительные сведения см. в разделе Создание центрального хранилища и управление им
.Откройте редактор групповой политики.
Перейдите в раздел Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Internet Explorer.
Дважды щелкните Отключить Internet Explorer 11 как автономный браузер.
Выберите «Включено».
В разделе "Параметры" выберите одно из следующих значений:
- Никогда, если вы не хотите уведомлять пользователей об отключении IE11.
- Всегда, если вы хотите уведомлять пользователей каждый раз, когда они перенаправляются из IE11.
- Один раз для каждого пользователя, если вы хотите уведомлять пользователей только о первом перенаправлении.
Нажмите "ОК" или "Применить", чтобы сохранить этот параметр политики.
Internet Explorer теперь включен только в Windows 10 как устаревший продукт, и у большинства пользователей никогда не будет причин его использовать.
Если вы хотите заблокировать Internet Explorer доступ к Интернету в вашей системе, это можно сделать несколькими простыми способами. К ним относятся:
- Блокировка IE с помощью брандмауэра Windows
- Полное отключение Internet Explorer
- Использовать родительский контроль в Windows 10
- Используйте IE Content Advisor
- Блокировать Internet Explorer со сторонними приложениями
Заблокировать доступ Internet Explorer в Интернет с помощью брандмауэра Windows
Один из самых быстрых и простых способов заблокировать Internet Explorer доступ к Интернету — использовать встроенный брандмауэр Windows 10.
Настройки брандмауэра Windows позволяют определить, как определенные приложения на вашем компьютере могут получать доступ к Интернету. Вы можете настроить подробное правило для блокировки всех входящих и исходящих интернет-соединений с Internet Explorer.
- Для этого выберите меню "Пуск" Windows и введите Брандмауэр.
- Выберите брандмауэр Защитника Windows.
- Выберите Дополнительные настройки в меню слева. Откроется брандмауэр Защитника Windows в режиме повышенной безопасности.
- Выберите «Правила для исходящих подключений» на левой панели навигации. Выберите Новое правило на правой панели.
- Откроется окно мастера создания правила для нового исходящего трафика. На первой странице этого мастера выберите «Программа» и нажмите «Далее».
- На следующей странице вам нужно будет выбрать путь к приложению Internet Explorer. Укажите путь (%programFiles% (x86)\Internet Explorer\iexplore.exe) в поле Путь к этой программе.
Примечание. Если указанный выше путь не работает после завершения работы мастера, измените этот путь на C:\Program Files\Internet Explorer\iexplore.exe.
- Чтобы продолжить, нажмите "Далее". На этой странице выберите Заблокировать подключение.
- Чтобы продолжить, нажмите "Далее". Убедитесь, что выбраны «Домен», «Общедоступный» и «Частный».
- Дайте правилу имя и нажмите "Готово".
Теперь, когда вы заблокировали все исходящие интернет-соединения из Internet Explorer, при открытии IE вы увидите, что больше не можете получить доступ к каким-либо веб-сайтам.
Полное отключение Internet Explorer
Есть несколько способов полностью отключить Internet Explorer на любом ПК с Windows 10. Windows Internet Explorer не является стандартным приложением Windows. Это считается функцией в Windows. Из-за этого вам необходимо отключить его в компонентах Windows.
- Выберите меню "Пуск" и введите Компоненты Windows.
- Выберите «Включить или отключить функции Windows».
- Прокрутите список функций вниз, чтобы найти Internet Explorer и отменить его выбор.
- Нажмите "ОК", чтобы полностью отключить Internet Explorer.
Windows предложит вам перезагрузить систему, чтобы полностью завершить отключение и удаление IE из вашей системы Windows.
Альтернативой использованию компонентов Windows является команда, которую вы можете запустить, чтобы отключить или включить Internet Explorer.
- Сначала выберите меню "Пуск" и введите "Командная строка".
- Щелкните правой кнопкой мыши приложение командной строки и выберите "Запуск от имени администратора".
- Введите команду dism /online /Disable-Feature /featureName: Internet-Explorer-Optional-amd64.
Вы увидите подтверждающее сообщение об успешном завершении операции.
Использовать родительский контроль в Windows 10
Вы можете заблокировать Internet Explorer от доступа к Интернету с помощью встроенных в IE средств родительского контроля. Но прежде чем вы сможете это сделать, вам нужно настроить семью в Windows 10.
- Выберите меню "Пуск", введите "Настройки" и откройте приложение "Настройки".
- Выберите Семья и другие пользователи на левой панели.
- В разделе "Ваша семья" выберите символ + рядом с пунктом "Добавить члена семьи".
- Вам нужно будет пригласить членов семьи, для которых вы хотите контролировать доступ в Интернет, используя их адреса электронной почты.
Примечание. Microsoft потребуется снять с вашей кредитной карты 50 центов США, чтобы подтвердить, что вы являетесь совершеннолетним членом семьи.
- Добавив ребенка в семейную учетную запись, вы можете заблокировать доступ к Интернету в Internet Explorer, включив параметр Разрешить только эти веб-сайты и оставив этот список пустым.
Вы будете блокировать Internet Explorer доступ к Интернету только для членов семьи, которых вы настроили, но это один из вариантов, если вы хотите это сделать.
Блокировка Internet Explorer с помощью стороннего брандмауэра
Если вы предпочитаете, чтобы брандмауэр Защитника Windows был отключен, вместо этого вы можете использовать сторонний инструмент брандмауэра, например Free Firewall.
Многие приложения брандмауэра загружаются поверх брандмауэра Windows, предоставляя ему дополнительные функции, но не позволяя вам контролировать отдельные приложения. Бесплатный брандмауэр позволяет блокировать доступ в Интернет для отдельных приложений, таких как Internet Explorer.
- Чтобы настроить это, запустите Internet Explorer, а затем установите и запустите приложение Free Firewall.
- Выберите Приложения на левой панели навигации.
- Прокрутите список приложений и найдите Internet Explorer. Вы должны увидеть одну запись для 64-разрядной и 32-разрядной версий.
- Измените настройку для обоих на Запретить все.
- Этот параметр не будет активен, пока вы не активируете брандмауэр. Для этого выберите Пуск на левой панели навигации.
- В этом окне включите брандмауэр.
Теперь, когда это включено, Internet Explorer не будет иметь доступа к Интернету, в то время как все остальные браузеры по-прежнему будут иметь его.
Блокировка Internet Explorer путем обновления прокси-сервера
Есть еще один вариант, который заблокирует доступ в Интернет из Internet Explorer, но также заблокирует доступ в Интернет из всех других браузеров.
Все интернет-соединения через порт 80 (просмотр веб-страниц) проходят через прокси-сервер, настроенный вашим интернет-провайдером. Это работает благодаря настройке локальной сети на вашем ПК для автоматического определения настроек для правильного прокси-сервера.
- Вы можете найти этот параметр, выбрав меню "Пуск" и введя "Свойства обозревателя".
- В окне "Свойства обозревателя" выберите вкладку "Подключения" и выберите "Настройки локальной сети".
- В окне "Параметры локальной сети" снимите флажок "Автоматически определять параметры" и выберите "Использовать прокси-сервер для вашей локальной сети".
- Укажите адрес, который не является настоящим прокси-сервером, например 1.0.0.0. Нажмите OK, чтобы завершить настройку.
Теперь ни один браузер на вашем ПК не сможет получить доступ к Интернету. Однако имейте в виду, что любой опытный пользователь компьютера, который хочет снова включить доступ в Интернет, может просто зайти в настройки локальной сети и вернуть эти настройки в нормальное состояние.
Райан пишет инструкции и другие статьи о технологиях в Интернете с 2007 года. Он имеет степень бакалавра наук в области электротехники, 13 лет работал в области автоматизации, 5 лет — в ИТ, а сейчас работает инженером по приложениям. Прочитать полную биографию Райана
Понравился ли вам этот совет? Если это так, загляните на наш канал YouTube на нашем родственном сайте Online Tech Tips. Мы охватываем Windows, Mac, программное обеспечение и приложения, а также предлагаем множество советов по устранению неполадок и обучающих видеороликов. Нажмите кнопку ниже, чтобы подписаться!
Обновлено: 15 февраля 2020 г.
Как и многие технические специалисты, я прочитал недавний шквал сообщений о новой критической уязвимости в устаревшем обработчике сценариев Internet Explorer (jscript.dll) и о том, как она активно эксплуатируется. Само по себе это может случиться, верно. Но что меня раздражало, так это предвестие мрака и обреченности в Сети. В основном паника, и очень мало внимания уделяется попыткам проанализировать эту проблему и посмотреть, можно ли ее смягчить элегантным способом.
На самом деле Microsoft предложила обходной путь — вы можете запретить доступ к уязвимой библиотеке. Но это также вызывает побочные эффекты. Вы можете увидеть проблемы с печатью, доступом к редактору групповой политики и некоторыми другими проблемами. Поэтому я сел и подумал, есть ли способ уменьшить влияние уязвимости, не заставляя систему работать со сбоями?
Масштаб проблемы
Уязвимость существует в обработчике сценариев (Internet Explorer). Это означает, что любая программа, которая вызывает этот движок, потенциально может вызвать повреждение памяти и потенциально привести к произвольному выполнению кода. Обычно это Internet Explorer, возможно, Microsoft Office и, возможно, какие-то странные устаревшие приложения, которые вряд ли можно найти в типичной домашней среде.
Решение состоит в том, чтобы не запускать Internet Explorer и не открывать странные файлы или ссылки в других программах. Так вот, это всегда так, несмотря ни на что. Проблема в том, что если вы «случайно» откроете Internet Explorer на странице, которая может вызвать эту уязвимость?
Не запускайте Internet Explorer
У Windows уже давно есть возможность запретить определенные приложения. Это можно реализовать через реестр или редактор групповой политики (для пользователей профессиональной версии) и предотвратит запуск перечисленных программ. В частности, запустите gpedit.msc, выберите «Конфигурация пользователя» > «Система», а затем откройте политику, которая гласит: «Не запускать указанные приложения Windows».
Включите политику. Затем в разделе «Параметры:» нажмите «Показать» и добавьте iexplore.exe в список запрещенных приложений.
Теперь это работает, как рекламируется, но только если вы используете Windows Explorer или меню «Пуск» для запуска программы. Он не блокирует доступ другими способами и не запрещает приложениям использовать библиотеку jscript.dll. Не волнуйся, мы доберемся туда. Я продвигаюсь медленно, линейно.
Аналогично путь реестра для добавления приложений:
Параметры выполнения файла изображения (IFEO)
Мы говорили об этой супер-полезной и мощной функции в контексте GWX. Вы можете использовать его, чтобы изменить поведение любой программы в вашей системе. По сути, мы будем использовать функциональность отладчика и, таким образом, изменим выполнение iexplore.exe с его поведения по умолчанию на запуск пустой оболочки cmd. По сути, фиктивный запуск, который ничего не делает и не вызывает библиотеки Javascript.
Это позволит вам «запустить» Internet Explorer, но весь запуск будет просто порождением оболочки командной строки, которая просто завершается. Это означает, что независимо от того, как вы запускаете Internet Explorer, на самом деле он не запустится, что снижает риск загрузки библиотеки jscript.dll в память.
Обратите внимание, что это влияет только на Internet Explorer и не мешает другим программам использовать библиотеку, например, Microsoft Word, показывающий документ с искаженным встроенным объектом, который ссылается на функции jscript.dll. Но это снижает риск использования библиотеки, особенно сетевыми программами, такими как Internet Explorer. Другим инструментам в вашей системе может по-прежнему требоваться эта библиотека, но если они не обязательно подключаются к внешним сетевым ресурсам, риски снижаются.
Прелесть IFEO в том, что он не требует ничего, кроме настройки ключа реестра. Если вы хотите вернуться назад, просто удалите строку отладчика, и вы вернетесь к старой функциональности.
Наконец, если вы используете программное обеспечение для защиты от вредоносных программ, некоторые могут счесть это потенциальным взломом IFEO. Имейте в виду этот факт, а затем двигайтесь дальше и, возможно, даже примите более разумный способ обеспечения компьютерной безопасности. Но это тема для другого раза.
Давайте поговорим о jscript.dll
Теперь моя работа выше не решает проблему. Это работает, уменьшая вероятность запуска Internet Explorer. Правильным решением является обновление библиотеки. Технически, вы можете «просто» скопировать новую исправленную версию поверх старой, и все готово. Но механизм Центра обновления Windows немного сложнее.
Таким образом, решение проблемы заключается в удалении разрешения на выполнение из библиотеки. Вы можете сделать это в командной строке, как говорится в бюллетене, или вы можете сделать это с помощью проводника Windows. Причина использования командной строки заключается в том, чтобы стать владельцем (системной) библиотеки, чтобы иметь возможность изменять ее параметры безопасности. Кроме того, вы можете манипулировать разрешениями, открыв cmd (или проводник) через ExecTI, утилиту, которая позволяет вам запускать программы с самыми высокими привилегиями, как я показал вам в моем списке обязательных утилит администрирования Windows.
Что вам нужно сделать, так это снять флажок «Прочитать и выполнить» для всех перечисленных групп или пользователей. Но потом побочные эффекты! Например, вышеупомянутый редактор групповой политики не запустится правильно, если для администраторов запрещено выполнение. Это также подчеркивает важность работы от имени обычного пользователя , так как вы можете не запускать Jscript для пользователей, и тогда вы все равно сможете использовать Internet Explorer без какого-либо влияния на функциональность системы.
Редактор групповой политики с JScript.dll не может быть запущен. Неправильный макет.
Но затем, поскольку это все, что нужно сделать, вы можете отключить чтение и выполнение и переключать его, когда вам это нужно, пока вы не сможете применить официальный патч — при условии, что вы действительно хотите его применить. В некоторых сценариях вы можете не захотеть или не иметь возможности, и вам даже может понадобиться использовать Internet Explorer. Но это вряд ли в домашних условиях. И я не говорю здесь о корпоративной безопасности. Так что опустите вилы. Наконец, вы можете сделать то же самое для Internet Explorer — удалить разрешение на выполнение.
Прочее — локальные сценарии
Затем, если вам нужно использовать Internet Explorer, вы можете отключить активные сценарии в разделе «Свойства обозревателя». На самом деле это старые новости, поэтому я не буду здесь слишком заострять на этом внимание. Более практично избегать случайного запуска файлов Javascript, хранящихся на вашем локальном диске, через сервер сценариев Microsoft. Это значение по умолчанию даже в Windows 10. Но на самом деле существует очень мало причин, по которым вам нужно запускать файлы Javascript локально, вне контекста вашего браузера.
Что вам нужно сделать, так это создать фиктивный файл Javascript, что-то вроде file.js. Щелкните правой кнопкой мыши > Открыть с помощью, а затем выберите любой текстовый редактор (в разделе Дополнительные приложения). Это означает, что даже если дважды щелкнуть локально сохраненный файл Javascript, он откроется как текстовый файл.
Заключение
Не позволяйте панике быть вашим компасом. Некоторые проблемы безопасности являются серьезными и требуют тщательного изучения. Но другие не обязательно так ужасны, как могут показаться, исходя из болтовни в Интернете. В данном случае да, это нехорошо. С другой стороны, отсутствие Internet Explorer в значительной степени решает эту проблему. Кроме того, не будьте n00b и не запускайте файлы в произвольном порядке слева и справа, и все будет в порядке.
В этой статье я попытался дать вам несколько более спокойный обзор того, что дает, и вариантов, которые у вас есть. Самое главное, вы можете использовать сказочную магию IFEO, чтобы предотвратить запуск Internet Explorer, не задавая вопросов. Таким образом, вы снижаете риск ерунды, будь то старая программа запуска игр, которая жестко кодирует iexplore.exe для сообщений или объявлений, или ваши собственные нервные пальцы. Вы также можете отключить права на выполнение для библиотеки, и если ваша система настроена для обычного пользователя, вам может даже не понадобиться идти на компромисс с ограниченной функциональностью из-за отключенной библиотеки. Ну вот. Наслаждайтесь Webz.
Читайте также: