Como proibir o IE para navegar em um site https se o certificado não for confiável?

Navegue suas respostas
1

Estou no Google há algum tempo e não encontrei nenhuma maneira fácil de fazer isso.

Basicamente, quero ter certeza de que os usuários do IE em minha rede não podem navegar em sites possivelmente de phishing, ou aqueles que estão comprometidos com um certificado não confiável. Atualmente, eles receberão um aviso não confiável do certificado, mas ainda poderão ignorá-lo.

Estou à procura de algo que possa ser feito através da política de grupo.

Alguém pode ajudar? Obrigado pela frente!

    
por xiaoyi 20.01.2014 / 11:06

2 respostas

0

Não há política / opção no Windows Internet Explorer que permita fazer isso. Você pode tentar escrever um navegador personalizado que impeça o carregamento de qualquer site com uma certificação inválida, mas isso provavelmente é um grande esforço para o que você está tentando alcançar.

Existe um "hack" que eu não recomendaria, mas deve permitir que você personalize as páginas de erro no Internet Explorer editando o arquivo ieframe.dll.mui. No entanto, você precisaria fazer isso em cada PC e reaplicá-lo quando a Microsoft atualizar esse arquivo.

Se você fizer isso, precisará de um software chamado Resource Hacker e, em seguida, usar isso para editar o arquivo C:\Windows\System32\en-US\ieframe.dll.mui . Lá, navegue até 23\INVALIDCERT.HTM33 e remova o segmento <!-- continue to site--> .

Mais uma vez, eu não recomendaria isso. Em vez disso, por que não filtrar todo o tráfego da Web de seus usuários por meio de um servidor proxy, com um bom software de segurança da Web para impedir os sites de phishing mais recentes.

    
por 20.01.2014 / 12:21
0

A abordagem mais fácil é com o firewall de perímetro: 

 Deny source destination tcp 80.
 Allow source destination tcp 443.

Use o firewall de cliente do Windows se o bloqueio do perímetro for muito restritivo. Benefícios do firewall da janela:

  • limita a regra de saída por aplicativo (por exemplo, IE)
  • Configuração fácil do GPO.

Exemplo do PowerShell: 

New-NetFirewallRule -Protocol TCP -RemotePort 80 -Program “C:\Program Files\Internet Explorer\iexplore.exe” -Action Block -Profile Domain, Private -DisplayName “Block IE TCP 80” -Description “Block WWW TCP 80 from IE” -Direction Outbound

Considerações adicionais

  • Fixação de certificado do Microsoft EMET.
  • Aplique a política NRPT (Política de resolução de nomes de nomes da Microsoft) para reduzir o envenenamento de DNS e o DNS MITM.
  • Regras de saída adicionais para perfis públicos e privados. Permitir apenas que esses perfis se conectem a gateways VPN ou RDP externos da empresa.
  • Use o servidor proxy que aplica 443 ao seu perfil de domínio.

Acho que restringir todo o tráfego WWW a 443 é uma boa ideia. Não funcionará para todas as situações. Boa sorte!

    
por 11.01.2015 / 03:31

Tags

Ubuntu + NetworkManager + openvpn - substitui completamente o /etc/resolv.conf por servidores DNS com openvpn? Bateria Anker desliga-se para o HP Dv6 2064ca