ในบทความก่อนหน้านี้ เราได้แสดงวิธีกำหนดการตั้งค่าพร็อกซีใน Windows ผ่าน GPO อย่างไรก็ตาม แม้แต่ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบก็สามารถเปลี่ยนการตั้งค่าพร็อกซีบนคอมพิวเตอร์ได้ด้วยตนเอง ในบทความนี้ เราจะมาดูวิธีป้องกันไม่ให้ผู้ใช้เปลี่ยนการตั้งค่าพร็อกซีเซิร์ฟเวอร์ใน Windows โดยใช้นโยบายกลุ่ม
หลังจากที่ผู้ดูแลระบบกำหนดการตั้งค่าพร็อกซีเซิร์ฟเวอร์ให้กับผู้ใช้ผ่าน GPO แล้ว ผู้ใช้สามารถเปลี่ยนแปลงได้ตลอดเวลา ใน Windows 10 และ 11 คุณสามารถเปลี่ยนการตั้งค่าพร็อกซีได้จาก การตั้งค่า -> เครือข่ายและอินเทอร์เน็ต -> พร็อกซี่ (ms-settings:network-proxy )
แม้ว่าการตั้งค่าพร็อกซีจะถูกเขียนทับทุก 90 นาทีระหว่างรอบการรีเฟรชนโยบายกลุ่ม แต่บางครั้ง คุณจำเป็นต้องป้องกันไม่ให้ผู้ใช้โดเมนเปลี่ยนการตั้งค่าพร็อกซีที่ตั้งค่าโดยใช้ GPO โดยสิ้นเชิง
- เปิดคอนโซลการจัดการนโยบายกลุ่มของโดเมน (
gpmc.msc) และแก้ไข GPO ของคุณด้วยการตั้งค่าพร็อกซี - ไปที่ส่วน GPO ต่อไปนี้ การกำหนดค่าผู้ใช้ -> เทมเพลตการดูแล -> ส่วนประกอบของ Windows -> Internet Explorer;
- ค้นหา ป้องกันการเปลี่ยนแปลงการตั้งค่าพร็อกซี และตั้งค่าเป็น เปิดใช้งาน; มีนโยบายที่คล้ายกันในการกำหนดค่าคอมพิวเตอร์ ส่วน. ตัวเลือก GPO ในส่วนนี้จะช่วยให้คุณสามารถป้องกันการเปลี่ยนแปลงการตั้งค่าพร็อกซีสำหรับผู้ใช้คอมพิวเตอร์ทุกคน
- หลังจากอัปเดตนโยบายบนไคลเอ็นต์แล้ว หน้าการตั้งค่าพร็อกซีของ Windows จะแสดงข้อความ "
Some of these settings are hidden or managed by your organization” ในกรณีนี้ ช่องข้อความที่มีตัวเลือกพร็อกซีเซิร์ฟเวอร์จะไม่สามารถแก้ไขได้ (เป็นสีเทา)
นโยบายนี้ใช้กับเบราว์เซอร์ทั้งหมดที่ใช้การตั้งค่าพร็อกซีของ Windows (Google Chrome, Microsoft Edge, Internet Explorer และ Mozilla Firefox ที่มีใช้การตั้งค่าพร็อกซีของระบบ โหมด) ทั้งใน Windows 10 และ Windows 11
ใน Windows 10/11 คุณสามารถซ่อนตัวเลือกการตั้งค่าพร็อกซีบนแผงการตั้งค่า ในการดำเนินการนี้ ให้เปิดใช้งานการแสดงหน้าการตั้งค่า นโยบายใน ผู้ใช้ (หรือคอมพิวเตอร์) ส่วน การกำหนดค่า –> เทมเพลตการดูแลระบบ –> แผงควบคุม .
หากต้องการซ่อนหน้าการตั้งค่าพร็อกซี คุณต้องระบุข้อความต่อไปนี้ในการตั้งค่านโยบาย:
Hide:Network-Proxy
แท็บที่มีการตั้งค่าพร็อกซีในแอปการตั้งค่าจะถูกซ่อนหลังจากอัปเดตการตั้งค่านโยบายในพื้นที่
คุณสามารถป้องกันการเปลี่ยนแปลงการตั้งค่าพร็อกซีได้โดยใช้ตัวเลือก GPO ที่กล่าวถึงข้างต้นหรือผ่านทางรีจิสทรี คุณสามารถเปลี่ยนแปลงรีจิสทรีผ่านการตั้งค่านโยบายกลุ่ม (การกำหนดค่าผู้ใช้ -> การตั้งค่า -> การตั้งค่า Windows -> รีจิสทรี ). สร้างค่ารีจิสทรีใหม่ภายใต้ GPO ที่ระบุด้วยการตั้งค่าต่อไปนี้:
- ไฮฟ์:
HKEY_CURRENT_USER - เส้นทางคีย์:
SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel - ชื่อค่า:
Proxy - ประเภทค่า:
REG_DWORD - ข้อมูลค่า:
1
เพื่อป้องกันไม่ให้ใช้นโยบายล็อกการตั้งค่าพร็อกซีกับผู้ดูแลระบบคอมพิวเตอร์ในพื้นที่ คุณต้องกำหนดค่าการกำหนดเป้าหมายระดับรายการ
ในการดำเนินการนี้ ไปที่ ทั่วไป ในตัวเลือกพารามิเตอร์รีจิสทรี เปิดใช้งาน ลบรายการนี้เมื่อไม่ได้ใช้อีกต่อไป ตัวเลือก. จากนั้นเปิดใช้งานการกำหนดเป้าหมายระดับรายการ ตัวเลือกแล้วคลิก การกำหนดเป้าหมาย ปุ่ม. สร้างกฎใหม่:รายการใหม่ -> กลุ่มความปลอดภัย -> ตัวเลือกรายการ -> Is not และระบุชื่อกลุ่มที่ไม่ควรใช้นโยบายนี้ ในตัวอย่างของเรา นี่คือ mun_admins ซึ่งเพิ่มลงในคอมพิวเตอร์ในกลุ่มผู้ดูแลระบบในพื้นที่ผ่าน GPO
คุณยังสามารถป้องกันไม่ให้มีการใช้นโยบายนี้กับกลุ่มใดกลุ่มหนึ่งโดยใช้การกรองความปลอดภัยของ GPO เพิ่มกลุ่มที่ไม่ควรใช้ GPO ใน การมอบหมาย แท็บในคอนโซลการจัดการนโยบายกลุ่ม (เช่น mun_admin ) และตั้งค่า ปฏิเสธ สำหรับกลุ่มเหล่านี้ใน ใช้นโยบายกลุ่ม สิทธิ์
โปรดทราบว่าผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบในพื้นที่ยังคงสามารถแก้ไขการตั้งค่าพร็อกซีเซิร์ฟเวอร์ได้โดยตรงในรีจิสตรีคีย์ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings .
ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบยังสามารถเรียกใช้ตัวแก้ไขรีจิสทรีและเปลี่ยนการตั้งค่าในคีย์รีจิสทรีของตนโดยเลี่ยงผ่านข้อความแจ้ง UACหากต้องการเปลี่ยนที่อยู่พร็อกซีเซิร์ฟเวอร์ เพียงแก้ไขค่าของ ProxyServer รายการรีจิสทรี การตั้งค่าพร็อกซีในรีจิสตรีคีย์นี้จะมีผลกับ Windows ทันที
