Internet Explorer Enhanced Security via GPO (w2k3-w2k8)

Windows Server 2003 ve 2008 sunucu ailesinin olası web ataklarına karşı korumasında çok büyük fayda sağlayan Internet Explorer Enhanced Security (IE ESC), varsayılanda Enable olarak yapılandırılmış durumdadır. Buda her  Internet Explorer sayfası açıp herhangi bir web adresine gitmeye çalıştığımızda aşağıdaki uyarı ile uyarılmamıza neden oluyor.

Content from the Web site listed below is being blocked by the Internet Explorer Enhanced Security Configuration.


If you trust this Web site, you can lower security settings for the site by adding it to the Trusted sites zone. If you know this Web site is on your local intranet, review help for instructions on adding the site to the local intranet zone instead.

 Sunucu sistemlerin internete erişen bilgisayar'lar olarak kullanılması istenilmediğinden dolayı varsayılanda açık gelen Bu güvenlik yapılandırması terminal sunucularda ve web uygulamaları kullanan terminal kullanıcıların karşılaşmasını istemediğimiz bir durum olarak karşımıza çıkabiliyor.

Terminal gibi IE ESC yapılandırmasının Disable olması gereken sunucularda bu ayarı yapmak için her bir sunucu üzerinde Server Manager console'undan Security Information altındaki Configure IE ESC 'den Disable veya daha sonra Enable duruma getirebiliyoruz. açılan pencere içinde bu güvenlik yapılandırmasını teknik olarak Explorer'ı yönetimsel olarak kullanan (Administrators) ve standart yetkiye sahip istemciler (Users) olarak iki ayrı kullanıcı türüne uygulanabilmesi için ayrıldığını görüyoruz.

Internet Explorer Enhanced Security Group Policy Yapılandırması :


Bugün destek verdiğim bir firmada yüksek sayıda bir sunucu gurubuna bu yapılandırmayı yapmam gerektiği için ayarları Group Policy ile yapılandırmaya karar verdim GPO Management console'da bu ayar ile ilgili bir seçenek olmadığından dolayı ayar ile ilgili ADM dosyası import ederek Internet Explorer Enhanced Security için ihtiyacım olan Policy seçeneklerini ekledim.

sisteminizde bu tür bir ihtiyaç ile karşılaşmanız durumunda aşağıdaki adımları izleyerek ilgili ADM dosyasının eklenmesi ve GPO ile ayarların uygulama yapabilirsinz:

• Windows Server 2003 Resource Kit Tools araç kitini buradan [Download] indirip kurun.
• Windows Server 2008 üzerindeki GPMC (Group Plicy Management Console) açtıktan sonra ilgili sunucuların bulunduğu OU üzerinde yeni bir Policy oluşturalım veya var olan Policy'yi Edit ile yapılandırma console'unu açalım.
• Computer Configuration and Policies altındaki Administrative Templates üzerine sağ tıklayarak Add/Remove Templates seçin.

•  Açılan pencerede Add butonuna basarak c:\Program Files\Windows Resource Kits\Tools altındaki inetesc.adm template dosyasını seçin.
• Template dosyasını seçtikten sonra Computer Configuration> Policies> Administrative Templates> Classic Administrative Templates> Windows Components> Internet Explorer> Enhanced Security Configuration. altında yeni eklenen IE ESC policylerini görebilirsiniz.

•  Administrators ve Users IE ESC ayarları için iki ayrı policy'yi Disable yaparak ilgili OU altındaki tüm Windows sunucuların Explorer güvenlik seviyesini değiştirebilirsiniz.