Nem terjed ki ez a korlátozás viszont egyéb programokra: FTP elérés, Windows Update szolgáltatások, stb.
Cikkünkhöz mellékeltünk két registry állományt:
"NoDownloadOneUser.reg" - Futtatásával megtiltható az adott felhasználó fájl letöltési engedélye. Használata előtt a "S-1-5-19" SID-et módosítani kell a felhasználó saját azonosítójára.
"NoDownloadAllUser.reg" - Futtatásával megtiltható az összes felhasználó fájl letöltési engedélye.
Miért ne töltsenek le fájlokat a felhasználók?
- Vírusos fájlokkal megfertőzhetik a belső hálózatot.
- Forgalmi díjas Internet elérésnél növelik a cég költségeit
- Munkaidő alatt nem kívánatos, hogy mással töltsék az idejüket.
- Terhelik a hálózatot elvéve a sávszélességet más, esetleg fontosabb adatforgalom elől.
Beállítások alkalmazása egyedi gép vagy munkacsoportos hálózat esetén
Indítsuk el az Internet Explorer-t és keressük meg a következő helyet: Eszközök > Internetbeállítások > Biztonság > Egyéni szint > Fájl letöltése (Tools > Internet Options > Security > Internet > Custom Level > Downloads > File download). Aktivizáljuk a "Tiltás" ("Disable") rádiógombot - a böngészőt nem kell újraindítani. Írjunk be a címsávba egy olyan oldalt címét, ahol fájlra mutató link található (pl.: www.microsoft.com). Kattintsunk rá a jobboldali egérgombbal és próbáljuk meg a "Cél mentése más néven" ("Save Target As") menüt használva lemezre menteni. Explorer verziószámtól függően ilyen, vagy ehhez hasonló hibaüzenetet kapunk:
A jelenlegi biztonsági beállítások miatt a fájlt nem töltheti le.
Your current security settings do not allow this file to be downloaded.
A fenti paraméter a regisztrációs adatbázisban is beállítható. Indítsuk el a REGEDIT.EXE segédprogramot és tallózzunk el az alábbi helyre:
[HKEY_USERS\<SID>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
<SID> = Security Identifier (biztonsági azonosító). A rendszerben minden felhasználóhoz tartozik egy ilyen egyedi azonosító szám. A "HKEY_USERS" kulcs alatti felsorolásból válasszuk ki a módosítandó felhasználót. Látható, hogy a 3-as biztonsági zónában (alapértelmezett) lévő paraméterek tárolójában ténykedünk. Keressük meg a 1803-as számot, ez jelenti a fájlletöltést és módosítsuk az értékét háromra:
Mindegy, hogy az Internet Explorer menüjét vagy a regisztrációs adatbázist használjuk, beállításaink egyszerre csak egy felhasználót érintenek. Hogy tudnánk kiterjeszteni mindenkire? Nagyon egyszerűen, csak egy másik helyen kell ugyanazt a registry bejegyzést megváltoztatni:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]�"1803"=dword:00000003
A leírt beállítások működőképesek, de a tapasztaltabb felhasználók vissza tudják állítani az eredeti állapotot és továbbra is tölthetnek le fájlokat. Megoldást jelenthet többek között az Internet Explorer Administration Kit (IEAK) alkalmazással készített egyedi, személyre szabott Internet Explorer. Mi határozhatjuk meg, hogy milyen menük jelenjenek meg, mi legyen az alapértelmezett biztonsági szint, stb. A fenti beállítások további hátrányaként még az is megemlíthető, hogy a hálózat minden gépét külön kell konfigurálni. Teljesen más helyzettel találjuk szemben magunkat Active Directory hálózatban.
Beállítások alkalmazása Active Directory hálózat esetén
Itt ugyanis a felhasználókat érintő beállítások a csoportházirend segítségével központilag vezérelhetők. Természetesen az Internet Explorer is a csoportházirend befolyása alá tartozik. Indítsuk el az egyik tartományvezérlőn a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzolt. Kattintsunk arra a szervezeti egységre a jobboldali egérgombbal, amely hatásköre alá esnek a hálózat gépei és tallózzunk el a következő helyre: Tulajdonságok > Csoportházirend > Szerkesztés > Felhasználó konfigurációja > Felügyeleti sablonok > Windows összetevők > Internet Explorer > A böngésző menüi (Properties > Group Policy > Edit > User Configuration > Administrative Templates > Windows Components > Internet Explorer > Browser menus). A képernyő jobboldalán megjelenő házirendpontok közül néhánnyal hatékonyan korlátozhatjuk a letöltéseket:
- "Fájl menü: teljes weblap mentésének tiltása" ("File menu: Disable Save As Web Page Complete")
Nem engedélyezett a grafikák, linkek parancsfájlok és egyéb nem szöveg elemek mentése. A mentés parancs továbbra is rendelkezésre áll, csak a teljes tartalom helyett kizárólag a szöveges rész kerül tárolásra.
- "Fájl menü: a Mentés másként parancs tiltása" ("File menu: Disable Save As... menu option")
Mint ahogy nevében is benne van a házirend bekapcsolása után nem lesz elérhető a "Mentés másként" ("Save As") menüpont. Viszont ez nem jelenti azt, hogy a jobboldali egérgomb lenyomására megjelenő menü cél mentés parancsával sem lehet az adott weboldal tartalmát a merevlemezre másolni.
- "Lemezre mentés parancs tiltása" ("Disable Save this program to disk option")
A fentiek csoportházirendbeli megfelelője: megakadályozza, hogy a felhasználók fájlokat töltsenek le.
A házirendek akkor aktivizálódnak, ha bekapcsoljuk az "Engedélyezve" ("Enabled") rádiógombot. Tekintve, hogy a csoportházirend felhasználói konfigurációjában kaptak helyet a kliens gépen a felhasználó legközelebbi bejelentkezése alkalmával vagy az automatikus frissülési periódusban jutnak érvényre.