Запретить пользователям менять настройки прокси-сервера в Windows с помощью GPO

В одной из предыдущих статей мы показывали, как централизованно задать параметры прокси-сервера в Windows через GPO. Однако даже после этого пользователи могут вручную изменить настройки прокси-сервера на своих компьютерах. В этой статье мы рассмотрим, как с помощью групповых политик запретить пользователям менять настройки прокси-сервера в Windows.

После того, как администратор назначил пользователям настройки прокси-сервера через GPO, пользователь в любой момент может изменить их. В Windows 10 и 11 можно изменить настройки прокси из панели Settings -> Network and Internet -> Proxy.

Хотя настройки прокси-сервера будут перезаписывать каждые 90 минут при обновлении групповых политик, иногда нужно полностью запретить пользователям домена менять параметры прокси-сервера, заданные через GPO.

1. Откройте консоль управления доменными групповыми политиками ( gpmc.msc ) и отредактируйте вашу политику с настройками прокси-сервера;
2. Перейдите в раздел GPO User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer;
3. Найдите политику Prevent changing proxy settings и измените ее значение на Enabled;
   Аналогичная политика есть в разделе Computer Configuration. Политика в этом разделе позволит запретить менять настройки прокси для всех пользователей компьютера.
   
4. После обновления политик на клиенте, в окне с настройками прокси в Windows появится надпись “Some of these settings are hidden or managed by your organization”. Поля с параметрами прокси-сервера при этом станут недоступными для редактирования.

Данная политика действует на все браузеры, которые берут настройки прокси сервера из Windows-proxy (Google Chrome, Microsoft Edge, Internet Explorer и в Mozilla Firefox с режимом Use system proxy settings) как в Windows 10, так и в Windows 11.

В Windows 10/11 вы можете скрыть окно с настройками прокси-сервера в панели Settings. Для этого включите следующую политику в разделе User (или Computer) Configuration –> Administrative Templates –> Control Panel -> Settings Page Visibility.

Для скрытия настроек прокси нужно в текстовом поле политики указать:

Hide:Network-Proxy

Вкладка с настройками прокси в панели управления Settings будет скрыта после обновления настроек локальных политик.

Вы можете запретить менять настройки прокси через рассмотренную выше политику или через реестр. Внести изменения в реестр можно через Group Policy Preferences (User Configuration -> Preferences -> Windows Settings -> Registry). Создайте в указанном разделе GPO новый параметр реестра со следующими настройками:

• Hive: HKEY_CURRENT_USER
• Key Path: SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel
• Value name: Proxy
• Value type: REG_DWORD
• Value data: 1

Чтобы политика блокировки настроек прокси сервера не применялась для локальных администраторов компьютера, нужно настроить Item-Level Targeting.

Для этого в настройках параметра реестра перейдите на вкладку Common, включите опцию Remove this item when it is no longer applied. Затем включите опцию Item-Level Targeting и нажмите кнопку Targeting. Создайте новое правило: New Item -> Security Group -> Item option -> Is not и укажите имя группы, для которой не должна применяться данная политика. В нашем примере это группа spb_admins , которая добавлена на компьютерах в группу локальных администраторов через GPO.

Также можно запретить применение политики для определенной группы пользователей через GPO Security Filtering. Добавьте группы пользователей, к которым не должна применяться GPO на вкладке Delegation в консоли Group Policy Management (например spb_admin ), указав для данных групп в разрешениях Apply Group policy – Deny.

Обратите внимание, что пользователь с правами локального администратора все еще может отредактировать настройки прокси сервера непосредственно в своей ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings.

Чтобы изменить адрес прокси сервера достаточно отредактировать значение параметра ProxyServer. Настройки прокси, внесенные в этой ветке реестре, применяются в Windows немедленно.