Editing Openai/6915b805-87ec-8007-88b5-6ddad7eb36fb (section)

==== ### ====

Zdroj: kód MEBlock.psm1
* Modul pro blokaci Microsoft Edge ve 3 úrovních: - Light - Medium - Hardcore
* Dělá to kombinací: - Group Policy / registry pro Edge, - vypnutí služeb EdgeUpdate, - mazání plánovaných úloh Edge, - „DisallowRun“ politik, - firewall pravidel, - IFEO (Image File Execution Options), - Hardcore: ACL lock v registru (DENY i pro SYSTEM/TrustedInstaller).

: 

===== #### =====

Zdroj: kód

Cesta:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\Edge

</syntaxhighlight>

Nastavuje např. (zkrácený výčet – vše DWord):
* PersonalizationReportingEnabled = 0
* ShowRecommendationsEnabled = 0
* HideFirstRunExperience = 1
* UserFeedbackAllowed = 0
* ConfigureDoNotTrack = 1
* EdgeCollectionsEnabled = 0
* EdgeShoppingAssistantEnabled = 0
* ShowMicrosoftRewards = 0
* WebWidgetAllowed = 0
* DiagnosticData = 0
* BackgroundModeEnabled = 0
* StartupBoostEnabled = 0
* CryptoWalletEnabled = 0
* WalletDonationEnabled = 0
* EdgeAssetDeliveryServiceEnabled = 0

→ de facto max hardening + „debloat“ Edge funkcí.

====== Cesta: ======

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate

</syntaxhighlight>

Minimum:
* UpdateDefault = 0
* InstallDefault = 0

→ zakáže automatické updaty Edge.

====== Zdroj: kód ======

Služby:
* edgeupdate
* edgeupdatem

Akce:
* Set-ItemProperty ...\Services\<svc>\Start = 4
* Stop-Service těchto služeb

→ úplné vypnutí update servisu Edge na úrovni služby.

====== Zdroj: kód ======
'' vyhledává úlohy \Microsoft\EdgeUpdate\'' a \MicrosoftEdge* (odhad dle textových stringů),
* zakazuje nebo maže je přes Get-ScheduledTask / Disable-ScheduledTask / Unregister-ScheduledTask.

→ žádné automatické spouštění Edge / EdgeUpdate přes plánovač.

====== Zdroj: kód ======

Cesty:

<syntaxhighlight lang="text">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

</syntaxhighlight>
* nastaví DisallowRun = 1.
* vloží seznam zakázaných EXE: - msedge.exe - msedgewebview2.exe - MicrosoftEdgeUpdate.exe

→ pokud se někdo pokusí spustit Edge, politika to blokne.

====== Zdroj: kód ======

Používá:

<syntaxhighlight lang="powershell">New-NetFirewallRule -DisplayName "KRAKE-FIX - Block Edge" <code>
    -Direction Outbound </code>
    -Program "%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" <code>
    -Action Block </code>
    -Profile Any

</syntaxhighlight>

→ blokuje odchozí spojení pro Edge i kdyby se nějak spustil.

====== Zdroj: kód ======

Cesta:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedge.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedgewebview2.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdgeUpdate.exe

</syntaxhighlight>
* do těchto klíčů přidá např. Debugger (z kódu je vidět princip, detail konkrétní hodnoty je v kódu; nebudu hádat konkrétní string).
* Před zápisem validuje path prefix (obrana proti injection).

→ IFEO mechanizmus umožní:
* přesměrovat spouštění Edge na jiný proces,
* nebo totálně blokovat start.

====== Zdroj: kód ======
* Upozorňuje, že jde o jednorázový, extrémní krok.
* Vezme IFEO klíče a nastaví na ně ACL s DENY FullControl pro: - SYSTEM (SID S-1-5-18) - TrustedInstaller (specifický SID)

Používá .NET:

<syntaxhighlight lang="csharp">new RegistryAccessRule(
  systemSid,
  RegistryRights.FullControl,
  InheritanceFlags.ContainerInherit | ObjectInherit,
  PropagationFlags.None,
  AccessControlType.Deny)

</syntaxhighlight>

→ po tomhle:
* ani SYSTEM ani TrustedInstaller nemá právo s klíčem hnout,
* odstraňování Edge/IFEO/klíčů se stává velmi problematické (vyžadovalo by to offline nástroje / jiný OS / recovery).

===== Zdroj: kód =====
* Umí vrátit většinu změn: - GPO / policies, - služby, - plánované úlohy, - firewall, - IFEO klíče.
* ACL Lock u Hardcore varianty může být problematický i pro vlastní Undo, pokud se aplikoval DENY pro SYSTEM/TI – to je designově tvrdý lock.

===== - Poskytuje: - plný kill Edge (od „soft“ po „cementový“), - vhodné pro labové instalace, kiosk/locked-down prostředí, testování bez Edge. =====
* Rizika: - Edge se používá i pro WebView2 komponenty v jiných aplikacích → ty pak můžou přestat fungovat. - Hardcore ACL Lock může být těžko reverzibilní i pro admina. - DisallowRun/IFEO kombinace může rozbít některé Windows features a nastavení.

===== Před =====
* Rozhodni, zda vůbec potřebuješ Edge blokovat (např. enterprise policy vs osobní lab).
'' Záloha: - System state / restore point, - export HKLM\SOFTWARE\Policies\Microsoft\Edge'', - export IFEO větve pro msedge.exe*.
* Ověř, že nemáš kritické appky závislé na WebView2 (banking app, některé ovladačové UI).

Doporučené použití
* Pokud už – začni variantou <code>Light</code>: - policies, update, služby, tasks – reverzibilní.
* Medium: - použij jen pokud Edge opravdu nechceš používat vůbec, - ale nechceš se pouštět do ACL locku.
* Hardcore: - jen na jednoúčelové stroje / VM, které můžeš kdykoli přestavět, - nikdy ne na produkční/rodinný PC.

Revert / Monitoring
'' Po aplikaci zkontroluj: - Get-NetFirewallRule "KRAKE-FIX - Block Edge", - služby edgeupdate'', - IFEO klíče.
* Při problémech nejdřív pusť Invoke-EdgeUnlock.
* Pokud jsi dal Hardcore ACL Lock a undo nefunguje → připrav se na offline/WinPE zásah do registru.