正確部署IE安全策略

     在一陣子的博文中，曾經寫過，通過組策略的設定，讓使用者登入就進入IE瀏覽器，關閉則登出http://zhengweiit.blog.51cto.com/1109863/328764，並且還講述關於企業內部需要限制IE的一些功能http://zhengweiit.blog.51cto.com/1109863/330221。雖然這樣做了，但是我們的客戶機並沒有達到安全的效果，網路才是病毒傳播的重災區。有些網站設定成開啟網頁就自動下載其中的內容，這樣就完成了木馬，病毒的傳播。而在windows server 2008中， 我們可以透過對組策略的設定來完成對IE的安全部署。通過這三篇文章的結合來實現完整的企業內只使用IE工作的方案。

      首先我們需要做的是通過對本地安全策略的設定完成限制下載的動作。 

      我們可以在本地安全策略中找到相應的策略來完成設定。其位置為： 

                  計算機配置—— 

                                管理模板—— 

                                           windows元件—— 

                                                            internet explorer—— 

                                                                                    安全功能—— 

                                                                                                限制檔案愛你下載    其中的Internet explorer程式   將其開啟就可以了。

      而我這裡是一臺域控，所以只能透過組策略編輯器來做一個簡單的演示。

      開啟這個Internet Explorer程式選項。

      選擇已啟用然後確定就OK了。 

      其實通過這樣的說明，我們可以看到，完全可以透過對組策略的設定來完成對IE限制下載的應用。 

      做了限制下載還是遠遠不夠的，windows7 windows server 2008相對安全，其中一部分原因包含於高階安全windows防火牆和IE的安全級別。而這裡IE安全級別成為了我們的主導。企業內部的員工往往會根據自己的需求來進行對IE安全級別的更改，如果IE安全級別過低，很可能形成病毒或者木馬的入侵。不一定會形成很大的威脅，但長時間會造成一些計算機的緩慢，這就成了管理員的一大頭疼之處：由於員工的操作不當，造成計算機的緩慢，最後可能需要管理員來承擔這個責任，這個是我們不想看到的。但是同樣，我們可以透過組策略來限制使用者修改這些選項。 

      組策略編輯器—— 

                      計算機配置—— 

                                   管理模板—— 

                                              windows元件—— 

                                                               Internet Explorer—— 

                                                                                       Internet 控制皮膚    其中包含一個禁用安全頁 啟用即可。

      還是做一個簡單的操作作為演示。

      選中禁用安全頁，啟用它。

      這樣設定之後，我們可以進行驗證，開啟IE的工具，發現，沒有了安全頁的選項，這樣我們就保護的IE安全功能為高或者是我們設定的選項，使用者不能隨意修改，從而增強了IE的安全性。 


      透過以上內容我們就進行了IE的安全部署，這樣通過這三篇博文，我們就可以完成對企業內部只需要IE工作的人員的解決方案。

本文轉自 鄭偉  51CTO部落格，原文連結:http://blog.51cto.com/zhengweiit/344648