通过组策略部署IE10的安全机制

coole007

通过组策略部署IE10的安全机制

       开始本文的介绍之前，先引用一下前辈对ie安全设定重要性的阐述，以便引起企业对IE安全部署的高度重视，引用原文如下第二至第五段：
       对于企业而言，其商业信息是不能随便泄露的，特别是涉及一些重大的项目，在完成之前的泄密可能会被有心的竞争对手得益。过去商业间谍往往需要有人进行渗透，还需要刻意的对资料进行盗取，但在网络时代，互联网则是最好的商业间谍，渗透变得更为隐秘快捷。
        所谓一个巴掌拍不响，在信息泄露过程的案例中，很多都是属于用户的使用环境没有良好的安全策略而导致的主动信息泄露。那么说到这里，就不得不谈一谈浏览器的安全管理了。
        对于IE的默认设置，组策略可以进行统一的调整和设定，比如锁定浏览器的首页，禁止用户下载文件等基本动作。还可以进行一些高级的设置行为，比如脚本的执行控制等等，但是这些都还不够。        
随着企业对于互联网的依赖加深，在Windows 8和IE10里，微软对组策略的配置进行了再次的加强。当组策略中打开增强保护模式后，针对恶意网站可以提供额外的保护，不仅如此，还会限制IE浏览器在注册表和文件系统中的可以读取的位置。不仅如此，在增强保护模式中，管理员还可以限制ActiveX控件的执行。
        网站的追踪行为，对于用户的隐私的收集可能会涉及到一切企业信息，微软从IE9开始便加入了DNT功能，网络管理员也可以通过组策略去统一打开浏览器的DNT功能，避免网站进行隐私追踪。

下面开始本文介绍的重点：
开始->运行,输入gpedit.msc,打开组策略编辑器



1、禁用更改主页设置，这样可以防止一些流氓软件私自篡改ie主页设置
方法是：用户配置 --- 管理模板 ---Windows 组件 --- Internet Explorer-禁用更改主页设置

  
说明：在此条目中，将策略状态更改为“已启用”，并且填入我们需要的主页地址即可。如果不希望使用主页，可 以使用空白页作为主页地址，即在主页处填入：about:blank，请注意，自定义主页

通过以上的设置完成后，IE 选项中的主页设置框将成为灰色不可用状态，并会在设置窗口下方出现“某些设置由系统管理员管理”的提示。

2、禁止用户私自进行代理上网，这一步可以通过设置“禁止更改连接设置”项实现目的。

方法是：用户配置 --- 管理模板 --- Windows 组件 --- Internet
Explorer--禁止更改连接设置


说明：启用此功能以后，用户就没有办法进行更改了！并会在设置窗口下方出现“某些设置由系统管理员管理”的提示

3、禁用“另存为”功能，在企业或者公司重要部门，为了保证计算机存储资料的安全、保持计算机资料整齐和条理，可能不希望员工使用 IE 的“另存为”功能保存网页，通过本项设置可以实现此要求。

方法是：用户配置 --- 管理模板 --- Windows 组件 ---
Internet Explorer --- 浏览器菜单启用如图




4、禁用打印功能
方法是：用户配置 ---管理模板 --- Windows 组件 --- Internet Explorer --- 浏览器菜单，通过一下设计，就可以达到禁用打印服务的功能。



5、限制加载项管理，本项设置可以限制加载项的自动加载
方法是：用户配置 ---管理模板 --- Windows 组件 --- Internet Explorer --- 安全功能，通过一下设计，就可以达到禁用加载项的功能。



6、限制ActiveX的安转，本项设置可以限制ActiveX的自动安装
方法是：用户配置 ---管理模板 --- Windows 组件 --- Internet Explorer --- 安全功能，通过一下设计，就可以达到限制ActiveX的自动安装的功能。



      其实 win 8通过组策略对IE10的安全部署并不限于以上几条的设置，win 8 组策略中还暗藏着很多很多的安全部署功能，大家可以按照我上面介绍的路径慢慢开发哦，相信会有很多的惊喜等着您呢。
       好了，今天的文章就写到这，欢迎大家提建议。

s842646

科技文果断留名

devilma

不错，学习了。。。。

愤怒的皮皮鲁

感谢分享

angelzgh

感谢分享
支持楼主

5298990

技术帖。首页支持

juanlin

Good.谢谢分享！

libbb

正需要，谢谢

prowad888

好文章 支持楼主

soledadchao

真不错啊