结合组策略和注册表对IE进行安全进阶配置

简介:

      在上一篇博文结束时提到了还可以在组策略中对 Internet Explorer 进行更多的进阶配置,本文将做详细的介绍。(* 本文实验环境基于 Windows 7 Ultimate + Windows Internet Explorer 8)

通过组策略配置 IE

* 本文的实现环境为 Windows 7 Ultimate + Internet Explorer 8

可配置的功能

        ● inPrivate 设置

        ● Internet 控制面板、功能、工具栏及菜单设置

        ● 安全功能、持续行为设置

        ● 控件、加速器、 兼容性设置

        ● 脱机页面及浏览记录设置

        ● 企业功能设置

不同功能在组策略中的分类

        在组策略中,根据不同的分类,有着不同的配置选项,分别为:

 

 计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

用户配置 -> Windows 设置 -> Internet Explorer 维护 (对 IE7 及更高版本无效)

用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

示例方法:利用组策略配置 IE

        例如,将组策略目录树定位至:

 

 计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

        此处,不仅左侧目录树中有着丰富的配置功能,在右侧的详细条目窗格中也有很多可供定义的设置。在配置时,只需双击需要设置的条目,在设置窗口内对选项和设定值进行修改即可。

        下文中的配置方法如此例所示,除需要特殊说明外,基本步骤我不再另行截图。

计算机配置管理模板中的 IE 配置

轻松搞定 IE 安全进阶配置

        对 IE 进行安全进阶配置,就让我们一步一步来,步步为营,根据不同的环境要求做灵活配置。

锁定主页设置

        组策略定位:

 

 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

        配置条目:

 

 禁用更改主页设置

        在此条目中,将策略状态更改为“已启用”,并且填入我们需要的主页地址即可。如果不希望使用主页,可以使用空白页作为主页地址,即在主页处填入:

 

 about:blank

启用该策略并填入主页地址

        设置完成后,IE 选项中的主页设置框将成为灰色不可用状态,并在会在设置窗口下方出现“某些设置由系统管理员管理”的提示。

IE 主页设置将不可用以及系统提示

禁用“另存为”功能

        在企业或者公司重要部门,为了保证计算机存储资料的安全、保持计算机资料整齐和条理,可能不希望员工使用 IE 的“另存为”功能保存网页,在组策略中可以实现此要求。

        组策略定位:

 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单

        配置条目:

 

 “文件”菜单:禁用“另存为...”菜单选项

        只需将此条目启用,在 IE 的菜单栏“文件”选项下以及网页右键菜单中将不会显示“另存为...”按钮。

禁用下载功能

        上一条配置虽然禁用了“文件”菜单以及网页右键菜单中的“另存为”功能,但在链接、图片上若点击右键,依然会显示“目标另存为”功能,照样可以实现保存网页、图片,甚至是文件的功能。因此,我们还需要禁用 IE 的下载功能。

        组策略定位:

 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单

         配置条目:

 

 禁用“将该程序保存到磁盘”选项

        只需将此条目启用,当在网页中的图片或其他元素上单击右键,“目标另存为”按钮都会是不可用的状态;而在链接上点击右键,虽然此按钮呈可用状态,但是点击之后会提示该功能不可用。

右键中的“目标另存为”功能已不可用

此组策略目录下的更多设置

        在这个组策略目录下,还有更多设置,如:关闭”打印“菜单、禁用上下文菜单、禁用”Internet 选项“菜单等。

更多设置

菜单栏及右键菜单的进阶设置

        到了这时,有人可能会问,如果我压根连浏览器菜单栏也不想对用户提供,更甚连右键菜单都需要禁用掉,怎么办?

        我们依然可以使用组策略来完成,只是在禁用右键菜单上还需再结合注册表才可以做彻底。

禁用菜单栏

        组策略定位:

 计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

         配置条目:

 

 启用菜单栏(默认)

        只需将此条目禁用,IE 中就无法在启用菜单栏。需要注意的是,在设置此功能之前请确认已将 IE 中的菜单栏关闭,否则配置该条目之后将无法关闭菜单栏。

禁用 IE 右键

        打开注册表编辑器(regedit.exe)。

        如果已经依照上述步骤对 IE 进行配置,那么请直接将注册表位置定位至:

 

 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

        若没有经过上文中的组策略对菜单栏等的设置,请在组策略中新建该目录。

        在该注册表目录下,新建名为”NoBrowserContextMenu“的 DWORD 值,设置该键值为 1 即为禁用 IE 右键菜单,0 则是启用。

在注册表中编辑该键值为 1 即为禁用 IE 右键菜单

        当该键值为 1 时,在 IE 中就不再能打开右键菜单了。效果非常理想。

禁用”Internet 控制面板“中的相关功能

        如果不希望用户通过”Internet 控制面板“修改 IE 设置,我们可以通过组策略进行按需配置。

         组策略定位:

 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板

         配置条目:

 

禁用高级页、禁用连接页、禁用内容页、禁用常规页、禁用隐私页、禁用程序页、禁用安全页

        将需要屏蔽的控制面板选项页面禁用,IE 中的”Internet 控制面板“就不会再显示相关配置页面。

        例如,我在这里启用了”禁用常规页“、”禁用内容页“以及”禁用连接页“,效果如下:

配置过的 Internet 控制面板

        可以看到,在”Internet 选项“窗口中将不再显示已被禁用的配置页面。

禁止关闭 IE 浏览器

        还有一种情况,企业的监视用电脑需要一直打开一个实时更新的数据监控网页,因而不希望用户关闭浏览器窗口。在组策略中可以完成此要求的设置。

        组策略定位:

 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单

         配置条目:

 

 ”文件“菜单:禁用关闭浏览器和资源管理器窗口

        只需将此条目启用,即可防止用户关闭浏览器。配置之后,无论用户是点击”文件“菜单中的”退出“按钮还是点击窗口右上角的红色”关闭窗口“按钮,都将被系统拒绝。

系统拒绝关闭窗口操作

        注意:如果你是在跟着本文做实验,那么你会发现不仅在启用了改组策略之后 IE 无法关闭,甚至当你将该策略禁用,依然无法关闭 IE。此时,请通过任务管理器结束 IE 进程(iexplore.exe)即可。

终极设置——禁用 IE 浏览器

        如果你说,你压根不希望用户使用 IE ,IE 就是不安全因素的源泉,是一个梦魇,而且会让员工分散工作精力。那么,请直接禁用它吧。实现该要求,需要组策略对系统功能进行配置才可。

         组策略定位:

 用户配置 -> 管理模板 -> 系统

         配置条目:

 

不要运行指定的 Windows 应用程序

        请将此条目启用,并在选项中的不允许运行的程序列表中添加 IE 的可执行文件名:

 

 iexplore.exe

        点击确定完成配置即可。

        此时,无论通过何种方式运行 IE ,都将失败并且收到系统的限制信息。

运行 IE 时失败并收到系统限制信息

其他设置
        在组策略中针对 IE 还有这更多丰富的配置选项,此处就不一一列举了。希望本文能对大家是一个启发,希望各位能用好组策略,更好的管理和配置 IE。




本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/726332,如需转载请自行联系原作者
目录
相关文章
|
Web App开发 iOS开发
Mac Safari 配置 IE 代理 (支持 IE 调试)
Mac Safari 配置 IE 代理 (支持 IE 调试)
1093 0
|
Web App开发 JavaScript 前端开发
Edge浏览器报错IE解决 Expected identifier, string or number 配置 babel vue plugins Preset
Edge浏览器报错IE解决 Expected identifier, string or number 配置 babel vue plugins Preset
338 0
C#编程-144:通过注册表修改IE主页
C#编程-144:通过注册表修改IE主页
C#编程-144:通过注册表修改IE主页
|
安全
IE设置主页一直无果,尝试了右键软件看目标路径后缀无效,注册表也无效,最后在电脑管家里的工具浏览器保护搞定
IE设置主页一直无果,尝试了右键软件看目标路径后缀无效,注册表也无效,最后在电脑管家里的工具浏览器保护搞定
168 0
IE设置主页一直无果,尝试了右键软件看目标路径后缀无效,注册表也无效,最后在电脑管家里的工具浏览器保护搞定
|
安全 Windows
服务器sever2008如何取消IE增强安全配置
安装WINDOWS server 系统以后,用浏览器打开网址时,系统总是提示“Internet Explorer 增强安全配置正在阻止下列网站的内容。如果把所有网址添加到信任列表是可以打开网址的,但是用起来很吃力。那么如何解决呢?
152 0
服务器sever2008如何取消IE增强安全配置
|
弹性计算 网络协议 Windows
阿里云ECS配置vsftpd,windows文件浏览器和IE浏览器不能访问
阿里云服务器ECS配置vsftpd(Centos7.4),浏览器或FileZilla能访问,但windows文件浏览器和IE浏览器不能访问
3079 0
|
Web App开发
计算机_网络_01_配置IE代理
一、配置代理 1.打开代理设置 打开chrome浏览器设置->高级设置->系统->打开代理设置   2.打开局域网设置 Internet属性->连接->局域网设置   3.配置代理服务器IP和端口        地址:192.
900 0
|
Web App开发 安全 数据安全/隐私保护
|
Web App开发
Siebel IE配置工具
Siebel 客户端对IE要求比较高,需要手动配置信任站点及安全性级别,到了IE7,IE8之后,还需要额外设置兼容性视图,选项卡弹出方式等等 对于普通终端客户来说,操作过于繁琐,在推广中也频频受到阻力,而且真对浏览器升级之后Siebel 高交互插件会偶然性损坏,需要重新装载,但是系统不会自动提醒用户 所以会导致各种浏览器异常情况,如PickApplet弹出框没有记录,空白一片,Drilldown弹出空对话框等等。
1151 0