結合組策略和註冊表對IE進行安全進階配置

         在上一篇博文結束時提到了還能夠在組策略中對 Internet Explorer 進行更多的進階配置，本文將作詳細的介紹。(* 本文實驗環境基於 Windows 7 Ultimate + Windows Internet Explorer 8)

經過組策略配置 IE

* 本文的實現環境爲 Windows 7 Ultimate + Internet Explorer 8

可配置的功能

        ● inPrivate 設置

        ● Internet 控制面板、功能、工具欄及菜單設置

        ● 安全功能、持續行爲設置

        ● 控件、加速器、 兼容性設置

        ● 脫機頁面及瀏覽記錄設置

        ● 企業功能設置

不一樣功能在組策略中的分類

        在組策略中，根據不一樣的分類，有着不一樣的配置選項，分別爲：

計算機配置 -> 管理模板 -> Windows 組件 -> Internet Explorer 用戶配置 -> Windows 設置 -> Internet Explorer 維護 （對 IE7 及更高版本無效） 用戶配置 -> 管理模板 -> Windows 組件 -> Internet Explorer

示例方法：利用組策略配置 IE

        例如，將組策略目錄樹定位至：

計算機配置 -> 管理模板 -> Windows 組件 -> Internet Explorer

        此處，不只左側目錄樹中有着豐富的配置功能，在右側的詳細條目窗格中也有不少可供定義的設置。在配置時，只需雙擊須要設置的條目，在設置窗口內對選項和設定值進行修改便可。

        下文中的配置方法如此例所示，除須要特殊說明外，基本步驟我再也不另行截圖。

計算機配置管理模板中的 IE 配置

輕鬆搞定 IE 安全進階配置

        對 IE 進行安全進階配置，就讓咱們一步一步來，步步爲營，根據不一樣的環境要求作靈活配置。

鎖定主頁設置

        組策略定位：

用戶配置 -> 管理模板 -> Windows 組件 -> Internet Explorer

        配置條目：

禁用更改主頁設置

        在此條目中，將策略狀態更改成「已啓用」，而且填入咱們須要的主頁地址便可。若是不但願使用主頁，可使用空白頁做爲主頁地址，即在主頁處填入：

about:blank

啓用該策略並填入主頁地址

        設置完成後，IE 選項中的主頁設置框將成爲灰色不可用狀態，並在會在設置窗口下方出現「某些設置由系統管理員管理」的提示。

IE 主頁設置將不可用以及系統提示

禁用「另存爲」功能

        在企業或者公司重要部門，爲了保證計算機存儲資料的安全、保持計算機資料整齊和條理，可能不但願員工使用 IE 的「另存爲」功能保存網頁，在組策略中能夠實現此要求。

        組策略定位：

用戶配置 -> 管理模板 -> Windows 組件 -> Internet Explorer -> 瀏覽器菜單

        配置條目：

「文件」菜單：禁用「另存爲...」菜單選項

        只需將此條目啓用，在 IE 的菜單欄「文件」選項下以及網頁右鍵菜單中將不會顯示「另存爲...」按鈕。

禁用下載功能

        上一條配置雖然禁用了「文件」菜單以及網頁右鍵菜單中的「另存爲」功能，但在連接、圖片上若點擊右鍵，依然會顯示「目標另存爲」功能，照樣能夠實現保存網頁、圖片，甚至是文件的功能。所以，咱們還須要禁用 IE 的下載功能。

        組策略定位：

用戶配置 -> 管理模板 -> Windows 組件 -> Internet Explorer -> 瀏覽器菜單

         配置條目：

禁用「將該程序保存到磁盤」選項

        只需將此條目啓用，當在網頁中的圖片或其餘元素上單擊右鍵，「目標另存爲」按鈕都會是不可用的狀態；而在連接上點擊右鍵，雖然此按鈕呈可用狀態，可是點擊以後會提示該功能不可用。

右鍵中的「目標另存爲」功能已不可用

此組策略目錄下的更多設置

        在這個組策略目錄下，還有更多設置，如：關閉」打印「菜單、禁用上下文菜單、禁用」Internet 選項「菜單等。

更多設置

菜單欄及右鍵菜單的進階設置

        到了這時，有人可能會問，若是我壓根連瀏覽器菜單欄也不想對用戶提供，更甚連右鍵菜單都須要禁用掉，怎麼辦？

        咱們依然可使用組策略來完成，只是在禁用右鍵菜單上還需再結合註冊表才能夠作完全。

禁用菜單欄

        組策略定位：

計算機配置 -> 管理模板 -> Windows 組件 -> Internet Explorer

         配置條目：

啓用菜單欄（默認）

        只需將此條目禁用，IE 中就沒法在啓用菜單欄。須要注意的是，在設置此功能以前請確認已將 IE 中的菜單欄關閉，不然配置該條目以後將沒法關閉菜單欄。

禁用 IE 右鍵

        打開註冊表編輯器（regedit.exe）。

        若是已經依照上述步驟對 IE 進行配置，那麼請直接將註冊表位置定位至：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

        若沒有通過上文中的組策略對菜單欄等的設置，請在組策略中新建該目錄。

        在該註冊表目錄下，新建名爲」NoBrowserContextMenu「的 DWORD 值，設置該鍵值爲 1 即爲禁用 IE 右鍵菜單，0 則是啓用。

在註冊表中編輯該鍵值爲 1 即爲禁用 IE 右鍵菜單

        當該鍵值爲 1 時，在 IE 中就再也不能打開右鍵菜單了。效果很是理想。

禁用」Internet 控制面板「中的相關功能

        若是不但願用戶經過」Internet 控制面板「修改 IE 設置，咱們能夠經過組策略進行按需配置。

         組策略定位：

用戶配置 -> 管理模板 -> Windows 組件 -> Internet Explorer -> Internet 控制面板

         配置條目：

禁用高級頁、禁用鏈接頁、禁用內容頁、禁用常規頁、禁用隱私頁、禁用程序頁、禁用安全頁

        將須要屏蔽的控制面板選項頁面禁用，IE 中的」Internet 控制面板「就不會再顯示相關配置頁面。

        例如，我在這裏啓用了」禁用常規頁「、」禁用內容頁「以及」禁用鏈接頁「，效果以下：

配置過的 Internet 控制面板

        能夠看到，在」Internet 選項「窗口中將再也不顯示已被禁用的配置頁面。

禁止關閉 IE 瀏覽器

        還有一種狀況，企業的監視用電腦須要一直打開一個實時更新的數據監控網頁，於是不但願用戶關閉瀏覽器窗口。在組策略中能夠完成此要求的設置。

        組策略定位：

用戶配置 -> 管理模板 -> Windows 組件 -> Internet Explorer -> 瀏覽器菜單

         配置條目：

」文件「菜單：禁用關閉瀏覽器和資源管理器窗口

        只需將此條目啓用，便可防止用戶關閉瀏覽器。配置以後，不管用戶是點擊」文件「菜單中的」退出「按鈕仍是點擊窗口右上角的紅色」關閉窗口「按鈕，都將被系統拒絕。

系統拒絕關閉窗口操做

        注意：若是你是在跟着本文作實驗，那麼你會發現不只在啓用了改組策略以後 IE 沒法關閉，甚至當你將該策略禁用，依然沒法關閉 IE。此時，請經過任務管理器結束 IE 進程（iexplore.exe）便可。

終極設置——禁用 IE 瀏覽器

        若是你說，你壓根不但願用戶使用 IE ，IE 就是不安全因素的源泉，是一個夢魘，並且會讓員工分散工做精力。那麼，請直接禁用它吧。實現該要求，須要組策略對系統功能進行配置纔可。

         組策略定位：

用戶配置 -> 管理模板 -> 系統

         配置條目：

不要運行指定的 Windows 應用程序

        請將此條目啓用，並在選項中的不容許運行的程序列表中添加 IE 的可執行文件名：

iexplore.exe

        點擊肯定完成配置便可。

        此時，不管經過何種方式運行 IE ，都將失敗而且收到系統的限制信息。

運行 IE 時失敗並收到系統限制信息

其餘設置

        在組策略中針對 IE 還有這更多豐富的配置選項，此處就不一一列舉了。但願本文能對你們是一個啓發，但願各位能用好組策略，更好的管理和配置 IE。