结合组策略和注册表对IE进行安全进阶配置

         在上一篇博文结束时提到了还能够在组策略中对 Internet Explorer 进行更多的进阶配置，本文将作详细的介绍。(* 本文实验环境基于 Windows 7 Ultimate + Windows Internet Explorer 8)

经过组策略配置 IE

* 本文的实现环境为 Windows 7 Ultimate + Internet Explorer 8

可配置的功能

        ● inPrivate 设置

        ● Internet 控制面板、功能、工具栏及菜单设置

        ● 安全功能、持续行为设置

        ● 控件、加速器、 兼容性设置

        ● 脱机页面及浏览记录设置

        ● 企业功能设置

不一样功能在组策略中的分类

        在组策略中，根据不一样的分类，有着不一样的配置选项，分别为：

计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer 用户配置 -> Windows 设置 -> Internet Explorer 维护 （对 IE7 及更高版本无效） 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

示例方法：利用组策略配置 IE

        例如，将组策略目录树定位至：

计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

        此处，不只左侧目录树中有着丰富的配置功能，在右侧的详细条目窗格中也有不少可供定义的设置。在配置时，只需双击须要设置的条目，在设置窗口内对选项和设定值进行修改便可。

        下文中的配置方法如此例所示，除须要特殊说明外，基本步骤我再也不另行截图。

计算机配置管理模板中的 IE 配置

轻松搞定 IE 安全进阶配置

        对 IE 进行安全进阶配置，就让咱们一步一步来，步步为营，根据不一样的环境要求作灵活配置。

锁定主页设置

        组策略定位：

用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

        配置条目：

禁用更改主页设置

        在此条目中，将策略状态更改成“已启用”，而且填入咱们须要的主页地址便可。若是不但愿使用主页，可使用空白页做为主页地址，即在主页处填入：

about:blank

启用该策略并填入主页地址

        设置完成后，IE 选项中的主页设置框将成为灰色不可用状态，并在会在设置窗口下方出现“某些设置由系统管理员管理”的提示。

IE 主页设置将不可用以及系统提示

禁用“另存为”功能

        在企业或者公司重要部门，为了保证计算机存储资料的安全、保持计算机资料整齐和条理，可能不但愿员工使用 IE 的“另存为”功能保存网页，在组策略中能够实现此要求。

        组策略定位：

用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单

        配置条目：

“文件”菜单：禁用“另存为...”菜单选项

        只需将此条目启用，在 IE 的菜单栏“文件”选项下以及网页右键菜单中将不会显示“另存为...”按钮。

禁用下载功能

        上一条配置虽然禁用了“文件”菜单以及网页右键菜单中的“另存为”功能，但在连接、图片上若点击右键，依然会显示“目标另存为”功能，照样能够实现保存网页、图片，甚至是文件的功能。所以，咱们还须要禁用 IE 的下载功能。

        组策略定位：

用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单

         配置条目：

禁用“将该程序保存到磁盘”选项

        只需将此条目启用，当在网页中的图片或其余元素上单击右键，“目标另存为”按钮都会是不可用的状态；而在连接上点击右键，虽然此按钮呈可用状态，可是点击以后会提示该功能不可用。

右键中的“目标另存为”功能已不可用

此组策略目录下的更多设置

        在这个组策略目录下，还有更多设置，如：关闭”打印“菜单、禁用上下文菜单、禁用”Internet 选项“菜单等。

更多设置

菜单栏及右键菜单的进阶设置

        到了这时，有人可能会问，若是我压根连浏览器菜单栏也不想对用户提供，更甚连右键菜单都须要禁用掉，怎么办？

        咱们依然可使用组策略来完成，只是在禁用右键菜单上还需再结合注册表才能够作完全。

禁用菜单栏

        组策略定位：

计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer

         配置条目：

启用菜单栏（默认）

        只需将此条目禁用，IE 中就没法在启用菜单栏。须要注意的是，在设置此功能以前请确认已将 IE 中的菜单栏关闭，不然配置该条目以后将没法关闭菜单栏。

禁用 IE 右键

        打开注册表编辑器（regedit.exe）。

        若是已经依照上述步骤对 IE 进行配置，那么请直接将注册表位置定位至：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

        若没有通过上文中的组策略对菜单栏等的设置，请在组策略中新建该目录。

        在该注册表目录下，新建名为”NoBrowserContextMenu“的 DWORD 值，设置该键值为 1 即为禁用 IE 右键菜单，0 则是启用。

在注册表中编辑该键值为 1 即为禁用 IE 右键菜单

        当该键值为 1 时，在 IE 中就再也不能打开右键菜单了。效果很是理想。

禁用”Internet 控制面板“中的相关功能

        若是不但愿用户经过”Internet 控制面板“修改 IE 设置，咱们能够经过组策略进行按需配置。

         组策略定位：

用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板

         配置条目：

禁用高级页、禁用链接页、禁用内容页、禁用常规页、禁用隐私页、禁用程序页、禁用安全页

        将须要屏蔽的控制面板选项页面禁用，IE 中的”Internet 控制面板“就不会再显示相关配置页面。

        例如，我在这里启用了”禁用常规页“、”禁用内容页“以及”禁用链接页“，效果以下：

配置过的 Internet 控制面板

        能够看到，在”Internet 选项“窗口中将再也不显示已被禁用的配置页面。

禁止关闭 IE 浏览器

        还有一种状况，企业的监视用电脑须要一直打开一个实时更新的数据监控网页，于是不但愿用户关闭浏览器窗口。在组策略中能够完成此要求的设置。

        组策略定位：

用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单

         配置条目：

”文件“菜单：禁用关闭浏览器和资源管理器窗口

        只需将此条目启用，便可防止用户关闭浏览器。配置以后，不管用户是点击”文件“菜单中的”退出“按钮仍是点击窗口右上角的红色”关闭窗口“按钮，都将被系统拒绝。

系统拒绝关闭窗口操做

        注意：若是你是在跟着本文作实验，那么你会发现不只在启用了改组策略以后 IE 没法关闭，甚至当你将该策略禁用，依然没法关闭 IE。此时，请经过任务管理器结束 IE 进程（iexplore.exe）便可。

终极设置——禁用 IE 浏览器

        若是你说，你压根不但愿用户使用 IE ，IE 就是不安全因素的源泉，是一个梦魇，并且会让员工分散工做精力。那么，请直接禁用它吧。实现该要求，须要组策略对系统功能进行配置才可。

         组策略定位：

用户配置 -> 管理模板 -> 系统

         配置条目：

不要运行指定的 Windows 应用程序

        请将此条目启用，并在选项中的不容许运行的程序列表中添加 IE 的可执行文件名：

iexplore.exe

        点击肯定完成配置便可。

        此时，不管经过何种方式运行 IE ，都将失败而且收到系统的限制信息。

运行 IE 时失败并收到系统限制信息

其余设置

        在组策略中针对 IE 还有这更多丰富的配置选项，此处就不一一列举了。但愿本文能对你们是一个启发，但愿各位能用好组策略，更好的管理和配置 IE。