集中管理IE浏览器安全设置

在Windows 7下的IE浏览器，在与Active Directory群组策略整合的集中管理下，所能够套用管理的策略就高达了1300多种。不过接下来笔者将只针对几项在IE浏览器新安全设置中，较为重要的几个策略项目来进行探讨。

在“群组策略对象编辑器”界面中，展开至“Windows Components→Internet Explorer→Security Features”项目节点下，先将“Turn off Data Execution Prevention”策略项目开启，建议您将此策略项目设置为关闭（Disabled），如此一来将可以有效防范客户端计算机在浏览Internet网站时，遭受恶意的溢位式攻击，让恶意程序可以在溢位的另一个内存空间中执行程序。

接着，将“Windows Components→Internet Explorer→InPrivate”下的“Turn Off InPrivate Filtering”或“Turn Off InPrivate Browsing”策略项目开启。

关于“InPrivate Filtering”和“InPrivate Browsing” 浏览模式是一项全新安全功能，其 中“InPrivate Browsing”主要是让IE浏览器处于这种浏览模式时，不会记录用户浏览过或搜寻过的网站记录（Cookie、网际网络暂存盘、历程记录），不过这种浏览模式仅会套用在目前执行中的会话。

而“InPrivate Filtering”的主要差异在于可以让用户设置哪一些信息类型，可以被网站来追踪到浏览网站的习惯。以“Turn Off InPrivate Filtering”策略设置来说，如果我们将此设置启用“Enable”，那么相关浏览网站筛选的资料将不会被收集。在“InPrivate Filtering Threshold”策略设置部分，将可以决定网站能够从使用者浏览器中获得浏览记录的临界值（3至30），这样将可以避免第三方网站获取浏览记录。最后，展开至“Windows Components→Internet Explorer→Internet Control Panel → Security Page”，在任一区域节点下开启“Use SmartScreen Filter”策略项目。

SmartScreen筛选器功能

对于SmartScreen筛选器功能，主要是强化前一版IE 7.0时的网络钓鱼程序筛选器功能，以信誉为基础的筛选机制来过滤可能的恶意网站，弥补以前恶意程序筛选器不足的地方，而它同样也会对于下载的档案进行安全监控。

在“Use SmartScreen Filter”页面中，只要我们将该策略设置为“Enable”（启用），并 且 将 下 方 的“Use SmartScreen Filter”选项也设置为“Enable”，那么当使用者在浏览属于这个区域中的网站时（例如：网际网络、信任的网站），IE8将会自动检查该网站是否有包含恶意的内容信息。

强制IE设置Proxy

如果您企业中有专属的 Proxy服务器（例 如：ISA Server、TMG Server），则 此功能可以让IE浏览器自动完成指定的Proxy设置，并且使用者无法变更其设置。前者策略必须通过策略编辑器中的“使用者设置→Windows设置→Internet Explorer Maintenance→ Connection”节点下的“Proxy Settings”项目来定义，后者策略则必须在“系统管理模板→Windows Components→Internet Explorer”节点下的“Disable changing proxy settings”项目来启用它即可。

关闭互联网选项设置页面

如果您希望使用者无法在IE互联网选项的设置中，进行特定页面中的设置变更，可以考虑干脆将一整页的设置功能全部关闭，如此一来，用户即便进入选项设置页面，也无法看到被群组策略关闭的页面。设置的方法很简单，只要切换到在“系统管理模板→Windows Components→Internet Explorer→Internet Control Panel”节点之下，即可分别去选择关闭一般、安全性、属性、联机、程序、私人以及进阶七大设置页面。

结论

即便目前最新版本的Windows 10操作系统已经发行一阵子了，但对于企业网管员来说，客户端系统的稳定、安全以及易于管理的特性，才是企业运维中真正需要的。因此，Windows 7才能够历久不衰。对于本文所讲解的几种Group Policy集中管理技巧，这些技巧同样可以适用在Windows 8/8.1以及Windows 10的客户端之中，相信可以有效提升Windows客户端操作系统的安全性，并且降低IT部门的管理成本。