在Windows 7下的IE瀏覽器，在與Active Directory群組策略整合的集中管理下，所能夠套用管理的策略就高達(dá)了1300多種。不過接下來筆者將只針對(duì)幾項(xiàng)在IE瀏覽器新安全設(shè)置中，較為重要的幾個(gè)策略項(xiàng)目來進(jìn)行探討。

在“群組策略對(duì)象編輯器”界面中，展開至“Windows Components→Internet Explorer→Security Features”項(xiàng)目節(jié)點(diǎn)下，先將“Turn off Data Execution Prevention”策略項(xiàng)目開啟，建議您將此策略項(xiàng)目設(shè)置為關(guān)閉（Disabled），如此一來將可以有效防范客戶端計(jì)算機(jī)在瀏覽Internet網(wǎng)站時(shí)，遭受惡意的溢位式攻擊，讓惡意程序可以在溢位的另一個(gè)內(nèi)存空間中執(zhí)行程序。

接著，將“Windows Components→Internet Explorer→InPrivate”下的“Turn Off InPrivate Filtering”或“Turn Off InPrivate Browsing”策略項(xiàng)目開啟。

關(guān)于“InPrivate Filtering”和“InPrivate Browsing” 瀏覽模式是一項(xiàng)全新安全功能，其 中“InPrivate Browsing”主要是讓IE瀏覽器處于這種瀏覽模式時(shí)，不會(huì)記錄用戶瀏覽過或搜尋過的網(wǎng)站記錄（Cookie、網(wǎng)際網(wǎng)絡(luò)暫存盤、歷程記錄），不過這種瀏覽模式僅會(huì)套用在目前執(zhí)行中的會(huì)話。

而“InPrivate Filtering”的主要差異在于可以讓用戶設(shè)置哪一些信息類型，可以被網(wǎng)站來追蹤到瀏覽網(wǎng)站的習(xí)慣。以“Turn Off InPrivate Filtering”策略設(shè)置來說，如果我們將此設(shè)置啟用“Enable”，那么相關(guān)瀏覽網(wǎng)站篩選的資料將不會(huì)被收集。在“InPrivate Filtering Threshold”策略設(shè)置部分，將可以決定網(wǎng)站能夠從使用者瀏覽器中獲得瀏覽記錄的臨界值（3至30），這樣將可以避免第三方網(wǎng)站獲取瀏覽記錄。最后，展開至“Windows Components→Internet Explorer→Internet Control Panel → Security Page”，在任一區(qū)域節(jié)點(diǎn)下開啟“Use SmartScreen Filter”策略項(xiàng)目。

SmartScreen篩選器功能

對(duì)于SmartScreen篩選器功能，主要是強(qiáng)化前一版IE 7.0時(shí)的網(wǎng)絡(luò)釣魚程序篩選器功能，以信譽(yù)為基礎(chǔ)的篩選機(jī)制來過濾可能的惡意網(wǎng)站，彌補(bǔ)以前惡意程序篩選器不足的地方，而它同樣也會(huì)對(duì)于下載的檔案進(jìn)行安全監(jiān)控。

在“Use SmartScreen Filter”頁面中，只要我們將該策略設(shè)置為“Enable”（啟用），并 且 將 下 方 的“Use SmartScreen Filter”選項(xiàng)也設(shè)置為“Enable”，那么當(dāng)使用者在瀏覽屬于這個(gè)區(qū)域中的網(wǎng)站時(shí)（例如：網(wǎng)際網(wǎng)絡(luò)、信任的網(wǎng)站），IE8將會(huì)自動(dòng)檢查該網(wǎng)站是否有包含惡意的內(nèi)容信息。

強(qiáng)制IE設(shè)置Proxy

如果您企業(yè)中有專屬的 Proxy服務(wù)器（例 如：ISA Server、TMG Server），則 此功能可以讓IE瀏覽器自動(dòng)完成指定的Proxy設(shè)置，并且使用者無法變更其設(shè)置。前者策略必須通過策略編輯器中的“使用者設(shè)置→Windows設(shè)置→Internet Explorer Maintenance→ Connection”節(jié)點(diǎn)下的“Proxy Settings”項(xiàng)目來定義，后者策略則必須在“系統(tǒng)管理模板→Windows Components→Internet Explorer”節(jié)點(diǎn)下的“Disable changing proxy settings”項(xiàng)目來啟用它即可。

關(guān)閉互聯(lián)網(wǎng)選項(xiàng)設(shè)置頁面

如果您希望使用者無法在IE互聯(lián)網(wǎng)選項(xiàng)的設(shè)置中，進(jìn)行特定頁面中的設(shè)置變更，可以考慮干脆將一整頁的設(shè)置功能全部關(guān)閉，如此一來，用戶即便進(jìn)入選項(xiàng)設(shè)置頁面，也無法看到被群組策略關(guān)閉的頁面。設(shè)置的方法很簡單，只要切換到在“系統(tǒng)管理模板→Windows Components→Internet Explorer→Internet Control Panel”節(jié)點(diǎn)之下，即可分別去選擇關(guān)閉一般、安全性、屬性、聯(lián)機(jī)、程序、私人以及進(jìn)階七大設(shè)置頁面。

結(jié)論

即便目前最新版本的Windows 10操作系統(tǒng)已經(jīng)發(fā)行一陣子了，但對(duì)于企業(yè)網(wǎng)管員來說，客戶端系統(tǒng)的穩(wěn)定、安全以及易于管理的特性，才是企業(yè)運(yùn)維中真正需要的。因此，Windows 7才能夠歷久不衰。對(duì)于本文所講解的幾種Group Policy集中管理技巧，這些技巧同樣可以適用在Windows 8/8.1以及Windows 10的客戶端之中，相信可以有效提升Windows客戶端操作系統(tǒng)的安全性，并且降低IT部門的管理成本。