在Windows 7下的IE瀏覽器，在與Active Directory群組策略整合的集中管理下，所能夠套用管理的策略就高達了1300多種。不過接下來筆者將只針對幾項在IE瀏覽器新安全設(shè)置中，較為重要的幾個策略項目來進行探討。

在“群組策略對象編輯器”界面中，展開至“Windows Components→Internet Explorer→Security Features”項目節(jié)點下，先將“Turn off Data Execution Prevention”策略項目開啟，建議您將此策略項目設(shè)置為關(guān)閉（Disabled），如此一來將可以有效防范客戶端計算機在瀏覽Internet網(wǎng)站時，遭受惡意的溢位式攻擊，讓惡意程序可以在溢位的另一個內(nèi)存空間中執(zhí)行程序。

接著，將“Windows Components→Internet Explorer→InPrivate”下的“Turn Off InPrivate Filtering”或“Turn Off InPrivate Browsing”策略項目開啟。

關(guān)于“InPrivate Filtering”和“InPrivate Browsing” 瀏覽模式是一項全新安全功能，其 中“InPrivate Browsing”主要是讓IE瀏覽器處于這種瀏覽模式時，不會記錄用戶瀏覽過或搜尋過的網(wǎng)站記錄（Cookie、網(wǎng)際網(wǎng)絡(luò)暫存盤、歷程記錄），不過這種瀏覽模式僅會套用在目前執(zhí)行中的會話。

而“InPrivate Filtering”的主要差異在于可以讓用戶設(shè)置哪一些信息類型，可以被網(wǎng)站來追蹤到瀏覽網(wǎng)站的習(xí)慣。以“Turn Off InPrivate Filtering”策略設(shè)置來說，如果我們將此設(shè)置啟用“Enable”，那么相關(guān)瀏覽網(wǎng)站篩選的資料將不會被收集。在“InPrivate Filtering Threshold”策略設(shè)置部分，將可以決定網(wǎng)站能夠從使用者瀏覽器中獲得瀏覽記錄的臨界值（3至30），這樣將可以避免第三方網(wǎng)站獲取瀏覽記錄。最后，展開至“Windows Components→Internet Explorer→Internet Control Panel → Security Page”，在任一區(qū)域節(jié)點下開啟“Use SmartScreen Filter”策略項目。

SmartScreen篩選器功能

對于SmartScreen篩選器功能，主要是強化前一版IE 7.0時的網(wǎng)絡(luò)釣魚程序篩選器功能，以信譽為基礎(chǔ)的篩選機制來過濾可能的惡意網(wǎng)站，彌補以前惡意程序篩選器不足的地方，而它同樣也會對于下載的檔案進行安全監(jiān)控。

在“Use SmartScreen Filter”頁面中，只要我們將該策略設(shè)置為“Enable”（啟用），并 且 將 下 方 的“Use SmartScreen Filter”選項也設(shè)置為“Enable”，那么當(dāng)使用者在瀏覽屬于這個區(qū)域中的網(wǎng)站時（例如：網(wǎng)際網(wǎng)絡(luò)、信任的網(wǎng)站），IE8將會自動檢查該網(wǎng)站是否有包含惡意的內(nèi)容信息。

強制IE設(shè)置Proxy

如果您企業(yè)中有專屬的 Proxy服務(wù)器（例 如：ISA Server、TMG Server），則 此功能可以讓IE瀏覽器自動完成指定的Proxy設(shè)置，并且使用者無法變更其設(shè)置。前者策略必須通過策略編輯器中的“使用者設(shè)置→Windows設(shè)置→Internet Explorer Maintenance→ Connection”節(jié)點下的“Proxy Settings”項目來定義，后者策略則必須在“系統(tǒng)管理模板→Windows Components→Internet Explorer”節(jié)點下的“Disable changing proxy settings”項目來啟用它即可。

關(guān)閉互聯(lián)網(wǎng)選項設(shè)置頁面

如果您希望使用者無法在IE互聯(lián)網(wǎng)選項的設(shè)置中，進行特定頁面中的設(shè)置變更，可以考慮干脆將一整頁的設(shè)置功能全部關(guān)閉，如此一來，用戶即便進入選項設(shè)置頁面，也無法看到被群組策略關(guān)閉的頁面。設(shè)置的方法很簡單，只要切換到在“系統(tǒng)管理模板→Windows Components→Internet Explorer→Internet Control Panel”節(jié)點之下，即可分別去選擇關(guān)閉一般、安全性、屬性、聯(lián)機、程序、私人以及進階七大設(shè)置頁面。

結(jié)論

即便目前最新版本的Windows 10操作系統(tǒng)已經(jīng)發(fā)行一陣子了，但對于企業(yè)網(wǎng)管員來說，客戶端系統(tǒng)的穩(wěn)定、安全以及易于管理的特性，才是企業(yè)運維中真正需要的。因此，Windows 7才能夠歷久不衰。對于本文所講解的幾種Group Policy集中管理技巧，這些技巧同樣可以適用在Windows 8/8.1以及Windows 10的客戶端之中，相信可以有效提升Windows客戶端操作系統(tǒng)的安全性，并且降低IT部門的管理成本。