在Windows 7下的IE瀏覽器,在與Active Directory群組策略整合的集中管理下,所能夠套用管理的策略就高達了1300多種。不過接下來筆者將只針對幾項在IE瀏覽器新安全設(shè)置中,較為重要的幾個策略項目來進行探討。
在“群組策略對象編輯器”界面中,展開至“Windows Components→Internet Explorer→Security Features”項目節(jié)點下,先將“Turn off Data Execution Prevention”策略項目開啟,建議您將此策略項目設(shè)置為關(guān)閉(Disabled),如此一來將可以有效防范客戶端計算機在瀏覽Internet網(wǎng)站時,遭受惡意的溢位式攻擊,讓惡意程序可以在溢位的另一個內(nèi)存空間中執(zhí)行程序。
接著,將“Windows Components→Internet Explorer→InPrivate”下的“Turn Off InPrivate Filtering”或“Turn Off InPrivate Browsing”策略項目開啟。
關(guān)于“InPrivate Filtering”和“InPrivate Browsing” 瀏覽模式是一項全新安全功能,其 中“InPrivate Browsing”主要是讓IE瀏覽器處于這種瀏覽模式時,不會記錄用戶瀏覽過或搜尋過的網(wǎng)站記錄(Cookie、網(wǎng)際網(wǎng)絡(luò)暫存盤、歷程記錄),不過這種瀏覽模式僅會套用在目前執(zhí)行中的會話。
而“InPrivate Filtering”的主要差異在于可以讓用戶設(shè)置哪一些信息類型,可以被網(wǎng)站來追蹤到瀏覽網(wǎng)站的習(xí)慣。以“Turn Off InPrivate Filtering”策略設(shè)置來說,如果我們將此設(shè)置啟用“Enable”,那么相關(guān)瀏覽網(wǎng)站篩選的資料將不會被收集。在“InPrivate Filtering Threshold”策略設(shè)置部分,將可以決定網(wǎng)站能夠從使用者瀏覽器中獲得瀏覽記錄的臨界值(3至30),這樣將可以避免第三方網(wǎng)站獲取瀏覽記錄。最后,展開至“Windows Components→Internet Explorer→Internet Control Panel → Security Page”,在任一區(qū)域節(jié)點下開啟“Use SmartScreen Filter”策略項目。
對于SmartScreen篩選器功能,主要是強化前一版IE 7.0時的網(wǎng)絡(luò)釣魚程序篩選器功能,以信譽為基礎(chǔ)的篩選機制來過濾可能的惡意網(wǎng)站,彌補以前惡意程序篩選器不足的地方,而它同樣也會對于下載的檔案進行安全監(jiān)控。
在“Use SmartScreen Filter”頁面中,只要我們將該策略設(shè)置為“Enable”(啟用),并 且 將 下 方 的“Use SmartScreen Filter”選項也設(shè)置為“Enable”,那么當(dāng)使用者在瀏覽屬于這個區(qū)域中的網(wǎng)站時(例如:網(wǎng)際網(wǎng)絡(luò)、信任的網(wǎng)站),IE8將會自動檢查該網(wǎng)站是否有包含惡意的內(nèi)容信息。
如果您企業(yè)中有專屬的 Proxy服務(wù)器(例 如:ISA Server、TMG Server),則 此功能可以讓IE瀏覽器自動完成指定的Proxy設(shè)置,并且使用者無法變更其設(shè)置。前者策略必須通過策略編輯器中的“使用者設(shè)置→Windows設(shè)置→Internet Explorer Maintenance→ Connection”節(jié)點下的“Proxy Settings”項目來定義,后者策略則必須在“系統(tǒng)管理模板→Windows Components→Internet Explorer”節(jié)點下的“Disable changing proxy settings”項目來啟用它即可。
如果您希望使用者無法在IE互聯(lián)網(wǎng)選項的設(shè)置中,進行特定頁面中的設(shè)置變更,可以考慮干脆將一整頁的設(shè)置功能全部關(guān)閉,如此一來,用戶即便進入選項設(shè)置頁面,也無法看到被群組策略關(guān)閉的頁面。設(shè)置的方法很簡單,只要切換到在“系統(tǒng)管理模板→Windows Components→Internet Explorer→Internet Control Panel”節(jié)點之下,即可分別去選擇關(guān)閉一般、安全性、屬性、聯(lián)機、程序、私人以及進階七大設(shè)置頁面。
即便目前最新版本的Windows 10操作系統(tǒng)已經(jīng)發(fā)行一陣子了,但對于企業(yè)網(wǎng)管員來說,客戶端系統(tǒng)的穩(wěn)定、安全以及易于管理的特性,才是企業(yè)運維中真正需要的。因此,Windows 7才能夠歷久不衰。對于本文所講解的幾種Group Policy集中管理技巧,這些技巧同樣可以適用在Windows 8/8.1以及Windows 10的客戶端之中,相信可以有效提升Windows客戶端操作系統(tǒng)的安全性,并且降低IT部門的管理成本。