Windows_Server_2008_AD组策略管理
- 格式:pdf
- 大小:2.77 MB
- 文档页数:38
结合组策略和注册表对IE进行安全进阶配置
过组策略配置 IE * 本文的实现环境为 Windows 7 Ultimate + Internet Explorer 8 可配置的功能 ● inPrivate 设置 ● Internet 控制面板、功能、工具栏及菜单设置 ● 安全功能、持续行为设置 ● 控件、加速器、 兼容性设置 ● 脱机页面及浏览记录设置 ● 企业功能设置 不同功能在组策略中的分类 在组策略中,根据不同的分类,有着不同的配置选项,分别为:
计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer 用户配置 -> Windows 设置 -> Internet Explorer 维护 (对 IE7 及更高版本无效) 用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer 示例方法:利用组策略配置 IE 例如,将组策略目录树定位至:
计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer
此处,不仅左侧目录树中有着丰富的配置功能,在右侧的详细条目窗格中也有很多可供定义的设置。在配置时,只需双击需要设置的条目,在设置窗口内对选项和设定值进行修改即可。 下文中的配置方法如此例所示,除需要特殊说明外,基本步骤我不再另行截图。 计算机配置管理模板中的 IE 配置
轻松搞定 IE 安全进阶配置 对 IE 进行安全进阶配置,就让我们一步一步来,步步为营,根据不同的环境要求做灵活配置。 锁定主页设置 组策略定位:
用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer
配置条目:
禁用更改主页设置
在此条目中,将策略状态更改为“已启用”,并且填入我们需要的主页地址即可。如果不希望使用主页,可以使用空白页作为主页地址,即在主页处填入:
about:blank 启用该策略并填入主页地址
设置完成后,IE 选项中的主页设置框将成为灰色不可用状态,并在会在设置窗口下方出现“某些设置由系统管理员管理”的提示。 IE 主页设置将不可用以及系统提示
禁用“另存为”功能 在企业或者公司重要部门,为了保证计算机存储资料的安全、保持计算机资料整齐和条理,可能不希望员工使用 IE 的“另存为”功能保存网页,在组策略中可以实现此要求。 组策略定位:
用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单
配置条目:
“文件”菜单:禁用“另存为...”菜单选项
只需将此条目启用,在 IE 的菜单栏“文件”选项下以及网页右键菜单中将不会显示“另存为...”按钮。 禁用下载功能 上一条配置虽然禁用了“文件”菜单以及网页右键菜单中的“另存为”功能,但在链接、图片上若点击右键,依然会显示“目标另存为”功能,照样可以实现保存网页、图片,甚至是文件的功能。因此,我们还需要禁用 IE 的下载功能。 组策略定位:
用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单
配置条目:
禁用“将该程序保存到磁盘”选项 只需将此条目启用,当在网页中的图片或其他元素上单击右键,“目标另存为”按钮都会是不可用的状态;而在链接上点击右键,虽然此按钮呈可用状态,但是点击之后会提示该功能不可用。 右键中的“目标另存为”功能已不可用
此组策略目录下的更多设置 在这个组策略目录下,还有更多设置,如:关闭”打印“菜单、禁用上下文菜单、禁用”Internet 选项“菜单等。 更多设置
菜单栏及右键菜单的进阶设置 到了这时,有人可能会问,如果我压根连浏览器菜单栏也不想对用户提供,更甚连右键菜单都需要禁用掉,怎么办? 我们依然可以使用组策略来完成,只是在禁用右键菜单上还需再结合注册表才可以做彻底。 禁用菜单栏 组策略定位:
计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer
配置条目:
启用菜单栏(默认)
只需将此条目禁用,IE 中就无法在启用菜单栏。需要注意的是,在设置此功能之前请确认已将 IE 中的菜单栏关闭,否则配置该条目之后将无法关闭菜单栏。 禁用 IE 右键 打开注册表编辑器(regedit.exe)。 如果已经依照上述步骤对 IE 进行配置,那么请直接将注册表位置定位至:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 若没有经过上文中的组策略对菜单栏等的设置,请在组策略中新建该目录。 在该注册表目录下,新建名为”NoBrowserContextMenu“的 DWORD 值,设置该键值为 1 即为禁用 IE 右键菜单,0 则是启用。 在注册表中编辑该键值为 1 即为禁用 IE 右键菜单
当该键值为 1 时,在 IE 中就不再能打开右键菜单了。效果非常理想。 禁用”Internet 控制面板“中的相关功能 如果不希望用户通过”Internet 控制面板“修改 IE 设置,我们可以通过组策略进行按需配置。 组策略定位:
用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板
配置条目: 禁用高级页、禁用连接页、禁用内容页、禁用常规页、禁用隐私页、禁用程序页、禁用安全页
将需要屏蔽的控制面板选项页面禁用,IE 中的”Internet 控制面板“就不会再显示相关配置页面。 例如,我在这里启用了”禁用常规页“、”禁用内容页“以及”禁用连接页“,效果如下: 配置过的 Internet 控制面板
可以看到,在”Internet 选项“窗口中将不再显示已被禁用的配置页面。 禁止关闭 IE 浏览器 还有一种情况,企业的监视用电脑需要一直打开一个实时更新的数据监控网页,因而不希望用户关闭浏览器窗口。在组策略中可以完成此要求的设置。 组策略定位:
用户配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> 浏览器菜单
配置条目:
”文件“菜单:禁用关闭浏览器和资源管理器窗口
只需将此条目启用,即可防止用户关闭浏览器。配置之后,无论用户是点击”文件“菜单中的”退出“按钮还是点击窗口右上角的红色”关闭窗口“按钮,都将被系统拒绝。 系统拒绝关闭窗口操作
注意:如果你是在跟着本文做实验,那么你会发现不仅在启用了改组策略之后 IE 无法关闭,甚至当你将该策略禁用,依然无法关闭 IE。此时,请通过任务管理器结束 IE 进程(iexplore.exe)即可。 终极设置——禁用 IE 浏览器 如果你说,你压根不希望用户使用 IE ,IE 就是不安全因素的源泉,是一个梦魇,而且会让员工分散工作精力。那么,请直接禁用它吧。实现该要求,需要组策略对系统功能进行配置才可。 组策略定位:
用户配置 -> 管理模板 -> 系统
配置条目:
不要运行指定的 Windows 应用程序
请将此条目启用,并在选项中的不允许运行的程序列表中添加 IE 的可执行文件名:
iexplore.exe 点击确定完成配置即可。 此时,无论通过何种方式运行 IE ,都将失败并且收到系统的限制信息。 运行 IE 时失败并收到系统限制信息
其他设置
在组策略中针对 IE 还有这更多丰富的配置选项,此处就不一一列举了。希望本文能对大家是一个启
发,希望各位能用好组策略,更好的管理和配置 IE。
使用组策略进行账户安全配置
在目前所有 Windows 桌面操作系统中,Windows 7 可谓是集性能与安全两大优势于一身。
它的易用性、易维护性都较上一版系统有着极大的提升。但是,安全与易维护特性的提升并
不意味着能够高枕无忧了,万事都没有绝对化的,面对 Windows 7 ,我们更应该了解其新
的安全特性,掌握正确的安全配置方法。 Windows 7 具有很多安全新特性,但是在默认情况下这些功能绝大多数都处于关闭状态。下面,我们就来一步步启用这些安全功能。让客户资源能够获得最大限度的保护。 账户密码安全策略
账户密码策略
在组策略中可以对账户的密码安全性进行设置。
打开组策略,将左侧树目录定位至: 计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 密码策略
密码策略
这里可以看到丰富的密码安全策略条目。通常,为了保证用户密码的安全性,请启用“密码
必须符合复杂性要求”,密码复杂性要求的最低限度为: ● 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 ● 至少有六个字符长 ● 包含以下四类字符中的三类字符: ● 英文大写字母(A 到 Z) ● 英文小写字母(a 到 z) ● 10 个基本数字(0 到 9) ● 非字母字符(例如 !、$、#、%)
需要注意的是,在域控制器下默认情况此策略配置是启用的,并且不能禁用此策略。需要禁
用时,需要先删除域控制器。
其次,为了保证用户账户密码安全,还可以对密码长度、密码使用期限等进行配置。这里就
不一一详述了。
防止依靠猜测密码进行恶意登录
目标要求
为了防止依靠猜测密码恶意登录,可以使用账户锁定策略进行配置,设定尝试登录失败阀值,
激活账户锁定,使得被恶意猜测登录的账户在一定时间内不可用。
实现原理 通过配置组策略中的账户锁定策略,即可达到上述要求。 打开组策略(gpedit.msc),将目录树定位至安全设置: 计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 账户锁定策略
可以看到在此策略组下共有三条设置:账户锁定时间、账户锁定阀值、重置账户锁定计数器
● 账户锁定时间:尝试登录失败次数达到阀值之后,账户被系统锁定的时间。
● 账户锁定阀值:尝试登录失败的次数的阀值(最大值),达到此阀值时,账户
将被系统锁定。尝试登陆失败次数不仅包括用户登录界面,还包括了 Ctrl+Alt+Del 以及密
码保护的屏幕保护登录。
● 重置账户锁定计数器:重置(归零)账户登录失败次数计数器所需要的时间。
实现方法
设置账户锁定策略,需要先指定“账户锁定阀值”,因为锁定阀值是锁定时间的预先条件。
在组策略配置中,若没有指定锁定阀值,“账户锁定时间”以及“重置账户锁定计数器”都
将成不可用状态。
例如,我将锁定阀值设置为3:
设置好阀值之后,点击确定,会出现提示窗口,大意为系统根据我们自定义的阀值将对
另外两项账户锁定策略(账户锁定时间、重置账户锁定计数器)进行建议值设置: