组策略和注册表对IE浏览器进行安全进阶配置

~ 通过组策略配置 IE
可配置的功能
● inPrivate 设置
● Internet 控制面板、功能、工具栏及菜单设置
● 安全功能、持续行为设置
● 控件、加速器、 兼容性设置
● 脱机页面及浏览记录设置
● 企业功能设置
不同功能在组策略中的分类
在组策略中，根据不同的分类，有着不同的配置选项，分别为：
               计算机配置 - 管理模板 - Windows 组件 - Internet Explorer用户配置 - Windows 设置 - Internet Explorer 维护 （对 IE7 及更高版本无效）用户配置 - 管理模板 - Windows 组件 - Internet Explorer            
示例方法：利用组策略配置 IE
例如，将组策略目录树定位至：
               计算机配置 - 管理模板 - Windows 组件 - Internet Explorer            
此处，不仅左侧目录树中有着丰富的配置功能，在右侧的详细条目窗格中也有很多可供定义的设置。在配置时，只需双击需要设置的条目，在设置窗口内对选项和设定值进行修改即可。
下文中的配置方法如此例所示，除需要特殊说明外，基本步骤我不再另行截图。
计算机配置管理模板中的 IE 配置

   轻松搞定 IE 安全进阶配置
对 IE 进行安全进阶配置，就让我们一步一步来，步步为营，根据不同的环境要求做灵活配置。
锁定主页设置
组策略定位：
               用户配置 - 管理模板 - Windows 组件 - Internet Explorer            
配置条目：
               禁用更改主页设置            
在此条目中，将策略状态更改为“已启用”，并且填入我们需要的主页地址即可。如果不希望使用主页，可以使用空白页作为主页地址，即在主页处填入：
               about:blank            
启用该策略并填入主页地址

   设置完成后，IE 选项中的主页设置框将成为灰色不可用状态，并在会在设置窗口下方出现“某些设置由系统管理员管理”的提示。
IE 主页设置将不可用以及系统提示

   禁用“另存为”功能
在企业或者公司重要部门，为了保证计算机存储资料的安全、保持计算机资料整齐和条理，可能不希望员工使用 IE 的“另存为”功能保存网页，在组策略中可以实现此要求。
组策略定位：
               用户配置 - 管理模板 - Windows 组件 - Internet Explorer - 浏览器菜单            
配置条目：
               “文件”菜单：禁用“另存为...”菜单选项            
只需将此条目启用，在 IE 的菜单栏“文件”选项下以及网页右键菜单中将不会显示“另存为...”按钮。
禁用下载功能
上一条配置虽然禁用了“文件”菜单以及网页右键菜单中的“另存为”功能，但在链接、图片上若点击右键，依然会显示“目标另存为”功能，照样可以实现保存网页、图片，甚至是文件的功能。因此，我们还需要禁用 IE 的下载功能。
组策略定位：
               用户配置 - 管理模板 - Windows 组件 - Internet Explorer - 浏览器菜单            
配置条目：
               禁用“将该程序保存到磁盘”选项            
只需将此条目启用，当在网页中的图片或其他元素上单击右键，“目标另存为”按钮都会是不可用的状态;而在链接上点击右键，虽然此按钮呈可用状态，但是点击之后会提示该功能不可用。
右键中的“目标另存为”功能已不可用

   此组策略目录下的更多设置
在这个组策略目录下，还有更多设置，如：关闭”打印“菜单、禁用上下文菜单、禁用”Internet 选项“菜单等。
更多设置

   菜单栏及右键菜单的进阶设置
到了这时，有人可能会问，如果我压根连浏览器菜单栏也不想对用户提供，更甚连右键菜单都需要禁用掉，怎么办?
我们依然可以使用组策略来完成，只是在禁用右键菜单上还需再结合注册表才可以做彻底。
禁用菜单栏
组策略定位：
               计算机配置 - 管理模板 - Windows 组件 - Internet Explorer            
配置条目：
               启用菜单栏（默认）            
只需将此条目禁用，IE 中就无法在启用菜单栏。需要注意的是，在设置此功能之前请确认已将 IE 中的菜单栏关闭，否则配置该条目之后将无法关闭菜单栏。
禁用 IE 右键
打开注册表编辑器(regedit.exe)。
如果已经依照上述步骤对 IE 进行配置，那么请直接将注册表位置定位至：
               HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions            
若没有经过上文中的组策略对菜单栏等的设置，请在组策略中新建该目录。
在该注册表目录下，新建名为”NoBrowserContextMenu“的 DWORD 值，设置该键值为 1 即为禁用 IE 右键菜单，0 则是启用。
在注册表中编辑该键值为 1 即为禁用 IE 右键菜单

   当该键值为 1 时，在 IE 中就不再能打开右键菜单了。效果非常理想。
禁用”Internet 控制面板“中的相关功能
如果不希望用户通过”Internet 控制面板“修改 IE 设置，我们可以通过组策略进行按需配置。
组策略定位：
               用户配置 - 管理模板 - Windows 组件 - Internet Explorer - Internet 控制面板            
配置条目：
               禁用高级页、禁用连接页、禁用内容页、禁用常规页、禁用隐私页、禁用程序页、禁用安全页            
将需要屏蔽的控制面板选项页面禁用，IE 中的”Internet 控制面板“就不会再显示相关配置页面。
例如，我在这里启用了”禁用常规页“、”禁用内容页“以及”禁用连接页“，效果如下：
配置过的 Internet 控制面板

   可以看到，在”Internet 选项“窗口中将不再显示已被禁用的配置页面。
禁止关闭IE浏览器
还有一种情况，企业的监视用电脑需要一直打开一个实时更新的数据监控网页，因而不希望用户关闭浏览器窗口。在组策略中可以完成此要求的设置。
组策略定位：
               用户配置 - 管理模板 - Windows 组件 - Internet Explorer - 浏览器菜单            
配置条目：
               ”文件“菜单：禁用关闭浏览器和资源管理器窗口            
只需将此条目启用，即可防止用户关闭浏览器。配置之后，无论用户是点击”文件“菜单中的”退出“按钮还是点击窗口右上角的红色”关闭窗口“按钮，都将被系统拒绝。
系统拒绝关闭窗口操作

   注意：如果你是在跟着本文做实验，那么你会发现不仅在启用了改组策略之后 IE 无法关闭，甚至当你将该策略禁用，依然无法关闭 IE。此时，请通过任务管理器结束 IE 进程(iexplore.exe)即可。
终极设置——禁用 IE 浏览器
如果你说，你压根不希望用户使用 IE ，IE 就是不安全因素的源泉，是一个梦魇，而且会让员工分散工作精力。那么，请直接禁用它吧。实现该要求，需要组策略对系统功能进行配置才可。
组策略定位：
               用户配置 - 管理模板 - 系统            
配置条目：
               不要运行指定的 Windows 应用程序            
请将此条目启用，并在选项中的不允许运行的程序列表中添加 IE 的可执行文件名：
               iexplore.exe            
点击确定完成配置即可。
此时，无论通过何种方式运行 IE ，都将失败并且收到系统的限制信息。
运行 IE 时失败并收到系统限制信息

   其他设置
在组策略中针对 IE 还有这更多丰富的配置选项，此处就不一一列举了。希望本文能对大家是一个启发，希望各位能用好组策略，更好的管理和配置 IE。

---

登封市17019371186： 如何在注册表中彻底锁定IE浏览器的的主页 - ？
在聂赛明： 1、新建一个文本文件,在其中输入以下内容.[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/policies/System] “disableregistrytools”=dword:00000000最后将该文件存盘为'unlock.reg',然后双击该文件,在弹出的提示窗口中单击'是'即可将该健项添加到注册表中,从而解锁.2、通过组策略解锁,点开始---运行---输入gpedit.msc 回车,依次展开'用户配置-----管理模版-----系统',双击右侧窗口中的'阻止访问注册表编辑工具',在弹出的窗口中选择'已禁用','确定'后退出组策略即可.

登封市17019371186： 如何通过组策略修改IE的安全级别 - ？
在聂赛明： 本经验来自“Windows中文站 论坛”的版主“amlihui1983(李晖)” 在使用IE登陆MOSS网站时,可能会弹出一个窗口需要你输入用户名和密码进行验证,而通常我们在域中的用户都希望能自己使用当前用户进行登陆,这个时候就要对IE的安全级别进行修改了.除了在客户端设置外,我们还可以通过在DC上设置组策略来对域中的所有用户进行统一的设置.具体步骤为:用户配置——Windows设置——Internet Explorer维护——安全——安全区域和内容分级——导入当前安全区域和隐私设置——修改设置——自定义级别 在“登陆”下面根据需要选择相应的选项.

登封市17019371186： 怎么样禁用受限用户的IE浏览器,不让打开网页？
在聂赛明： 这个可以用组策略来进行限制,开始,运行 GPEDIT.MSC 弹出组策略编辑画面.选择 ＂本地计算机策略＂ 选择 ＂WINDOWS设置＂ => ＂安全策略＂ => ＂软件限制策略＂ 默认的是 ＂没有定义软件限制策略＂ 鼠标右键点选 ＂软件限制策略＂ ...

登封市17019371186： Windows2008系统下怎么巧设IE - ？
在聂赛明： 1、不让别人降低IE安全性许多时候,各种非法黑客或木马程序都是通过IE浏览器“植入”到本地服务器系统中的;如果IE浏览器自身的安全性不高,那么它就无法对那些木马或黑客程序具有“免疫”能力,这样的话在本地服务器系...

登封市17019371186： 如何用组策略提高Win7系统安全性? - ？
在聂赛明： 文件保密 给驱动器穿上隐身衣 驱动器主要包括硬盘、光驱和移动设备等,主要用于存储数据等.因此,限制驱动器的使用,可以有效防止重要和机密的信息外泄,阻击病毒和木马的入侵,十分必要.驱动器不同,限制方法也不同,而且同一种...

登封市17019371186： 如何阻止用户在浏览网页时安装程序 - ？
在聂赛明： 可以从工具菜单的Internet选项来进行调整.这样做的同时,你就修改了Windows的注册表.但是,为了实现对特定用户或大量用户自动的进行有效的更改,使用组策略来更改注册表会更加有效,写一个脚本来修改注册表或直接编辑注册表.请...

登封市17019371186： IE中毒,请问该怎么办?？
在聂赛明： 首先用360或卡卡修复一下IE,然后进行系统垃圾清理! 1.进入C:\WINDOWS\system32\drivers\etc,用记事本打开hosts文件,清空除在127.0.0.1 localhost以外的一切内容,然后保存并修改此文件属性为只读. 2.接着删除桌面、快速启动栏及程...

登封市17019371186： 组策略禁止IE下载？
在聂赛明： 点开始-运行,输入regedit,打开“注册表编辑器”,找到下面这个位置:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3],在右侧窗格找到“1803”这个DWORD值,将其键值修改为3,重启IE即可.

登封市17019371186： WINXP系统如何设置一个比较全面安全的组策略?具体操作步骤都是什么? - ？
在聂赛明： 1.禁用“添加/删除程序”(Windows 2000/XP/2003) “控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 W...

登封市17019371186： 如何在注册表中使IE”安全“选项卡,internet的安全级别设置为低 - ？
在聂赛明： 在lnternetx选项里有个安全在那里