iThome
從Server 2003開始開始,限制IE瀏覽器的設定就一直是群組原則管理的Windows主要元件之一,雖然剛開始並不是所有的IE功能,都可以找到相對應的群組原則,不過到了Server 2008就已經包含全部的IE設定了。
在數以百計的IE群組原則中,企業較需要的功能為IE的安全性、隱私權或網路設定等。如果是公用電腦,用群組原則來限制IE的部分功能就顯得更為重要,像是禁止IE自動儲存網頁內容、停用Proxy或安全性設定頁籤,以及不允許變更瀏覽器首頁等,可以減少電腦遭惡意程式植入的機率。
以禁止變更首頁為例,相關的群組原則位於「使用者(電腦)設定/原則/系統管理範本/Internet Explorer/停用變更首頁設定」,只要勾選並輸入指定的首頁網址(例如公司網頁),使用者在開啟瀏覽器時,會被強迫引導到公司網頁,同時使用者也會發現IE瀏覽器的「網際網路選項」對話視窗中,位於「一般」索引標籤的「首頁」區域設置,將呈現灰色且無法點選的狀態。
必須注意的是,這個原則和「停用一般畫面」原則(位於Internet Explorer/網際網路控制台)有關,後者會移除網際網路選項中的「一般」索引標籤,所以如果啟用它,管理者在設定上將會略過「停用變更首頁設定」原則。
此外,禁止變更首頁還可以搭配「停用重設網頁設定功能」,來禁止使用者還原首頁和搜尋網頁的預設值。同樣必須注意的是,「停用重設網頁設定功能」和「停用程式集畫面」原則有關,後者會移除IE的程式集索引標籤。
而在安全性設定方面,為了避免使用者在有意識或無意識的情況下,從網頁下載或安裝來路不明的檔案,IT人員可以利用群組原則直接封鎖IE下載檔案及附加元件的權限,相關原則位於「Internet Explorer/安全性功能/限制檔案下載」及「附加元件管理」中。在設定下載限制時,可以先到「處理程序清單」中,將安全無虞的檔案來源設定為允許名單,之後再啟用「所有處理程序(附加元件)」原則,就可以阻擋任何不屬於白名單中的下載行為。
禁止使用者變更首頁
無論是Server 2003 或2008 ,都可以透過群組原則來管理IE 設定項,像是強制指定IE 首頁並且禁止使用者自行變更,而這項設定並未包含在本機群組原則中,僅能從伺服器端執行。
移除IE設定功能
除了用前一個方法來指定首頁,群組原則還可以直接移除IE 的特定功能,像是「網際網路選項」中的「一般」或是「隱私權」頁籤等。
相關報導請參考「用群組原則輕鬆管理使用者電腦」
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20