在一陣子的博文中，曾經(jīng)寫過，通過組策略的設(shè)定，讓用戶登錄就進入IE瀏覽器，關(guān)閉則注銷，并且還講述關(guān)于企業(yè)內(nèi)部需要限制IE的一些功能。雖然這樣做了，但是我們的客戶機并沒有達到安全的效果，網(wǎng)絡(luò)才是病毒傳播的重災(zāi)區(qū)。有些網(wǎng)站設(shè)置成打開網(wǎng)頁就自動下載其中的內(nèi)容，這樣就完成了木馬，病毒的傳播。而在windows server 2008中， 我們可以透過對組策略的設(shè)定來完成對IE瀏覽器的安全部署。通過這三篇文章的結(jié)合來實現(xiàn)完整的企業(yè)內(nèi)只使用IE工作的方案。

　　首先我們需要做的是通過對本地安全策略的設(shè)置完成限制下載的動作。

　　我們可以在本地安全策略中找到相應(yīng)的策略來完成設(shè)置。其位置為：計算機配置——管理模板——windows組件——internet explorer——安全功能——限制文件下載

　　其中的Internet explorer進程，將其開啟就可以了。而我這里是一臺域控，所以只能透過組策略編輯器來做一個簡單的演示。

　　打開這個Internet Explorer進程選項。

　　選擇已啟用然后確定就OK了。

　　其實通過這樣的說明，我們可以看到，完全可以透過對組策略的設(shè)置來完成對IE限制下載的應(yīng)用。

　　做了限制下載還是遠遠不夠的，windows 7和windows server 2008相對安全，其中一部分原因包含于高級安全windows防火墻和IE的安全級別。而這里IE安全級別成為了我們的主導(dǎo)。企業(yè)內(nèi)部的員工往往會根據(jù)自己的需求來進行對IE安全級別的更改，如果IE安全級別過低，很可能形成病毒或者木馬的入侵。不一定會形成很大的威脅，但長時間會造成一些計算機的緩慢，這就成了管理員的一大頭疼之處：由于員工的操作不當，造成計算機的緩慢，最后可能需要管理員來承擔(dān)這個責(zé)任，這個是我們不想看到的。但是同樣，我們可以透過組策略來限制使用者修改這些選項。

　　組策略編輯器——計算機配置——管理模板——windows組件——Internet Explorer——Internet 控制面板，其中包含一個禁用安全頁，啟用即可。

　　還是做一個簡單的操作作為演示。

　　選中禁用安全頁，在啟用它。

　　這樣設(shè)定之后，我們可以進行驗證，打開IE的工具，發(fā)現(xiàn)，沒有了安全頁的選項，這樣我們就保護的IE安全功能為高或者是我們設(shè)定的選項，用戶不能隨意修改，從而增強了IE的安全性。