别让IE安全级别被他人非法利用

开篇：润墨网以专业的文秘视角，为您筛选了一篇别让IE安全级别被他人非法利用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

在单位日常管理、维护内网的过程中,常常会遇到上网用户有意或无意访问陌生网站,造成系统意外感染病毒,出现系统反应迟钝、网速突然变慢的现象。这些现象的出现,很多时候是上网用户在冲浪的时候,在不知情的情况下,ie安全级别被偷偷修改,隐藏在网页背后的恶意程序趁虚而入造成的。那么,我们该如何才能禁止IE安全级别被他人非法利用呢?尽管借助一些专业工具可以很轻松地实现这种目的,不过依靠Windows系统自身的力量,也能轻松做到这一点!

调整安全级别

IE浏览器默认的安全级别为“中一高”,只有将它的安全级别始终保持在这个高度以上,才可以很好地防范各种非法攻击。为此,我们首先需要检查IE浏览器当前的安全状态,看看是否符合安全需要,如果不适合的话,必须及时调整过来。在调整IE浏览器的安全级别时,我们可以按照下面的操作来进行:

首先以普通权限登录系统,打开IE浏览器窗口,依次单击“工具”、“Internet选项”命令,弹出Internet选项设置对话框,点选“安全”标签,打开安全标签设置页面;

其次单击该页面中的“自定义级别”按钮,弹出如图1所示的设置窗口,在该窗口的“重置为”位置处检查IE浏览器当前的安全级别是否为“中-高”以上级别,如果不是的话,必须及时修改过来;

为了防止用户一不小心访问到恶意网站,我们还可以将平时需要访问的网站设置为可信任网站。在进行这种设置操作时,可以在IE浏览器窗口中依次单击“工具”、“Internet选项”命令,点选“安全”标签,在对应标签设置页面中选择“可信站点”选项,再单击“站点”按钮,打开如图2所示的添加站点对话框,在这里将自己认为安全的一些站点地址依次添加进来,最后单击“关闭”按钮保存好设置操作。当然,在添加站点的时候需要注意的是,由于普通的站点使用的是http传输协议,所以我们必须事先取消选中这里的“对该区域中的所有站点要求服务器验证(https:)”选项,才能将安全站点成功添加进来。

隐藏安全设置

虽然上面的安全级别已经调整到位,但是一些用户或程序可以自行进入IE浏览器的安全标签设置页面,来随意修改安全级别参数,这么一来上面的调整作用仍然十分有限;为此,我们有必要隐藏IE浏览器的安全级别设置功能,禁止任何普通用户随意修改安全级别,下面就是具体的实现步骤:

首先在普通权限登录状态下,依次单击“开始”、“运行”命令,在弹出的系统运行对话框中,执行字符串命令“gpedit.msc”,打开对应系统的组策略控制台窗口;

其次展开该窗口左侧区域的“用户配置”节点,从该节点下面依次选中“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”选项,在对应“Internet控制面板”选项的右侧列表区域,我们会看到一个“禁用安全页”的组策略设置选项(如图3所示);

用鼠标双击该选项,在其后弹出的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮,这么一来IE浏览器中的安全设置页面就会被自动隐藏起来了,那么日后普通用户就不能在安全设置页面中随意调整IE浏览器的安全级别了。

当然,需要提醒大家注意的是,一旦启用了上面的组策略设置功能,那么用户就无法修改安全设置页面中的任何设置了,包括下载、脚本、用户验证等参数;倘若不对“禁用安全页”组策略进行设置,那么用户是可以看到安全标签页面中的各项设置参数的,同时也能进行设置操作。

限制调整策略

由于隐藏安全设置是通过调整系统组策略来实现的,只有继续禁止普通用户编辑系统组策略,才能彻底实现IE浏览器安全级别被无法修改的目的。要限制普通用户调整系统组策略,方法其实非常的多,本文在这里就为大家提供两个比较容易实现的方法。

二级小标题:隐藏运行命令

首先以普通权限登录系统,依次单击“开始”、“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击回车键后,弹出系统组策略设置界面;

其次展开该设置界面左侧列表区域的“用户配置”节点,从该节点下依次点选“管理模板”,“开始菜单和任务栏”选项,在对应该选项的右侧列表区域中,双击“从开始菜单中删除运行命令”选项,弹出如图4所示的选项设置对话框,选中“已启用”选项,再单击“确定”按钮,如此一来普通用户日后就不能在系统运行框中执行组策略编辑命令,来随意调整系统组策略的设置了。

当然,这种方法有很大的缺陷,那就是限制效果不彻底,普通用户只要通过文件搜索功能,找到组策略编辑命令“gpedit.msc”文件,用鼠标双击该文件,同样也能打开系统的组策略编辑窗口;此外,在系统的MS-DOS命令窗口中,也可以直接执行“gpedit.msc”命令,来打开系统的组策略编辑窗口。所以,我们可以将系统的“gpedit.msc”文件名称修改成别的名称,让普通用户无法找到编辑组策略的命令,这样就能实现比较好的限制效果了。

限定运行程序

由于Windows系统中有一个名为“只允许运行Windows应用程序”的功能,利用该功能我们可以将一些平时用到的应用程序授权给普通用户,而将组策略编辑程序排除在外,那么一来普通用户同样不能打开系统组策略编辑窗口。要做到这一点,我们可以按照如下操作步骤来进行:

首先在普通权限账号状态下,打开系统的组策略编辑界面,展开该设置界面左侧列表区域的“用户配置”节点,从该节点下依次点选“管理模板”、“系统”选项,在对应该选项的右侧列表区域中,双击“只允许运行Windows应用程序”选项,弹出如图5所示的选项设置对话框;

其次选中“已启用”选项,同时单击“显示”按钮,在其后弹出的设置框中将平常用到的应用程序依次添加进来,而将组策略编辑程序排除在外,最后单击“确定”按钮,此时普通用户日后再也无法运行系统组策略编辑程序了。

如果日后还想继续使用组策略编辑功能时,我们可以重新启动客户端系统,在启动过程中及时按下F8键,从启动菜单中选择“带命令行提示的安全模式”选项,将系统启动到DOS命令行状态;在该状态下执行“mmc.exe”命令,打开控制台编辑窗口,依次点选其中的“文件”/“添加/删除管理单元”命令,在其后弹出的设置对话框中点选“独立”选项卡,之后单击“添加”按钮,再将组策略功能组件选中并添加进来,最后单击“确定”按钮完成设置操作,那样一来系统就能重新添加一个新的组策略控制台界面了,在该界面中我们就能将组策略编辑功能重新启用了。

使用IE增强安全功能

在Windows Server 2008系统中,我们还可以选用更简单的方法,来限制用户随意调整IE浏览器的安全级别,这就是巧妙使用该系统新推出的IE增强安全配置功能,该功能一旦处于启用状态,那么IE浏览器的安全级别将会自动处于最高级别,同时普通用户将无法直接修改这个参数。为此,要是我们想限制用户在WindowsServer 2008系统中随意修改IE浏览器的安全级别时,可以按照如下步骤启用IE增强安全配置功能:

首先以系统管理员权限进入Windows Server 2008系统,打开该系统的“开始”菜单,从中依次选择“程序”、“管理工具”、“服务器管理器”选项,打开服务器管理器界面,找到“安全信息”设置项;

其次单击这里的“配置IE ESC”选项,弹出如图6所示的IE增强安全配置对话框,在“管理员”下,选中“启用”选项,同时在“用户”下,也选中“启用”选项,再单击“确定”按钮,这样的话Windows Server 2008系统的IE增强安全配置功能就会限制普通用户随意修改IE浏览器的安全级别了。

日后如果我们想降低IE浏览器的安全级别时,同样需要以管理员身份登录系统,进入上图所示的配置窗口,将“管理员”或“用户”的权限全部设置为“禁用”就可以了。