我已经在 Google 上搜索了一段时间,并没有找到任何简单的方法来做到这一点。
基本上,我想确保我网络中的 IE 用户无法浏览可能的钓鱼网站,或者那些被不受信任的证书攻击的网站。目前他们会收到证书不受信任的警告,但仍能绕过它。
我正在寻找可以通过组策略完成的一些事情。
有人能帮忙吗?提前谢谢!
答案1
Windows Internet Explorer 中没有允许您执行此操作的策略/选项。您可以尝试编写一个自定义浏览器来阻止加载任何具有无效认证的网站,但这对于您要实现的目标来说可能需要付出很多努力。
有一种我不推荐的“黑客”方法,但它应该可以让您通过编辑 ieframe.dll.mui 文件来自定义 Internet Explorer 中的错误页面。不过,您需要在每台电脑上执行此操作,并在 Microsoft 更新该文件时重新应用它。
如果要执行此操作,您将需要一款名为 Resource Hacker 的软件,然后使用它来编辑文件C:\Windows\System32\en-US\ieframe.dll.mui。在其中导航到
23\INVALIDCERT.HTM\1033并删除该<!-- continue to site-->段。
再次强调,我不推荐这样做。相反,为什么不通过代理服务器过滤所有用户的网络流量,并使用一款优秀的网络安全软件来阻止最新的钓鱼网站呢?
答案2
最简单的方法是使用周边防火墙:
Deny source destination tcp 80.
Allow source destination tcp 443.
如果边界阻断过于严格,请使用 Windows 客户端防火墙。Windows 防火墙的优点:
- 限制每个应用程序的出站规则(即 IE)
- 简单的 GPO 配置。
PowerShell 示例:
New-NetFirewallRule -Protocol TCP -RemotePort 80 -Program “C:\Program Files\Internet Explorer\iexplore.exe” -Action Block -Profile Domain, Private -DisplayName “Block IE TCP 80” -Description “Block WWW TCP 80 from IE” -Direction Outbound
其他注意事项
- Microsoft EMET 证书固定。
- 强制执行 Microsoft 名称解析策略表 (NRPT) 策略以缓解 DNS 中毒和 DNS MITM。
- 公共和私有配置文件的附加出站规则。仅允许这些配置文件连接到外部公司 VPN 或 RDP 网关。
- 为您的域配置文件使用强制执行 443 的代理服务器。
我认为将所有 WWW 流量限制到 443 是个好主意。不过,这并不适用于所有情况。祝你好运!