Internet Explorer：如何阻止可执行文件 (exe/com/pif/scr/bat/ps1) 在下载时被“运行”

最接近的做法可能是阻止 Internet Explorer 下载“高风险”文件类型，并为用户提供其他下载方法。

可以通过启用组策略来实现阻止用户配置 → 管理模板 → Windows 组件 → Internet Explorer → Internet 控制面板 → 安全页面 → Internet 区域 → 显示不安全文件的安全警告.（该政策必须已启用，并将选项设置为禁用。

看有关 Microsoft Windows 中的附件管理器的信息IE 认为“不安全”的文件类型列表。（其中包括您提到的除 .ps1 之外的所有文件类型。）

请注意，Chromium 和 Google Chrome 也使用 Windows 附件管理器进行下载，因此 IE 设置也会阻止这些浏览器中的下载。我不知道 Firefox 是否如此。

如果你正在运行企业版本的 Windows 7、8/8.1 或 10，您可以使用 AppLocker 通过本地组策略编辑器 ( gpedit) 配置此策略。

AppLocker 远胜于软件限制策略。您不仅可以像使用 SRP 一样配置可执行规则，还可以为 MSI 安装程序、脚本（.bat、.vbs、.ps1 等）和 Windows Universal (.appx) 包设置策略。您还可以根据证书中的路径、文件哈希和发布者/版本信息配置允许/拒绝规则（如果应用程序/脚本已使用证书签名）。

配置策略的位置是计算机配置->Windows 设置->安全设置->应用程序控制策略。

AppLocker 的缺点是它仅适用于 Windows 企业版，不适用于专业版。此外，您不能同时使用 AppLocker 和软件限制策略。

以下是微软关于该功能的文档。如果您有企业版，绝对值得一看。请注意，该链接引用的是 Windows 8/8.1，但它在 Win7 和 Win10 中同样有效。

Internet Explorer：如何阻止可执行文件 (exe/com/pif/scr/bat/ps1) 在下载时被“运行”

你可以这样做的一个方法是限制或明确否定关于 NTFS ACL 权限Traverse folder / execute file对于此用户帐户（或他们所属的安全组），IE 11 下载可执行文件的文件夹（例如/Downloads文件夹）。

这样，他们就可以使用 IE 顺利下载并保存到此文件夹，但是当他们执行时，他们会收到权限被拒绝等类型的消息，并且无法从此位置执行任何操作。

添加新的显式拒绝安全

右键单击文件夹，选择特性，转到安全选项卡，选择先进的， 选择添加， 选择显示高级权限， 选择选择校长，输入用户名或安全组以限制此访问。一旦在类型字段将值降至否定，以及适用于字段将其的值降低到此文件夹和文件，然后转到高级权限部分并检查遍历文件夹/执行文件并按好的。