我想从我的网络中屏蔽掉大部分不安全的 IE 和 OE。有些人坚持使用这些浏览器,但基本不使用它们。我安装了 FF 和 SM,他们卸载了它们。我想确保通往地狱的大门不会打开。
编辑:路由器是 D-Link EBR-2310。
答案1
如果不引入额外的软件,这在防火墙层是无法实现的。
在人们提出的建议中,你一一驳斥了:
- 您无法拥有代理服务器,因为没有人可以管理它
- 由于您购买了 XP Home,因此无法强制执行组策略
- 您不能直接卸载 IE/OE,因为用户是管理员,可以安装任何他们想要的东西
这些都是技术解决方案。让它们发挥作用(即购买代理服务器硬件或撤销其管理员权限)或停止担心这个问题。正如其他人指出的那样,与每天以管理员身份运行的用户相比,IE/OE 的不安全性根本不算什么。而 XP Home?这是一个安全笑话 - 您甚至无法强制执行文件权限。
最后一种选择是将其视为社会问题。你说你就是管理层——好吧,那就制定并执行你的政策。卸载 IE。如果他们重新安装,就解雇他们。做不到吗?那就处理运行 IE 的用户。你可能需要重新考虑你的“管理”技巧。
答案2
不幸的是,您为他们购买 XP Home 的决定确实很糟糕 - 先省钱,以后再付款。最好的办法是接受这一点并安装 XP Pro;至少到那时您可以开始实施一些本地组策略,将事情锁定到更合理的水平(尽管没有 AD,您将不得不在每台机器上单独执行此操作 - 希望您没有太多这样的机器!)
答案3
Internet Explorer 和 Outlook 使用标准协议访问互联网。如果不进行深度数据包检查并检查其特定标头,您就无法在路由器上阻止它们。
你能要做的是强制所有 Internet 访问都通过代理服务器。在代理服务器上,您可以通过用户代理字符串阻止某些客户端(尽管我不认为 OE 发送任何可识别的信息,因此这只适用于 IE)。
如果您可以管理计算机,您可能会从(电子)桌面策略中获得更多的好处。
答案4
同意以上所有人的意见,代理是禁用 IE 的最佳方法。不过别以为 OE 能帮到你
但是,您可以通过软件阻止它们。在 win7 2008r2 中,您可以使用通过 GroupPolicys 部署的 AppLocker。可惜这些操作系统尚未 RTM。在 applocker 中,它只是禁止从计算机运行 exe 的文件哈希。我认为类似的软件限制策略自 windows 2000 以来就存在,但我对此并不熟悉。
据我所知,FF 比 IE 更不安全。如果您想要一个更安全的环境,通常您的用户应该是用户而不是管理员/本地管理员。使用 ACT(应用程序兼容性工具包)欺骗应用程序,使其认为它是由管理员运行的。