如何在 Windows Server 2008 R2 标准版中使用域用户的组策略禁用所有浏览器的下载?

如何在 Windows Server 2008 R2 标准版中使用域用户的组策略禁用所有浏览器的下载?

我们使用的是Windows Server 2008 R2版本。

我需要用于禁用域用户的下载选项的组策略。

请任何人告诉我政策设置。

提前致谢。

答案1

您寻找的东西听起来很简单,但事实并非如此。

当您说“所有浏览器”时,我倾向于认为您指的是第三方 Web 浏览器软件(Google Chrome、Firefox、Opera、wget、curl 等)。您会发现第三方 Web 浏览器软件比 Internet Explorer 更难受组策略控制。

我认为您所说的“下载”是指“将 HTTP(S) 可访问资源的内容保存到磁盘文件,同时仍允许用户查看网页”。考虑到这正是浏览器在访问网站以允许用户查看网页时所做的,我认为您将会遇到困难。如果机器能够通过 HTTP(S) 与其他主机任意通信,并且用户可以执行任意代码,那么用户就可以“下载”。

您的选择是删除用户执行任意代码的能力和/或删除计算机与其他主机任意通信的能力。对于前者,软件限制策略是您的最佳选择,而对于后者,网络过滤设备/应用程序是您的最佳选择。

您可以通过组策略玩弄 IE“安全区域”和其他设置,但坚定的攻击者即使无法执行任意代码也能绕过此类游戏。如果攻击者只需运行他们从自己的存储介质中带来的 wget 副本,那么世界上所有的组策略阴谋都无法帮助您。

答案2

真正实现目标的唯一方法是在网络层面限制互联网访问。这可以通过诸如内联代理之类的东西来实现,或者通过向出站端口添加 ACL 来阻止来自非服务器或代理的 IP 的请求。

您确实不应该依赖客户端的限制。

答案3

你不能。大多数浏览器都会对你的 GPO 不屑一顾。

Chrome、Firefox 都没有这个设置。IE 可能有,但是嘿,你问的是所有浏览器。

所以,不可能。软件只是按照程序运行。

答案4

用户配置 > 策略 > 管理模板 > Windows 组件 > Internet Explorer > Internet 控制面板 > 安全页面 > Internet 区域 > “允许文件下载”

相关内容