用组策略功能构建局域网安全下载

当我们管理局域网中，我们经常会遇到用户无意中安装一些应用程序，使客户的系统感染病毒，影响系统运行速度，甚至导致整个网络慢的现象。这些现象的仔细分析，不难发现，很多他们安装恶意程序时间，那么如何才能保证安全系统下载客户端，相信很多人会下意识地选择专业的工具，但这些工具不仅价格昂贵，而且兼容性问题可能是局域网中的客户端系统，这将影响局域网络管理的效率。事实上，善于使用组策略功能的Windows系统，可以也保证下载安全。

1。限制IE的非法下载

由于大多数用户使用Windows系统与IE浏览器联机，只要浏览器不允许自动下载文件，就可以防止两个不安全的程序下载并安装到本地客户端系统。

首先向一般用户权限注册系统打开IE浏览器窗口，单击Internet工具；选项命令；在弹出的Internet选项框中，单击安全；标签，单击相应的选项卡页中的自定义级别按钮，弹出安全设置；

Word框，如图1所示。

图1

然后选择文件下载；定位点击按钮保存确定；设置操作，以便在IE浏览器显示网页后的几天内，恶意程序可以秘密下载并安装到本地系统。

但是，如果用户修改了互联网的安全参数选项框，那么上述设置可能是危险的，非法修改这一点，我们还需要修改系统的群策略，安全标签禁止普通用户进入IE浏览器设置页面，这里是修改的具体步骤：

首先，在正常的用户帐户的登录状态，请单击开始、运行命令，，，，执行gpedit.msc，字符串命令，打开系统的组策略控制台窗口，在弹出的系统运行对话框。

其次，从窗口的显示区域的左边，单击，用户配置管理模板；窗口；，；，网络组件；explore 控制面板；在下面的分支，双击禁用安全页目标分支；组策略，如弹出图2显示组策略选项对话框中，选择启用选项；；同时，单击确定按钮；执行设置保存操作，安全设置页面；使普通用户无法在IE浏览器进入天修改文件下载参数。当然，一旦启用此组策略的配置，我们不需要Configure 互联网explorer分支安全区：不允许用户添加或删除网站和安全区域：禁止用户更改组策略参数的策略。

图2


二、限制其他浏览器的下载

如果用户类似于360方或第三方浏览器上网冲浪，那么上述设置不能限制网页自动下载和安装恶意程序，然后我们可以按照以下方法设置系统参数组策略，限制其他浏览器自动下载文件：

首先，在正常的用户帐户的登录状态，请单击开始、运行命令，，，，执行gpedit.msc，字符串命令，打开系统的组策略控制台窗口，在弹出的系统运行对话框。

然后将鼠标定位到，计算机配置管理；，窗口模板；，组件；互联网，explore 文件下载限制；子项，双击下面的子项；全过程；组策略，打开选项对话框中，组策略中选择如图3所示的已启用选项，单击；；确定按钮；；所以任何浏览器可以自动通过网页下载安装文件。

图3

需要提醒您的是，如果启用此组策略，那么普通用户就在本地系统中使用什么类型的浏览器，文件下载功能将被限制使用组策略或禁止；如果不组策略配置，则文件下载功能不受限制。

三，限制其他程序的下载。

有时，一些用户会使用恶意工具如迅雷等专业工具下载恶意在局域网中，这是导致整个局域网的稳定运行在网络环境中有限的带宽资源非常容易。限制用户下载文件使用专业工具，系统组策略参数可以设置如下：

首先，在正常的用户帐户的登录状态，请单击开始、运行命令，，，，执行gpedit.msc，字符串命令，打开系统的组策略控制台窗口，在弹出的系统运行对话框。

然后一个接一个地对以下分支进行了计算机配置；Windows；安全；软件限制策略，右键单击软件限制策略；从快捷菜单中选择分支，单击创建软件限制策略命令；

双击软件限制策略后；；分支义务选择强迫选项对话框（图4），选择所有用户；；选项，点击返回按钮；测定；；左键点击目标分支；其他规则执行选项的，右键菜单；新路径规则；同时，迅雷将指挥，专业程序安装路径引导的安全级别；改性；；是不允许的，保存最完整的集；手术后，使普通用户可以不要使用本地系统中的迅雷下载文件。

图4

四。防止用户修改组策略

由于上述设置普通用户的权限下完成，谁稍微熟悉组策略的知识有时会修改组策略参数以下载用户。为了实现完全限制文件下载的目标，我们还需要建立系统的系统管理员的权限来防止普通用户修改组在将策略配置。

首先，登录到系统作为一个系统管理员，然后单击开始，，，运行，命令，执行，gpedit.mse，字符串命令，打开系统的组策略控制台窗口，在弹出的系统运行对话框。

然后将鼠标定位到，用户模型；管理模板；&lsquo；任务栏和开始菜单'；；；分支，双击从目标分支下面'；'；'开始菜单；删除操作；rsquo；菜单选项，选择的；弹出的选项框，使；选项，然后单击保存按钮；；设置操作，普通用户无法对话系统，在天运行执行gpedit.mse字符串命令，编辑组策略参数。当然，这种方式限制用户修改组策略参数还不够彻底，因为用户可以通过搜索系统组策略窗口中打开，gpedit.mse和命令文件通过文件搜索功能。

为了更彻底地限制用户修改组策略，我们可以移动鼠标定位到组策略编辑器窗口用户配置和，模板管理系统；分支，双击以下目标分支中只允许运行Windows应用程序的选择选项，然后在弹出的设置选项框；启用；选项，并单击显示按钮；；你需要添加运行的应用程序，请单击确定按钮，所以；；普通用户，在元方法打开组策略编辑器。

在禁用组策略编辑功能，系统管理员，在你想打开组策略编辑器窗口，你可以重启客户端系统，按F8键在启动过程中，启动菜单，选择弹出系统；带命令提示符的安全模式；命令，系统会切换到DOS命令行的状态执行状态；mmc指挥系统，弹出控制台窗口，单击文件；添加/删除管理单元命令，单击；在标签；独立性；相应的选项页将引导人们进入组策略组件，所以你可以重新打开组策略编辑窗口。