天在论坛上看到一个问题,“使用组策略禁止网页游戏。”,小D立即打开虚拟机,点点点。最终测试,成功!现将成果BOLG出来。
说明:此方案有个前提条件——使用组策略,至于使用ISA和配置路由器等其它方法,小D在这里就不阐述了。
方法一:利用IE浏览器的 受限制区域
适用:已做软件限制策略,只允许使用IE浏览器。
第一步:调查你要禁用的站点所使用的IP和域名。
这个简单,PING一下,如果PING不通的话,用NSLOOKUP
例如以QQ空间为例。
第二步:将站点加入“受限制的站点”
打开组策略编辑器(gpedit.msc)。展开如下:
用户配置——WINDOWS配置——Internet Explorer维护——安全
打开“安全区域和内容分级”,再选择“导入当前安全区域和隐私设置”,选择修 设置——受限制站点,再选择站点>>>输入你要禁用的站点的URL和IP,例如要禁用Qzone。可以输入以下:*.qzone.qq.com(注意要在前面添加“*”号,以代表全部),然后再添加121.14.91.148,添加完毕后确定。
第三步,设置受限制的站点的安全级别
组策略展开如下:
用户配置——管理模板——WINDOWS组件——Internet Explorer——Internet控制面板——安全页。
打开“受限制的站点区域模板”策略。已启用,并将受限制的站点,设为“高”,应用,确定。
第四步:禁止使用IE安全页。
防止客户通过将qzone的网站添加到“受信任的区域”里。所以最好禁用掉IE安全页
组策略位置:
为了防止有人通过更改代理,可以结合公司策略,禁止更改IE代理设置,并应用到特定的用户组里。可以非常灵活的实现禁止网页游戏的功能。
禁止更改代理设置:组策略位置如下:
用户配置——管理模板——Internet Explorer ——禁止更改代理设置
测试结果如下:
打开百度:
打开Qzone,虽然能打开网站,但一片空白,我看你怎么玩。右下角还有个受限制的图标。
测试结果:成功!
方案评估:此方案适用于只使用IE浏览器的域环境中,最主要是运用IE浏览器的受限制区域,通过更改受限制区域的设置。来禁用特定网站所能运行的脚本、FLASH、ActiveX插件等,以禁止网站的应用。同时,配合禁止安全页来防止用户将网站添加到受信任区域或其它区域,来免掉受限制区域的限制。禁止更改代理设置,来防止用户通过代理免掉特定网站的限制。再配合组策略的灵活运用,高效完成禁止用户玩网页游戏等。
优点:灵活、影响小。
缺点:只适用于IE浏览器,以及需要进行网页游戏调查。
其实还有另外一个方案,是使用IPsec配合禁止代理两个策略来完成。有兴趣的童鞋,请联系小D!
本文出自 “lovedynagen” 博客,请务必保留此出处http://dynagen.blog.51cto.com/903965/193449