弹出窗口阻止程序

　　弹出窗口阻止程序可阻止大多数不受欢迎的弹出窗口。用户单击链接时打开的弹出窗口不会被阻止。弹出窗口阻止程序可以按区域配置，即在某个区域中阻止站点而在其他区域中允许站点。可以使用组策略在每个区域中应用弹出窗口阻止程序，同时添加一系列允许的站点。

　　弹出窗口很烦人、数量多而且顽固，使浏览器变得难以使用。每次弹出窗口被阻止时，都会在 Internet Explorer 工具栏中显示提示。

　　注意 弹出窗口阻止程序可以对每个区域分别进行控制，但添加允许的站点是作用于全部四个区域的。

　　Internet 程序

　　可以将 Internet Explorer 配置为启动其他程序来发送电子邮件、管理联系人或查看页面源文件。例如，当用户在网页上单击一个电子邮件地址时，Internet Explorer 将打开已定义的电子邮件程序，其中是一个已填好接收地址的新的电子邮件。此功能提供了高效的电子邮件发送方式，无需打开其他程序再手动输入电子邮件地址。不过，增加此项功能也会带来一些潜在的风险。如果在组织标准应用程序中更改了某个关联程序，则用户可能会遇到意外的行为或功能。可以使用组策略来对程序列表中的程序实施设置，以确保不会启动不需要的程序。

　　加载项

　　加载项是用来执行特定功能的小程序，由网页根据需要来加载。工具栏和浏览器帮助程序对象 (BHO) 是其他类型的程序，它们安装附加的按钮和功能以便扩展浏览器内的功能。Microsoft 建议组织定义可接受的工具栏和 BHO 的列表，然后使用组策略来实施这些设置。

　　许多开发人员使用 ActiveX 平台来构造工具，以提高工作效率或增强功能。Microsoft 鼓励开发团体继续提供这些加载项，不过一定要从受信任的来源部署这些加载项。Internet Explorer 6 提供验证码，通过数字签名来验证加载项的真实性。Microsoft 建议组织在 Internet 区域中只允许已签名的加载项。本地 Intranet 区域中的站点可以不需要签署验证码，因为这些加载项很可能是由受信任的内部开发人员开发的。

　　配置 Internet Explorer 6 的组策略

　　Internet Explorer 6 的所有安全功能都可以由组策略来配置和保护。有许多基于 GPO 的安全设置可以用来管理各种 IE 组件，本文档集中讨论四个主要分支(以下过程中的 a、b、c 和 d)。组策略对象编辑器提供有关四个分支下所有设置的具体内容的详细信息。进行设置前，请仔细阅读每项说明并测试所需设置的有效性。

　　1.打开组策略管理控制台。

　　2.创建新的组策略对象 (GPO);例如，Internet Explorer 6。

　　3.Internet Explorer 策略包含在组策略对象编辑器中策略树的以下四个分支中。配置所有四个分支中的每个策略对象，以满足您组织的需要。

　　1.计算机配置、管理模板、Windows 组件、Internet Explorer

　　在此分支中，额外的安全策略锁定超出浏览器本身已有安全设置之外的安全设置。一个更有用的策略是“安全区域: 禁止用户更改策略”。默认情况下，此策略在 GPO 中是禁用的。当启用此策略时，它将阻止用户更改浏览器设置中的任何安全设置。Microsoft 建议将此策略设置为“启用”。组策略如此配置后，即使是本地管理员也无法更改这些设置。还有其他几个策略可以启用，其中有些是安全策略，有些不是。启用这些策略前，请仔细阅读说明。

　　2.计算机配置、管理模板、系统、Internet 通信设置

　　此分支是专门针对 Window XP SP2 的。它包含 20 个新策略，涵盖从 Web 发布功能到多媒体支持的广泛领域。其中一个策略是“关闭 Internet 文件关联服务”，它用于从网站下载内容时阻止浏览器打开与文件扩展名关联的应用程序。此功能类似于操作系统的相关功能，如自动为扩展名为 .txt 的文件打开 Notepad.exe。另一个策略是“关闭通过 HTTP 打印”，此策略旨在限制用户使用 HTTP 通过 Internet/Intranet 进行打印。此策略不会影响用户承载自己的 HTTP 打印机。启用这些策略前，请仔细阅读说明。

　　3.用户配置、Windows 设置、Internet Explorer 维护、安全、程序

　　这两部分包含影响浏览器安全的设置/策略。这两部分包含用户级别的设置，它们各自位于浏览器的安全/隐私设置中。建议使用 Microsoft 的最低默认设置，不过也应根据组织的需要设置这些配置。

　　注意 站点可以添加到除 Internet 之外的所有区域。谨慎选择要添加到“本地 Intranet”、“受信任的站点”和“受限制的站点”区域中的站点，因为它们将应用于与 GPO 链接的所有工作站和服务器。

　　4.用户配置、管理模板、Windows 组件、Internet Explorer

　　此分支包含限制更改浏览器设置的详细设置，但并非完全限制用户进行任何更改。这些设置应用于对诸如控制 Internet 临时文件之类项目的更改和更改主页。此分支包含许多设置选项，Microsoft 建议管理员在生产环境中应用这些设置之前先阅读和测试其效果。

　　4.完成策略编辑器中的设置后，请将新的 GPO 链接到含有工作站和服务器的所有域。

　　5.基于将受此 GPO 影响的组、用户和计算机，为 GPO 配置“安全筛选”。有些策略是针对计算机的，有些策略只适用于用户。