在一阵子的博文中，曾经写过，通过组策略的设定，让用户登录就进入IE浏览器，关闭则注销，并且还讲述关于企业内部需要限制IE的一些功能。虽然这样做了，但是我们的客户机并没有达到安全的效果，网络才是病毒传播的重灾区。有些网站设置成打开网页就自动下载其中的内容，这样就完成了木马，病毒的传播。而在windows server 2008中， 我们可以透过对组策略的设定来完成对IE浏览器的安全部署。通过这三篇文章的结合来实现完整的企业内只使用IE工作的方案。

首先我们需要做的是通过对本地安全策略的设置完成限制下载的动作。

我们可以在本地安全策略中找到相应的策略来完成设置。其位置为：计算机配置——管理模板——windows组件——internet explorer——安全功能——限制文件下载

其中的Internet explorer进程，将其开启就可以了。而我这里是一台域控，所以只能透过组策略编辑器来做一个简单的演示。

打开这个Internet Explorer进程选项。

选择已启用然后确定就OK了。

其实通过这样的说明，我们可以看到，完全可以透过对组策略的设置来完成对IE限制下载的应用。

做了限制下载还是远远不够的，windows 7和windows server 2008相对安全，其中一部分原因包含于高级安全windows防火墙和IE的安全级别。而这里IE安全级别成为了我们的主导。企业内部的员工往往会根据自己的需求来进行对IE安全级别的更改，如果IE安全级别过低，很可能形成病毒或者木马的入侵。不一定会形成很大的威胁，但长时间会造成一些计算机的缓慢，这就成了管理员的一大头疼之处：由于员工的操作不当，造成计算机的缓慢，最后可能需要管理员来承担这个责任，这个是我们不想看到的。但是同样，我们可以透过组策略来限制使用者修改这些选项。

组策略编辑器——计算机配置——管理模板——windows组件——Internet Explorer——Internet 控制面板，其中包含一个禁用安全页，启用即可。

还是做一个简单的操作作为演示。

选中禁用安全页，在启用它。

这样设定之后，我们可以进行验证，打开IE的工具，发现，没有了安全页的选项，这样我们就保护的IE安全功能为高或者是我们设定的选项，用户不能随意修改，从而增强了IE的安全性。