用组策略禁止网页游戏

今天在论坛上看到一个问题，“使用组策略禁止网页游戏。”，小D立即打开虚拟机，点点点。最终测试，成功！现将成果BOLG出来。

说明：此方案有个前提条件――使用组策略，至于使用ISA和配置路由器等其它方法，小D在这里就不阐述了。

方法一：利用IE浏览器的 受限制区域

适用：已做软件限制策略，只允许使用IE浏览器。

第一步：调查你要禁用的站点所使用的IP和域名。
        这个简单，PING一下，如果PING不通的话，用NSLOOKUP

        例如以QQ空间为例。

第二步：将站点加入“受限制的站点”
        打开组策略编辑器(gpedit.msc)。展开如下：
        用户配置――WINDOWS配置――Internet Explorer维护――安全
        打开“安全区域和内容分级”，再选择“导入当前安全区域和隐私设置”，选择修   设置――受限制站点，再选择站点>>>输入你要禁用的站点的URL和IP，例如要禁用Qzone。可以输入以下：*.qzone.qq.com（注意要在前面添加“*”号，以代表全部），然后再添加121.14.91.148，添加完毕后确定。

第三步，设置受限制的站点的安全级别
        组策略展开如下：
        用户配置――管理模板――WINDOWS组件――Internet Explorer――Internet控制面板――安全页。
       打开“受限制的站点区域模板”策略。已启用，并将受限制的站点，设为“高”，应用，确定。

第四步：禁止使用IE安全页。

防止客户通过将qzone的网站添加到“受信任的区域”里。所以最好禁用掉IE安全页

组策略位置：

为了防止有人通过更改代理，可以结合公司策略，禁止更改IE代理设置，并应用到特定的用户组里。可以非常灵活的实现禁止网页游戏的功能。

禁止更改代理设置：组策略位置如下：

用户配置――管理模板――Internet Explorer ――禁止更改代理设置

测试结果如下：

打开百度：

打开Qzone，虽然能打开网站，但一片空白，我看你怎么玩。右下角还有个受限制的图标。

测试结果：成功！

方案评估：此方案适用于只使用IE浏览器的域环境中，最主要是运用IE浏览器的受限制区域，通过更改受限制区域的设置。来禁用特定网站所能运行的脚本、FLASH、ActiveX插件等，以禁止网站的应用。同时，配合禁止安全页来防止用户将网站添加到受信任区域或其它区域，来免掉受限制区域的限制。禁止更改代理设置，来防止用户通过代理免掉特定网站的限制。再配合组策略的灵活运用，高效完成禁止用户玩网页游戏等。

优点：灵活、影响小。

缺点：只适用于IE浏览器，以及需要进行网页游戏调查。

其实还有另外一个方案，是使用IPsec配合禁止代理两个策略来完成。有兴趣的童鞋，请联系小D!