今天在论坛上看到一个问题，“使用组策略禁止网页游戏。”，小D立即打开虚拟机，点点点。最终测试，成功！现将成果BOLG出来。说明：此方案有个前提条件——使用组策略，至于使用ISA和配置路由器等其它方法，小D在这里就不阐述了。

方法一：利用IE浏览器的 受限制区域
适用：已做软件限制策略，只允许使用IE浏览器。


第一步：调查你要禁用的站点所使用的IP和域名。
        这个简单，PING一下，如果PING不通的话，用NSLOOKUP
        例如以QQ空间为例。



第二步：将站点加入“受限制的站点”
        打开组策略编辑器(gpedit.msc)。展开如下：
        用户配置——WINDOWS配置——Internet Explorer维护——安全
        打开“安全区域和内容分级”，再选择“导入当前安全区域和隐私设置”，选择修   设置——受限制站点，再选择站点>>>输入你要禁用的站点的URL和IP，例如要禁用Qzone。可以输入以下：*.qzone.qq.com（注意要在前面添加“*”号，以代表全部），然后再添加121.14.91.148，添加完毕后确定。


第三步，设置受限制的站点的安全级别
        组策略展开如下：
        用户配置——管理模板——WINDOWS组件——Internet Explorer——Internet控制面板——安全页。
       打开“受限制的站点区域模板”策略。已启用，并将受限制的站点，设为“高”，应用，确定。



第四步：禁止使用IE安全页。
防止客户通过将qzone的网站添加到“受信任的区域”里。所以最好禁用掉IE安全页
组策略位置：



为了防止有人通过更改代理，可以结合公司策略，禁止更改IE代理设置，并应用到特定的用户组里。可以非常灵活的实现禁止网页游戏的功能。
禁止更改代理设置：组策略位置如下：
用户配置——管理模板——Internet Explorer ——禁止更改代理设置

测试结果如下：
打开百度：

打开Qzone，虽然能打开网站，但一片空白，我看你怎么玩。右下角还有个受限制的图标。



测试结果：成功！


方案评估：此方案适用于只使用IE浏览器的域环境中，最主要是运用IE浏览器的受限制区域，通过更改受限制区域的设置。来禁用特定网站所能运行的脚本、FLASH、ActiveX插件等，以禁止网站的应用。同时，配合禁止安全页来防止用户将网站添加到受信任区域或其它区域，来免掉受限制区域的限制。禁止更改代理设置，来防止用户通过代理免掉特定网站的限制。再配合组策略的灵活运用，高效完成禁止用户玩网页游戏等。
优点：灵活、影响小。
缺点：只适用于IE浏览器，以及需要进行网页游戏调查。

其实还有另外一个方案，是使用IPsec配合禁止代理两个策略来完成。有兴趣的童鞋，请联系小D!

今天在论坛上看到一个问题，“使用组策略禁止网页游戏。”，小D立即打开虚拟机，点点点。最终测试，成功！现将成果BOLG出来。说明：此方案有个前提条件——使用组策略，至于使用ISA和配置路由器等其它方法，小D在这里就不阐述了。

方法一：利用IE浏览器的 受限制区域
适用：已做软件限制策略，只允许使用IE浏览器。


第一步：调查你要禁用的站点所使用的IP和域名。
        这个简单，PING一下，如果PING不通的话，用NSLOOKUP
        例如以QQ空间为例。



第二步：将站点加入“受限制的站点”
        打开组策略编辑器(gpedit.msc)。展开如下：
        用户配置——WINDOWS配置——Internet Explorer维护——安全
        打开“安全区域和内容分级”，再选择“导入当前安全区域和隐私设置”，选择修   设置——受限制站点，再选择站点>>>输入你要禁用的站点的URL和IP，例如要禁用Qzone。可以输入以下：*.qzone.qq.com（注意要在前面添加“*”号，以代表全部），然后再添加121.14.91.148，添加完毕后确定。


第三步，设置受限制的站点的安全级别
        组策略展开如下：
        用户配置——管理模板——WINDOWS组件——Internet Explorer——Internet控制面板——安全页。
       打开“受限制的站点区域模板”策略。已启用，并将受限制的站点，设为“高”，应用，确定。



第四步：禁止使用IE安全页。
防止客户通过将qzone的网站添加到“受信任的区域”里。所以最好禁用掉IE安全页
组策略位置：



为了防止有人通过更改代理，可以结合公司策略，禁止更改IE代理设置，并应用到特定的用户组里。可以非常灵活的实现禁止网页游戏的功能。
禁止更改代理设置：组策略位置如下：
用户配置——管理模板——Internet Explorer ——禁止更改代理设置

测试结果如下：
打开百度：

打开Qzone，虽然能打开网站，但一片空白，我看你怎么玩。右下角还有个受限制的图标。



测试结果：成功！


方案评估：此方案适用于只使用IE浏览器的域环境中，最主要是运用IE浏览器的受限制区域，通过更改受限制区域的设置。来禁用特定网站所能运行的脚本、FLASH、ActiveX插件等，以禁止网站的应用。同时，配合禁止安全页来防止用户将网站添加到受信任区域或其它区域，来免掉受限制区域的限制。禁止更改代理设置，来防止用户通过代理免掉特定网站的限制。再配合组策略的灵活运用，高效完成禁止用户玩网页游戏等。
优点：灵活、影响小。
缺点：只适用于IE浏览器，以及需要进行网页游戏调查。

其实还有另外一个方案，是使用IPsec配合禁止代理两个策略来完成。有兴趣的童鞋，请联系小D!