Como posso desativar o download de todos os navegadores usando a diretiva de grupo para usuários do domínio no Windows Server 2008 R2 Standard Edition?

O que você está procurando parece uma coisa simples, mas na verdade não é.

Quando você diz "todos os navegadores", tenho a tendência de pensar que você está falando sobre software de navegador de terceiros (Google Chrome, Firefox, Opera, wget, curl, etc). Você descobrirá que o software de navegador da Web de terceiros é menos receptivo a ser controlado pela Diretiva de Grupo do que o Internet Explorer.

Por "download" eu acho que você está dizendo "salvando o conteúdo de HTTP (S) recursos acessíveis para arquivos de disco enquanto ainda permite ao usuário visualizar páginas da web". Considerando que é exatamente isso que um navegador faz ao acessar sites da Web para permitir que os usuários visualizem as páginas, acho que você vai ter dificuldades com isso. Se a máquina for capaz de se comunicar arbitrariamente com outros hosts via HTTP (S) e o usuário puder executar código arbitrário, os usuários poderão fazer o "download".

Suas opções são remover a capacidade do usuário de executar código arbitrário e / ou remover a capacidade do computador de se comunicar arbitrariamente com outros hosts. A Política de Restrição de Software é a sua melhor aposta para o primeiro, e um dispositivo / aplicativo de filtro da Web é sua melhor aposta para o segundo.

Você pode jogar com o IE "Security Zones" e outras configurações através da Diretiva de Grupo, mas um atacante determinado poderá contornar esses jogos, mesmo que eles não possam executar código arbitrário. Se o invasor puder apenas executar uma cópia do wget que ele traz em sua própria mídia de armazenamento, todas as maquinações da Política de Grupo no mundo também não irão ajudá-lo.

A única maneira de realmente alcançar o que você deseja é restringir o acesso à Internet no nível da rede. Isso pode ser obtido por algo como um proxy sequencial ou pela adição de ACLs às suas portas de saída, o que impede que solicitações originárias de IPs não sejam servidores nem proxy.

Você realmente não deve confiar nas restrições do lado do cliente para isso.

Você não pode. Os navegadores da MOsst darão uma porcaria no seu GPO.

Chrome, o Firefox não tem nada para isso. IE pode ter, mas ei, você pergunta sobre todos os navegadores.

Então, não - de jeito nenhum. O Sofwtare faz o que é programado.

O Internet Explorer e o Chrome podem ser controlados pelo GPO e pelo Internet Explorer por meio de GPOs fornecidos pelo MS.

Para configuração do IE > Políticas > Modelos Administrativos > Componentes do Windows > Internet Explorer > Painel de Controle da Internet > Página de segurança > Zona da Internet > Permitir que os Downloads de arquivos lhe darão o controle do Internet Explorer.

Eu acredito, não encontrei uma maneira de bloquear os downloads especificamente, mas você pode definir o diretório de download em algum lugar onde o usuário não iria gravar as permissões - o que possivelmente poderia funcionar.

Em um ambiente de domínio, você também pode criar uma política para impedir que arquivos sejam executados em determinadas áreas.

O Firefox tem algumas opções de GPO, mas ele precisa ser configurado - você usa o GPO para definir o que deseja, quando o usuário faz logon em um aplicativo que deve ler essas configurações e gravá-las no arquivo de configuração que então o Firefox lê quando é iniciado.

Eu acho? um IDM expirado ou falsificado (Internet Download Manager) pode funcionar, porque se você tiver esse programa, o IDM detectará o arquivo de download e, em seguida, solicitará a licença para iniciar o download.