Registervermeldingen voor beveiligingszones in Internet Explorer voor geavanceerde gebruikers
Waarschuwing
De buiten gebruik gestelde, niet meer ondersteunde Internet Explorer 11-desktoptoepassing is permanent uitgeschakeld via een Microsoft Edge-update op bepaalde versies van Windows 10. Raadpleeg Veelgestelde vragen over de beëindiging van de desktoptoepassing voor Internet Explorer 11 voor meer informatie.
In dit artikel wordt beschreven hoe en waar beveiligingszones en privacyinstellingen in Internet Explorer worden opgeslagen en beheerd in het register. U kunt groepsbeleid of de Microsoft Internet Explorer Administration Kit (IEAK) gebruiken om beveiligingszones en privacyinstellingen in te stellen.
Oorspronkelijke productversie: Internet Explorer 9, Internet Explorer 10
Origineel KB-nummer: 182569
Privacy-instellingen
Internet Explorer 6 en latere versies hebben een tabblad Privacy toegevoegd om gebruikers meer controle te geven over cookies. Dit tabblad (selecteerExtra en selecteer vervolgensInternetopties) biedt flexibiliteit voor het blokkeren of toestaan van cookies, op basis van de website waarvan de cookie afkomstig is of het type cookie. Soorten cookies zijn onder andere cookies van derden, cookies van derden en cookies die geen compact privacybeleid hebben. Dit tabblad bevat ook opties voor het beheren van websiteaanvragen voor fysieke locatiegegevens, de mogelijkheid om pop-ups te blokkeren en de mogelijkheid om werkbalken en extensies uit te voeren wanneer InPrivate-browsen is ingeschakeld.
Er zijn verschillende niveaus van privacy in de internetzone en deze worden opgeslagen in het register op dezelfde locatie als de beveiligingszones.
U kunt ook een website toevoegen om cookies op basis van de website in te schakelen of te blokkeren, ongeacht het privacybeleid op de website. Deze registersleutels worden opgeslagen in de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
Domeinen die zijn toegevoegd als een beheerde site, worden vermeld onder deze subsleutel. Deze domeinen kunnen een van de volgende DWORD-waarden bevatten:
0x00000005 - Always Block
0x00000001 - Altijd toestaan
Beveiligingszone-instellingen
Voor elke zone kunnen gebruikers bepalen hoe Internet Explorer items met een hoger risico verwerkt, zoals ActiveX-besturingselementen, downloads en scripts. De instellingen voor beveiligingszones in Internet Explorer worden opgeslagen onder de volgende registersubsleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Deze registersleutels bevatten de volgende sleutels:
- TemplatePolicies
- ZoneMap
- Zones
Opmerking
Instellingen voor beveiligingszones worden standaard opgeslagen in de substructuur van het HKEY_CURRENT_USER
register. Omdat deze substructuur dynamisch wordt geladen voor elke gebruiker, hebben de instellingen voor de ene gebruiker geen invloed op de instellingen voor een andere gebruiker.
Als de instelling Beveiligingszones: alleen computerinstellingen gebruiken in groepsbeleid is ingeschakeld of als de Security_HKLM_only
DWORD-waarde aanwezig is en de waarde 1 heeft in de volgende registersubsleutel, worden alleen instellingen voor de lokale computer gebruikt en hebben alle gebruikers dezelfde beveiligingsinstellingen:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Als het Security_HKLM_only
beleid is ingeschakeld, worden HKLM-waarden gebruikt door Internet Explorer. De HKCU-waarden worden echter nog steeds weergegeven in de zone-instellingen op het tabblad Beveiliging in Internet Explorer. In Internet Explorer 7 wordt op het tabblad Beveiliging van het dialoogvenster Internetopties het volgende bericht weergegeven om aan te geven dat de instellingen worden beheerd door de systeembeheerder:
Sommige instellingen worden beheerd door uw systeembeheerder Als de instelling Beveiligingszones: alleen computerinstellingen gebruiken niet is ingeschakeld in groepsbeleid, of als de
Security_HKLM_only
DWORD-waarde niet bestaat of is ingesteld op 0, worden computerinstellingen samen met gebruikersinstellingen gebruikt. In internetopties worden echter alleen gebruikersinstellingen weergegeven. Als deze DWORD-waarde bijvoorbeeld niet bestaat of is ingesteld op 0,HKEY_LOCAL_MACHINE
worden instellingen samen metHKEY_CURRENT_USER
instellingen gelezen, maar worden alleenHKEY_CURRENT_USER
instellingen weergegeven in internetopties.
TemplatePolicies
De TemplatePolicies
sleutel bepaalt de instellingen van de standaard beveiligingszoneniveaus. Deze niveaus zijn Laag, Gemiddeld laag, Gemiddeld en Hoog. U kunt de instellingen voor het beveiligingsniveau wijzigen van de standaardinstellingen. U kunt echter niet meer beveiligingsniveaus toevoegen. De sleutels bevatten waarden die de instelling voor de beveiligingszone bepalen. Elke sleutel bevat een tekenreekswaarde Beschrijving en een tekenreekswaarde Weergavenaam waarmee de tekst wordt bepaald die wordt weergegeven op het tabblad Beveiliging voor elk beveiligingsniveau.
ZoneMap
De ZoneMap
sleutel bevat de volgende sleutels:
- Domeinen
- EscDomains
- ProtocolDefaults
- Bereiken
De Domains
sleutel bevat domeinen en protocollen die zijn toegevoegd om hun gedrag te wijzigen van het standaardgedrag. Wanneer een domein wordt toegevoegd, wordt er een sleutel toegevoegd aan de Domains
sleutel. Subdomeinen worden weergegeven als sleutels onder het domein waar ze thuishoren. Elke sleutel waarin een domein wordt vermeld, bevat een DWORD met een waardenaam van het betrokken protocol. De waarde van de DWORD is hetzelfde als de numerieke waarde van de beveiligingszone waar het domein wordt toegevoegd.
De EscDomains
sleutel lijkt op de sleutel Domeinen, behalve dat de EscDomains
sleutel van toepassing is op de protocollen die worden beïnvloed door internet Explorer Enhanced Security Configuration (IE ESC). IE ESC is geïntroduceerd in Microsoft Windows Server 2003 en is alleen van toepassing op serverbesturingssystemen.
De ProtocolDefaults
sleutel geeft de standaardbeveiligingszone op die wordt gebruikt voor een bepaald protocol (ftp, http, https). Als u de standaardinstelling wilt wijzigen, kunt u een protocol toevoegen aan een beveiligingszone door Sites toevoegen te selecteren op het tabblad Beveiliging of u kunt een DWORD-waarde toevoegen onder de sleutel Domeinen. De naam van de DWORD-waarde moet overeenkomen met de protocolnaam en mag geen dubbele punten (:) of slashes (/) bevatten.
De ProtocolDefaults
sleutel bevat ook DWORD-waarden die de standaardbeveiligingszones opgeven waarin een protocol wordt gebruikt. U kunt de besturingselementen op het tabblad Beveiliging niet gebruiken om deze waarden te wijzigen. Deze instelling wordt gebruikt wanneer een bepaalde website niet in een beveiligingszone valt.
De Ranges
sleutel bevat bereiken van TCP/IP-adressen. Elk TCP/IP-bereik dat u opgeeft, wordt weergegeven in een willekeurige sleutel met een naam. Deze sleutel bevat een :Range
tekenreekswaarde die het opgegeven TCP/IP-bereik bevat. Voor elk protocol wordt een DWORD-waarde toegevoegd die de numerieke waarde van de beveiligingszone voor het opgegeven IP-bereik bevat.
Wanneer het Urlmon.dll-bestand gebruikmaakt van de openbare functie MapUrlToZone om een bepaalde URL om te lossen naar een beveiligingszone, wordt een van de volgende methoden gebruikt:
Als de URL een FQDN (Fully Qualified Domain Name) bevat, wordt de domeinensleutel verwerkt.
In deze methode overschrijft een exacte siteovereenkomst een willekeurige overeenkomst.
Als de URL een IP-adres bevat, wordt de
Ranges
sleutel verwerkt. Het IP-adres van de URL wordt vergeleken met de:Range
waarde die is opgenomen in de willekeurig benoemde sleutels onder deRanges
sleutel.
Opmerking
Omdat willekeurig benoemde sleutels worden verwerkt in de volgorde waarin ze zijn toegevoegd aan het register, kan deze methode een willekeurige overeenkomst vinden voordat er een overeenkomst wordt gevonden. Als met deze methode eerst een willekeurige overeenkomst wordt gevonden, kan de URL worden uitgevoerd in een andere beveiligingszone dan de zone waar deze doorgaans wordt toegewezen. Dit gedrag is inherent aan het ontwerp van het product.
Zones
De Zones
sleutel bevat sleutels die elke beveiligingszone vertegenwoordigen die is gedefinieerd voor de computer. Standaard worden de volgende vijf zones gedefinieerd (genummerd van nul tot en met vier):
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
Opmerking
Standaard wordt Deze computer niet weergegeven in het vak Zone op het tabblad Beveiliging, omdat deze is vergrendeld om de beveiliging te verbeteren.
Elk van deze sleutels bevat de volgende DWORD-waarden die overeenkomende instellingen vertegenwoordigen op het aangepaste tabblad Beveiliging.
Opmerking
Tenzij anders vermeld, is elke DWORD-waarde gelijk aan nul, één of drie. Een instelling van nul stelt doorgaans een specifieke actie in als toegestaan, een instelling van één zorgt ervoor dat een prompt wordt weergegeven en een instelling van drie verbiedt de specifieke actie.
Value Setting
----------------------------------------------------------------------------------
1001 ActiveX controls and plug-ins: Download signed ActiveX controls
1004 ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200 ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201 ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206 Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207 Reserved #
1208 ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209 ActiveX controls and plug-ins: Allow Scriptlets
120A ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400 Scripting: Active scripting
1402 Scripting: Scripting of Java applets
1405 ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406 Miscellaneous: Access data sources across domains
1407 Scripting: Allow Programmatic clipboard access
1408 Reserved #
1409 Scripting: Enable XSS Filter
1601 Miscellaneous: Submit non-encrypted form data
1604 Downloads: Font download
1605 Run Java #
1606 Miscellaneous: Userdata persistence ^
1607 Miscellaneous: Navigate sub-frames across different domains
1608 Miscellaneous: Allow META REFRESH * ^
1609 Miscellaneous: Display mixed content *
160A Miscellaneous: Include local directory path when uploading files to a server ^
1800 Miscellaneous: Installation of desktop items
1802 Miscellaneous: Drag and drop or copy and paste files
1803 Downloads: File Download ^
1804 Miscellaneous: Launching programs and files in an IFRAME
1805 Launching programs and files in webview #
1806 Miscellaneous: Launching applications and unsafe files
1807 Reserved ** #
1808 Reserved ** #
1809 Miscellaneous: Use Pop-up Blocker ** ^
180A Reserved #
180B Reserved #
180C Reserved #
180D Reserved #
180E Allow OpenSearch queries in Windows Explorer #
180F Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00 User Authentication: Logon
1A02 Allow persistent cookies that are stored on your computer #
1A03 Allow per-session cookies (not stored) #
1A04 Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05 Allow 3rd party persistent cookies *
1A06 Allow 3rd party session cookies *
1A10 Privacy Settings *
1C00 Java permissions #
1E05 Miscellaneous: Software channel permissions
1F00 Reserved ** #
2000 ActiveX controls and plug-ins: Binary and script behaviors
2001 .NET Framework-reliant components: Run components signed with Authenticode
2004 .NET Framework-reliant components: Run components not signed with Authenticode
2007 .NET Framework-Reliant Components: Permissions for Components with Manifests
2100 Miscellaneous: Open files based on content, not file extension ** ^
2101 Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102 Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103 Scripting: Allow status bar updates via script ^
2104 Miscellaneous: Allow websites to open windows without address or status bars ^
2105 Scripting: Allow websites to prompt for information using scripted windows ^
2200 Downloads: Automatic prompting for file downloads ** ^
2201 ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300 Miscellaneous: Allow web pages to use restricted protocols for active content **
2301 Miscellaneous: Use Phishing Filter ^
2400 .NET Framework: XAML browser applications
2401 .NET Framework: XPS documents
2402 .NET Framework: Loose XAML
2500 Turn on Protected Mode [Vista only setting] #
2600 Enable .NET Framework setup ^
2702 ActiveX controls and plug-ins: Allow ActiveX Filtering
2708 Miscellaneous: Allow dragging of content between domains into the same window
2709 Miscellaneous: Allow dragging of content between domains into separate windows
270B Miscellaneous: Render legacy filters
270C ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls
{AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *
* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled
Notities over 1200, 1A00, 1A10, 1E05, 1C00 en 2000
De volgende twee registervermeldingen zijn van invloed op de vraag of u ActiveX-besturingselementen in een bepaalde zone kunt uitvoeren:
- 1200 Deze registervermelding bepaalt of u ActiveX-besturingselementen of -invoegtoepassingen kunt uitvoeren.
- 2000 Deze registervermelding bepaalt binair gedrag en scriptgedrag voor ActiveX-besturingselementen of -invoegtoepassingen.
Opmerkingen over 1A02, 1A03, 1A05 en 1A06
De volgende vier registervermeldingen worden alleen van kracht als de volgende sleutels aanwezig zijn:
- {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie van derden *
Registervermeldingen
- 1A02 Permanente cookies toestaan die op uw computer worden opgeslagen #
- 1A03 Cookies per sessie toestaan (niet opgeslagen) #
- 1A05 Permanente cookies van derden toestaan *
- 1A06 Sessiecookies van derden toestaan *
Deze registervermeldingen bevinden zich in de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
In deze registersubsleutel <is ZoneNumber> een zone zoals 0 (nul). De 1200
registervermelding en de registervermelding bevatten elk een instelling met de 2000
naam Administrator approved. Wanneer deze instelling is ingeschakeld, wordt de waarde voor de specifieke registervermelding ingesteld op 00010000. Wanneer de door beheerder goedgekeurde instelling is ingeschakeld, onderzoekt Windows de volgende registersubsleutel om een lijst met goedgekeurde besturingselementen te vinden:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
De aanmeldingsinstelling (1A00) kan een van de volgende waarden hebben (hexadecimaal):
Value Setting
---------------------------------------------------------------
0x00000000 Automatically logon with current username and password
0x00010000 Prompt for user name and password
0x00020000 Automatic logon only in the Intranet zone
0x00030000 Anonymous logon
Privacy-instellingen (1A10) wordt gebruikt door de schuifregelaar op het tabblad Privacy. De DWORD-waarden zijn als volgt:
Alle cookies blokkeren: 00000003
Hoog: 00000001
Gemiddeld hoog: 00000001
Gemiddeld: 00000001
Laag: 00000001
Accepteer alle cookies: 00000000
Op basis van de instellingen in de schuifregelaar worden ook de waarden gewijzigd in {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} of beide.
De instelling Java-machtigingen (1C00) heeft de volgende vijf mogelijke waarden (binair):
Value Setting
-----------------------
00 00 00 00 Disable Java
00 00 01 00 High safety
00 00 02 00 Medium safety
00 00 03 00 Low safety
00 00 80 00 Custom
Als Aangepast is geselecteerd, wordt {7839DA25-F5FE-11D0-883B-0080C726DCBB} (die zich op dezelfde registerlocatie bevindt) gebruikt om de aangepaste informatie op te slaan in een binair bestand.
Elke beveiligingszone bevat de tekenreekswaarde Beschrijving en de tekenreekswaarde Weergavenaam. De tekst van deze waarden wordt weergegeven op het tabblad Beveiliging wanneer u een zone selecteert in het vak Zone. Er is ook een tekenreekswaarde pictogram waarmee het pictogram wordt ingesteld dat voor elke zone wordt weergegeven. Met uitzondering van de zone Mijn computer bevat elke zone een CurrentLevel
, MinLevel
en RecommendedLevel
DWORD-waarde. De MinLevel
waarde stelt de laagste instelling in die kan worden gebruikt voordat u een waarschuwingsbericht ontvangt, CurrentLevel
is de huidige instelling voor de zone en RecommendedLevel
is het aanbevolen niveau voor de zone.
Welke waarden voor Minlevel
, RecommendedLevel
en CurrentLevel
betekenen het volgende:
Value (Hexadecimal) Setting
----------------------------------
0x00010000 Low Security
0x00010500 Medium Low Security
0x00011000 Medium Security
0x00012000 High Security
De Flags
DWORD-waarde bepaalt of de gebruiker de eigenschappen van de beveiligingszone kan wijzigen. Als u de Flags
waarde wilt bepalen, voegt u de getallen van de juiste instellingen bij elkaar op. De volgende Flags
waarden zijn beschikbaar (decimaal):
Value Setting
------------------------------------------------------------------
1 Allow changes to custom settings
2 Allow users to add Web sites to this zone
4 Require verified Web sites (https protocol)
8 Include Web sites that bypass the proxy server
16 Include Web sites not listed in other zones
32 Do not show security zone in Internet Properties (default setting for My Computer)
64 Show the Requires Server Verification dialog box
128 Treat Universal Naming Connections (UNCs) as intranet connections
256 Automatically detect Intranet network
Als u instellingen toevoegt aan zowel de HKEY_LOCAL_MACHIN
E- als de HKEY_CURRENT_USER
substructuur, zijn de instellingen additief. Als u websites aan beide substructuren toevoegt, zijn alleen die websites in de HKEY_CURRENT_USER
zichtbaar. De websites in de HKEY_LOCAL_MACHINE
substructuur worden nog steeds afgedwongen op basis van hun instellingen. Ze zijn echter niet beschikbaar en u kunt ze niet wijzigen. Deze situatie kan verwarrend zijn omdat een website mogelijk slechts in één beveiligingszone voor elk protocol wordt vermeld.
Verwijzingen
Ga naar de volgende Microsoft-website voor meer informatie over wijzigingen in de functionaliteit in Microsoft Windows XP Service Pack 2 (SP2):
Deel 5: Verbeterde browsebeveiliging
Ga naar de volgende Microsoft-website voor meer informatie over URL-beveiligingszones:
Informatie over URL-beveiligingszones
Ga naar de volgende Microsoft-website voor meer informatie over het wijzigen van beveiligingsinstellingen in Internet Explorer:
Beveiligings- en privacyinstellingen voor Internet Explorer 11 wijzigen
Ga naar de volgende Microsoft-website voor meer informatie over zonevergrendeling van lokale computers in Internet Explorer:
Zonevergrendeling van lokale computer in Internet Explorer
Zie URL-actievlagmen voor meer informatie over waarden die zijn gekoppeld aan de acties die kunnen worden uitgevoerd in een URL-beveiligingszone.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor