Udostępnij za pośrednictwem


Wpisy rejestru stref zabezpieczeń programu Internet Explorer dla zaawansowanych użytkowników

Ostrzeżenie

Wycofana, nieobsługiwana aplikacja klasyczna Internet Explorer 11 ma zostać trwale wyłączona za pośrednictwem aktualizacji aplikacji Microsoft Edge dla niektórych wersji systemu Windows 10. Aby uzyskać więcej informacji, zobacz artykuł pt. Często zadawane pytania dotyczące wycofywania aplikacji klasycznej Internet Explorer 11.

W tym artykule opisano, jak i gdzie strefy zabezpieczeń programu Internet Explorer i ustawienia prywatności są przechowywane i zarządzane w rejestrze. Możesz użyć zasad grupy lub zestawu Microsoft Internet Explorer Administration Kit (IEAK), aby ustawić strefy zabezpieczeń i ustawienia prywatności.

Oryginalna wersja produktu: Internet Explorer 9, Internet Explorer 10
Oryginalny numer KB: 182569

Ustawienia prywatności

Program Internet Explorer 6 i nowsze wersje dodał kartę Prywatność, aby zapewnić użytkownikom większą kontrolę nad plikami cookie. Ta karta (wybierz pozycjęNarzędzia, a następnie wybierzopcje internetowe) zapewnia elastyczność blokowania lub zezwalania na pliki cookie na podstawie witryny internetowej pochodzącej z pliku cookie lub typu pliku cookie. Typy plików cookie obejmują pliki cookie pierwszej strony, pliki cookie innych firm i pliki cookie, które nie mają kompaktowej polityki prywatności. Ta karta zawiera również opcje kontrolowania żądań witryn internetowych dla danych lokalizacji fizycznej, możliwość blokowania wyskakujących okienek oraz możliwość uruchamiania pasków narzędzi i rozszerzeń po włączeniu przeglądania InPrivate.

Istnieją różne poziomy prywatności w strefie internetowej i są przechowywane w rejestrze w tej samej lokalizacji co strefy zabezpieczeń.

Możesz również dodać witrynę internetową, aby włączyć lub zablokować pliki cookie na podstawie jej ustawień, niezależnie od polityki prywatności. Te klucze rejestru są przechowywane w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Domeny, które zostały dodane jako witryna zarządzana, są wymienione w tym podkluczu. Te domeny mogą mieć jedną z następujących wartości DWORD:

0x00000005 — zawsze blokuj
0x00000001 — zawsze zezwalaj

Ustawienia strefy zabezpieczeń

W każdej strefie użytkownicy mogą kontrolować, jak program Internet Explorer obsługuje elementy o wyższym ryzyku, takie jak kontrolki ActiveX, pobieranie i skrypty. Ustawienia stref zabezpieczeń programu Internet Explorer są przechowywane w następujących podkluczach rejestru:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Te klucze rejestru zawierają następujące klucze:

  • PolitykiSzablonu
  • Mapa strefy
  • Strefy

Uwaga

Domyślnie ustawienia stref zabezpieczeń są przechowywane w poddrzewie HKEY_CURRENT_USER rejestru. Ponieważ to poddrzewo jest dynamicznie ładowane dla każdego użytkownika, ustawienia dla jednego użytkownika nie mają wpływu na ustawienia dla innego użytkownika.

Jeśli ustawienie 'Strefy zabezpieczeń: użyj tylko ustawień maszyny' na komputerze w Zasadach grupy jest włączone lub jeśli wartość typu DWORD jest obecna i ma wartość 1 w następującym podkluczu rejestru, są używane tylko ustawienia komputera lokalnego i wszyscy użytkownicy mają jednakowe ustawienia zabezpieczeń:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Po włączeniu polityki Security_HKLM_only, wartości HKLM będą używane przez program Internet Explorer. Jednak wartości HKCU będą nadal wyświetlane w ustawieniach strefy na karcie Zabezpieczenia w programie Internet Explorer. W programie Internet Explorer 7 karta Zabezpieczenia okna dialogowego Opcje internetowe wyświetla następujący komunikat, aby wskazać, że ustawienia są zarządzane przez administratora systemu:

Niektóre ustawienia są zarządzane przez administratora systemu Jeśli ustawienie "Strefy zabezpieczeń: Używaj tylko ustawień komputera" nie jest włączone w zasadach grupy lub jeśli wartość DWORD Security_HKLM_only nie istnieje lub jest ustawiona na 0, są używane ustawienia komputera wraz z ustawieniami użytkownika. Jednak w Opcjach internetowych wyświetlane są tylko ustawienia użytkownika. Na przykład jeśli ta wartość DWORD nie istnieje lub jest ustawiona na 0, ustawienia są odczytywane razem z ustawieniami, ale tylko HKEY_LOCAL_MACHINE ustawienia są wyświetlane w HKEY_CURRENT_USER internetowych. HKEY_CURRENT_USER

PolitykiSzablonu

Klucz TemplatePolicies określa ustawienia domyślnych poziomów strefy zabezpieczeń. Te poziomy to Niski, Średnio Niski, Średni i Wysoki. Ustawienia poziomu zabezpieczeń można zmienić z ustawień domyślnych. Nie można jednak dodać większej liczby poziomów zabezpieczeń. Klucze zawierają wartości, które określają ustawienie strefy zabezpieczeń. Każdy klucz zawiera wartość ciągu Opis i wartość ciągu Nazwa, które określają tekst wyświetlany na karcie Zabezpieczenia dla każdego poziomu zabezpieczeń.

Mapa strefy

Klucz ZoneMap zawiera następujące klucze:

  • Domeny
  • EscDomains
  • Domyślne ustawienia protokołu
  • Zakresy

Klucz Domains zawiera domeny i protokoły, które zostały dodane, aby zmienić ich zachowanie z domyślnego zachowania. Po dodaniu domeny klucz zostanie dodany do Domains klucza. Poddomeny są wyświetlane jako klucze w domenie, do której należą. Każdy klucz domeny zawiera DWORD z nazwą wartości reprezentującą objęty protokół. Wartość DWORD jest taka sama jak wartość liczbowa strefy zabezpieczeń, w której jest dodawana domena.

Klucz EscDomains przypomina klucz Domeny, z tą różnicą, że EscDomains klucz dotyczy tych protokołów, których dotyczy konfiguracja zwiększonych zabezpieczeń programu Internet Explorer (IE ESC). Program IE ESC jest wprowadzany w systemie Microsoft Windows Server 2003 i dotyczy tylko systemów operacyjnych serwera.

Klucz ProtocolDefaults określa domyślną strefę zabezpieczeń używaną dla określonego protokołu (ftp, http, https). Aby zmienić ustawienie domyślne, możesz dodać protokół do strefy zabezpieczeń, wybierając pozycję Dodaj witryny na karcie Zabezpieczenia , albo dodać wartość DWORD w kluczu Domeny. Nazwa wartości DWORD musi być zgodna z nazwą protokołu i nie może zawierać żadnych dwukropków (:) lub ukośników (/).

Klucz ProtocolDefaults zawiera również wartości DWORD, które określają domyślne strefy zabezpieczeń, w których jest używany protokół. Nie można użyć kontrolek na karcie Zabezpieczenia , aby zmienić te wartości. To ustawienie jest używane, gdy określona witryna sieci Web nie znajduje się w strefie zabezpieczeń.

Klucz Ranges zawiera zakresy adresów TCP/IP. Każdy określony zakres TCP/IP jest wyświetlany w dowolnym nazwanym kluczu. Ten klucz zawiera wartość typu ciąg :Range, która zawiera określony zakres TCP/IP. Dla każdego protokołu jest dodawana wartość DWORD zawierająca wartość liczbową strefy zabezpieczeń dla określonego zakresu adresów IP.

Gdy plik Urlmon.dll używa funkcji publicznej MapUrlToZone do rozpoznawania określonego adresu URL w strefie zabezpieczeń, używa jednej z następujących metod:

  • Jeśli adres URL zawiera w pełni kwalifikowaną nazwę domeny (FQDN), klucz domeny jest przetwarzany.

    W tej metodzie dopasowanie dokładnej lokalizacji zastępuje dopasowanie losowe.

  • Jeśli adres URL zawiera adres IP, Ranges klucz jest przetwarzany. Adres IP URL jest porównywany z wartością :Range zawartą w dowolnie nazwanych kluczach pod kluczem Ranges.

Uwaga

Ponieważ losowo nazwane klucze są przetwarzane w kolejności, w której zostały dodane do rejestru, ta metoda może znaleźć pierwsze dopasowanie, zanim znajdzie właściwe dopasowanie. Jeśli ta metoda najpierw znajdzie losowe dopasowanie, adres URL może zostać wykonany w innej strefie zabezpieczeń niż ta, do której jest zwykle przypisywany. Zachowanie to jest zamierzone.

Strefy

Klucz Zones zawiera klucze reprezentujące każdą strefę zabezpieczeń zdefiniowaną dla komputera. Domyślnie zdefiniowano następujące pięć stref (ponumerowane zero do czterech):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Uwaga

Domyślnie mój komputer nie jest wyświetlany w polu Strefa na karcie Zabezpieczenia, ponieważ jest zablokowany, aby zwiększyć bezpieczeństwo.

Każdy z tych kluczy zawiera następujące wartości DWORD reprezentujące odpowiadające ustawienia w niestandardowej zakładce Zabezpieczenia.

Uwaga

Chyba że określono inaczej, każda wartość DWORD jest równa zero, jedna lub trzy. Zazwyczaj ustawienie zero ustawia określoną akcję jako dozwoloną, ustawienie jednego powoduje wyświetlenie monitu, a ustawienie trzech uniemożliwia określoną akcję.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Uwagi dotyczące 1200, 1A00, 1A10, 1E05, 1C00 i 2000

Następujące dwa wpisy rejestru mają wpływ na to, czy można uruchamiać kontrolki ActiveX w określonej strefie:

  • 1200 Ten wpis rejestru ma wpływ na to, czy można uruchamiać kontrolki ActiveX, czy wtyczki.
  • 2000 Ten wpis rejestru steruje zachowaniem binarnym i zachowaniem skryptu dla kontrolek ActiveX lub wtyczek.

Uwagi dotyczące 1A02, 1A03, 1A05 i 1A06

Następujące cztery wpisy rejestru zaczynają obowiązywać tylko wtedy, gdy istnieją następujące klucze:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Plik cookie pierwszej firmy *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Pliki cookie innych firm *

Wpisy rejestru

  • 1A02 Zezwalaj na trwałe pliki cookie przechowywane na komputerze #
  • 1A03 Zezwalaj na pliki cookie dla sesji (nie są przechowywane) #
  • 1A05 Zezwalaj na trwałe pliki cookie innych firm *
  • 1A06 Zezwalaj na pliki cookie sesji innych firm *

Te wpisy rejestru znajdują się w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

W tym podkluczu rejestru, <ZoneNumber> jest strefą, taką jak 0 (zero). Wpisy rejestru 1200 i 2000 zawierają ustawienie o nazwie Zatwierdzone przez administratora. Po włączeniu tego ustawienia wartość dla określonego wpisu rejestru jest ustawiona na 00010000. Po włączeniu ustawienia Zatwierdzone przez administratora system Windows sprawdza następujący podklucz rejestru w celu zlokalizowania listy zatwierdzonych kontrolek:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

Ustawienie logowania (1A00) może mieć dowolną z następujących wartości (szesnastkowe):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Ustawienia prywatności (1A10) są używane przez suwak karty Prywatność. Wartości DWORD są następujące:

Blokuj wszystkie pliki cookie: 00000003
Wysoki: 00000001
Średnia wysoka: 00000001
Średni: 00000001
Niski: 00000001
Zaakceptuj wszystkie pliki cookie: 00000000

Na podstawie ustawień suwaka zmodyfikuje również wartości w elemencie {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120}, lub oba.

Ustawienie Uprawnienia języka Java (1C00) ma następujące pięć możliwych wartości (binarnych):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Jeśli wybrano opcję Niestandardowy, używa elementu {7839DA25-F5FE-11D0-883B-0080C726DCBB} (znajdującego się w tej samej lokalizacji rejestru) do przechowywania informacji niestandardowych w formacie binarnym.

Każda strefa zabezpieczeń zawiera wartość ciągu Opis i wartość ciągu nazwa wyświetlana. Tekst tych wartości jest wyświetlany na karcie Zabezpieczenia po wybraniu strefy w polu Strefa. Istnieje również wartość ciągu znaków 'Ikona', która ustawia ikonę wyświetlaną dla każdej strefy. Z wyjątkiem strefy Mój komputer, każda strefa zawiera wartości DWORD: CurrentLevel, MinLevel i RecommendedLevel. Wartość MinLevel ustawia najniższe ustawienie, które można użyć przed otrzymaniem komunikatu ostrzegawczego, CurrentLevel jest bieżącym ustawieniem strefy i RecommendedLevel jest zalecanym poziomem dla strefy.

Jakie wartości dla Minlevel, RecommendedLevel, i CurrentLevel oznaczają następujące:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Wartość Flags DWORD określa zdolność użytkownika do modyfikowania właściwości strefy zabezpieczeń. Aby określić wartość Flags, dodaj razem liczby odpowiednich ustawień. Dostępne są następujące Flags wartości (dziesiętne):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

W przypadku dodawania ustawień zarówno do poddrzewia HKEY_LOCAL_MACHINE, jak i do poddrzewia HKEY_CURRENT_USER, ustawienia są sumowane. Jeśli dodasz witryny sieci Web do obu poddrzew, widoczne są tylko te witryny sieci Web w HKEY_CURRENT_USER. Witryny internetowe w poddrzewie HKEY_LOCAL_MACHINE nadal podlegają wymuszeniu zgodnie z ich ustawieniami. Nie są one jednak dostępne i nie można ich modyfikować. Taka sytuacja może być myląca, ponieważ witryna sieci Web może być wymieniona tylko w jednej strefie zabezpieczeń dla każdego protokołu.

Przypisy

Aby uzyskać więcej informacji na temat zmian funkcji w pakiecie Microsoft Windows XP z dodatkiem Service Pack 2 (SP2), odwiedź następującą witrynę sieci Web firmy Microsoft:

Część 5. Rozszerzone zabezpieczenia przeglądania

Aby uzyskać więcej informacji na temat stref zabezpieczeń adresów URL, odwiedź następującą witrynę sieci Web firmy Microsoft:

Informacje o strefach zabezpieczeń adresów URL

Aby uzyskać więcej informacji na temat zmiany ustawień zabezpieczeń programu Internet Explorer, odwiedź następującą witrynę sieci Web firmy Microsoft:

Zmienianie ustawień zabezpieczeń i prywatności dla programu Internet Explorer 11

Aby uzyskać więcej informacji na temat blokady strefy komputera lokalnego programu Internet Explorer, odwiedź następującą witrynę sieci Web firmy Microsoft:

Blokowanie strefy komputera lokalnego programu Internet Explorer

Aby uzyskać więcej informacji na temat wartości skojarzonych z akcjami, które można wykonać w obszarze bezpieczeństwa URL, zobacz Flagi Akcji URL.