Edytuj

Często zadawane pytania dotyczące konfiguracji rozszerzonych zabezpieczeń programu Internet Explorer (ESC)

  • Często zadawane pytania

Ostrzeżenie

Wycofana, nieobsługiwana aplikacja klasyczna Internet Explorer 11 ma zostać trwale wyłączona za pośrednictwem aktualizacji aplikacji Microsoft Edge dla niektórych wersji systemu Windows 10. Aby uzyskać więcej informacji, zobacz artykuł pt. Często zadawane pytania dotyczące wycofywania aplikacji klasycznej Internet Explorer 11.

Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer

Konfiguracja rozszerzonych zabezpieczeń programu Internet Explorer (ESC) ustanawia ustawienia zabezpieczeń, które definiują sposób przeglądania internetu i intranetowych witryn internetowych przez użytkowników. Te ustawienia zmniejszają również narażenie serwerów na witryny internetowe, które mogą stanowić zagrożenie dla bezpieczeństwa. Ten proces jest również znany jako IEHarden. Aby uzyskać więcej informacji, zobacz Internet Explorer: Enhanced Security Configuration (Konfiguracja zwiększonych zabezpieczeń).

Oryginalna wersja produktu: Internet Explorer
Oryginalny numer KB: 4551931

Ustawienie domyślne dla programu Internet Explorer ESC

Ta funkcja jest domyślnie włączona na serwerach.

Efekty włączania funkcji ESC w programie Internet Explorer

Funkcja ESC programu Internet Explorer dostosowuje ustawienia rozszerzalności i zabezpieczeń programu Internet Explorer w celu zmniejszenia narażenia na potencjalne przyszłe zagrożenia bezpieczeństwa. Te ustawienia znajdują się na karcie Zaawansowane opcji internetowych w Panel sterowania. W poniższej tabeli opisano ustawienia.

Funkcja Wpis Ustawienie Result (Wynik)
Przeglądania Wyświetl okno dialogowe Konfiguracja zwiększonych zabezpieczeń. Włączone Wyświetla okno dialogowe powiadamiające o próbie użycia skryptów lub kontrolek ActiveX przez witrynę internetową.
Przeglądania Włącz rozszerzenia przeglądarki. Wyłączony Wyłącza funkcje zainstalowane do użycia razem z programem Internet Explorer, które są tworzone przez firmy inne niż Microsoft.
Przeglądania Włącz opcję Zainstaluj na żądanie (Internet Explorer). Wyłączony Wyłącza instalowanie składników programu Internet Explorer na żądanie, jeśli jest to wymagane przez stronę internetową.
Przeglądania Włącz instalację na żądanie (inne). Wyłączony Wyłącza instalowanie składników sieci Web na żądanie, jeśli jest to wymagane przez stronę internetową.
Maszyna wirtualna firmy Microsoft Kompilator just in time (JIT) dla włączonej maszyny wirtualnej (wymaga ponownego uruchomienia). Wyłączony Wyłącza kompilator maszyny wirtualnej firmy Microsoft.
Multimedia Nie wyświetlaj zawartości online na pasku multimediów. Włączone Wyłącza odtwarzanie zawartości multimedialnej na pasku multimediów programu Internet Explorer.
Multimedia Nie wyświetlaj zawartości online na pasku multimediów. Włączone Wyłącza odtwarzanie zawartości multimedialnej na pasku multimediów programu Internet Explorer.
Multimedia Odtwarzaj animacje na stronach internetowych. Wyłączony Wyłącza animacje.
Multimedia Odtwarzanie filmów wideo na stronach internetowych. Wyłączony Wyłącza klipy wideo.
Bezpieczeństwo Sprawdź, czy odwołanie certyfikatu serwera (wymaga ponownego uruchomienia). Włączone Automatycznie sprawdza certyfikat witryny internetowej, aby sprawdzić, czy certyfikat został odwołany przed zaakceptowaniem certyfikatu jako prawidłowego.
Bezpieczeństwo Sprawdź, czy nie ma podpisów w pobranych programach. Włączone Automatycznie weryfikuje i wyświetla tożsamość pobranych programów.
Bezpieczeństwo Nie zapisuj zaszyfrowanych stron na dysku. Włączone Wyłącza zapisywanie zabezpieczonych informacji w folderze Tymczasowe pliki internetowe.
Bezpieczeństwo Pusty folder Tymczasowe pliki internetowe po zamknięciu przeglądarki. Włączone Automatycznie czyści folder Tymczasowe pliki internetowe po zamknięciu przeglądarki.

Te zmiany zmniejszają funkcjonalność stron internetowych, aplikacji internetowych, zasobów sieci lokalnej i aplikacji korzystających z przeglądarki w celu wyświetlania pomocy online, pomocy technicznej i ogólnej pomocy dla użytkowników.

Jak wyłączyć funkcję ESC programu Internet Explorer na serwerach z systemem Windows

Aby wyłączyć program Internet Explorer ESC, wykonaj następujące kroki:

  1. Wprowadź Menedżer serwera w wyszukiwaniu systemu Windows, aby uruchomić aplikację Menedżera serwera.

  2. Wybierz pozycję Serwer lokalny.

  3. Przejdź do właściwości Konfiguracja zwiększonych zabezpieczeń IE, wybierz bieżące ustawienie, aby otworzyć stronę właściwości, wybierz przycisk Wył. dla żądanych użytkowników, a następnie wybierz przycisk OK.

    Ustawienie ESC programu Internet Explorer jest włączone w Menedżerze serwera.

    Zrzut ekranu przedstawiający okno Konfiguracja zwiększonych zabezpieczeń środowiska IE. Wybrano opcję Wył.

  4. Wybierz ikonę Odśwież na pasku narzędzi Menedżer serwera, aby wyświetlić nowe ustawienia odzwierciedlone w menedżerze serwera.

    Zrzut ekranu przedstawiający bieżące ustawienie esc programu Internet Explorer w Menedżerze serwera.

Poniższe wideo przedstawia tę procedurę:

Aby uzyskać więcej informacji, zobacz Zarządzanie serwerem lokalnym i konsolą Menedżer serwera.

Jak wyłączyć funkcję ESC programu Internet Explorer przy użyciu skryptu

  1. Utwórz plik IEHArden_V5.bat z następującą zawartością pliku wsadowego.

  2. Uruchom plik nietoperza w administracyjnym wierszu polecenia lub w ramach skryptu logowania, korzystając z procedury opisanej w temacie How to assign user logon scripts (Jak przypisać skrypty logowania użytkownika).

Zawartość pliku wsadowego

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Jak zarządzać ustawieniem IEHarden dla użytkowników przy użyciu preferencji zasady grupy (GPP)

Aby zmienić ustawienie IEHarden dla użytkowników przy użyciu konfiguracji rejestru preferencji zasady grupy, wykonaj następujące kroki:

  1. Otwórz konsolę GPMCM.msc, a następnie przejdź do pozycjiPreferencje>konfiguracji> użytkownikaUstawienia systemu Windows.

  2. W okienku nawigacji kliknij prawym przyciskiem myszy obiekt Rejestru , a następnie wybierz pozycję Nowy>element rejestru.

    Zrzut ekranu przedstawiający kroki tworzenia nowego rejestru.

  3. W obszarze Właściwości IEHarden określ następujące ustawienia:

    • Lokalizacji: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nazwa wartości: IEHarden

    • Typ wartości: REG_DWORD

    • Dane wartości: 0 lub 000000000

      Zrzut ekranu przedstawiający ustawienia rejestru w okno Właściwości IEHarden.

  4. Wybierz pozycję Zastosuj i OK , aby ukończyć tę konfigurację GPP.

Uwaga

Możesz również sprawdzić następujące podklucze rejestru, jeśli ta wartość nie rozwiąże problemu. W większości przypadków nie jest to konieczne.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Wydaje się, że program Internet Explorer nie działa po wyłączeniu funkcji ESC przy użyciu Menedżer serwera

Aby rozwiązać ten scenariusz, zapoznaj się z tematem Użytkownicy w warstwie Standardowa nie mogą wyłączyć funkcji rozszerzonych zabezpieczeń programu Internet Explorer na serwerze terminalu opartym na systemie Windows Server 2003 lub nowszej wersji. Zasadniczo może być konieczne ponowne włączenie lub wyłączenie funkcji ESC. Określanie wartości docelowej rejestru może być najprostszym sposobem rozwiązania tego problemu.