Изменить

Часто задаваемые вопросы о конфигурации усиленной безопасности Internet Explorer (ESC)

  • Вопросы и ответы

Предупреждение

Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено с помощью обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в статье Часто задаваемые вопросы о прекращении использования классических приложений Internet Explorer 11.

Конфигурация усиленной безопасности Internet Explorer

Конфигурация усиленной безопасности Internet Explorer (ESC) устанавливает параметры безопасности, определяющие, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также снижают уязвимость серверов для веб-сайтов, которые могут представлять угрозу безопасности. Этот процесс также называется IEHarden. Дополнительные сведения см. в разделе Internet Explorer: конфигурация усиленной безопасности.

Исходная версия продукта: Internet Explorer
Исходный номер базы знаний: 4551931

Параметр по умолчанию для INTERNET Explorer ESC

Эта функция включена по умолчанию на серверах.

Последствия включения ESC в Internet Explorer

Internet Explorer ESC настраивает параметры расширяемости и безопасности Internet Explorer, чтобы снизить вероятность возможных угроз безопасности в будущем. Эти параметры находятся на вкладке Дополнительно в разделе Свойства браузерав панель управления. В следующей таблице описаны параметры.

Возможность Запись Setting Result
Просмотра Отображение диалогового окна Конфигурация усиленной безопасности. Вкл. Отображает диалоговое окно с уведомлением о попытке веб-сайта использовать скрипты или элементы ActiveX.
Просмотра Включите расширения браузера. Выкл. Отключает компоненты, установленные для использования вместе с Internet Explorer, созданные компаниями, кроме Корпорации Майкрософт.
Просмотра Включите установку по запросу (Internet Explorer). Выкл. Отключает установку компонентов Internet Explorer по запросу, если это требуется для веб-страницы.
Просмотра Включите установку по запросу (другое). Выкл. Отключает установку веб-компонентов по запросу, если это требуется для веб-страницы.
Виртуальная машина Майкрософт JIT-компилятор для виртуальной машины, включенной (требуется перезагрузка). Выкл. Отключает компилятор виртуальной машины Майкрософт.
Мультимедиа Не отображайте веб-содержимое на панели мультимедиа. Вкл. Отключает воспроизведение мультимедийного содержимого на панели мультимедиа Internet Explorer.
Мультимедиа Не отображайте веб-содержимое на панели мультимедиа. Вкл. Отключает воспроизведение мультимедийного содержимого на панели мультимедиа Internet Explorer.
Мультимедиа Воспроизведение анимации на веб-страницах. Выкл. Отключает анимацию.
Мультимедиа Воспроизведение видео на веб-страницах. Выкл. Отключает видеоклипы.
Безопасность Проверьте отзыв сертификата сервера (требуется перезагрузка). Вкл. Автоматически проверяет сертификат веб-сайта, чтобы узнать, был ли отозван сертификат, прежде чем принять сертификат как действительный.
Безопасность Проверьте наличие подписей в скачанных программах. Вкл. Автоматически проверяет и отображает удостоверение скачиваемых программ.
Безопасность Не сохраняйте зашифрованные страницы на диск. Вкл. Отключает сохранение защищенной информации в папке Временные файлы Интернета.
Безопасность Пустая папка "Временные файлы Интернета" при закрытии браузера. Вкл. Автоматически очищает папку Временные файлы Интернета при закрытии браузера.

Эти изменения снижают функциональность веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, использующих браузер для отображения справки, поддержки и общей помощи пользователям.

Отключение ESC Internet Explorer на серверах Windows

Чтобы отключить Internet Explorer ESC, выполните следующие действия.

  1. Введите диспетчер сервера в поиске Windows, чтобы запустить приложение диспетчера сервера.

  2. Выберите Локальный сервер.

  3. Перейдите к свойству Конфигурация усиленной безопасности IE , выберите текущий параметр, чтобы открыть страницу свойств, нажмите кнопку Выкл . для нужных пользователей и нажмите кнопку ОК.

    Параметр ESC Internet Explorer включен в диспетчере сервера.

    Снимок экрана: окно

  4. Щелкните значок Обновить на панели инструментов диспетчер сервера, чтобы увидеть новые параметры, отраженные в диспетчере серверов.

    Снимок экрана: текущий параметр ESC Internet Explorer в диспетчере серверов.

Эта процедура показана в следующем видео:

Дополнительные сведения см. в разделе Управление локальным сервером и консолью диспетчер сервера.

Отключение ESC Internet Explorer с помощью скрипта

  1. Создайте файл IEHArden_V5.bat со следующим содержимым пакетного файла.

  2. Запустите файл bat либо в командной строке администратора, либо в рамках сценария входа с помощью процедуры, описанной в разделе Назначение сценариев входа пользователей.

Содержимое пакетного файла

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Управление параметром IEHarden для пользователей с помощью параметров групповая политика (GPP)

Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра параметров групповая политика, выполните следующие действия.

  1. Откройте консоль GPMCM.msc и перейдите враздел Параметры>конфигурации> пользователяПараметры Windows.

  2. В области навигации щелкните правой кнопкой мыши объект Registry и выберите Создать>элемент реестра.

    Снимок экрана: действия по созданию нового реестра.

  3. В IEHarden Properties (Свойства IEHarden) укажите следующие параметры:

    • Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Имя значения: IEHarden

    • Тип значения: REG_DWORD

    • Данные значения: 0 или 000000000

      Снимок экрана: параметры реестра в IEHarden окно свойств.

  4. Выберите Применить и ОК , чтобы завершить настройку GPP.

Примечание.

Вы также можете проверить следующие подразделы реестра, если это значение не устраняет проблему. В большинстве случаев это необязательно.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer не работает после отключения ESC с помощью диспетчер сервера

Чтобы устранить неполадки в этом сценарии, см . раздел Стандартные пользователи не могут отключить функцию усиленной безопасности Internet Explorer на сервере терминалов под управлением Windows Server 2003 или более поздней версии. По сути, может потребоваться снова включить или отключить ESC. Это самый простой способ решения этой проблемы.