Записи реестра зон безопасности Internet Explorer для опытных пользователей

Предупреждение

Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено с помощью обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в статье Часто задаваемые вопросы о прекращении использования классических приложений Internet Explorer 11.

В этой статье описывается, как и где хранятся зоны безопасности и параметры конфиденциальности Internet Explorer и управляются в реестре. Для настройки зон безопасности и параметров конфиденциальности можно использовать групповая политика или пакет администрирования Microsoft Internet Explorer (IEAK).

Исходная версия продукта: Internet Explorer 9, Internet Explorer 10
Исходный номер базы знаний: 182569

Параметры конфиденциальности

Internet Explorer 6 и более поздних версий добавил вкладку Конфиденциальность, чтобы предоставить пользователям больший контроль над файлами cookie. Эта вкладка (выберитеСервис, а затем выберитеСвойства браузера) обеспечивает гибкость для блокировки или разрешения файлов cookie в зависимости от веб-сайта, с которым был получен файл cookie, или типа файла cookie. Типы файлов cookie включают файлы cookie сторонних производителей, сторонние файлы cookie и файлы cookie, которые не имеют политики конфиденциальности. На этой вкладке также содержатся параметры управления запросами веб-сайта для данных о физическом расположении, возможность блокировки всплывающих окон и возможность запуска панелей инструментов и расширений при включенном просмотре InPrivate.

Существуют различные уровни конфиденциальности в зоне Интернета, и они хранятся в реестре в том же расположении, что и зоны безопасности.

Вы также можете добавить веб-сайт, чтобы включить или заблокировать файлы cookie на основе веб-сайта, независимо от политики конфиденциальности на веб-сайте. Эти разделы реестра хранятся в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Домены, добавленные в качестве управляемого сайта, перечислены в этом подразделе. Эти домены могут содержать одно из следующих значений DWORD:

0x00000005 — всегда блок
0x00000001 — всегда разрешать

Параметры зоны безопасности

Для каждой зоны пользователи могут управлять тем, как Internet Explorer обрабатывает элементы с более высоким риском, такие как элементы ActiveX, загрузки и скрипты. Параметры зон безопасности Internet Explorer хранятся в следующих подразделах реестра:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Эти разделы реестра содержат следующие разделы:

  • TemplatePolicies
  • ZoneMap
  • Зоны

Примечание.

По умолчанию параметры зон безопасности хранятся в HKEY_CURRENT_USER поддереве реестра. Так как это поддерево динамически загружается для каждого пользователя, параметры для одного пользователя не влияют на параметры для другого пользователя.

Если параметр Зоны безопасности: использовать только параметры компьютера в групповая политика включен или значение Security_HKLM_only DWORD присутствует и имеет значение 1 в следующем подразделе реестра, используются только параметры локального компьютера и все пользователи имеют одинаковые параметры безопасности:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Если политика включена Security_HKLM_only , значения HKLM будут использоваться Internet Explorer. Однако значения HKCU по-прежнему будут отображаться в параметрах зоны на вкладке Безопасность в Internet Explorer. В Internet Explorer 7 на вкладке Безопасность диалогового окна Свойства браузера отображается следующее сообщение, указывающее, что параметрами управляет системный администратор:

Некоторые параметры управляются системным администратором Если параметр Зоны безопасности: использовать только параметры компьютера не включен в групповая политика или если Security_HKLM_only значение DWORD не существует или имеет значение 0, параметры компьютера используются вместе с параметрами пользователя. Однако в свойствах браузера отображаются только параметры пользователя. Например, если это значение DWORD не существует или имеет значение 0, HKEY_LOCAL_MACHINE параметры считываются вместе с HKEY_CURRENT_USER параметрами, но HKEY_CURRENT_USER только параметры отображаются в свойствах браузера.

TemplatePolicies

Ключ TemplatePolicies определяет параметры уровней зон безопасности по умолчанию. Эти уровни: Низкий, Средний Низкий, Средний и Высокий. Параметры уровня безопасности можно изменить из параметров по умолчанию. Однако нельзя добавить дополнительные уровни безопасности. Ключи содержат значения, определяющие параметр для зоны безопасности. Каждый ключ содержит строковое значение Description и отображаемое имя, которые определяют текст, отображаемый на вкладке Безопасность для каждого уровня безопасности.

ZoneMap

Ключ ZoneMap содержит следующие ключи:

  • Домены
  • EscDomains
  • ProtocolDefaults
  • Диапазоны

Ключ Domains содержит домены и протоколы, которые были добавлены для изменения их поведения по сравнению с поведением по умолчанию. При добавлении домена в ключ добавляется Domains ключ. Поддомены отображаются в виде ключей в домене, к которому они принадлежат. Каждый ключ, который перечисляет домен, содержит DWORD со значением имени затронутого протокола. Значение DWORD совпадает с числовым значением зоны безопасности, в которую добавляется домен.

Ключ EscDomains похож на ключ Домены, за исключением того, что EscDomains ключ применяется к тем протоколам, на которые влияет конфигурация усиленной безопасности Internet Explorer (IE ESC). IE ESC появился в Microsoft Windows Server 2003 и применяется только к серверным операционным системам.

Ключ ProtocolDefaults задает зону безопасности по умолчанию, которая используется для определенного протокола (ftp, http, https). Чтобы изменить параметр по умолчанию, можно либо добавить протокол в зону безопасности, выбрав Добавить сайты на вкладке Безопасность , либо добавить значение DWORD в разделе Домены. Имя значения DWORD должно соответствовать имени протокола и не должно содержать двоеточия (:) или косой чертой (/).

Ключ ProtocolDefaults также содержит значения DWORD, указывающие зоны безопасности по умолчанию, в которых используется протокол. Для изменения этих значений нельзя использовать элементы управления на вкладке Безопасность . Этот параметр используется, если определенный веб-сайт не попадает в зону безопасности.

Ключ Ranges содержит диапазоны TCP/IP-адресов. Каждый указанный диапазон TCP/IP отображается в произвольно именованном ключе. Этот ключ содержит строковое :Range значение, содержащее указанный диапазон TCP/IP. Для каждого протокола добавляется значение DWORD, содержащее числовое значение зоны безопасности для указанного диапазона IP-адресов.

Если файл Urlmon.dll использует общедоступную функцию MapUrlToZone для разрешения определенного URL-адреса в зону безопасности, он использует один из следующих методов:

  • Если URL-адрес содержит полное доменное имя (FQDN), то обрабатывается ключ Domains.

    В этом методе точное совпадение сайта переопределяет случайное совпадение.

  • Если URL-адрес содержит IP-адрес, Ranges ключ обрабатывается. IP-адрес URL-адреса сравнивается со значением :Range , содержащимся в ключах с произвольными именами Ranges .

Примечание.

Так как произвольно именованные ключи обрабатываются в том порядке, в котором они были добавлены в реестр, этот метод может найти случайное совпадение, прежде чем найти совпадение. Если этот метод сначала находит случайное совпадение, URL-адрес может быть выполнен в зоне безопасности, отличной от зоны, в которой он обычно назначается. Такое поведение является особенностью данного продукта.

Зоны

Ключ Zones содержит ключи, представляющие каждую зону безопасности, определенную для компьютера. По умолчанию определяются следующие пять зон (нумеруется от нуля до четырех):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Примечание.

По умолчанию мой компьютер не отображается в поле Зона на вкладке Безопасность, так как он заблокирован для повышения безопасности.

Каждый из этих ключей содержит следующие значения DWORD, которые представляют соответствующие параметры на настраиваемой вкладке Безопасность.

Примечание.

Если не указано иное, каждое значение DWORD равно нулю, единице или трем. Как правило, при нулевом значении определенное действие устанавливается как разрешенное, параметр одного вызывает появление запроса, а параметр из трех запрещает конкретное действие.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Заметки о 1200, 1A00, 1A10, 1E05, 1C00 и 2000

Следующие две записи реестра влияют на возможность запуска элементов ActiveX в определенной зоне:

  • 1200 Эта запись реестра влияет на то, можно ли запускать элементы ActiveX или подключаемые модули.
  • 2000 Эта запись реестра управляет двоичным поведением и поведением скриптов для элементов ActiveX или подключаемых модулей.

Заметки о 1A02, 1A03, 1A05 и 1A06

Следующие четыре записи реестра вступают в силу только при наличии следующих разделов:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Файл cookie первой стороны *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Сторонние файлы cookie *

Записи реестра

  • 1A02 Разрешить постоянные файлы cookie, хранящиеся на компьютере #
  • 1A03 Разрешить файлы cookie для сеанса (не сохраняются) #
  • 1A05 Разрешить сторонние постоянные файлы cookie *
  • 1A06 Разрешить сторонние файлы cookie сеанса *

Эти записи реестра находятся в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

В этом подразделе реестра ZoneNumber> — это зона, <например 0 (ноль). Каждая 1200 запись реестра и 2000 запись реестра содержат параметр с именем Администратор утвержден. Если этот параметр включен, для конкретной записи реестра устанавливается значение 000100000. Если параметр утвержден администратором, Windows проверяет следующий подраздел реестра, чтобы найти список утвержденных элементов управления:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

Параметр входа (1A00) может иметь одно из следующих значений (шестнадцатеричное):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Параметры конфиденциальности (1A10) используется ползунком вкладки Конфиденциальность. Значения DWORD:

Блокировать все файлы cookie: 00000003
Высокий: 00000001
Средний высокий: 00000001
Средний: 00000001
Низкий: 00000001
Примите все файлы cookie: 00000000

На основе параметров ползунка он также изменит значения в {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} или в обоих вариантах.

Параметр Разрешений Java (1C00) имеет следующие пять возможных значений (двоичные):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Если выбран параметр Пользовательский, он использует {7839DA25-F5FE-11D0-883B-0080C726DCBB} (который находится в том же расположении реестра) для хранения пользовательских данных в двоичном файле.

Каждая зона безопасности содержит строковое значение Description и отображаемое имя. Текст этих значений отображается на вкладке Безопасность при выборе зоны в поле Зона. Существует также строковое значение Icon, которое задает значок, отображаемый для каждой зоны. За исключением зоны "Мой компьютер", каждая зона содержит CurrentLevelзначение , MinLevelи RecommendedLevel DWORD. Значение MinLevel задает наименьший параметр, который можно использовать перед получением предупреждающего сообщения, CurrentLevel является текущим параметром для зоны и RecommendedLevel является рекомендуемым уровнем для зоны.

Значения для Minlevel, RecommendedLevelи CurrentLevel означают следующие значения:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Значение Flags DWORD определяет возможность пользователя изменять свойства зоны безопасности. Чтобы определить Flags значение, добавьте номера соответствующих параметров вместе. Доступны следующие Flags значения (decimal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

При добавлении параметров как в E, HKEY_LOCAL_MACHINтак и в HKEY_CURRENT_USER поддерев, параметры будут аддитивными. При добавлении веб-сайтов к обоим поддереву отображаются только те веб-сайты в HKEY_CURRENT_USER . Веб-сайты в HKEY_LOCAL_MACHINE поддереве по-прежнему применяются в соответствии с их параметрами. Однако они недоступны, и их нельзя изменить. Эта ситуация может запутать, так как веб-сайт может быть указан только в одной зоне безопасности для каждого протокола.

Ссылки

Дополнительные сведения об изменениях функций в Microsoft Windows XP с пакетом обновления 2 (SP2) см. на следующем веб-сайте Майкрософт:

Часть 5. Улучшенная безопасность браузера

Дополнительные сведения о зонах безопасности URL-адресов см. на следующем веб-сайте Майкрософт:

Сведения о зонах безопасности URL-адресов

Дополнительные сведения об изменении параметров безопасности Internet Explorer см. на следующем веб-сайте Майкрософт:

Изменение параметров безопасности и конфиденциальности для Internet Explorer 11

Дополнительные сведения о блокировке зоны локального компьютера Internet Explorer см. на следующем веб-сайте Майкрософт:

Блокировка зоны локального компьютера Internet Explorer

Дополнительные сведения о значениях, связанных с действиями, которые могут выполняться в зоне безопасности URL-адресов, см. в разделе Флаги действия URL-адресов.