Dela via


Vanliga frågor och svar om Förbättrad säkerhetskonfiguration i Internet Explorer (ESC)

Varning

Supporten har upphört för det indragna skrivbordsprogrammet Internet Explorer 11 och det har inaktiveras permanent via en Microsoft Edge-uppdatering för vissa versioner av Windows 10. Mer information finns i Vanliga frågor och svar om utfasningen av skrivbordsprogrammet Internet Explorer 11.

Förbättrad säkerhetskonfiguration i Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) upprättar säkerhetsinställningar som definierar hur användare bläddrar på internet och intranätswebbplatser. De här inställningarna minskar också exponeringen av servrar för webbplatser som kan utgöra en säkerhetsrisk. Den här processen kallas även IEHarden. Mer information finns i Internet Explorer: Förbättrad säkerhetskonfiguration.

Ursprunglig produktversion: Internet Explorer
Ursprungligt KB-nummer: 4551931

Standardinställningen för Internet Explorer ESC

Den här funktionen är aktiverad som standard på servrar.

Effekterna av att aktivera Internet Explorer ESC

Internet Explorer ESC justerar Internet Explorers utökningsbarhet och säkerhetsinställningar för att minska exponeringen för eventuella framtida säkerhetshot. De här inställningarna finns på fliken Avancerat i Internetalternativ i Kontrolna tabla. I följande tabell beskrivs inställningarna.

Funktion Format Inställning Result
Bläddring Visa dialogrutan Förbättrad säkerhetskonfiguration. Visar en dialogruta som meddelar dig när en webbplats försöker använda skript eller ActiveX-kontroller.
Bläddring Aktivera webbläsartillägg. Av Inaktiverar funktioner som du har installerat för användning tillsammans med Internet Explorer som skapas av andra företag än Microsoft.
Bläddring Aktivera Installera på begäran (Internet Explorer). Av Inaktiverar installation av Internet Explorer-komponenter på begäran, om det krävs av en webbsida.
Bläddring Aktivera Installation på begäran (annat). Av Inaktiverar installation av webbkomponenter på begäran, om det krävs av en webbsida.
Microsoft VM JiT-kompilator (just-in-time) för aktiverad virtuell dator (kräver omstart). Av Inaktiverar Microsoft VM-kompilatorn.
Multimedia Visa inte onlineinnehåll i mediefältet. Inaktiverar uppspelning av medieinnehåll i Internet Explorer-mediefältet.
Multimedia Visa inte onlineinnehåll i mediefältet. Inaktiverar uppspelning av medieinnehåll i Internet Explorer-mediefältet.
Multimedia Spela upp animeringar på webbsidor. Av Inaktiverar animeringar.
Multimedia Spela upp videor på webbsidor. Av Inaktiverar videoklipp.
Säkerhet Sök efter återkallning av servercertifikat (kräver omstart). Kontrollerar automatiskt en webbplats certifikat för att se om certifikatet har återkallats innan certifikatet godkänns som giltigt.
Säkerhet Sök efter signaturer för nedladdade program. Verifierar och visar automatiskt identiteten för program som du laddar ned.
Säkerhet Spara inte krypterade sidor på disk. Inaktiverar att skyddat information sparas i mappen Temporära Internetfiler.
Säkerhet Tom tillfällig Internet Files-mapp när webbläsaren är stängd. Rensar automatiskt mappen Temporära Internetfiler när du stänger webbläsaren.

Dessa ändringar minskar funktionerna på webbsidor, webbaserade program, lokala nätverksresurser och program som använder en webbläsare för att visa onlinehjälp, support och allmän användarhjälp.

Inaktivera Internet Explorer ESC på Windows-servrar

Så här inaktiverar du Internet Explorer ESC:

  1. Ange Serverhanteraren i Windows-sökning för att starta Server manager-programmet.

  2. Välj Lokal server.

  3. Gå till egenskapen Förbättrad säkerhetskonfiguration i IE, välj den aktuella inställningen för att öppna egenskapssidan, välj knappen Av för önskade användare och välj sedan OK.

    Internet Explorer ESC-inställningen är aktiverad i serverhanteraren.

    Skärmbild av fönstret Förbättrad säkerhetskonfiguration i IE. Alternativet Av är markerat.

  4. Välj ikonen Uppdatera i verktygsfältet Serverhanteraren för att se de nya inställningarna som visas i serverhanteraren.

    Skärmbild av den aktuella ESC-inställningen för Internet Explorer i serverhanteraren.

Följande video visar den här proceduren:

Mer information finns i Hantera den lokala servern och Serverhanterarens konsol.

Inaktivera Internet Explorer ESC med hjälp av ett skript

  1. Skapa en IEHArden_V5.bat fil med följande batchfilinnehåll.

  2. Kör bat-filen antingen i en administrativ kommandotolk eller som en del av inloggningsskriptet med hjälp av proceduren som beskrivs i Tilldela användarinloggningsskript.

Innehållet i batchfilen

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Hantera IEHarden-inställningen för användare med hjälp av grupprincipinställningar (GPP)

Följ dessa steg om du vill ändra inställningen IEHarden för användare med hjälp av registerkonfigurationen grupprincipinställningar:

  1. Öppna GPMCM.msc-konsolen och gå sedan till Windows-inställningar för användarkonfigurationsinställningar>>.

  2. Högerklicka på registerobjektet i navigeringsfönstret och välj sedan Nytt>registerobjekt.

    Skärmbild som visar steg för att skapa ett nytt register.

  3. I Egenskaper för IEHarden anger du följande inställningar:

    • Plats: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Värdenamn: IEHarden

    • Värdetyp: REG_DWORD

    • Värdedata: 0 eller 00000000

      Skärmbild av registerinställningar i fönstret Egenskaper för IEHarden.

  4. Välj Använd och OK för att slutföra den här GPP-konfigurationen.

Kommentar

Du kanske också vill kontrollera följande registerundernycklar om det här värdet inte löser problemet. I de flesta fall är detta inte nödvändigt.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer verkar inte fungera när du har inaktiverat ESC med hjälp av Serverhanteraren

Information om hur du felsöker det här scenariot finns i Standard-användare kan inte inaktivera funktionen Förbättrad säkerhet i Internet Explorer på en Windows Server 2003-baserad terminalserver eller en senare version. I grund och botten kan du behöva aktivera eller inaktivera ESC igen. Att rikta in sig på registret kan vara det enklaste sättet att lösa problemet.