警告
已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答。
本文介绍如何以及在何处存储和管理 Internet Explorer 的安全区域和隐私设置在注册表中。 可以使用组策略或 Microsoft Internet Explorer 管理工具包(IEAK)设置安全区域和隐私设置。
原始产品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 数: 182569
隐私设置
Internet Explorer 6 及更高版本添加了“隐私”选项卡,使用户能够更好地控制 Cookie。 此选项卡(选择“工具”,然后选择“Internet 选项”)根据 Cookie 来自的网站或 Cookie 类型提供阻止或允许 Cookie 的灵活性。 Cookie 的类型包括第一方 Cookie、第三方 Cookie 和没有紧凑隐私政策的 Cookie。 此选项卡还包括用于控制网站请求物理位置数据的选项、屏蔽弹出窗口的功能,以及在启用 InPrivate 浏览时运行工具栏和扩展程序的功能。
Internet 区域中存在不同级别的隐私,它们存储在注册表中,与安全区域位于同一位置。
还可以添加网站以启用或阻止基于网站的 Cookie,而不考虑网站上的隐私策略。 这些注册表项存储在以下注册表子项中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
作为托管站点已添加的域名列在此子项下。 这些域可以携带以下任一 DWORD 值:
0x00000005 - 始终阻止
0x00000001 - 始终允许
安全区域设置
对于每个区域,用户可以控制 Internet Explorer 如何处理高风险项,例如 ActiveX 控件、下载和脚本。 Internet Explorer 安全区域的设置存储在以下注册表子项下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
这些注册表项包含以下密钥:
- 模板政策
- 区域地图
- 区域
注意
默认情况下,安全区域设置存储在注册表子树中 HKEY_CURRENT_USER
。 由于此子树是针对每个用户动态加载的,因此一个用户的设置不会影响另一个用户的设置。
如果在组策略中启用了安全区域:仅使用计算机设置设置,或者在以下注册表子项中存在Security_HKLM_only
DWORD 值且其值为1,则仅使用本地计算机设置,所有用户都拥有相同的安全设置。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
启用 Security_HKLM_only
策略后,Internet Explorer 将使用 HKLM 值。 但是,HKCU 值仍将显示在 Internet Explorer 的“安全”选项卡上的区域设置中。 在 Internet Explorer 7 中,“Internet 选项”对话框的“安全”选项卡显示以下消息,指示设置由系统管理员管理:
某些设置由系统管理员管理 如果在组策略中未启用“安全区域:仅使用计算机”设置,或者 DWORD 值不存在或设置为
Security_HKLM_only
,则计算机设置将与用户设置一起使用。 但是,只有用户设置才会显示在 Internet 选项中。 例如,当此 DWORD 值不存在或设置为 0 时,设置与HKEY_LOCAL_MACHINE
设置一起读取,但仅HKEY_CURRENT_USER
设置显示在 Internet 选项HKEY_CURRENT_USER
。
模板政策
该 TemplatePolicies
密钥确定默认安全区域级别的设置。 这些级别为“低”、“中低”、“中”和“高”。 可以从默认设置更改安全级别设置。 但是,不能添加更多安全级别。 密钥包含用于确定安全区域的设置的值。 每个键都包含一个 Description 字符串值和一个显示名称字符串值,用于确定每个安全级别的“安全”选项卡上显示的文本。
区域地图
密钥 ZoneMap
包含以下键:
- 域名
- EscDomains
- 协议默认值
- 范围
密钥 Domains
包含已添加的域和协议,用于更改其行为与默认行为。 添加域后,会将密钥添加到 Domains
密钥。 子域在所属域下显示为键。 列出域的每个键都包含一个 DWORD,其中的值名称为受影响的协议。 DWORD 的值与添加域的安全区域的数值相同。
密钥 EscDomains
类似于域密钥,但 EscDomains
密钥适用于受 Internet Explorer 增强安全配置(IE ESC)影响的协议。 IE ESC 在 windows Server 2003 Microsoft中引入,仅适用于服务器操作系统。
该 ProtocolDefaults
密钥指定用于特定协议(ftp、http、https)的默认安全区域。 若要更改默认设置,可以通过选择“安全”选项卡上的“添加站点”将协议添加到安全区域,也可以在“域”键下添加 DWORD 值。 DWORD 值的名称必须与协议名称匹配,并且它不得包含任何冒号(:)或斜杠(/)。
该 ProtocolDefaults
密钥还包含指定使用协议的默认安全区域的 DWORD 值。 不能使用“安全”选项卡上的控件来更改这些值。 当特定网站不在安全区域中时,将使用此设置。
密钥 Ranges
包含 TCP/IP 地址的范围。 指定的每个 TCP/IP 范围都显示在任意命名的密钥中。 此键包含一个 :Range
字符串值,该值包含指定的 TCP/IP 范围。 对于每个协议,将添加一个 DWORD 值,该值包含指定 IP 范围的安全区域的数值。
当Urlmon.dll文件使用 MapUrlToZone 公共函数解析安全区域的特定 URL 时,它使用以下方法之一:
如果 URL 包含完全限定的域名(FQDN),则处理域密钥。
在此方法中,完全站点匹配会替代随机匹配。
如果 URL 包含 IP 地址,则处理
Ranges
键。 URL 的 IP 地址与:Range
密钥下Ranges
任意命名的密钥中包含的值进行比较。
注意
由于任意命名的键按照它们被添加到注册表的顺序进行处理,因此在找到最终匹配项之前,此方法可能会先找到一个随机匹配项。 如果此方法首先找到随机匹配的项,则 URL 可能会在与通常分配的区域不同的安全区域中执行。 此行为是特意这样设计的。
区域
该 Zones
密钥包含表示为计算机定义的每个安全区域的密钥。 默认情况下,定义了以下五个区域(编号为零到 4):
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
注意
默认情况下,“安全”选项卡上的“区域”框中不会显示“我的计算机”,因为它被锁定以帮助提高安全性。
其中每个键都包含以下 DWORD 值,这些值表示自定义安全选项卡上的相应设置。
注意
除非另有说明,否则每个 DWORD 值等于零、一或三个。 通常,将设置为0允许特定操作,将设置为1会提示出现,而将设置为3禁止特定操作。
Value Setting
----------------------------------------------------------------------------------
1001 ActiveX controls and plug-ins: Download signed ActiveX controls
1004 ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200 ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201 ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206 Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207 Reserved #
1208 ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209 ActiveX controls and plug-ins: Allow Scriptlets
120A ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400 Scripting: Active scripting
1402 Scripting: Scripting of Java applets
1405 ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406 Miscellaneous: Access data sources across domains
1407 Scripting: Allow Programmatic clipboard access
1408 Reserved #
1409 Scripting: Enable XSS Filter
1601 Miscellaneous: Submit non-encrypted form data
1604 Downloads: Font download
1605 Run Java #
1606 Miscellaneous: Userdata persistence ^
1607 Miscellaneous: Navigate sub-frames across different domains
1608 Miscellaneous: Allow META REFRESH * ^
1609 Miscellaneous: Display mixed content *
160A Miscellaneous: Include local directory path when uploading files to a server ^
1800 Miscellaneous: Installation of desktop items
1802 Miscellaneous: Drag and drop or copy and paste files
1803 Downloads: File Download ^
1804 Miscellaneous: Launching programs and files in an IFRAME
1805 Launching programs and files in webview #
1806 Miscellaneous: Launching applications and unsafe files
1807 Reserved ** #
1808 Reserved ** #
1809 Miscellaneous: Use Pop-up Blocker ** ^
180A Reserved #
180B Reserved #
180C Reserved #
180D Reserved #
180E Allow OpenSearch queries in Windows Explorer #
180F Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00 User Authentication: Logon
1A02 Allow persistent cookies that are stored on your computer #
1A03 Allow per-session cookies (not stored) #
1A04 Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05 Allow 3rd party persistent cookies *
1A06 Allow 3rd party session cookies *
1A10 Privacy Settings *
1C00 Java permissions #
1E05 Miscellaneous: Software channel permissions
1F00 Reserved ** #
2000 ActiveX controls and plug-ins: Binary and script behaviors
2001 .NET Framework-reliant components: Run components signed with Authenticode
2004 .NET Framework-reliant components: Run components not signed with Authenticode
2007 .NET Framework-Reliant Components: Permissions for Components with Manifests
2100 Miscellaneous: Open files based on content, not file extension ** ^
2101 Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102 Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103 Scripting: Allow status bar updates via script ^
2104 Miscellaneous: Allow websites to open windows without address or status bars ^
2105 Scripting: Allow websites to prompt for information using scripted windows ^
2200 Downloads: Automatic prompting for file downloads ** ^
2201 ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300 Miscellaneous: Allow web pages to use restricted protocols for active content **
2301 Miscellaneous: Use Phishing Filter ^
2400 .NET Framework: XAML browser applications
2401 .NET Framework: XPS documents
2402 .NET Framework: Loose XAML
2500 Turn on Protected Mode [Vista only setting] #
2600 Enable .NET Framework setup ^
2702 ActiveX controls and plug-ins: Allow ActiveX Filtering
2708 Miscellaneous: Allow dragging of content between domains into the same window
2709 Miscellaneous: Allow dragging of content between domains into separate windows
270B Miscellaneous: Render legacy filters
270C ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls
{AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *
* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled
有关 1200、1A00、1A10、1E05、1C00 和 2000 的注释
以下两个注册表项会影响是否可以在特定区域中运行 ActiveX 控件:
- 1200 此注册表项会影响是可以运行 ActiveX 控件还是插件。
- 2000 此注册表项控制 ActiveX 控件或插件的二进制行为和脚本行为。
有关 1A02、1A03、1A05 和 1A06 的说明
仅当存在以下键时,以下四个注册表项才生效:
- {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *
注册表项
- 1A02 允许存储在电脑上的持久 Cookie#
- 1A03 允许未存储的每会话 Cookie#
- 1A05 允许第三方持久 Cookie *
- 1A06 允许第三方会话 Cookie *
这些注册表项位于以下注册表子键中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
在此注册表子项中, <ZoneNumber> 是一个区域,例如 0(零)。
1200
注册表项和2000
注册表项各包含一个名为管理员批准的设置。 启用此设置后,特定注册表项的值将设置为 00010000。 启用管理员批准设置后,Windows 将检查以下注册表子项以查找已批准的控件列表:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
登录设置(1A00)可能具有以下任何一个值(十六进制):
Value Setting
---------------------------------------------------------------
0x00000000 Automatically logon with current username and password
0x00010000 Prompt for user name and password
0x00020000 Automatic logon only in the Intranet zone
0x00030000 Anonymous logon
隐私设置(1A10)由隐私选项卡滑块使用。 DWORD 值如下所示:
阻止所有 Cookie:00000003
高:00000001
中高:00000001
中等:00000001
低:00000001
接受所有 Cookie:00000000
根据滑块中的设置,它还将修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120} 或两者中的值。
Java 权限设置(1C00)具有以下五个可能的值(二进制):
Value Setting
-----------------------
00 00 00 00 Disable Java
00 00 01 00 High safety
00 00 02 00 Medium safety
00 00 03 00 Low safety
00 00 80 00 Custom
如果选择了“自定义”,则它使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB} (位于同一注册表位置)将自定义信息存储在二进制文件中。
每个安全区域都包含 Description 字符串值和显示名称字符串值。 在“区域”框中选择区域时,这些值的文本将显示在“安全”选项卡上。 还有一个图标字符串值,用于设置每个区域显示的图标。 除“我的计算机”区域外,每个区域都包含一个CurrentLevel
MinLevel
和 RecommendedLevel
DWORD 值。 该值 MinLevel
设置在收到警告消息之前可以使用的最低设置, CurrentLevel
是区域的当前设置,也是 RecommendedLevel
该区域的建议级别。
Minlevel
,RecommendedLevel
和CurrentLevel
的值分别表示什么?
Value (Hexadecimal) Setting
----------------------------------
0x00010000 Low Security
0x00010500 Medium Low Security
0x00011000 Medium Security
0x00012000 High Security
Flags
DWORD 值确定用户修改安全区域属性的能力。 若要确定 Flags
该值,请将相应设置的数量相加。 以下 Flags
值可用(小数):
Value Setting
------------------------------------------------------------------
1 Allow changes to custom settings
2 Allow users to add Web sites to this zone
4 Require verified Web sites (https protocol)
8 Include Web sites that bypass the proxy server
16 Include Web sites not listed in other zones
32 Do not show security zone in Internet Properties (default setting for My Computer)
64 Show the Requires Server Verification dialog box
128 Treat Universal Naming Connections (UNCs) as intranet connections
256 Automatically detect Intranet network
如果将设置同时添加到 HKEY_LOCAL_MACHIN
E 和 HKEY_CURRENT_USER
子树,则设置是累加的。 如果将网站添加到这两个子树中,则只有HKEY_CURRENT_USER
中的网站可见。
HKEY_LOCAL_MACHINE
子树中的网站仍然按照其设置被强制执行。 但是,它们不可用,你不能修改它们。 这种情况可能会令人困惑,因为网站可能只在每个协议的一个安全区域中列出。
参考
有关Microsoft Windows XP Service Pack 2(SP2)中功能更改的详细信息,请访问以下Microsoft网站:
有关 URL 安全区域的详细信息,请访问以下Microsoft网站:
有关如何更改 Internet Explorer 安全设置的详细信息,请访问以下Microsoft网站:
更改 Internet Explorer 11 的安全和隐私设置
有关 Internet Explorer 本地计算机区域锁定的详细信息,请访问以下Microsoft网站:
有关与可在 URL 安全区域中执行的操作关联的值的详细信息,请参阅 URL 操作标志。