适用于高级用户的 Internet Explorer 安全区域注册表项

2020-10-13

警告

已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。有关详细信息，请参阅 Internet Explorer 11 桌面应用停用常见问题解答。

本文介绍如何以及在何处存储和管理 Internet Explorer 的安全区域和隐私设置在注册表中。可以使用组策略或 Microsoft Internet Explorer 管理工具包（IEAK）设置安全区域和隐私设置。

原始产品版本： Internet Explorer 9、Internet Explorer 10
原始 KB 数： 182569

隐私设置

Internet Explorer 6 及更高版本添加了“隐私”选项卡，使用户能够更好地控制 Cookie。此选项卡（选择“工具”，然后选择“Internet 选项”）根据 Cookie 来自的网站或 Cookie 类型提供阻止或允许 Cookie 的灵活性。 Cookie 的类型包括第一方 Cookie、第三方 Cookie 和没有紧凑隐私政策的 Cookie。此选项卡还包括用于控制网站请求物理位置数据的选项、屏蔽弹出窗口的功能，以及在启用 InPrivate 浏览时运行工具栏和扩展程序的功能。

Internet 区域中存在不同级别的隐私，它们存储在注册表中，与安全区域位于同一位置。

还可以添加网站以启用或阻止基于网站的 Cookie，而不考虑网站上的隐私策略。这些注册表项存储在以下注册表子项中：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

作为托管站点已添加的域名列在此子项下。这些域可以携带以下任一 DWORD 值：

0x00000005 - 始终阻止
0x00000001 - 始终允许

安全区域设置

对于每个区域，用户可以控制 Internet Explorer 如何处理高风险项，例如 ActiveX 控件、下载和脚本。 Internet Explorer 安全区域的设置存储在以下注册表子项下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

这些注册表项包含以下密钥：

模板政策
区域地图
区域

注意

默认情况下，安全区域设置存储在注册表子树中 HKEY_CURRENT_USER 。由于此子树是针对每个用户动态加载的，因此一个用户的设置不会影响另一个用户的设置。

如果在组策略中启用了安全区域：仅使用计算机设置设置，或者在以下注册表子项中存在Security_HKLM_only DWORD 值且其值为1，则仅使用本地计算机设置，所有用户都拥有相同的安全设置。

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

启用 Security_HKLM_only 策略后，Internet Explorer 将使用 HKLM 值。但是，HKCU 值仍将显示在 Internet Explorer 的“安全”选项卡上的区域设置中。在 Internet Explorer 7 中，“Internet 选项”对话框的“安全”选项卡显示以下消息，指示设置由系统管理员管理：

某些设置由系统管理员管理 如果在组策略中未启用“安全区域：仅使用计算机”设置，或者 DWORD 值不存在或设置为 Security_HKLM_only，则计算机设置将与用户设置一起使用。 但是，只有用户设置才会显示在 Internet 选项中。例如，当此 DWORD 值不存在或设置为 0 时，设置与HKEY_LOCAL_MACHINE设置一起读取，但仅HKEY_CURRENT_USER设置显示在 Internet 选项HKEY_CURRENT_USER。

模板政策

该 TemplatePolicies 密钥确定默认安全区域级别的设置。这些级别为“低”、“中低”、“中”和“高”。可以从默认设置更改安全级别设置。但是，不能添加更多安全级别。密钥包含用于确定安全区域的设置的值。每个键都包含一个 Description 字符串值和一个显示名称字符串值，用于确定每个安全级别的“安全”选项卡上显示的文本。

区域地图

密钥 ZoneMap 包含以下键：

域名
EscDomains
协议默认值
范围

密钥 Domains 包含已添加的域和协议，用于更改其行为与默认行为。添加域后，会将密钥添加到 Domains 密钥。子域在所属域下显示为键。列出域的每个键都包含一个 DWORD，其中的值名称为受影响的协议。 DWORD 的值与添加域的安全区域的数值相同。

密钥 EscDomains 类似于域密钥，但 EscDomains 密钥适用于受 Internet Explorer 增强安全配置（IE ESC）影响的协议。 IE ESC 在 windows Server 2003 Microsoft中引入，仅适用于服务器操作系统。

该 ProtocolDefaults 密钥指定用于特定协议（ftp、http、https）的默认安全区域。若要更改默认设置，可以通过选择“安全”选项卡上的“添加站点”将协议添加到安全区域，也可以在“域”键下添加 DWORD 值。 DWORD 值的名称必须与协议名称匹配，并且它不得包含任何冒号（:)或斜杠（/）。

该 ProtocolDefaults 密钥还包含指定使用协议的默认安全区域的 DWORD 值。不能使用“安全”选项卡上的控件来更改这些值。当特定网站不在安全区域中时，将使用此设置。

密钥 Ranges 包含 TCP/IP 地址的范围。指定的每个 TCP/IP 范围都显示在任意命名的密钥中。此键包含一个 :Range 字符串值，该值包含指定的 TCP/IP 范围。对于每个协议，将添加一个 DWORD 值，该值包含指定 IP 范围的安全区域的数值。

当Urlmon.dll文件使用 MapUrlToZone 公共函数解析安全区域的特定 URL 时，它使用以下方法之一：

如果 URL 包含完全限定的域名（FQDN），则处理域密钥。

在此方法中，完全站点匹配会替代随机匹配。
如果 URL 包含 IP 地址，则处理Ranges键。 URL 的 IP 地址与 :Range 密钥下 Ranges 任意命名的密钥中包含的值进行比较。

注意

由于任意命名的键按照它们被添加到注册表的顺序进行处理，因此在找到最终匹配项之前，此方法可能会先找到一个随机匹配项。如果此方法首先找到随机匹配的项，则 URL 可能会在与通常分配的区域不同的安全区域中执行。此行为是特意这样设计的。

区域

该 Zones 密钥包含表示为计算机定义的每个安全区域的密钥。默认情况下，定义了以下五个区域（编号为零到 4）：

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

注意

默认情况下，“安全”选项卡上的“区域”框中不会显示“我的计算机”，因为它被锁定以帮助提高安全性。

其中每个键都包含以下 DWORD 值，这些值表示自定义安全选项卡上的相应设置。

注意

除非另有说明，否则每个 DWORD 值等于零、一或三个。通常，将设置为0允许特定操作，将设置为1会提示出现，而将设置为3禁止特定操作。

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

有关 1200、1A00、1A10、1E05、1C00 和 2000 的注释

以下两个注册表项会影响是否可以在特定区域中运行 ActiveX 控件：

1200 此注册表项会影响是可以运行 ActiveX 控件还是插件。
2000 此注册表项控制 ActiveX 控件或插件的二进制行为和脚本行为。

有关 1A02、1A03、1A05 和 1A06 的说明

仅当存在以下键时，以下四个注册表项才生效：

{AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *

注册表项

1A02 允许存储在电脑上的持久 Cookie#
1A03 允许未存储的每会话 Cookie#
1A05 允许第三方持久 Cookie *
1A06 允许第三方会话 Cookie *

这些注册表项位于以下注册表子键中：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

在此注册表子项中， <ZoneNumber> 是一个区域，例如 0（零）。 1200注册表项和2000注册表项各包含一个名为管理员批准的设置。启用此设置后，特定注册表项的值将设置为 00010000。启用管理员批准设置后，Windows 将检查以下注册表子项以查找已批准的控件列表：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

登录设置（1A00）可能具有以下任何一个值（十六进制）：

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

隐私设置（1A10）由隐私选项卡滑块使用。 DWORD 值如下所示：

阻止所有 Cookie：00000003
高：00000001
中高：00000001
中等：00000001
低：00000001
接受所有 Cookie：00000000

根据滑块中的设置，它还将修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120} 或两者中的值。

Java 权限设置（1C00）具有以下五个可能的值（二进制）：

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

如果选择了“自定义”，则它使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB} （位于同一注册表位置）将自定义信息存储在二进制文件中。

每个安全区域都包含 Description 字符串值和显示名称字符串值。在“区域”框中选择区域时，这些值的文本将显示在“安全”选项卡上。还有一个图标字符串值，用于设置每个区域显示的图标。除“我的计算机”区域外，每个区域都包含一个CurrentLevelMinLevel和 RecommendedLevel DWORD 值。该值 MinLevel 设置在收到警告消息之前可以使用的最低设置， CurrentLevel 是区域的当前设置，也是 RecommendedLevel 该区域的建议级别。

Minlevel，RecommendedLevel和CurrentLevel 的值分别表示什么？

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags DWORD 值确定用户修改安全区域属性的能力。若要确定 Flags 该值，请将相应设置的数量相加。以下 Flags 值可用（小数）：

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

如果将设置同时添加到 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子树，则设置是累加的。如果将网站添加到这两个子树中，则只有HKEY_CURRENT_USER中的网站可见。 HKEY_LOCAL_MACHINE 子树中的网站仍然按照其设置被强制执行。但是，它们不可用，你不能修改它们。这种情况可能会令人困惑，因为网站可能只在每个协议的一个安全区域中列出。