警告
已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答。
Internet Explorer 增强的安全性配置
Internet Explorer 增强的安全配置 (ESC) 建立安全设置,用于定义用户浏览 Internet 和 Intranet 网站的方式。 这些设置还可以减少服务器对可能带来安全风险的网站公开。 此过程也称为 IEHarden。 有关详细信息,请参阅 Internet Explorer:增强的安全配置。
原始产品版本: Ie
原始 KB 编号: 4551931
Internet Explorer ESC 的默认设置
默认情况下,在服务器上启用此功能。
启用 Internet Explorer ESC 的效果
Internet Explorer ESC 调整 Internet Explorer 扩展性和安全设置,以减少未来可能面临的安全威胁。 这些设置位于 控制面板 中的“Internet 选项”的“高级”选项卡上。 下表介绍了这些设置。
| 功能 | 条目 | Setting | 结果 |
|---|---|---|---|
| 浏览 | 显示“增强的安全性配置”对话框。 | 打开 | 显示一个对话框,以便在 Internet 站点尝试使用脚本或 ActiveX 控件时通知你。 |
| 浏览 | 启用浏览器扩展。 | 关闭 | 禁用安装的功能,以便与 Microsoft 以外的公司创建的 Internet Explorer 一起使用。 |
| 浏览 | (Internet Explorer) 启用按需安装。 | 关闭 | 如果网页需要,则禁用按需安装 Internet Explorer 组件。 |
| 浏览 | 启用“按需安装” (“其他) 。 | 关闭 | 如果网页需要,则禁用按需安装 Web 组件。 |
| Microsoft VM | 已启用虚拟机的实时 (JIT) 编译器 (需要重启) 。 | 关闭 | 禁用 Microsoft VM 编译器。 |
| 多媒体 | 不要在媒体栏中显示联机内容。 | 打开 | 禁用在 Internet Explorer 媒体栏中播放媒体内容。 |
| 多媒体 | 不要在媒体栏中显示联机内容。 | 打开 | 禁用在 Internet Explorer 媒体栏中播放媒体内容。 |
| 多媒体 | 在网页中播放动画。 | 关闭 | 禁用动画。 |
| 多媒体 | 在网页中播放视频。 | 关闭 | 禁用视频剪辑。 |
| 安全性 | 检查服务器证书吊销 (需要重启) 。 | 打开 | 在接受证书有效之前,自动检查网站的证书,以查看证书是否已吊销。 |
| 安全性 | 检查下载的程序上的签名。 | 打开 | 自动验证并显示你下载的程序的标识。 |
| 安全性 | 不要将加密页保存到磁盘。 | 打开 | 禁用在临时 Internet 文件文件夹中保存安全信息。 |
| 安全性 | 关闭浏览器时为空临时 Internet 文件文件夹。 | 打开 | 关闭浏览器时自动清除“临时 Internet 文件”文件夹。 |
这些更改减少了网页、基于 Web 的应用程序、本地网络资源和使用浏览器显示联机帮助、支持和常规用户帮助的应用程序的功能。
如何在 Windows 服务器上关闭 Internet Explorer ESC
若要关闭 Internet Explorer ESC,请执行以下步骤:
在 Windows 搜索中输入服务器管理器以启动服务器管理器应用程序。
选择“ 本地服务器”。
导航到 “IE 增强的安全配置” 属性,选择当前设置以打开属性页,为所需用户选择“ 关闭 ”选项按钮,然后选择“ 确定”。
选择服务器管理器工具栏上的“刷新”图标,查看服务器管理器中反映的新设置。
以下视频演示了此过程:
有关详细信息,请参阅管理本地服务器和服务器管理器控制台。
如何使用脚本禁用 Internet Explorer ESC
使用以下批处理文件内容创建 IEHArden_V5.bat 文件。
使用 如何分配用户登录脚本中所述的过程,在管理命令提示符处或作为登录脚本的一部分运行 bat 文件。
批处理文件的内容
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
如何使用组策略首选项 (GPP) 管理用户的 IEHarden 设置
若要使用 组策略 首选项注册表配置更改用户的 IEHarden 设置,请执行以下步骤:
打开 GPMCM.msc 控制台,然后导航到 “用户配置>首选项>”“Windows 设置”。
在导航窗格中,右键单击 “注册表 ”对象,然后选择“ 新建>注册表项”。
在 IEHarden 属性中,指定以下设置:
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap值名称: IEHarden
值类型: REG_DWORD
值数据: 0 或 000000000
选择“应用”和“确定”完成此 GPP 配置。
注意
如果此值不能解决问题,则还可能需要检查以下注册表子项。 在大多数情况下,这不是必需的。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
使用 服务器管理器 禁用 ESC 后,Internet Explorer 似乎不起作用
若要对此方案进行故障排除,请参阅 标准用户无法在基于 Windows Server 2003 的终端服务器或更高版本上关闭 Internet Explorer 增强的安全性功能。 基本上,可能需要再次启用或禁用 ESC。 以注册表为目标可能是解决此问题的最简单方法。