警告
已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答。
Internet Explorer 增强的安全配置
Internet Explorer 增强的安全配置(ESC)建立安全设置,用于定义用户如何浏览 Internet 和 Intranet 网站。 这些设置还会减少服务器暴露给可能带来安全风险的网站。 此过程也称为 IEHarden。 有关详细信息,请参阅 Internet Explorer:增强的安全配置。
原始产品版本: Internet Explorer
原始 KB 数: 4551931
Internet Explorer ESC 的默认设置
默认情况下,此功能在服务器上启用。
启用 Internet Explorer ESC 的效果
Internet Explorer ESC 调整 Internet Explorer 扩展性和安全设置,以减少未来可能的安全威胁的暴露。 这些设置位于 控制面板 Internet 选项的“高级”选项卡上。 下表描述了这些设置。
| 功能 | 条目 | 设置 | 结果 |
|---|---|---|---|
| 浏览 | 显示“增强的安全配置”对话框。 | 开 | 显示一个对话框,用于在 Internet 站点尝试使用脚本或 ActiveX 控件时通知你。 |
| 浏览 | 启用浏览器扩展。 | 关 | 禁用安装的功能,以便与除Microsoft以外的公司创建的 Internet Explorer 一起使用。 |
| 浏览 | 启用按需安装(Internet Explorer)。 | 关 | 如果网页需要,请按需禁用安装 Internet Explorer 组件。 |
| 浏览 | 启用按需安装(其他)。 | 关 | 如果网页需要,请按需禁用安装 Web 组件。 |
| Microsoft VM | 已启用虚拟机的实时 (JIT) 编译器(需要重启)。 | 关 | 禁用Microsoft VM 编译器。 |
| 多媒体 | 不要在媒体栏中显示联机内容。 | 开 | 禁止在 Internet Explorer 媒体栏中播放媒体内容。 |
| 多媒体 | 不要在媒体栏中显示联机内容。 | 开 | 禁止在 Internet Explorer 媒体栏中播放媒体内容。 |
| 多媒体 | 在网页中播放动画。 | 关 | 禁用动画。 |
| 多媒体 | 在网页中播放视频。 | 关 | 禁用视频剪辑。 |
| 安全性 | 检查服务器证书吊销(需要重启)。 | 开 | 在接受证书有效之前,自动检查网站的证书,以查看证书是否已吊销。 |
| 安全性 | 检查下载的程序上的签名。 | 开 | 自动验证并显示你下载的程序的标识。 |
| 安全性 | 不要将加密页保存到磁盘。 | 开 | 禁用在临时 Internet 文件文件夹中保存安全信息。 |
| 安全性 | 关闭浏览器时,空临时 Internet 文件文件夹。 | 开 | 关闭浏览器时自动清除临时 Internet 文件文件夹。 |
这些更改减少了网页、基于 Web 的应用程序、本地网络资源和使用浏览器显示联机帮助、支持和常规用户帮助的应用程序的功能。
如何在 Windows 服务器上关闭 Internet Explorer ESC
若要关闭 Internet Explorer ESC,请执行以下步骤:
在 Windows 搜索中输入服务器管理器以启动服务器管理器应用程序。
选择“ 本地服务器”。
导航到 IE 增强的安全配置 属性,选择当前设置以打开属性页,为所需用户选择 “关闭 ”选项按钮,然后选择“ 确定”。
选择服务器管理器工具栏上的“刷新”图标以查看服务器管理器中反映的新设置。
以下视频演示了此过程:
有关详细信息,请参阅“管理本地服务器”和“服务器管理器控制台”。
如何使用脚本禁用 Internet Explorer ESC
使用以下批处理文件内容创建IEHArden_V5.bat文件。
使用“如何分配用户登录脚本” 中记录的过程,在管理命令提示符处或作为登录脚本的一部分运行 bat 文件。
批处理文件的内容
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
如何使用组策略首选项(GPP)管理用户的 IEHarden 设置
若要使用组策略首选项注册表配置更改用户的 IEHarden 设置,请执行以下步骤:
打开 GPMCM.msc 控制台,然后导航到“用户配置>首选项>Windows 设置”。
在导航窗格中,右键单击注册表对象,然后选择“新建>注册表项”。
在 IEHarden 属性中,指定以下设置:
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap值名称: IEHarden
值类型: REG_DWORD
值数据: 0 或 00000000
选择“ 应用 ”并 “确定 ”完成此 GPP 配置。
注意
如果此值未解决问题,可能还需要检查以下注册表子项。 在大多数情况下,不需要这样做。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
使用 服务器管理器 禁用 ESC 后,Internet Explorer 似乎不起作用
若要排查这种情况问题,请参阅 标准用户无法在基于 Windows Server 2003 的终端服务器或更高版本上关闭 Internet Explorer 增强安全功能。 基本上,可能需要再次启用或禁用 ESC。 以注册表为目标可能是解决此问题的最简单方法。