共用方式為


適用於進階使用者的 Internet Explorer 安全性區域登錄項目

警告

已淘汰、不受支援的 Internet Explorer 11 傳統型應用程式已於特定 Windows 10 版本透過 Microsoft Edge 更新永久停用。 如需詳細資訊,請參閱 Internet Explorer 11 傳統型應用程式淘汰常見問題集 (英文)。

本文說明如何在登錄中儲存及管理 Internet Explorer 安全性區域和隱私權設定。 您可以使用組策略或 Microsoft Internet Explorer Administration Kit (IEAK) 來設定安全性區域和隱私權設定。

原始產品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 編號: 182569

隱私權設定

Internet Explorer 6 和更新版本新增了 [隱私權] 索引卷標,讓用戶能夠更充分掌控 Cookie。 此索引標籤(選取[工具],然後選取[因特網選項] 會根據 Cookie 的來源網站或 Cookie 類型,提供封鎖或允許 Cookie 的彈性。 Cookie 的類型包括第一方 Cookie、第三方 Cookie 和缺乏簡潔隱私權原則的 Cookie。 這個索引標籤也包含管理網站對實體位置資料要求的選項、封鎖快顯視窗的能力,以及在啟用 InPrivate 瀏覽時執行工具列和延伸功能的選項。

因特網區域有不同層級的隱私權,它們會儲存在登錄中,與安全性區域位於相同的位置。

您也可以新增一個網站,根據該網站啟用或封鎖 Cookie,而不論該網站上的隱私策略為何。 這些登錄機碼會儲存在下列登錄子機碼中:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

已新增為管理站點的網域會列在此子機碼底下。 這些網域可以攜帶下列其中一個 DWORD 值:

0x00000005 - 永遠阻擋
0x00000001 - 永遠允許

安全性區域設定

對於每個區域,使用者可以控制 Internet Explorer 如何處理較高風險的專案,例如 ActiveX 控件、下載和腳本。 Internet Explorer 安全性區域設定會儲存在下列登錄子機碼下:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

這些登入機碼包含下列機碼:

  • 範本政策
  • 區域地圖
  • 區域

注意

根據預設,安全性區域設定會儲存在登錄子樹中 HKEY_CURRENT_USER 。 因為這個子樹是針對每個使用者動態載入的,因此一個用戶的設定不會影響另一個用戶的設定。

如果啟用了 [安全性區域:只啟用組策略中的計算機設定] 設定,或在以下登錄子機碼中存在 Security_HKLM_only DWORD 值,且該值為 1,則只會使用本機計算機設定,所有使用者具有相同的安全性設定:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

啟用 Security_HKLM_only 原則後,Internet Explorer 將會使用 HKLM 值。 不過,HKCU 值仍會顯示在 Internet Explorer 中 [安全性 ] 索引標籤上的區域設定中。 在 Internet Explorer 7 中,[因特網選項] 對話方塊的 [安全性] 索引標籤會顯示下列訊息,指出設定是由系統管理員管理:

某些設定是由系統管理員管理 如果 [安全性區域:僅使用計算機設定] 設定未在組策略中啟用,或 Security_HKLM_only DWORD 值不存在或設定為 0,計算機設定會與使用者設定一起使用。 不過,只有使用者設定會出現在 [因特網選項] 中。 例如,當這個 DWORD 值不存在或設定為 0 時,HKEY_LOCAL_MACHINE 設定會與 HKEY_CURRENT_USER 設定一起讀取,但只有 HKEY_CURRENT_USER 設定會在 因特網選項 中顯示。

範本政策

金鑰 TemplatePolicies 會決定預設安全性區域層級的設定。 這些層級為低、中低、中和高。 您可以從預設設定變更安全性層級設定。 不過,您無法新增更多安全性層級。 金鑰包含值,可決定安全性區域的設定。 每個鍵值包含 [描述] 字串值和 [顯示名稱] 字串值,這些值決定每個安全性層級之 [安全性] 索引標籤上所顯示的文字。

區域地圖

密鑰 ZoneMap 包含下列子密鑰:

  • 網域
  • EscDomains
  • 協議默認值
  • 範圍

密鑰 Domains 包含已新增的網域和通訊協定,以從預設行為變更其行為。 新增網域時,會將金鑰新增至 Domains 金鑰。 子域會以子項目形式顯示在其所屬網域底下。 列出網域的每個索引鍵都包含一個 DWORD,該 DWORD 的值名稱為受影響的通訊協定。 DWORD 的值與新增網域的安全性區域數值相同。

密鑰 EscDomains 與網域密鑰類似,不同之處在於 EscDomains 金鑰會套用至受 Internet Explorer 增強式安全性設定 (IE ESC) 影響的通訊協定。 IE ESC 是在 windows Server 2003 Microsoft引進,僅適用於伺服器操作系統。

金鑰 ProtocolDefaults 會指定用於特定通訊協定的預設安全性區域(ftp、HTTP、https)。 若要變更預設設定,您可以選取 [安全性] 索引標籤上的 [新增網站],或在 [網域] 索引鍵下新增 DWORD 值,將通訊協定新增至安全性區域。 DWORD 值的名稱必須符合通訊協定名稱,而且不能包含任何冒號(:)或斜線(/)。

金鑰 ProtocolDefaults 也包含 DWORD 值,指定使用通訊協定的預設安全性區域。 您無法使用 [ 安全性] 索引標籤上的控制項來變更這些值。 當特定網站不在安全性區域中時,會使用此設定。

金鑰 Ranges 包含 TCP/IP 位址的範圍。 您指定的每個 TCP/IP 範圍會出現在任意命名的索引鍵中。 此索引鍵包含指定 TCP/IP 範圍的 :Range 字串值。 針對每個通訊協定,會新增一個 DWORD 值,其中包含指定IP範圍的安全性區域數值。

當Urlmon.dll檔案使用 MapUrlToZone 公用函式將特定 URL 解析為安全性區域時,它會使用下列其中一種方法:

  • 如果 URL 包含完全限定域名(FQDN),則會處理網域鍵。

    在此方法中,完全的站點匹配會覆寫隨機匹配。

  • 如果 URL 包含 IP 位址,則處理 Ranges 鍵。 在:Range金鑰下任意命名的索引鍵中包含的值會與該 URL 的 IP 位址進行比較Ranges

注意

因為任意命名的索引鍵會依照新增至登錄的順序進行處理,所以此方法可能會在找到相符項之前找到隨機的相符項。 如果此方法首先找到隨機匹配,URL 可能會在不同於通常指派的安全區域中執行。 這是設計上的行為。

區域

金鑰 Zones 包含代表電腦所定義之每個安全性區域的金鑰。 根據預設,會定義下列五個區域(編號為零到四個):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

注意

根據預設,我的計算機不會出現在 [安全性] 索引標籤上的 [區域] 方塊中,因為它已鎖定以協助改善安全性。

這些索引鍵都包含下列 DWORD 值,這些值代表自定義 [安全性] 索引卷標上的對應設定。

注意

除非另有說明,否則每個 DWORD 值都等於零、一或三個。 一般而言,零的設定會設定允許的特定動作、一個設定會導致出現提示,而三個設定會禁止特定動作。

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

關於 1200、1A00、1A10、1E05、1C00 和 2000 的注意事項

下列兩個登入項目會影響您是否可以在特定區域中執行 ActiveX 控制項:

  • 1200 此登錄專案會影響您是否可執行 ActiveX 控件或外掛程式。
  • 2000 此登錄專案可控制 ActiveX 控件或外掛程式的二進位行為和腳本行為。

1A02、1A03、1A05 和 1A06 的相關注意事項

這四個登錄項目只有在下列機碼存在時才會生效:

  • {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *

登錄項目

  • 1A02 允許儲存在電腦上的持續性Cookie#
  • 1A03 允許每次會話的 Cookie (未儲存)#
  • 1A05 允許第三方持續性 Cookie *
  • 1A06 允許第三方會話 cookie *

這些登入項目位於下列登入子機碼中:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

在此登錄子機碼中, <ZoneNumber> 是一個區域,例如0(零)。 登錄 1200 專案和 2000 登錄專案各包含名為 Administrator 核准的設定。 啟用此設定時,特定登錄項目的值會設定為 00010000。 啟用系統管理員核准設定時,Windows 會檢查下列登錄子機碼,以找出已核准的控制項清單:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

登入設定 (1A00) 可能具有下列任何一個值 (十六進位):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

隱私權設定 (1A10) 是由 [隱私權] 索引卷標滑桿使用。 DWORD 值如下所示:

封鎖所有 Cookie:00000003
高:00000001
中高:00000001
中等:00000001
低:00000001
接受所有 Cookie:00000000

根據滑桿中的設定,它也會修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120}或兩者中的值。

Java 許可權設定 (1C00) 具有下列五個可能的值(二進位):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

如果選取 [自定義],它會使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB}(位於相同登錄位置)將自定義資訊儲存在二進位檔中。

每個安全性區域都包含 Description 字串值和 [顯示名稱] 字串值。 當您在 [區域] 框中選擇一個區域時,這些值的文本將顯示在 [安全性] 索引標籤上。 另外還有圖示字串值,可設定每個區域顯示的圖示。 除了 [我的計算機] 區域之外,每個區域都包含 CurrentLevelMinLevelRecommendedLevel DWORD 值。 MinLevel 設置在您收到警告訊息前可以使用的最低設定,CurrentLevel 是該區域的當前設定,而 RecommendedLevel 是該區域的建議等級。

MinlevelRecommendedLevelCurrentLevel 的值代表下列各項的意義如下:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags DWORD 值決定使用者修改安全性區域屬性的能力。 若要判斷 Flags 值,請將適當設定的數目加在一起。 以下是 Flags 可用的值(十進位):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

如果您同時將設定新增至 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子樹,則設定會加總。 如果您將網站新增至這兩個子樹,則只有位於 HKEY_CURRENT_USER 的那些網站會顯示。 子樹中的 HKEY_LOCAL_MACHINE 網站仍會根據其設定強制執行。 不過,它們不可以使用,而且您無法修改它們。 這種情況可能會造成混淆,因為網站可能只列在每個通訊協定的一個安全性區域中。

參考資料

如需Microsoft Windows XP Service Pack 2 (SP2) 中功能變更的詳細資訊,請流覽下列Microsoft網站:

第 5 部分:增強式瀏覽安全性

如需 URL 安全性區域的詳細資訊,請流覽下列Microsoft網站:

關於 URL 安全性區域

如需如何變更 Internet Explorer 安全性設定的詳細資訊,請流覽下列Microsoft網站:

變更 Internet Explorer 11 的安全性和隱私權設定

如需 Internet Explorer 本機電腦區域鎖定的詳細資訊,請流覽下列Microsoft網站:

Internet Explorer 本機計算機區域鎖定

如需與 URL 安全性區域中可採取之動作相關聯之值的詳細資訊,請參閱 URL 動作旗標