警告
已淘汰、不受支援的 Internet Explorer 11 傳統型應用程式已於特定 Windows 10 版本透過 Microsoft Edge 更新永久停用。 如需詳細資訊,請參閱 Internet Explorer 11 傳統型應用程式淘汰常見問題集 (英文)。
本文說明如何在登錄中儲存及管理 Internet Explorer 安全性區域和隱私權設定。 您可以使用組策略或 Microsoft Internet Explorer Administration Kit (IEAK) 來設定安全性區域和隱私權設定。
原始產品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 編號: 182569
隱私權設定
Internet Explorer 6 和更新版本新增了 [隱私權] 索引卷標,讓用戶能夠更充分掌控 Cookie。 此索引標籤(選取[工具],然後選取[因特網選項] 會根據 Cookie 的來源網站或 Cookie 類型,提供封鎖或允許 Cookie 的彈性。 Cookie 的類型包括第一方 Cookie、第三方 Cookie 和缺乏簡潔隱私權原則的 Cookie。 這個索引標籤也包含管理網站對實體位置資料要求的選項、封鎖快顯視窗的能力,以及在啟用 InPrivate 瀏覽時執行工具列和延伸功能的選項。
因特網區域有不同層級的隱私權,它們會儲存在登錄中,與安全性區域位於相同的位置。
您也可以新增一個網站,根據該網站啟用或封鎖 Cookie,而不論該網站上的隱私策略為何。 這些登錄機碼會儲存在下列登錄子機碼中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
已新增為管理站點的網域會列在此子機碼底下。 這些網域可以攜帶下列其中一個 DWORD 值:
0x00000005 - 永遠阻擋
0x00000001 - 永遠允許
安全性區域設定
對於每個區域,使用者可以控制 Internet Explorer 如何處理較高風險的專案,例如 ActiveX 控件、下載和腳本。 Internet Explorer 安全性區域設定會儲存在下列登錄子機碼下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet SettingsHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
這些登入機碼包含下列機碼:
- 範本政策
- 區域地圖
- 區域
注意
根據預設,安全性區域設定會儲存在登錄子樹中 HKEY_CURRENT_USER 。 因為這個子樹是針對每個使用者動態載入的,因此一個用戶的設定不會影響另一個用戶的設定。
如果啟用了 [安全性區域:只啟用組策略中的計算機設定] 設定,或在以下登錄子機碼中存在 Security_HKLM_only DWORD 值,且該值為 1,則只會使用本機計算機設定,所有使用者具有相同的安全性設定:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
啟用 Security_HKLM_only 原則後,Internet Explorer 將會使用 HKLM 值。 不過,HKCU 值仍會顯示在 Internet Explorer 中 [安全性 ] 索引標籤上的區域設定中。 在 Internet Explorer 7 中,[因特網選項] 對話方塊的 [安全性] 索引標籤會顯示下列訊息,指出設定是由系統管理員管理:
某些設定是由系統管理員管理 如果 [安全性區域:僅使用計算機設定] 設定未在組策略中啟用,或
Security_HKLM_onlyDWORD 值不存在或設定為 0,計算機設定會與使用者設定一起使用。 不過,只有使用者設定會出現在 [因特網選項] 中。 例如,當這個 DWORD 值不存在或設定為 0 時,HKEY_LOCAL_MACHINE設定會與HKEY_CURRENT_USER設定一起讀取,但只有HKEY_CURRENT_USER設定會在 因特網選項 中顯示。
範本政策
金鑰 TemplatePolicies 會決定預設安全性區域層級的設定。 這些層級為低、中低、中和高。 您可以從預設設定變更安全性層級設定。 不過,您無法新增更多安全性層級。 金鑰包含值,可決定安全性區域的設定。 每個鍵值包含 [描述] 字串值和 [顯示名稱] 字串值,這些值決定每個安全性層級之 [安全性] 索引標籤上所顯示的文字。
區域地圖
密鑰 ZoneMap 包含下列子密鑰:
- 網域
- EscDomains
- 協議默認值
- 範圍
密鑰 Domains 包含已新增的網域和通訊協定,以從預設行為變更其行為。 新增網域時,會將金鑰新增至 Domains 金鑰。 子域會以子項目形式顯示在其所屬網域底下。 列出網域的每個索引鍵都包含一個 DWORD,該 DWORD 的值名稱為受影響的通訊協定。 DWORD 的值與新增網域的安全性區域數值相同。
密鑰 EscDomains 與網域密鑰類似,不同之處在於 EscDomains 金鑰會套用至受 Internet Explorer 增強式安全性設定 (IE ESC) 影響的通訊協定。 IE ESC 是在 windows Server 2003 Microsoft引進,僅適用於伺服器操作系統。
金鑰 ProtocolDefaults 會指定用於特定通訊協定的預設安全性區域(ftp、HTTP、https)。 若要變更預設設定,您可以選取 [安全性] 索引標籤上的 [新增網站],或在 [網域] 索引鍵下新增 DWORD 值,將通訊協定新增至安全性區域。 DWORD 值的名稱必須符合通訊協定名稱,而且不能包含任何冒號(:)或斜線(/)。
金鑰 ProtocolDefaults 也包含 DWORD 值,指定使用通訊協定的預設安全性區域。 您無法使用 [ 安全性] 索引標籤上的控制項來變更這些值。 當特定網站不在安全性區域中時,會使用此設定。
金鑰 Ranges 包含 TCP/IP 位址的範圍。 您指定的每個 TCP/IP 範圍會出現在任意命名的索引鍵中。 此索引鍵包含指定 TCP/IP 範圍的 :Range 字串值。 針對每個通訊協定,會新增一個 DWORD 值,其中包含指定IP範圍的安全性區域數值。
當Urlmon.dll檔案使用 MapUrlToZone 公用函式將特定 URL 解析為安全性區域時,它會使用下列其中一種方法:
如果 URL 包含完全限定域名(FQDN),則會處理網域鍵。
在此方法中,完全的站點匹配會覆寫隨機匹配。
如果 URL 包含 IP 位址,則處理
Ranges鍵。 在:Range金鑰下任意命名的索引鍵中包含的值會與該 URL 的 IP 位址進行比較Ranges。
注意
因為任意命名的索引鍵會依照新增至登錄的順序進行處理,所以此方法可能會在找到相符項之前找到隨機的相符項。 如果此方法首先找到隨機匹配,URL 可能會在不同於通常指派的安全區域中執行。 這是設計上的行為。
區域
金鑰 Zones 包含代表電腦所定義之每個安全性區域的金鑰。 根據預設,會定義下列五個區域(編號為零到四個):
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
注意
根據預設,我的計算機不會出現在 [安全性] 索引標籤上的 [區域] 方塊中,因為它已鎖定以協助改善安全性。
這些索引鍵都包含下列 DWORD 值,這些值代表自定義 [安全性] 索引卷標上的對應設定。
注意
除非另有說明,否則每個 DWORD 值都等於零、一或三個。 一般而言,零的設定會設定允許的特定動作、一個設定會導致出現提示,而三個設定會禁止特定動作。
Value Setting
----------------------------------------------------------------------------------
1001 ActiveX controls and plug-ins: Download signed ActiveX controls
1004 ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200 ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201 ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206 Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207 Reserved #
1208 ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209 ActiveX controls and plug-ins: Allow Scriptlets
120A ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400 Scripting: Active scripting
1402 Scripting: Scripting of Java applets
1405 ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406 Miscellaneous: Access data sources across domains
1407 Scripting: Allow Programmatic clipboard access
1408 Reserved #
1409 Scripting: Enable XSS Filter
1601 Miscellaneous: Submit non-encrypted form data
1604 Downloads: Font download
1605 Run Java #
1606 Miscellaneous: Userdata persistence ^
1607 Miscellaneous: Navigate sub-frames across different domains
1608 Miscellaneous: Allow META REFRESH * ^
1609 Miscellaneous: Display mixed content *
160A Miscellaneous: Include local directory path when uploading files to a server ^
1800 Miscellaneous: Installation of desktop items
1802 Miscellaneous: Drag and drop or copy and paste files
1803 Downloads: File Download ^
1804 Miscellaneous: Launching programs and files in an IFRAME
1805 Launching programs and files in webview #
1806 Miscellaneous: Launching applications and unsafe files
1807 Reserved ** #
1808 Reserved ** #
1809 Miscellaneous: Use Pop-up Blocker ** ^
180A Reserved #
180B Reserved #
180C Reserved #
180D Reserved #
180E Allow OpenSearch queries in Windows Explorer #
180F Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00 User Authentication: Logon
1A02 Allow persistent cookies that are stored on your computer #
1A03 Allow per-session cookies (not stored) #
1A04 Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05 Allow 3rd party persistent cookies *
1A06 Allow 3rd party session cookies *
1A10 Privacy Settings *
1C00 Java permissions #
1E05 Miscellaneous: Software channel permissions
1F00 Reserved ** #
2000 ActiveX controls and plug-ins: Binary and script behaviors
2001 .NET Framework-reliant components: Run components signed with Authenticode
2004 .NET Framework-reliant components: Run components not signed with Authenticode
2007 .NET Framework-Reliant Components: Permissions for Components with Manifests
2100 Miscellaneous: Open files based on content, not file extension ** ^
2101 Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102 Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103 Scripting: Allow status bar updates via script ^
2104 Miscellaneous: Allow websites to open windows without address or status bars ^
2105 Scripting: Allow websites to prompt for information using scripted windows ^
2200 Downloads: Automatic prompting for file downloads ** ^
2201 ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300 Miscellaneous: Allow web pages to use restricted protocols for active content **
2301 Miscellaneous: Use Phishing Filter ^
2400 .NET Framework: XAML browser applications
2401 .NET Framework: XPS documents
2402 .NET Framework: Loose XAML
2500 Turn on Protected Mode [Vista only setting] #
2600 Enable .NET Framework setup ^
2702 ActiveX controls and plug-ins: Allow ActiveX Filtering
2708 Miscellaneous: Allow dragging of content between domains into the same window
2709 Miscellaneous: Allow dragging of content between domains into separate windows
270B Miscellaneous: Render legacy filters
270C ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls
{AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *
* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled
關於 1200、1A00、1A10、1E05、1C00 和 2000 的注意事項
下列兩個登入項目會影響您是否可以在特定區域中執行 ActiveX 控制項:
- 1200 此登錄專案會影響您是否可執行 ActiveX 控件或外掛程式。
- 2000 此登錄專案可控制 ActiveX 控件或外掛程式的二進位行為和腳本行為。
1A02、1A03、1A05 和 1A06 的相關注意事項
這四個登錄項目只有在下列機碼存在時才會生效:
- {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *
登錄項目
- 1A02 允許儲存在電腦上的持續性Cookie#
- 1A03 允許每次會話的 Cookie (未儲存)#
- 1A05 允許第三方持續性 Cookie *
- 1A06 允許第三方會話 cookie *
這些登入項目位於下列登入子機碼中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
在此登錄子機碼中, <ZoneNumber> 是一個區域,例如0(零)。 登錄 1200 專案和 2000 登錄專案各包含名為 Administrator 核准的設定。 啟用此設定時,特定登錄項目的值會設定為 00010000。 啟用系統管理員核准設定時,Windows 會檢查下列登錄子機碼,以找出已核准的控制項清單:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
登入設定 (1A00) 可能具有下列任何一個值 (十六進位):
Value Setting
---------------------------------------------------------------
0x00000000 Automatically logon with current username and password
0x00010000 Prompt for user name and password
0x00020000 Automatic logon only in the Intranet zone
0x00030000 Anonymous logon
隱私權設定 (1A10) 是由 [隱私權] 索引卷標滑桿使用。 DWORD 值如下所示:
封鎖所有 Cookie:00000003
高:00000001
中高:00000001
中等:00000001
低:00000001
接受所有 Cookie:00000000
根據滑桿中的設定,它也會修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120}或兩者中的值。
Java 許可權設定 (1C00) 具有下列五個可能的值(二進位):
Value Setting
-----------------------
00 00 00 00 Disable Java
00 00 01 00 High safety
00 00 02 00 Medium safety
00 00 03 00 Low safety
00 00 80 00 Custom
如果選取 [自定義],它會使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB}(位於相同登錄位置)將自定義資訊儲存在二進位檔中。
每個安全性區域都包含 Description 字串值和 [顯示名稱] 字串值。 當您在 [區域] 框中選擇一個區域時,這些值的文本將顯示在 [安全性] 索引標籤上。 另外還有圖示字串值,可設定每個區域顯示的圖示。 除了 [我的計算機] 區域之外,每個區域都包含 CurrentLevel、 MinLevel和 RecommendedLevel DWORD 值。
MinLevel 設置在您收到警告訊息前可以使用的最低設定,CurrentLevel 是該區域的當前設定,而 RecommendedLevel 是該區域的建議等級。
Minlevel、RecommendedLevel 和 CurrentLevel 的值代表下列各項的意義如下:
Value (Hexadecimal) Setting
----------------------------------
0x00010000 Low Security
0x00010500 Medium Low Security
0x00011000 Medium Security
0x00012000 High Security
Flags DWORD 值決定使用者修改安全性區域屬性的能力。 若要判斷 Flags 值,請將適當設定的數目加在一起。 以下是 Flags 可用的值(十進位):
Value Setting
------------------------------------------------------------------
1 Allow changes to custom settings
2 Allow users to add Web sites to this zone
4 Require verified Web sites (https protocol)
8 Include Web sites that bypass the proxy server
16 Include Web sites not listed in other zones
32 Do not show security zone in Internet Properties (default setting for My Computer)
64 Show the Requires Server Verification dialog box
128 Treat Universal Naming Connections (UNCs) as intranet connections
256 Automatically detect Intranet network
如果您同時將設定新增至 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子樹,則設定會加總。 如果您將網站新增至這兩個子樹,則只有位於 HKEY_CURRENT_USER 的那些網站會顯示。 子樹中的 HKEY_LOCAL_MACHINE 網站仍會根據其設定強制執行。 不過,它們不可以使用,而且您無法修改它們。 這種情況可能會造成混淆,因為網站可能只列在每個通訊協定的一個安全性區域中。
參考資料
如需Microsoft Windows XP Service Pack 2 (SP2) 中功能變更的詳細資訊,請流覽下列Microsoft網站:
如需 URL 安全性區域的詳細資訊,請流覽下列Microsoft網站:
如需如何變更 Internet Explorer 安全性設定的詳細資訊,請流覽下列Microsoft網站:
變更 Internet Explorer 11 的安全性和隱私權設定
如需 Internet Explorer 本機電腦區域鎖定的詳細資訊,請流覽下列Microsoft網站:
如需與 URL 安全性區域中可採取之動作相關聯之值的詳細資訊,請參閱 URL 動作旗標。