Часто задаваемые вопросы о конфигурации расширенной безопасности (ESC) в Интернете Обозреватель

Конфигурация расширенной безопасности Интернета Обозреватель (ESC) устанавливает параметры безопасности, определяющие, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также снижают уязвимость серверов для веб-сайтов, которые могут представлять угрозу безопасности. Этот процесс также называется IEHarden. Дополнительные сведения см. в разделе Internet Обозреватель: конфигурация усиленной безопасности.

Исходная версия продукта: Интернет-Обозреватель
Исходный номер базы знаний: 4551931

Эта функция включена по умолчанию на серверах.

Internet Обозреватель ESC настраивает параметры расширяемости и безопасности интернет-Обозреватель, чтобы снизить вероятность возможных угроз безопасности в будущем. Эти параметры находятся на вкладке Дополнительно в разделе Свойства браузерав панель управления. В следующей таблице описаны параметры.

Эти изменения снижают функциональность веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, использующих браузер для отображения справки, поддержки и общей помощи пользователям.

Чтобы отключить Интернет Обозреватель ESC, выполните следующие действия:

1. Введите диспетчер сервера в поиске Windows, чтобы запустить приложение диспетчера сервера.

2. Выберите Локальный сервер.

3. Перейдите к свойству Конфигурация усиленной безопасности IE , выберите текущий параметр, чтобы открыть страницу свойств, нажмите кнопку Выкл . для нужных пользователей и нажмите кнопку ОК.

   

   

4. Щелкните значок Обновить на панели инструментов диспетчер сервера, чтобы увидеть новые параметры, отраженные в диспетчере серверов.

   

Эта процедура показана в следующем видео:

Дополнительные сведения см. в разделе Управление локальным сервером и консолью диспетчер сервера.

1. Создайте файл IEHArden_V5.bat со следующим содержимым пакетного файла.

2. Запустите файл bat либо в командной строке администратора, либо в рамках сценария входа с помощью процедуры, описанной в разделе Назначение сценариев входа пользователей.

Содержимое пакетного файла

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра параметров групповая политика, выполните следующие действия.

1. Откройте консоль GPMCM.msc и перейдите враздел Параметры>конфигурации> пользователяПараметры Windows.

2. В области навигации щелкните правой кнопкой мыши объект Registry и выберите Создать>элемент реестра.

   

3. В IEHarden Properties (Свойства IEHarden) укажите следующие параметры:

   • Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

   • Имя значения: IEHarden

   • Тип значения: REG_DWORD

   • Значения: 0 или 000000000

     

4. Выберите Применить и ОК , чтобы завершить настройку GPP.

Чтобы устранить неполадки с этим сценарием, см. раздел Стандартные пользователи не могут отключить Интернет Обозреватель функции усиленной безопасности на сервере терминалов под управлением Windows Server 2003 или более поздней версии. По сути, может потребоваться снова включить или отключить ESC. Это самый простой способ решения этой проблемы.