Internet Explorer 增强的安全配置改变了浏览体验

文章翻译 文章翻译
文章编号: 815141 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

默认情况下,Windows Server 2003 启用了 Internet Explorer 增强的安全配置。在启动 Microsoft Internet Explorer 时,将收到下面的消息:
当前在您的服务器上启用了 Microsoft Internet Explorer 的增强的安全配置。此增强的安全级别降低了来自基于 Web 的不安全内容攻击的风险,但同时也可能会使网站不能显示正确的内容,并且不能访问网络资源。
Internet Explorer 增强的安全配置为服务器和 Microsoft Internet Explorer 建立了一种配置,可以减少服务器遭受潜在的、可通过 Web 内容和应用程序脚本进行的攻击的可能性。因此,某些网站可能无法正常显示或执行操作。

本文介绍了 Internet Explorer 增强的安全配置在 Windows Server 2003 中的效果。

更多信息

Internet Explorer 增强的安全配置可建立一些安全设置,以定义用户浏览 Internet 和 Intranet 网站的方式。这些设置还减少了服务器遭受来自可能存在安全风险的网站的攻击的可能性。

此增强级别的安全性可能使网站无法在 Internet Explorer 中正常显示,并可能限制对网络资源(如统一命名约定 (UNC) 共享文件夹中的文件)的访问。如果您想查看需要已被禁用的 Internet Explorer 功能的网站,您可以将网站添加到“本地 Intranet”的包含列表或“受信任的站点”区域。

Internet Explorer 安全区域

在 Internet Explorer 中,您可以配置多种内置安全区域的安全设置:“Internet”区域、“本地 Intranet”区域、“受信任的站点”区域和“受限制的站点”区域。Internet Explorer 增强的安全配置按如下方式向这些区域分配安全级别:
  • 对于“Internet”区域,将安全级别设置为“高”。
  • 对于“受信任的站点”区域,将安全级别设置为“中”。此级别允许浏览许多 Internet 站点。
  • 对于“本地 Intranet”区域,将安全级别设置为“中低”。此级别允许将用户凭据(名称和密码)自动传递到需要它们的站点和应用程序。
  • 对于“受限制的站点”区域,将安全级别设置为“高”。
  • 默认情况下,将所有 Internet 和 Intranet 站点都指定到“Internet”区域。除非将 Intranet 站点明确添加到“本地 Intranet”区域,否则这些站点不属于该区域。

启用 Internet Explorer 增强的安全配置时如何进行浏览

Internet Explorer 增强的安全配置增加了服务器的安全级别。但是,它还可能以下面几种方式影响 Internet 浏览:
  • 由于禁用了 ActiveX 控件和脚本,因此 Internet 站点可能无法在 Internet Explorer 中按预期方式显示,并且使用 Internet 的应用程序可能无法正常工作。如果信任某个 Internet 站点并需要其完全正常工作,则可以将该站点添加到 Internet Explorer 中的“受信任的站点”区域。

    如果试图查看使用脚本或 ActiveX 控件的 Internet 站点,会收到下面的消息:
    下面列出的网站内容被 Internet Explorer 增强的安全配置堵塞。

    如果您信任此网站,您可以通过把此站点添加到信任的站点区域中来降低它的安全设置。如果您知道此网站在您的本地 Intranet 上,则参照帮助中的如何在本地 Intranet 上添加站点的说明。
    Microsoft 建议,仅当您完全确信某站点可以信赖并且 URL 正确时,才可以将其添加到“受信任的站点”区域。

    注意:将网站添加到“受信任的站点”区域会对包括 Internet Explorer 在内的所有应用程序降低来自该网站的所有内容的安全设置级别。

    有关如何将网站添加到“受信任的站点”区域的详细信息,请参阅本文的“将站点添加到“受信任的站点”区域”部分。
  • 可能限制对 Intranet 站点、在本地 Intranet 中运行的基于 Web 的应用程序以及共享网络资源上其他文件的访问。如果您信任某个 Intranet 站点或共享文件夹并且需要其正常工作,可以将它添加到“本地 Intranet”区域。

    有关如何进行此操作的详细信息,请参阅本文的“将站点添加到“本地 Intranet”区域”部分。

Internet Explorer 增强的安全配置的效果

Internet Explorer 增强的安全配置调整了现有安全区域的安全级别。下表描述每个区域如何受影响:
收起该表格展开该表格
区域安全级别结果
“Internet”区域“Internet”区域与“受限制的站点”区域具有相同的安全设置。默认情况下,将所有 Internet 和 Intranet 站点指定到此区域。

网页可能无法在 Internet Explorer 中按预期方式显示,并且需要浏览器的应用程序可能无法正常工作,原因是脚本、ActiveX 控件、用于 HTML 内容的 Microsoft 虚拟机 (Microsoft VM) 和文件下载已经被禁用。如果您信任某个 Internet 站点并需要其正常工作,可将该站点添加到 Internet Explorer 中“受信任的站点”区域。

有关如何进行此操作的详细信息,请参阅本文的“将站点添加到“受信任的站点”区域”部分。
“本地 Intranet”区域中低除非将统一命名约定 (UNC) 共享文件夹明确添加到“本地 Intranet”区域,否则会限制对该共享文件夹上的脚本、可执行文件和其他文件的访问。

有关详细信息,请参阅本文的“将站点添加到“本地 Intranet”区域”部分。

访问 Intranet 站点时,由于使用了增强的安全配置,系统可能反复提示您输入凭据(用户名和密码)。在过去,Internet Explorer 会自动将凭据传递到 Intranet 站点。增强的安全配置禁用自动检测 Intranet 站点的功能。如果希望将凭据自动传递到某些 Intranet 站点,请将这些站点添加到“本地 Intranet”区域。

有关如何进行此操作的详细信息,请参阅本文的“将站点添加到“本地 Intranet”区域”部分。

不要将 Internet 站点添加到“本地 Intranet”区域,否则会在请求您的凭据时自动将其传递到该 Internet 站点。
“受信任的站点”区域此区域用于信任其内容的 Internet 站点。

有关详细信息,请参阅本文的“将站点添加到“受信任的站点”区域”部分。
“受限制的站点”区域此区域包含您不信任的站点,例如在您试图从中下载或运行文件时可能破坏您的计算机或数据的站点。
Internet Explorer 增强的安全配置还调整 Internet Explorer 的可扩展性和安全设置,以减少未来可能出现的安全威胁。这些设置位于“控制面板”中“Internet 选项”的“高级”选项卡上。下表描述了这些设置:
收起该表格展开该表格
功能条目新设置结果
浏览显示“增强的安全配置”对话框。在 Internet 站点试图使用脚本或 ActiveX 控件时,显示对话框进行通知。
浏览启用浏览器扩展。禁用所安装以便与 Internet Explorer 一起使用的、由 Microsoft 之外的公司创建的功能。
浏览启用“按需安装”功能 (Internet Explorer)。禁止在网页需要时按需安装 Internet Explorer 组件。
浏览启用“按需安装”功能(其他)。禁止在网页需要时按需安装 Web 组件。
Microsoft VM启用虚拟机的实时 (JIT) 编译器(需要重新启动)。禁用 Microsoft VM 编译器。
多媒体不在媒体栏中显示联机内容。禁止在 Internet Explorer 媒体栏中播放媒体内容。
多媒体播放网页中的声音。禁用音乐和其他声音。
多媒体播放网页中的动画。禁用动画。
多媒体播放网页中的视频。禁用视频剪辑。
安全检查服务器证书吊销(需要重新启动)。在将网站的证书视为有效前,对其进行自动检查,以查看是否已吊销该证书。
安全检查所下载程序的签名。自动验证并显示所下载程序的标识。
安全不将加密的页面存入硬盘。禁止在 Temporary Internet Files 文件夹中保存受保护的信息。
安全关闭浏览器时清空 Temporary Internet Files 文件夹。在关闭浏览器时自动清除 Temporary Internet Files 文件夹。
这些更改会减少网页、基于 Web 的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序中的功能。

有关使用“本地 Intranet”或“受信任的站点”区域的包含列表的详细信息,请参阅本文的“管理 Internet Explorer 增强的安全配置”部分。

当启用 Internet Explorer 增强的安全配置时,将配置下列附加设置:
  • 将 Windows Update 网站添加到“受信任的站点”区域。这允许您继续接收操作系统的重要更新。
  • 将 Windows 错误报告站点添加到“受信任的站点”区域。这允许您报告使用操作系统时所遇到的问题并搜索修补程序。
  • 将数个本地计算机站点(如 http://localhost、https://localhost 和 hcp://system)添加到“本地 Intranet”区域。这允许应用程序和代码在本地运行,以便您可以完成常见的管理任务。
  • 对于“受信任的站点”区域,将“P3P (Platform for Privacy Preferences)”级别设置为“中”。如果希望对“Internet”区域之外的任何区域更改 P3P 级别,请单击“控制面板”中“Internet 选项”的“隐私”选项卡,然后单击“导入”以应用自定义隐私策略。有关其他示例隐私政策,请访问以下 Microsoft MSDN 库网站:
    http://msdn.microsoft.com/zh-cn/library/ms537344.aspx

Internet Explorer 增强的安全配置和终端服务

根据安装类型,增强的安全配置适用于不同的用户帐户。下表描述用户如何受影响:
收起该表格展开该表格
安装类型增强的安全配置适用于
管理员?超级用户?有限用户?受限用户?
升级操作系统
以“无人参与”模式安装操作系统
手动安装终端服务是**是**
**在手动安装终端服务的过程中,系统将提示您为用户禁用“Internet Explorer 增强的安全配置”。这允许用户不受限制地运行终端服务会话。

要在启用终端服务时获得更好的体验,最好从用户组的成员中删除增强的安全配置。这些用户在服务器上具有较少的权限,因此他们在遭受攻击时只会带来较低级别的风险。有关应用增强的安全配置的详细信息,请参阅本文的“将 Internet Explorer 增强的安全配置应用于特定用户”部分。

Internet Explorer 增强的安全配置对 Internet Explorer 用户体验的影响

下表介绍了 Internet Explorer 增强的安全配置如何通过 Internet Explorer 影响每个用户的体验:
收起该表格展开该表格
任务是否可以由以下用户完成
管理员?超级用户?有限用户?受限用户?
打开/关闭 Internet Explorer 增强的安全配置
调整 Internet Explorer 中特定区域的安全级别
将站点添加到“受信任的站点”区域
将站点添加到“本地 Intranet”区域
其他所有 Internet Explorer 任务可由所有的用户组完成,除非服务器管理员另外限制用户访问。

管理 Internet Explorer 增强的安全配置

Internet Explorer 增强的安全配置旨在减少您的服务器遭受安全威胁的可能性。要确保从增强的安全配置中获得最大好处,请考虑下面这些浏览器管理建议:
  • 默认情况下,将所有 Internet 和 Intranet 站点都指定到“Internet”区域。如果信任某个 Internet 或 Intranet 站点并需要其正常工作,则将该 Internet 站点添加到“受信任的站点”区域;或者,如果它是 Intranet 站点,则将其添加到“本地 Intranet”区域。有关每个区域的安全级别的详细信息,请参阅本文的“Internet Explorer 增强的安全配置的效果”部分。
  • 如果希望通过 Internet 运行基于浏览器的客户端应用程序,最好的做法是将承载该应用程序的网页添加到“受信任的站点”区域。有关如何进行此操作的详细信息,请参阅本文的“将站点添加到“受信任的站点”区域”部分。
  • 如果希望通过受保护的、安全的本地 Intranet 运行基于浏览器的客户端应用程序,最好的做法是将承载该应用程序的网页添加到“本地 Intranet”区域。有关如何进行此操作的详细信息,请参阅本文的“将站点添加到“本地 Intranet”区域”部分。
  • 将内部站点和本地服务器添加到“本地 Intranet”区域,以确保对应用程序具有访问权限并可以从您的服务器运行这些应用程序。
  • 作为安装过程的一部分,请使用 Unattend.txt 将 Intranet 站点和 UNC 服务器添加到“本地 Intranet”区域包含列表中。有关如何操作的更多信息,请参阅 Windows 产品 CD 上 Deploy.cab 中的自述文件。
  • 使用客户端计算机下载文件(如驱动程序和 Service Pack),并避免在服务器上浏览。
  • 如果使用磁盘映像在服务器上安装操作系统,则在基本映像中,将所信任的 Intranet 站点和 UNC 服务器添加到“本地 Intranet”区域,并将所信任的 Internet 站点添加到“受信任的站点”区域。然后即可相对于不同服务器类型和要求,更改映像列表。

将站点添加到“受信任的站点”区域

在您的服务器上启用 Internet Explorer 增强的安全配置时,所有 Internet 站点的安全设置将设为“高”。如果您信任某个网页并需要其正常工作,则可将其添加到 Internet Explorer 中的“受信任的站点”区域。

为此,请按照下列步骤操作:
  1. 访问要添加的站点。
    • 如果已经在查看要添加的站点,请转到步骤 2。
    • 如果知道要添加的站点的 URL,请启动 Internet Explorer,在“地址”栏中键入该站点的 URL,然后等待加载此站点。
  2. 在“文件”菜单上,单击“将此站点添加至”,然后单击“受信任的站点区域”。
  3. 在“受信任的站点”对话框中,单击“添加”将该站点移入列表,然后单击“关闭”。
  4. 刷新页面以从其新区域中查看此站点。
  5. 检查浏览器的状态栏以确认此站点是否位于“受信任的站点”区域中。
注意
  • 如果 Internet 站点试图使用脚本或 ActiveX 控件,则会出现对话框以便通知您。可直接在此对话框中将该 Internet 站点添加到“受信任的站点”区域。如果已禁用此对话框,可在 Internet Explorer 中重新启用它。在“工具”菜单上,单击“Internet 选项”。在“高级”选项卡上,选择“显示增强的安全配置对话框”。
  • 一个网页同时只能属于一个区域。无法将一个页面同时添加到“受信任的站点”区域和“本地 Intranet”区域。
  • 在将网页添加到“受信任的站点”区域时,所添加的是该页的域。因此,也就同时添加了该域中的所有页。例如,如果将 http://www.microsoft.com/windowsxp/expertzone/ 添加到您的“受信任的站点”区域,同时还会添加 http://www.microsoft.com。如果要在随后查看 Windows 帮助和支持站点,则必须单独添加 http://support.microsoft.com,因为 Windows 帮助和支持站点位于单独的域中。
  • Internet Explorer 维护着两个不同的“受信任的站点”区域的站点列表。启用增强的安全配置时,其中一个列表将生效;禁用增强的安全配置时,另一个列表将生效。将网页添加到“受信任的站点”区域时,只是将其添加到当前生效的列表中。
  • 可以使用通配符来添加特定域的所有子域。例如,可以将 *.microsoft.com 添加到列表中。这会添加 www.microsoft.comsupport.microsoft.com
  • 许多 Internet 站点使用一个以上的域来承载其内容。可能必须将多个域添加到“受信任的站点”区域,才能获得一个站点的全部功能。
  • 在安装过程中,可使用 Unattend.txt 中的某些设置,一次性地将许多站点添加到“受信任的站点”区域。有关如何操作的更多信息,请参阅 Windows 产品 CD 上 Deploy.cab 中的自述文件。还可以使用“组策略”来添加和管理多个站点。有关如何操作的更多信息,请参阅 Microsoft Windows Server 2003 部署工具包

将站点添加到“本地 Intranet”区域

启用 Internet Explorer 增强的安全配置时,所有 Internet 站点的安全设置将设为“高”。因此,每次访问尚未添加到“本地 Intranet”区域的 Intranet 站点时,系统都会提示您输入凭据(用户名和密码)。如果经常使用 Intranet 站点并且知道这些站点可靠,则可以将其添加到 Internet Explorer 中的“本地 Intranet 区域”。为此,请按照下列步骤操作:
  1. 访问您想要添加的站点。
    • 如果您已查看了想要添加的站点,请转到步骤 2。
    • 如果您知道想要添加的站点的网址,请启动 Internet Explorer,在“地址”栏中键入站点网址,然后等待站点加载。
  2. 在“文件”菜单上,单击“将此站点添加至”,然后单击“本地 Intranet 区域”。
  3. 在“本地 Intranet”对话框中,单击“添加”将此站点移入列表,然后单击“关闭”。
  4. 刷新页面以从其新区域中查看此站点。
  5. 检查浏览器的状态栏以确认站点是否位于“本地 Intranet”区域中。
注意
  • 不要将 Internet 站点添加到“本地 Intranet”区域,否则会在请求凭据时将凭据自动传递到该 Internet 站点。
  • 一个网页同时只能属于一个区域。无法将一个页面同时添加到“受信任的站点”区域和“本地 Intranet”区域。
  • 除非将 UNC 路径明确添加到“本地 Intranet”区域,否则增强的安全配置还会限制对该 UNC 路径上的脚本、可执行文件和其他可能不安全文件的访问。例如,如果要访问 \\server\share\setup.exe,则必须将 \\server 添加到“本地 Intranet”区域。
  • 在将网页添加到“本地 Intranet”区域时,所添加的是该页的域。因此,该域的所有页面也会被添加。例如,如果将 http://YourIntranetServer/SubWeb 添加到“本地 Intranet”区域,则添加的是 http://YourIntranetServer
  • Internet Explorer 维护着两个不同的“本地 Intranet”区域的站点列表。列表在增强的安全配置启用时生效,单个列表在增强的安全配置禁用时生效。将网页添加到“本地 Intranet”区域时,只是将其添加到当前生效的列表中。
  • 在安装过程中,可使用 Unattend.txt 中的某些设置,一次性地将许多站点添加到“本地 Intranet”区域。有关如何操作的更多信息,请参阅 Windows 产品 CD 上 Deploy.cab 中的自述文件。您还可以使用组策略来添加和管理多个站点。有关更多信息,请参阅 Microsoft Windows Server 2003 部署工具包

将 Internet Explorer 增强的安全配置应用于特定用户

Internet Explorer 增强的安全配置允许您控制服务器上特定用户组对 Internet Explorer 访问权限的级别。

为此,请按照下列步骤操作:
  1. 打开“控制面板”,单击“添加或删除程序”,然后单击“添加/删除 Windows 组件”。
  2. 选择“Internet Explorer 增强的安全配置”,然后单击“详细信息”。
  3. 单击以选中要向其应用增强的安全配置的用户或组所对应的复选框:“用于管理员组”和/或“用于所有其他组”,然后单击“确定”。
  4. 单击“下一步”,然后单击“完成”。
  5. 重新启动 Internet Explorer 以应用增强的安全设置。
注意
  • 在将 Internet Explorer 增强的安全配置应用到管理员组时,这些设置将同时应用于管理员和超级用户。在将 Internet Explorer 增强的安全配置应用于用户组时,这些设置将同时应用于有限用户和受限用户。
  • 有关 Internet Explorer 安全区域的最新信息,请访问下面的 Microsoft MSDN Library 网站:
    http://msdn.microsoft.com/zh-cn/library/ms537186.aspx

应用 Windows 2000 默认 Internet Explorer 安全设置

如果在您的服务器上启用 Internet Explorer 增强的安全配置,您可以决定使用由 Windows 2000 使用的默认 Internet Explorer 安全设置。

为此,请按照下列步骤操作:
  1. 打开“控制面板”,单击“添加或删除程序”,然后单击“添加/删除 Windows 组件”。
  2. 选择“Internet Explorer 增强的安全配置”,单击以清除选择,然后单击“确定”。
  3. 单击“下一步”,然后单击“完成”。
  4. 重新启动 Internet Explorer 以应用这些更改。
重要说明
  • 在使用 Windows 2000 的 Internet Explorer 安全设置时,会还原在应用 Internet Explorer 增强的安全配置时生效的“受信任的站点”和“本地 Intranet”站点列表。
  • 应用 Windows 2000 的默认 Internet Explorer 安全设置时,会增大服务器遭受来自基于 Web 的恶意内容的潜在攻击的可能性。

在服务器上手动增强 Internet Explorer 安全设置

如果您未在环境中使用 Internet Explorer 增强的安全配置,可以通过使用“控制面板”中的“Internet 选项”轻松增强 Internet Explorer,以手动提高服务器上的安全设置。

为此,请按照下列步骤操作:
  1. 启动 Internet Explorer,然后单击“工具”菜单上的“Internet 选项”。
  2. 在“安全”选项卡上,选择要调整的 Web 内容区域:“Internet”、“本地 Intranet”、“受信任的站点”或“受限制的站点”。
  3. 在“该区域的安全级别”下,单击“默认级别”以使用该区域的默认安全级别,或者单击“自定义级别”,然后选择所需设置。
注意
  • 对于“受限制的站点”,单击“自定义级别”,然后单击“重置为”列表中的级别。
  • 有关 Internet Explorer 安全区域的最新信息,请访问下面的 Microsoft MSDN Library 网站:
    http://msdn.microsoft.com/zh-cn/library/ms537186.aspx

浏览器安全最佳做法

使用服务器进行 Internet 浏览似乎不是安全做法,因为 Internet 浏览增加了服务器遭受潜在安全攻击的可能性。无论使用什么样的浏览器,最好限制在服务器上进行浏览。要减少服务器遭受来自基于 Web 的恶意内容的潜在攻击的风险,请注意以下事项:
  • 不要使用服务器浏览常规 Web 内容。
  • 使用客户端计算机下载驱动程序和 Service Pack 之类的文件。
  • 不要查看无法确定是否安全的站点。
  • 使用有限用户帐户而不是管理员帐户进行普通的 Web 浏览。
  • 使用“组策略”禁止未授权用户对浏览器安全设置进行不适当的更改。
有关管理 Internet Explorer 增强的安全配置,以便用户和管理员可以在企业 Intranet 和 Internet 上访问受信任的资源和网站的详细信息,请访问以下 Microsoft 网站下载“管理 Internet Explorer 增强的安全配置”白皮书:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d41b036c-e2e1-4960-99bb-9757f7e9e31b

参考

有关详细信息,请访问以下 Microsoft 网站:
http://msdn.microsoft.com/zh-cn/library/ms537180.aspx
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款

属性

文章编号: 815141 - 最后修改: 2012年6月29日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
关键字:?
kbhowto KB815141
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com