根據預設,Windows Server 2003 上已啟用 Internet Explorer
增強式安全性設定。當您啟動 Microsoft Internet Explorer 時,會收到下列訊息:
Microsoft Internet Explorer
的增強式安全性設定目前已經在您的伺服器上啟用了。此安全性增強式等級可以降低受到危險 Web
內容攻擊的風險,可是它可能妨礙網站正確顯示,並限制存取網路資源。
Internet Explorer 增強式安全性設定為伺服器與
Microsoft Internet Explorer 建立設定,降低伺服器曝露在透過 Web
內容與應用程式指令碼發生的潛在攻擊風險。因此,某些網站可能無法顯示或如預期方式執行。
本文將告訴您,Internet Explorer
增強式安全性設定在 Windows Server 2003 中會造成什麼影響。
Internet Explorer
增強式安全性設定會建立安全性設定,定義使用者瀏覽網際網路和內部網路網站的方式。這些設定也會減少讓伺服器曝露在可能有安全性風險之網站的機會。
這個增強的安全性等級會造成網站無法在
Internet Explorer 中正確顯示,並且限制存取像是「通用命名慣例」(Universal Naming Convention,UNC)
共用資料夾的檔案之類的網路資源。如果您希望檢視需要已停用的 Internet Explorer 功能的網站,可以將網站新增至
[近端內部網路] 或
[信任的網站] 區域的包含清單中。
Internet Explorer 安全性區域
在 Internet Explorer 中,您可以設定數個內建安全性區域的安全性設定:
[網際網路]
區域、
[近端內部網路] 區域、
[信任的網站] 區域和
[限制的網站] 區域。Internet Explorer 增強式安全性設定會指派下列安全性等級至這些區域中:
- 針對 [網際網路] 區域,安全性等級設定為
[高安全性]。
- 針對 [信任的網站] 區域,安全性等級設定為
[中安全性]。這樣可允許瀏覽許多網際網路網站。
- 針對 [近端內部網路] 區域,安全性等級設定為
[中低高全性]。這樣可允許將使用者認證 (名稱與密碼) 自動傳送給需要這些資訊的網站和應用程式。
- 針對 [限制的網站] 區域,安全性等級設定為
[高安全性]。
- 根據預設,所有的網際網路與內部網路網站會指派至 [網際網路] 區域。內部網路網站不是
[近端內部網路] 區域的一部分,除非您將其明確新增至本區域中。
如何在啟用 Internet Explorer 增強式安全性設定時進行瀏覽
Internet Explorer 增強式安全性設定會提高伺服器的安全性等級。然而,它也會以下列方式影響網際網路的瀏覽:
- 因為 ActiveX 控制項和指令碼已經停用,所以可能沒有依照您預期的方式將網際網路網站顯示在 Internet
Explorer 中,而且使用網際網路的應用程式可能無法正常運作。如果您信任一個網際網路網站並且需要其正常運作,則可以將該網站新增至 Internet
Explorer 的 [信任的網站] 區域。
如果您嘗試檢視使用指令碼或 ActiveX
控制項的網際網路網站,會收到下列訊息: 來自下列網站的內容已被 Internet Explorer
增強式安全性設定所阻擋。
如果您信任這個網站,您可以經由將其加入到 [信任的網站區域]
來降低對這個網站的安全性設定。如果您知道這個網站是在您的近端內部網路上,請檢閱有關將網站改為新增至近端內部網路區域的指示說明。
注意 將網站新增至 [信任的網站] 區域,會降低所有應用程式來自該網站的內容的安全性設定,其中包括
Internet Explorer。
如需有關如何將網站新增至 [信任的網站]
區域的詳細資訊,請參閱本文的<將網站新增至「信任的網站」區域>一節。 - 可能會限制存取內部網路網站、在近端內部網路上執行的 Web
應用程式,以及共用網路資源的其他檔案。如果您信任內部網路網站或共用資料夾,並且需要正常運作,可以將其新增至 [近端內部網路]
區域。
如需有關如何執行這項操作的詳細資訊,請參閱本文<將網站新增至「近端內部網路」區域>一節。
Internet Explorer 增強式安全性設定的影響
Internet Explorer 增強式安全性設定會調整現有安全性區域的安全性等級。下表說明每個區域受影響的程度:
摺疊此表格展開此表格
| 區域 | 安全性等級 | 結果 |
| 網際網路區域 | 高安全性 | 網際網路區域與 [限制的網站]
區域有相同的安全性設定。根據預設,所有的網際網路與內部網路網站都會指派到此區域中。
可能無法依照您預期的方式在 Internet
Explorer 中顯示網頁,並且需要瀏覽器的應用程式會無法正常運作,因為已經停用指令碼、ActiveX 控制項、HTML 內容的 Microsoft
虛擬機器 (Microsoft VM) 以及檔案下載。如果您信任一個網際網路網站並且需要其完整的功能,可以將該網站新增至 Internet Explorer
的 [信任的網站] 區域。
如需有關如何執行這項操作的詳細資訊,請參閱本文<將網站新增至「信任的網站」區域>一節。 |
| 近端內部網路區域 | 中低安全性 | 會限制存取指令碼、可執行檔和「通用命名慣例」(Universal
Naming Convention,UNC) 共用資料夾上的其他檔案,除非將共用資料夾明確新增至 [近端內部網路]
區域中。
如需詳細資訊,請參閱本文<將網站新增至「近端內部網路」區域>一節。
當您造訪內部網路網站時,會因為增強式安全性設定而重複地提示您輸入認證
(您的使用者名稱與密碼)。在過去,Internet Explorer
會自動將您的認證傳送到內部網路網站。增強式安全性設定會停用內部網路網站的自動偵測。如果想要將認證自動傳送到某些內部網路網站,請將這些網站新增至
[近端內部網路] 區域。
如需有關如何執行這項操作的詳細資訊,請參閱本文<將網站新增至「近端內部網路」區域>一節。
請勿將網際網路網站新增至
[近端內部網路] 區域,因為如果這些網站要求認證的話,您的認證將會自動傳送至網站。 |
| 信任的網站區域 | 中安全性 | 本區域是針對您信任內容的網際網路網站。
如需詳細資訊,請參閱本文<將網站新增至「信任的網站」區域>一節。 |
| 限制的網站區域 | 高安全性 | 本區域包含不信任的網站,像是如果從該處下載或執行檔案會損壞電腦或資料的網站。 |
Internet Explorer 增強式安全性設定也會調整 Internet Explorer
擴充性和安全性設定,以減少未來可能曝露在安全性威脅中的風險。這些設定在
[控制台] 中
[網際網路選項] 的
[進階] 索引標籤上。下表說明這些設定:
摺疊此表格展開此表格
| 功能 | 項目 | 新的設定 | 結果 |
| 瀏覽 | 顯示增強式安全性設定對話方塊。 | 開啟 | 當網際網路網站嘗試使用指令碼或
ActiveX 控制項時,會顯示對話方塊通知您。 |
| 瀏覽 | 啟用瀏覽器擴充程式。 | 關閉 | 停用為了與 Internet
Explorer 搭配使用而安裝的功能,而且這些功能並非由 Microsoft 所建立。 |
| 瀏覽 | 啟用隨選安裝 (Internet
Explorer)。 | 關閉 | 停用隨選安裝 Internet Explorer 元件 (如果網頁需要的話)。 |
| 瀏覽 | 啟用隨選安裝 (其他)。 | 關閉 | 停用隨選安裝 Web 元件
(如果網頁需要的話)。 |
| Microsoft VM | 啟用虛擬機器的 Just-in-time (JIT) 編譯器
(需要重新啟動)。 | 關閉 | 停用 Microsoft VM 編譯器。 |
| 多媒體 | 不在媒體列顯示線上內容。 | 開啟 | 停用在 Internet
Explorer 媒體列上播放媒體內容。 |
| 多媒體 | 在網頁中撥放音訊。 | 關閉 | 停用音樂和其他音效。 |
| 多媒體 | 在網頁中撥放動畫。 | 關閉 | 停用動畫。 |
| 多媒體 | 在網頁中撥放視訊。 | 關閉 | 停用視訊短片。 |
| 安全性 | 檢查伺服器憑證撤銷
(需要重新啟動)。 | 開啟 | 在將網站的憑證視為有效前,對其進行自動檢查,以查看是否已撤銷該憑證。 |
| 安全性 | 檢查下載程式的簽章。 | 開啟 | 自動驗證與顯示下載程式的識別名稱。 |
| 安全性 | 請勿將加密的頁面儲存到磁碟中。 | 開啟 | 停用將安全保護的資訊儲存在
Temporary Internet Files 資料夾。 |
| 安全性 | 關閉瀏覽器時清空 Temporary Internet Files
資料夾。 | 開啟 | 當關閉瀏覽器時自動清除 Temporary Internet Files 資料夾。 |
這些變更會減少網頁、Web
應用程式、區域網路資源和使用瀏覽器來顯示線上說明、支援與一般使用者協助之應用程式的功能。
如需有關使用
[近端內部網路] 或
[信任的網站]
區域包含清單的詳細資訊,請參閱本文的
<管理 Internet Explorer
增強式安全性設定>一節。
當啟用 Internet Explorer 增強式安全性設定時,會設定下列額外的設定:
- 將 Windows Update 網站新增至 [信任的網站]
區域。這可以讓您繼續接收作業系統的重要更新。
- 將 Windows 錯誤報告網站新增至 [信任的網站]
區域。這可以讓您報告作業系統所遇到的問題以及搜尋修正程式。
- 將幾個本機電腦網站 (例如,http://localhost、https://localhost 和
hcp://system) 新增至 [近端內部網路]
區域。這讓應用程式與程式碼可在本機運作,以便完成常用的系統管理工作。
- [信任的網站] 區域的 [Platform for Privacy
Preferences (P3P)] 等級設定為 [中安全性]。如果您想要變更 [網際網路區域]
以外之任何區域的 P3P 等級,請按一下 [控制台] 中 [網際網路選項] 的
[隱私] 索引標籤,再按一下 [匯入]
以套用自訂隱私原則。如需有關隱私原則範例的詳細資訊,請瀏覽下列 Microsoft MSDN Library 網站:
Internet Explorer 增強式安全性設定與終端機服務
增強式安全性設定會根據安裝的類型,套用至不同的使用者帳戶。下表說明使用者如何受影響:
摺疊此表格展開此表格
| 安裝類型 | 增強式安全性設定套用在 | | | |
| Administrators? | Power Users? | Limited
Users? | Restricted Users? |
| 升級作業系統 | 是 | 是 | 否 | 否 |
| 作業系統的自動安裝 | 是 | 是 | 否 | 否 |
| 終端機服務的手動安裝 | 是 | 是 | 是** | 是** |
**在手動安裝「終端機服務」期間,會提示您停用使用者的
[Internet Explorer
增強式安全性設定]。這讓使用者能夠在不受限制的情況下執行「終端機服務」工作階段。
為了在啟用「終端機服務」時能獲得比較好的使用體驗,您最好移除
Users
群組成員的增強式安全性設定。這些使用者擁有較少的伺服器權限,因此在攻擊受害的風險等級上比較低。如需有關套用增強式安全性設定的詳細資訊,請參閱本文的
<在特定使用者上套用 Internet Explorer
增強式安全性設定>一節。
Internet Explorer 增強式安全性設定對 Internet Explorer 使用者體驗的影響
下表說明 Internet Explorer 增強式安全性設定如何影響各使用者對於 Internet Explorer 的體驗:
摺疊此表格展開此表格
| 工作 | 可由誰完成 |
| Administrators? | Power Users? | Limited
Users? | Restricted Users? |
| 開啟/關閉 Internet Explorer 增強式安全性設定
| 是 | 否 | 否 | 否 |
| 調整 Internet Explorer
中特定區域的安全性等級 | 是 | 是 | 否 | 否 |
| 將網站新增至「信任的網站」區域 | 是 | 是 | 是 | 是 |
| 將網站新增至「近端內部網路」區域
| 是 | 是 | 是 | 是 |
所有使用者群組都能完成全部其他的 Internet Explorer
工作,除非伺服器系統管理員另外限制使用者存取。
管理 Internet Explorer 增強式安全性設定
Internet Explorer
增強式安全性設定是設計用於降低伺服器曝露在安全性威脅中的風險。為了確定您能獲得增強式安全性設定的最大利益,請考慮下列這些瀏覽器管理建議:
- 根據預設,所有的網際網路與內部網路網站會指派至 [網際網路]
區域。如果您信任網際網路或內部網路網站,並且需要其正常運作,可以將網際網路網站新增至 [信任的網站]
區域;若是其為內部網路網站,可以將內部網路網站新增至 [近端內部網路]
區域。如需有關每個區域安全性等級的詳細資訊,請參閱本文的<Internet Explorer
增強式安全性設定的影響>一節。
- 如果您想要透過網際網路來執行瀏覽器的用戶端應用程式,最好將裝載應用程式的網頁新增至
[信任的網站] 區域。如需有關如何執行這項操作的詳細資訊,請參閱本文<將網站新增至「信任的網站」區域>一節。
- 如果您想要透過受到保護與安全的近端內部網路來執行瀏覽器的用戶端應用程式,最好將裝載應用程式的網頁新增至
[近端內部網路] 區域。如需有關如何執行這項操作的詳細資訊,請參閱本文<將網站新增至「近端內部網路」區域>一節。
- 將內部網站和本機伺服器新增至 [近端內部網路]
區域,以確定您能夠存取應用程式,並且可以在伺服器上執行這些應用程式。
- 使用 Unattend.txt 將內部網路網站與 UNC 伺服器新增至
[近端內部網路] 區域包含清單中,當做安裝程序的一部分。如需有關如何執行這項操作的詳細資訊,請參閱 Windows 產品
CD 中 Deploy.cab 中的讀我檔案。
- 使用用戶端電腦下載檔案 (例如驅動程式和 Service Pack),並且避免在伺服器上瀏覽。
- 如果您使用磁碟映像來安裝作業系統到伺服器上,請在基本的映像上,將信任的內部網路網站及 UNC 伺服器新增到
[近端內部網路] 區域,並將信任的網際網路網站新增到 [信任的網站]
中。隨後,就可以依相關的不同伺服器類型及需要來變更映像上的清單。
將網站新增至「信任的網站」區域
當伺服器上啟用 Internet Explorer 增強式安全性設定時,所有網際網路網站的安全性設定都會設定為
[高安全性]。如果您信任某個網頁,且需要它能運作,您可以在 Internet Explorer 中將此網頁新增到
[信任的網站] 中。
如果要執行這項操作,請依照下列步驟執行:
- 造訪想要新增的網站。
- 如果您正在檢視要新增的網站,請跳至步驟 2。
- 如果您知道您要新增的網站之 URL,請開啟 Internet Explorer,在
[網址] 列中輸入網站的 URL,再等候載入網站。
- 在 [檔案] 功能表上,按一下
[將這個網站加到],再按一下 [信任的網站區域]。
- 在 [信任的網站] 對話方塊中,按一下 [新增]
來將此網站加到清單中,再按 [關閉]。
- 重新整理此網頁以從其新區域檢視此網頁。
- 檢查瀏覽器的狀態列來確認此網站位在 [信任的網站] 區域中。
注意事項- 如果網際網路網站嘗試使用指令碼或 ActiveX
控制項,會出現對話方塊通知您。您可以從這個對話方塊直接將網際網路網站新增至 [信任的網站]
區域。如果您已經停用此對話方塊,可以在 Internet Explorer 中重新啟用對話方塊:按一下 [工具] 功能表上的
[網際網路選項]。在 [進階] 索引標籤中,選取
[顯示增強式安全性設定對話]。
- 網頁同時只能屬於一個區域。您無法將網頁同時新增至 [信任的網站] 區域和
[近端內部網路] 區域。
- 當您將網頁新增至 [信任的網站]
區域時,是新增該網頁的網域。因此,也會同時新增該網域中的所有網頁。例如,如果將
http://www.microsoft.com/windowsxp/expertzone/ 新增至
[信任的網站] 區域,便是新增 http://www.microsoft.com。如果之後想要檢視「Windows 說明及支援網站」,您必須個別新增
http://support.microsoft.com,因為「Windows
說明及支援網站」是不同的網域。
- Internet Explorer 會維持兩種不同的 [信任的網站]
區域的網站清單。當增強式安全性設定啟用時,其中一個清單會產生作用,而當增強式安全性設定停用時,另一個個別的清單會產生作用。當新增網頁到
[信任的網站] 區域中時,您僅僅將它新增到目前作用中的清單中。
- 您可以使用萬用字元來新增特定網域的所有子網域。例如,您可以將
*.microsoft.com 新增至清單中。這會同時新增 www.microsoft.com 和 support.microsoft.com。
- 許多網際網路網站會使用一個以上的網域來裝載內容。您可能需要將幾個網域新增至
[信任的網站] 區域,才能擁有一個網站的完整功能。
- 在安裝期間,您可以使用 Unattend.txt 中的某些設定來一次新增許多網站到
[信任的網站] 中。如需有關如何執行這項操作的詳細資訊,請參閱 Windows 產品 CD 中 Deploy.cab
的「讀我」檔案。您也可以使用「群組原則」來新增與管理多個網站。如需如何執行這項操作的詳細資訊,請參閱《Microsoft Windows Server 2003 部署套件》(英文)。
將網站新增至「近端內部網路」區域
當啟用 Internet Explorer 增強式安全性設定時,所有內部網路網站的安全性設定都會設定為
[高安全性]。因此,每次造訪尚未新增至
[近端內部網路]
區域的內部網路網站時,都會提示您輸入認證 (您的使用者名稱與密碼)。如果您經常使用內部網路網站並且知道能夠信任這些網站,可以將其新增至 Internet
Explorer 中的
[近端內部網路區域]。如果要執行這項操作,請依照下列步驟執行:
- 造訪想要新增的網站。
- 如果您正在檢視要新增的網站,請跳至步驟 2。
- 如果您知道您要新增的網站之 URL,請開啟 Internet Explorer,在
[網址] 列中輸入網站的 URL,再等候載入網站。
- 在 [檔案] 功能表上,按一下
[將這個網站加到],再按一下 [近端內部網路區域]。
- 在 [近端內部網路區域] 對話方塊中,按一下
[新增] 以便將網站移至清單中,再按一下 [關閉]。
- 重新整理此網頁以從其新區域檢視此網頁。
- 檢查瀏覽器的狀態列,以確定網站位於 [近端內部網路] 區域中。
注意事項- 請勿將網際網路網站新增至 [近端內部網路]
區域,因為如果這些網站要求認證的話,您的認證將會自動傳送至該些網站。
- 網頁同時只能屬於一個區域。您無法將網頁同時新增至 [信任的網站] 區域和
[近端內部網路] 區域。
- 增強式安全性設定也會限制存取指令碼、可執行檔和 UNC 路徑上有潛在危險的其他檔案,除非 UNC 路徑已經明確新增至
[近端內部網路] 區域。例如,如果要存取
\\server\share\setup.exe,必須將
\\server 新增至
[近端內部網路] 區域。
- 當您將網頁新增至 [近端內部網路]
區域時,是新增該網頁的網域。因此,也會同時新增該網域中的所有網頁。例如,如果將
http://YourIntranetServer/SubWeb
新增至 [近端內部網路] 區域,就是新增
http://YourIntranetServer。
- Internet Explorer 會維持兩種不同的 [近端內部網路]
區域網站清單。當增強式安全性設定啟用時,其中一個清單會產生作用,而當增強式安全性設定停用時,另一個個別的清單會產生作用。當新增網頁到
[近端內部網路] 區域中時,您僅僅將它新增到目前作用中的清單中。
- 在安裝期間,您可以使用 Unattend.txt 中的某些設定來一次新增許多網站到
[近端內部網路] 區域。如需有關如何執行這項操作的詳細資訊,請參閱 Windows 產品 CD 中 Deploy.cab
的「讀我」檔案。您也可以使用「群組原則」來新增與管理多個網站。如需詳細資訊,請參閱《Microsoft Windows Server 2003 部署套件》(英文)。
在特定使用者上套用 Internet Explorer 增強式安全性設定
Internet Explorer 增強式安全性設定可讓您控制允許您伺服器上特定使用者群組存取的 Internet
Explorer 的等級。
如果要執行這項操作,請依照下列步驟執行:
- 開啟 [控制台],按一下
[新增或移除程式],再按一下 [新增/移除 Windows 元件]。
- 選取 [Internet Explorer 增強式安全性設定],再按一下
[詳細資料]。
- 按一下以選取想要套用增強式安全性設定的使用者或群組核取方塊:[適用於系統管理員群組]、[適用於所有其他使用者群組],或兩者皆是,再按一下
[確定]。
- 按一下 [下一步],然後按一下
[完成]。
- 重新啟動 Internet Explorer 以套用增強式安全性設定。
注意事項- 當您將 Internet Explorer 增強式安全性設定套用至 Administrators
群組時,會將設定套用至系統管理員與進階使用者。當您將 Internet Explorer 增強式安全性設定套用至 Users
群組時,會將設定套用至受限的使用者。
- 如需有關 Internet Explorer 安全性區域的最新資訊,請造訪下列 Microsoft MSDN
Library 網站:
套用 Windows 2000 預設的 Internet Explorer 安全性設定
如果伺服器上已啟用 Internet Explorer 增強式安全性設定,您可能會決定使用由 Windows 2000
所使用的預設的 Internet Explorer 安全性設定。
如果要執行這項操作,請依照下列步驟執行:
- 開啟 [控制台],按一下
[新增或移除程式],再按一下 [新增/移除 Windows 元件]。
- 選取 [Internet Explorer
增強式安全性設定],按一下以取消選取,然後按一下 [確定]。
- 按一下 [下一步],然後按一下
[完成]。
- 重新啟動 Internet Explorer 以套用變更。
重要事項- 當您使用 Internet Explorer 的 Windows 2000 安全性設定時,會還原在套用
Internet Explorer 增強式安全性設定時生效的 [信任的網站] 和
[近端內部網路] 網站清單。
- 套用 Windows 2000 預設的 Internet Explorer 安全性設定,會增加伺服器曝露在惡意 Web
內容潛在攻擊的風險。
手動強化伺服器上的 Internet Explorer 安全性設定
如果您的環境中沒有使用 Internet Explorer 增強式安全性設定,可以使用
[控制台] 中的
[網際網路選項] 來手動提高伺服器上的安全性設定,輕鬆強化
Internet Explorer。
如果要執行這項操作,請依照下列步驟執行:
- 啟動 Internet Explorer,再按一下 [工具] 功能表上的
[網際網路選項]。
- 在 [安全性] 索引標籤中,選取想要調整的 Web
內容區域:[網際網路]、[近端內部網路]、[信任的網站]
或 [限制的網站]。
- 在 [此區域的安全性等級] 中,按一下
[預設等級] 以使用區域的預設安全性等級,或按一下
[自訂等級],再選取想要的設定。
注意事項- 針對 [限制的網站],按一下 [自訂等級],再按一下
[重設為] 清單中的等級。
- 如需有關 Internet Explorer 安全性區域的最新資訊,請造訪下列 Microsoft MSDN
Library 網站:
瀏覽器安全性最佳措施
使用伺服器在網際網路上瀏覽並不是一個穩健的安全性作法,因為在網際網路上瀏覽會增加伺服器曝露在潛在安全性攻擊中的風險。不論您使用那種瀏覽器,您最好限制在伺候器上進行瀏覽。如果要降低伺服器受到惡意
Web 內容潛在攻擊的風險:
- 不要使用伺服器瀏覽一般的網頁內容。
- 使用用戶端電腦下載檔案 (例如,驅動程式或 Service Pack)。
- 不要檢視無法確定安全的網站。
- 在瀏覽一般 Web 時使用受限的使用者帳戶,而不要使用系統管理員帳戶。
- 使用群組原則,以限制未授權的使用者對瀏覽器安全性設定進行不適當的變更。
如需有關管理 Internet Explorer
增強式安全性設定,讓使用者和系統管理員可以在企業內部網路和網際網路上存取信任的資源和網站的詳細資訊,請造訪下列 Microsoft 網站,以下載《管理
Internet Explorer 增強式安全性設定》白皮書 (英文):
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
回此頁最上方
