Усиление параметров безопасности для зоны «Локальный компьютер» в Internet Explorer

Переводы статьи Переводы статьи
Код статьи: 833633 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Предупреждение. Внесение изменений, описываемых в этой статье, может привести к ограничению функциональных возможностей некоторых программ и компонентов Windows. Поэтому перед внесением изменений в рабочую среду рекомендуется провести обширное тестирование с целью убедиться, что они не вызывают сбоев в работе важных программ.

В этой статье администраторы смогут найти указания по усилению параметров безопасности для зоны «Локальный компьютер» в Microsoft Internet Explorer. Зона «Локальный компьютер» также называется зоной «Мой компьютер». Сведения в этой статье относятся к следующим конфигурациям ПО:
  • 32-разрядные версии Internet Explorer в 32-разрядных версиях Microsoft Windows
  • 64-разрядные версии Internet Explorer в 64-разрядных версиях Microsoft Windows XP
  • 64-разрядные версии Internet Explorer в 64-разрядных версиях Microsoft Windows Server 2003
Примечание. Microsoft Windows XP с пакетом обновления 2 (SP2) устанавливает ограничения для зоны «Локальный компьютер». Поэтому на компьютере, где установлена система Windows XP SP2, не нужно выполнять одно из действий, описанных в этой статье. См. дополнительные сведения на следующих веб-узлах корпорации Майкрософт:
http://www.microsoft.com/windowsxp/sp2/technologiesoverview.mspx#EBAA
http://www.microsoft.com/rus/windowsxp/sp2/ieoeoverview.mspx

Дополнительная информация

Зоны безопасности

Интерфейс пользователя Internet Explorer позволяет настраивать четыре зоны безопасности:
  • Интернет
  • Местная интрасеть
  • Надежные узлы
  • Ограниченные узлы
Пятая зона («Локальный компьютер») – это неявно существующая зона для содержимого локального компьютера, параметры безопасности которой нельзя изменять в Internet Explorer. С помощью элемента панели управления «Свойства обозревателя» также нельзя изменить эти параметры безопасности. Однако параметры безопасности для зоны «Локальный компьютер» можно изменить путем внесения изменений в реестр. Для этого необходимо иметь права администратора.

Internet Explorer позволяет поместить веб-узел в зону безопасности. Веб-узел, находящийся в зоне «Интернет», имеет более высокий уровень безопасности, чем веб-узел, находящийся в зоне «Надежные узлы» или «Местная интрасеть». Помещая веб-узел в зону безопасности, можно контролировать выполнение этим узлом операций на локальном компьютере. Например, поместив веб-узел в зону с самым высоким уровнем безопасности, можно предотвратить выполнение потенциально опасных действий на компьютере.

Веб-узел, находящийся в зоне «Локальный компьютер», имеет менее строгие настройки безопасности, чем веб-узел, находящийся в любой другой зоне. Исключением из этого правила является содержимое, которое обозреватель Internet Explorer кэширует на локальном компьютере. Недостаточно строгие параметры безопасности для зоны «Локальный компьютер» могут позволить злоумышленнику попытаться запустить на компьютере вредоносный код.

Перед усилением параметров безопасности для зоны «Локальный компьютер»

После усиления параметров безопасности для зоны «Локальный компьютер» у пользователей могут возникнуть следующие проблемы.
  • Перед открытием источника данных в другом домене пользователи будут получать предупреждение.
  • Перед выполнением сценария на странице пользователи будут получать предупреждение.
  • Элементы управления ActiveX и программы Java не будут работать.
  • Веб-страницы, открываемые пользователями, могут отображаться неправильно.

Место хранения параметров безопасности для зоны «Локальный компьютер» в реестре

Параметры безопасности для зоны «Локальный компьютер» хранятся в указанных далее разделах реестра, в зависимости от следующих условий.
  • Если пользователи имеют право задавать собственные параметры безопасности в Internet Explorer, параметры безопасности для зоны «Локальный компьютер» хранятся в следующем разделе:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • Если все пользователи в обязательном порядке используют одинаковые параметры безопасности в Internet Explorer, параметры безопасности для зоны «Локальный компьютер» хранятся в следующем разделе:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

По умолчанию параметры зон безопасности хранятся в следующем дереве реестра:
HKEY_CURRENT_USER
Поскольку это дерево динамически загружается для каждого пользователя, параметры для одного пользователя не влияют на параметры для других пользователей. Чтобы определить, используют ли все пользователи одинаковые параметры безопасности, проверьте, выполняется ли одно из следующих условий.
  • В групповой политике включен параметр «Зоны безопасности: использовать только параметры компьютера».
  • Существует параметр Security_HKLM_only типа DWORD, имеющий значение 1.
Значение параметра Security_HKLM_only типа DWORD хранится в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Параметры компьютера и параметры пользователя применяются, если соблюдаются следующие условия.
  • В групповой политике отключен параметр «Зоны безопасности: использовать только параметры компьютера».
  • Не существует параметра Security_HKLM_only типа DWORD
  • Параметр Security_HKLM_only типа DWORD имеет значение 0

Если параметр Security_HKLM_only типа DWORD не существует или имеет значение 0, Internet Explorer читает данные раздела реестра HKEY_LOCAL_MACHINE или раздела HKEY_CURRENT_USER, соответственно. Однако элемент панели управления «Свойства обозревателя» отображает только параметры HKEY_CURRENT_USER.

Параметры, отображаемые элементом панели управления «Cвойства обозревателя», имеют соответствующие числовые значения в реестре. В следующей таблице приведены значения по умолчанию для каждого параметра безопасности. В ней также приведены рекомендуемые значения каждого параметра безопасности, которые можно использовать для усиления безопасности для зоны «Локальный компьютер».
Свернуть эту таблицуРазвернуть эту таблицу
Имя параметра безопасности в интерфейсе пользователяЧисловой код параметра реестра (тип)Значение параметра реестра по умолчаниюРекомендуемое значение параметра реестра
Запуск элементов управления ActiveX и подключаемых модулей.1200 (DWORD)03
Использование элементов управления ActiveX, не помеченных как безопасные1201 (DWORD)13
Активные сценарии1400 (DWORD)01
Доступ к источникам данных за пределами домена1406 (DWORD)01
Разрешения Java1C00 (двоичный)00 00 02 0000 00 00 00
В упомянутой выше таблице значения параметров типа DWORD обозначают следующее.
  • 0 – указывает, что действие разрешено. Это значение по умолчанию.
  • 1 – указывает, что появляется предупреждение.
  • 3 – указывает, что действие запрещено.
Значение по умолчанию (00 00 02 00) для двоичного параметра указывает средний уровень безопасности. Значение 00 00 00 00 отключает Java.

Примечание. Установка значения 1 для активных сценариев может привести к появлению слишком большого количества предупреждений. Поэтому разумным будет разрешить использование сценариев. Для этого установите для активных сценариев значение 0. Если не нужно выдавать предупреждение об использовании активных сценариев, измените в следующем разделе строку, начинающуюся с 1400.

Изменение параметров безопасности для зоны «Локальный компьютер»


Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Чтобы изменить параметры безопасности для зоны «Локальный компьютер», измените значение типа DWORD или двоичное значение. Используйте метод, наиболее подходящий для своей среды.

В средах, где работает служба каталогов Active Directory

Усиление параметров безопасности по умолчанию для зоны «Локальный компьютер»
В среде Active Directory следует использовать редактор объектов групповой политики, ранее называвшийся редактором групповой политики. Чтобы усилить параметры безопасности для зоны «Локальный компьютер», выполните следующие действия.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, в «Блокнот»).

    Если пользователи могут задавать собственные параметры безопасности, используйте следующий текст:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Если все пользователи должны использовать одинаковые параметры безопасности, используйте следующий текст:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
  2. Сохраните файл под именем ADHardenLMZ.reg.
  3. Для импорта в реестр параметров безопасности запустите файл ADHardenLMZ.reg на компьютере, где предполагается использовать редактор объектов групповой политики.
  4. Откройте редактор объектов групповой политики для объекта Active Directory, который нужно изменить.
  5. Может потребоваться выполнить следующие действия.
    • Разрешить запуск сценариев
    • Подтвердить продолжение выполнения сценариев
    Если получено это предупреждение, нажмите кнопку Да. Если получено сообщение о том, что текущие параметры безопасности не разрешают выполнение элементов ActiveX, нажмите кнопку ОК.

    Примечание. После усиления параметров безопасности для зоны «Локальный компьютер» в редакторе объектов групповой политики перестанет отображаться панель справки.
  6. Последовательно откройте разделы Конфигурация пользователя, Конфигурация Windows, Настройка Internet Explorer и Безопасность. Дважды щелкните компонент Зоны безопасности и оценка содержимого.
  7. Выберите вариант Импортировать текущие параметры безопасности и конфиденциальности и нажмите кнопку ОК.
Восстановление параметров по умолчанию для зоны «Локальный компьютер»
Чтобы восстановить параметры по умолчанию для зоны «Локальный компьютер», выполните следующие действия.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, в «Блокнот»).

    Если пользователи могут задавать собственные параметры безопасности, используйте следующий текст:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Если все пользователи должны использовать одинаковые параметры безопасности, используйте следующий текст:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    
  2. Сохраните файл под именем ADDefaultLMZ.reg.
  3. Для импорта в реестр параметров по умолчанию запустите файл ADDefaultLMZ.reg на компьютере, где предполагается использовать редактор объектов групповой политики.
  4. Откройте редактор объектов групповой политики для объекта Active Directory, который нужно изменить.
  5. Может потребоваться выполнить следующие действия.
    • Разрешить запуск сценариев
    • Подтвердить продолжение выполнения сценариев
    Если получено это предупреждение, нажмите кнопку Да. Если получено сообщение о том, что текущие параметры безопасности не разрешают выполнение элементов ActiveX, нажмите кнопку ОК.

    Примечание. После усиления параметров безопасности для зоны «Локальный компьютер» в редакторе объектов групповой политики перестанет отображаться панель справки.
  6. Последовательно откройте разделы Конфигурация пользователя, Конфигурация Windows, Настройка Internet Explorer и Безопасность. Дважды щелкните компонент Зоны безопасности и оценка содержимого.
  7. Выберите вариант Импортировать текущие параметры безопасности и конфиденциальности и нажмите кнопку ОК.

В средах без Active Directory

Усиление параметров безопасности по умолчанию для зоны «Локальный компьютер»
Чтобы усилить параметры безопасности для зоны «Локальный компьютер», импортируйте в реестр обновленные параметры безопасности. Для этого выполните следующие действия.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, в «Блокнот»).

    Если пользователи могут задавать собственные параметры безопасности Internet Explorer, используйте следующий текст:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Если все пользователи имеют одинаковые параметры безопасности, используйте следующий текст:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Сохраните файл под именем HardenLMZ.reg.
  3. Для импорта параметров безопасности в реестр запустите файл HardenLMZ.reg на каждом клиентском компьютере.
Восстановление параметров по умолчанию для зоны «Локальный компьютер»
Чтобы восстановить параметры по умолчанию для зоны «Локальный компьютер», выполните следующие действия.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, в «Блокнот»).

    Если пользователи могут задавать собственные параметры безопасности Internet Explorer, используйте следующий текст:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Если все пользователи имеют одинаковые параметры безопасности, используйте следующий текст:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. Сохраните файл под именем DefaultLMZ.reg.
  3. Для импорта параметров безопасности в реестр запустите файл DefaultLMZ.reg на каждом клиентском компьютере.

Перемещение файла HTML, расположенного в зоне «Локальный компьютер», в зону «Интернет»

После усиления параметров безопасности для зоны «Локальный компьютер» можно поместить локальный файл HTML, содержащий сценарии, элементы управления ActiveX или программы Java, в зону «Интернет». Открывая файл HTML, Internet Explorer ищет в нем комментарий «saved from URL». Если обозреватель Internet Explorer находит комментарий «saved from URL», используются параметры безопасности для зоны «Интернет», а не для зоны «Локальный компьютер». Если зона «Интернет» настроена на выполнение сценариев, выполнение элементов управления ActiveX или выполнение программ Java, эти элементы будут выполняться, и не возникнут проблемы, описанные в разделе "Перед усилением параметров безопасности для зоны «Локальный компьютер»".

Чтобы поместить локальный файл HTML в зону «Интернет», можно добавить в него комментарий «saved from URL». Этот комментарий дает Internet Explorer команду применить параметры безопасности зоны «Интернет» к файлу HTML, сохраненному на жестком диске. Этот комментарий должен иметь следующий вид:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


Значение в скобках, следующее за знаком равенства, представляет число символов в адресе URL. В этом примере длина адреса URL – 23 символа, а Contoso – название узла Интернета.

Ссылки

За дополнительной информацией об изменении параметров реестра на нескольких компьютерах обратитесь к следующей статье базы знаний Майкрософт:
310516 Как перенести изменения системного реестра на компьютеры c Microsoft Windows XP
За дополнительной информацией о записях реестра для зон безопасности Internet Explorer обратитесь к следующей статье базы знаний Майкрософт:
182569 Описание записей реестра для зон безопасности Internet Explorer
Для получения дополнительных сведений о шаблонах зон безопасности обратитесь на веб-узел корпорации Майкрософт по следующему адресу:
http://go.microsoft.com/fwlink/?LinkID=12658

Свойства

Код статьи: 833633 - Последний отзыв: 21 октября 2005 г. - Revision: 3.1
Информация в данной статье применима к:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
Ключевые слова: 
KB833633

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com