วิธีการเสริมกำลังตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่องที่อยู่ใน Internet Explorer

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 833633 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

คำเตือนถ้าคุณเลือกที่จะทำการเปลี่ยนแปลงที่อธิบายไว้ในบทความนี้ คุณอาจสูญเสียฟังก์ชันบางอย่างในโปรแกรมของ Windows และส่วนประกอบบางอย่าง ดังนั้น เราขอแนะนำให้ คุณทดสอบการเปลี่ยนแปลง extensively เพื่อตรวจสอบว่า โปรแกรม mission ที่สำคัญต่อการทำงานอย่างถูกต้องสำหรับผู้ใช้ทั้งหมดได้ก่อนที่คุณทำการเปลี่ยนแปลงเหล่านี้ในสภาพแวดล้อมการผลิต

บทความนี้อธิบายวิธีผู้ดูแลสามารถเสริมกำลังตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่องที่อยู่ใน Microsoft Internet Explorer ภายในเครื่องเครื่องจักรโซนถูกเรียกอีกอย่างว่าโซนคอมพิวเตอร์ของฉัน ข้อมูลในบทความนี้ใช้กับการกำหนดค่าต่อไปนี้:
  • รุ่น 32 บิตของ Internet Explorer ใน Microsoft Windows รุ่น 32 บิต
  • รุ่น 64 บิตของ Internet Explorer ใน Microsoft Windows XP รุ่น 64 บิต
  • รุ่น 64 บิตของ Internet Explorer ใน Microsoft Windows Server 2003 รุ่น 64 บิต
หมายเหตุ:Microsoft Windows XP Service Pack 2 (SP2) ทำให้ข้อจำกัดในเขตพื้นที่บริการเฉพาะเครื่อง ดังนั้น หากคุณติดตั้ง Windows XP SP2 คุณอาจไม่มีการดำเนินการตามขั้นตอนที่อธิบายไว้อย่างใดอย่างหนึ่งในบทความนี้

ข้อมูลเพิ่มเติม

เกี่ยวกับโซนความปลอดภัย

ในส่วนติดต่อผู้ใช้ของ Internet Explorer ให้คุณกำหนดค่าโซนความปลอดภัยที่สี่:
  • Internet
  • Local Intranet
  • Trusted Sites
  • Restricted Sites
โซน fifth เขตพื้นที่บริการเฉพาะเครื่อง มีโซน implicit ที่มีอยู่บนเครื่องคอมพิวเตอร์ของคุณ คุณไม่สามารถกำหนดค่าการตั้งค่าความปลอดภัยสำหรับโซนนี้ได้ใน Internet Explorer คุณยังไม่สามารถกำหนดค่าความปลอดภัย โดยใช้แผงควบคุมตัวเลือกอินเทอร์เน็ต อย่างไรก็ตาม ถ้าคุณมีสิทธิ์ผู้ดูแล คุณสามารถกำหนดค่าการตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่อง โดยการเปลี่ยนแปลงการตั้งค่ารีจิสทรี

Internet Explorer ช่วยให้คุณกำหนดให้เว็บไซต์ในโซนความปลอดภัย เว็บไซต์ที่อยู่ในโซนอินเทอร์เน็ตมีความปลอดภัยระดับสูงเว็บไซต์ที่อยู่ในโซนไซต์ที่เชื่อถือได้ หรือที่อยู่ในโซนอินทราเน็ตเฉพาะที่ไม่ใช่ โดยการกำหนดให้เว็บไซต์ลงในโซนความปลอดภัย คุณสามารถควบคุมวิธีการที่เว็บไซต์ทำการดำเนินการบนคอมพิวเตอร์ของคุณ ตัวอย่างเช่น คุณสามารถป้องกันไม่ให้เว็บไซต์จากทำการดำเนินการที่อาจไม่ปลอดภัยบนคอมพิวเตอร์ของคุณโดยการกำหนดให้กับเว็บไซต์ลงในโซนความปลอดภัยที่มีระดับการรักษาความปลอดภัยที่จำกัดมากที่สุด

เว็บไซต์ที่อยู่ในโซนภายในเครื่องมีการตั้งค่าความปลอดภัยจำกัดน้อยกว่าเว็บไซต์ที่อยู่ในโซนอื่นใด ข้อยกเว้นกฎนี้มีเนื้อหาใด ๆ ที่ Internet Explorer เก็บบนเครื่องคอมพิวเตอร์ของคุณ ผู้ใช้ที่เป็นอันตรายอาจพยายามที่จะเรียกใช้รหัสที่โปรแกรมบนคอมพิวเตอร์ของคุณ โดยการใช้ประโยชน์ของการตั้งค่าความปลอดภัยน้อยกว่าที่จำกัดสำหรับเขตภายในเครื่อง

ก่อนที่คุณเสริมกำลังตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่อง

เมื่อคุณเสริมกำลังตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่อง ผู้ใช้อาจพบลักษณะการทำงานต่อไปนี้อย่างน้อยหนึ่งอย่าง:
  • ผู้ใช้ที่ได้รับการพร้อมท์ก่อนที่จะสามารถเปิดแหล่งที่มาของข้อมูลในโดเมนอื่น
  • ผู้ใช้ที่ได้รับการพร้อมท์ก่อนที่จะสามารถเรียกใช้สคริปต์บนหน้า
  • ตัวควบคุม activex และโปรแกรม Java จะไม่ทำงาน
  • The Web page that users are trying to open may not be displayed correctly.

Where security settings for the Local Machine zone are stored in the registry

The security settings for the Local Machine zone are stored in the following registry subkeys, depending on the following conditions:
  • If you let users set their own Internet Explorer security settings, the security settings for the Local Machine zone are stored in this subkey:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • If you force all users to have the same Internet Explorer security settings, the security settings for the Local Machine zone are stored in this subkey:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

By default, the security zone settings are stored in the following registry subtree:
HKEY_CURRENT_USER
Because this subtree is dynamically loaded for each user, the settings for one user do not affect the settings for another user. To determine whether all users have the same security settings, look for one of the following conditions:
  • The Security Zones: TheUse only machine settingsoption in Group Policy is enabled.
  • The Security_HKLM_only DWORD value exists, and it has a value of 1.
The Security_HKLM_only DWORD value is stored in the following registry subkey:
การตั้งค่าการ HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet

Computer settings and user settings are used when one of the following conditions is true:
  • The Security Zones: TheUse only machine settingsoption in Group Policy is not enabled
  • The Security_HKLM_only DWORD value does not exist
  • The Security_HKLM_only DWORD value is set to 0

If the Security_HKLM_only DWORD value does not exist, or if the Security_HKLM_only DWORD value is set to 0, Internet Explorer reads the HKEY_LOCAL_MACHINE registry key and the HKEY_CURRENT_USER registry key, respectively. However, only the HKEY_CURRENT_USER settings appear in the Internet Options Control Panel.

The security settings that are displayed in the Internet Options Control Panel have corresponding numeric values in the registry. The following table shows the default values for each security setting. The table also shows the recommended values that you can use to strengthen each security setting for the Local Machine zone.
ยุบตารางนี้ขยายตารางนี้
Security Setting Name in the UIRegistry Value Numeric Name (Type)Default Registry Value DataRecommended Registry Value Data
เรียกใช้ตัวควบคุม activex และปลั๊กอิน1200 (DWORD)03
Initialize and script ActiveX controls not marked as safe1201 (DWORD)13
Active scripting1400 (DWORD)01
Access data sources across domains1406 (DWORD)01
Java permissions1C00 (Binary)00 00 02 0000 00 00 00
In the aforementioned table, the settings for the DWORD values mean the following:
  • 0 indicates that the action is enabled. This is the default setting.
  • 1 indicates that a prompt appears.
  • 3 indicates that the action is disabled.
The default setting of 00 00 02 00 for the Binary value indicates a medium level of safety. The 00 00 00 00 setting disables Java.

หมายเหตุ:สำหรับการใช้งานอยู่ในการเขียนสคริปต์ การตั้งค่า 1 อาจทำให้แสดงกล่องโต้ตอบมากเกินไปปรากฏอยู่ ดังนั้น คุณอาจต้องการอนุญาตให้ใช้สคริปต์ เมื่อต้องการทำเช่นนี้ กำหนดค่าสคริปต์ที่ใช้งานอยู่เป็น 0 ถ้าคุณไม่ต้องการใช้งานอยู่ในการเขียนสคริปต์เพื่อแสดงกล่องโต้ตอบ บรรทัดที่เริ่มการทำงานกับ 1400 ในถัดไปในการเปลี่ยนการตั้งค่า ส่วน "วิธีการเปลี่ยนแปลงการตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่อง

วิธีการเปลี่ยนแปลงการตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่อง


สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows


เมื่อต้องการเปลี่ยนการตั้งค่าการรักษาความปลอดภัยสำหรับโซนภายในเครื่อง เปลี่ยนค่า DWORD หรือค่าไบนารี ใช้วิธีการที่เหมาะสมกับสภาพแวดล้อมการทำงานของคุณ

ในสภาพแวดล้อมการบริการไดเรกทอรี Active Directory

การตั้งค่าเริ่มต้น strengthening เขตภายในเครื่อง
ในสภาพแวดล้อมที่ Active Directory ใช้ตัวแก้ไขวัตถุนโยบายกลุ่ม formerly ทราบเป็นตัวแก้ไขนโยบายของกลุ่ม เมื่อต้องการตั้งค่าความปลอดภัยสำหรับโซนภายในเครื่องเสริมกำลัง ดำเนินการดังต่อไปนี้:
  1. คัดลอกข้อความต่อไปนี้ และวางลงในตัวแก้ไขข้อความ เช่น Notepad

    ถ้าผู้ใช้สามารถตั้งค่าการตั้งค่าการรักษาความปลอดภัยของตนเอง ใช้ข้อความต่อไปนี้:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    ถ้าผู้ใช้ทั้งหมดต้องใช้การตั้งค่าการรักษาความปลอดภัยเดียวกัน ใช้ข้อความต่อไปนี้:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
  2. บันทึกแฟ้มเป็น ADHardenLMZ.reg
  3. บนคอมพิวเตอร์ที่คุณต้องการเรียกใช้ตัวแก้ไขวัตถุนโยบายกลุ่ม เรียกใช้แฟ้ม ADHardenLMZ.reg การนำเข้าการตั้งค่ารีจิสทรีในรีจิสทรี
  4. ตัวเปิดแก้ไขวัตถุนโยบาย กลุ่มสำหรับวัตถุ Active Directory ที่คุณต้องการปรับเปลี่ยน
  5. คุณอาจได้รับพร้อมท์สำหรับการดำเนินการต่อไปนี้:
    • อนุญาตให้สคริปต์การเรียกใช้
    • ยืนยันว่า คุณต้องการดำเนินการกำลังเรียกใช้สคริปต์
    ถ้าคุณได้รับการพร้อมท์นี้ คลิกใช่. ถ้าคุณได้รับข้อความแสดงข้อความแจ้งว่า การตั้งค่าปัจจุบันของคุณไม่ให้ตัวควบคุม activex ที่จะรัน คลิกตกลง.

    หมายเหตุ:หลังจากที่คุณเสริมกำลังการรักษาความปลอดภัยการตั้งค่าสำหรับเครื่องจักรภายในโซน บานหน้าต่าง'วิธีใช้'จะไม่ปรากฏตัวในแก้ไขวัตถุนโยบายกลุ่ม
  6. ขยายการกำหนดค่าผู้ใช้ขยายการตั้งค่า windowsขยายการบำรุงรักษา Explorer อินเทอร์เน็ตแล้ว ขยายการรักษาความปลอดภัย. คลิกสองครั้งโซนความปลอดภัยและการจัดอันดับเนื้อหา.
  7. คลิกโซนความปลอดภัยปัจจุบันและการตั้งค่าการเก็บข้อมูลส่วนบุคคลในการนำเข้าแล้ว คลิกตกลง.
การคืนค่าการตั้งค่าเริ่มต้นสำหรับเขตภายในเครื่อง
เมื่อต้องการคืนค่าการตั้งค่าเริ่มต้นสำหรับเขตภายในเครื่อง ดำเนินการดังต่อไปนี้:
  1. คัดลอกข้อความต่อไปนี้ และวางลงในตัวแก้ไขข้อความ เช่น Notepad

    ถ้าผู้ใช้สามารถตั้งค่าการตั้งค่าการรักษาความปลอดภัยของตนเอง ใช้ข้อความต่อไปนี้:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    ถ้าผู้ใช้ทั้งหมดต้องใช้การตั้งค่าการรักษาความปลอดภัยเดียวกัน ใช้ข้อความต่อไปนี้:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    
  2. บันทึกแฟ้มเป็น ADDefaultLMZ.reg
  3. บนคอมพิวเตอร์ที่คุณต้องการเรียกใช้ตัวแก้ไขวัตถุนโยบายกลุ่ม เรียกใช้แฟ้ม ADDefaultLMZ.reg การนำเข้าการตั้งค่าเริ่มต้นในรีจิสทรี
  4. ตัวเปิดแก้ไขวัตถุนโยบาย กลุ่มสำหรับวัตถุ Active Directory ที่คุณต้องการปรับเปลี่ยน
  5. คุณอาจได้รับพร้อมท์สำหรับการดำเนินการต่อไปนี้:
    • อนุญาตให้สคริปต์การเรียกใช้
    • ยืนยันว่า คุณต้องการดำเนินการกำลังเรียกใช้สคริปต์
    ถ้าคุณได้รับการพร้อมท์นี้ คลิกใช่. ถ้าคุณได้รับข้อความแสดงข้อความแจ้งว่า การตั้งค่าปัจจุบันของคุณไม่ให้ตัวควบคุม activex ที่จะรัน คลิกตกลง.

    หมายเหตุ:After you strengthen the security settings for the Local Machine zone, the Help pane will no longer appear in Group Policy Object Editor.
  6. ขยายการกำหนดค่าผู้ใช้ขยายการตั้งค่า windows, expandInternet Explorer Maintenanceแล้ว ขยายการรักษาความปลอดภัย. คลิกสองครั้งSecurity Zones and Content Ratings.
  7. คลิกImport the current security zones and privacy settingsแล้ว คลิกตกลง.

In Non-Active Directory environments

Strengthening default settings for the Local Machine zone
To strengthen the security settings for the Local Machine zone, import the updated security settings into the registry. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. Copy the following text and paste it into a text editor, such as Notepad.

    If users can set their own Internet Explorer security settings, use the following text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    If all users have the same security settings, use the following text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Save the file as HardenLMZ.reg.
  3. Run the HardenLMZ.reg file on all client computers to import the settings into the registry.
Restoring default settings for the Local Machine zone
To restore the default settings for the Local Machine zone, follow these steps:
  1. Copy the following text and paste it into a text editor, such as Notepad.

    If users can set their own Internet Explorer security settings, use the following text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    If all users have the same security settings, use the following text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. Save the file as DefaultLMZ.reg.
  3. Run the DefaultLMZ.reg file on all client computers to import the settings into the registry.

กำหนดให้เป็นแฟ้ม HTML ที่อยู่ในโซนภายในเครื่องที่อยู่อินเทอร์เน็ตโซน

After you strengthen the security settings for the Local Machine zone, you can assign a local HTML file that contains scripts, ActiveX controls, or Java programs to the Internet zone. When Internet Explorer opens the HTML file, Internet Explorer looks for the "saved from URL" comment. If Internet Explorer finds the "saved from URL" comment, Internet Explorer uses the security settings for the Internet zone instead of the settings for the Local Machine zone. If the Internet zone is configured to run scripts, to run ActiveX controls, or to run Java programs, these items will run and you will not experience the behaviors that are described in the "Before you strengthen security settings for the Local Machine zone" section.

To assign a local HTML file to the Internet zone, you can add a "saved from URL" comment to the local HTML file. This comment instructs Internet Explorer to apply the security settings for the Internet zone to the HTML file that is saved on your hard disk. This comment must look similar to the following:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


The value in parentheses represents the number of characters in the URL that follows the equal sign. In this example, this value is 0023. Contoso represents the name of an Internet Web site.

ข้อมูลอ้างอิง

For additional information about how to distribute registry changes to multiple computers by using a .reg file, click the following article number to view the article in the Microsoft Knowledge Base:
310516How to add, modify, or delete registry subkeys and values by using a registration entries (.reg) file
For more information about Internet Explorer security zones registry entries, click the following article number to view the article in the Microsoft Knowledge Base:
182569Internet Explorer security zones registry entries for advanced users
For additional information about URL security zone templates, visit the following Microsoft Web site:
http://go.microsoft.com/fwlink/?LinkID=12658

คุณสมบัติ

หมายเลขบทความ (Article ID): 833633 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.0
Keywords: 
kbpubtypekc kbmt KB833633 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:833633

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com