如何在 Internet Explorer 中加强本地计算机区域的安全设置

文章翻译 文章翻译
文章编号: 833633 - 查看本文应用于的产品
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

本文内容

概要

警告:如果您选择实施本文所介绍的更改,可能会损失某些 Windows 程序和组件的部分功能。因此,我们建议您在生产环境中进行这些更改之前,对它们进行广泛测试,以验证所有用户都能正常使用负担重要任务的程序。

本文介绍管理员如何在 Microsoft Internet Explorer 中加强本地计算机区域的安全设置。 本地计算机区域也称为“我的电脑”区域。 本文中的信息适用于以下配置:
  • 32 位版本 Microsoft Windows 上的 32 位版本 Internet Explorer
  • 64 位版本 Microsoft Windows XP 上的 64 位版本 Internet Explorer
  • 64 位版本 Microsoft Windows Server 2003 上的 64 位版本 Internet Explorer
注意:Microsoft Windows XP Service Pack 2 (SP2) 对本地计算机区域进行了限制。 因此,如果您安装了 Windows XP SP2,则可能无需执行本文中描述的某个过程。有关其他信息,请参见以下 Microsoft 网站:
http://www.microsoft.com/china/windowsxp/sp2/technologiesoverview.mspx#EBAA
http://www.microsoft.com/china/windowsxp/sp2/ieoeoverview.mspx

更多信息

关于安全区域

通过 Internet Explorer 用户界面可以配置四个安全区域:
  • Internet
  • 本地 Intranet
  • 受信任的站点
  • 受限制的站点
第五个区域就是本地计算机区域,是存在于本地计算机上的一个隐性区域。 您不能在 Internet Explorer 中对此区域的安全设置进行配置。 也不能使用 Internet 选项控制面板对安全设置进行配置。 但是,如果您具有管理员权限,则可以通过更改注册表设置来配置本地计算机区域的安全设置。

Internet Explorer 允许您为安全区域分配网站。 Internet 区域中的站点比受信任的站点区域或本地 Intranet 区域中的站点具有更高的安全级别。 通过将网站分配到安全区域中,您可以控制网站在您的计算机上执行操作的方式。 例如,可以将网站分配到安全限制级别最高的安全区域中,从而防止该网站在您的计算机上执行可能的不安全操作。

本地计算机区域中的网站的安全设置所受的限制比所有其他区域中的网站的安全设置限制都低。 Internet Explorer 在您的本地计算机上缓存的任何内容均不受此规则的限制。 安全设置受限较少的本地计算机区域可能会被恶意用户所利用,从而在您的计算机中运行任意代码。

加强本地计算机区域的安全设置之前

加强本地计算机区域的安全设置时,用户可能会遇到以下一种或多种行为:
  • 用户在打开其他域上的数据源之前收到提示。
  • 用户在页面上运行脚本之前收到提示。
  • ActiveX 控件和 Java 程序不运行。
  • 用户尝试打开的网页可能无法正常显示。

本地计算机区域的安全设置在注册表中的存储位置

根据以下具体情况,本地计算机区域的安全设置将存储在下面的注册表子项中:
  • 如果允许用户设置自己的 Internet Explorer 安全设置,则本地计算机区域的安全设置存储于此子项中:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • 如果强制所有用户都使用相同的 Internet Explorer 安全设置,则本地计算机区域的安全设置存储于此子项中:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

默认情况下,安全区域设置存储在以下注册表子树中:
HKEY_CURRENT_USER
因为此子树是为各个用户动态加载的,所以一个用户的设置不会影响另一个用户的设置。 要确定是否所有用户都使用相同的安全设置,请查看以下条件之一:
  • 组策略中的 安全区域:仅使用计算机设置选项已启用。
  • Security_HKLM_only DWORD 值存在,且值为 1。
Security_HKLM_only DWORD 值存储在以下注册表子项中:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

当以下条件之一成立时,将同时使用计算机设置和用户设置:
  • 组策略中的 安全区域:仅使用计算机设置选项未启用
  • Security_HKLM_only DWORD 值不存在
  • Security_HKLM_only DWORD 值设置为 0

如果 Security_HKLM_only DWORD 值不存在或者 Security_HKLM_only DWORD 值设置为 0,Internet Explorer 将分别读取 HKEY_LOCAL_MACHINE 注册表项和 HKEY_CURRENT_USER 注册表项。 但是,只有 HKEY_CURRENT_USER 设置出现在 Internet 选项控制面板中。

在 Internet 选项控制面板中显示的安全设置在注册表中具有相应的数字值。 下表显示了每个安全设置的默认值。 该表还显示了每个安全设置的推荐值,它们可以加强本地计算机区域。
收起该表格展开该表格
用户界面中的安全设置名注册表值的数值名称(类型)默认的注册表值数据推荐的注册表值数据
运行 ActiveX 控件和插件1200 (DWORD)03
对没有标记为安全的 ActiveX 控件进行初始化和脚本运行1201 (DWORD)13
活动脚本1400 (DWORD)01
跨域访问数据源1406 (DWORD)01
Java 权限1C00(二进制)00 00 02 0000 00 00 00
在前面提到的表中,DWORD 值的设置含义如下:
  • 0 表示操作已启用。这是默认设置。
  • 1 表示发出提示。
  • 3 表示操作已禁用。
二进制值的默认设置 00 00 02 00 表示中等级别的安全。00 00 00 00 设置将禁用 Java。

注意:对于活动脚本,设置为 1 时可能会导致过多的提示。因此,您可能更希望允许脚本运行。为此,请将活动脚本值设置为 0。如果您不想让活动脚本发出提示,请更改下一部分“如何更改本地计算机区域的安全设置”中以 1400 开头的行。

如何更改本地计算机区域的安全设置


警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

要更改本地计算机区域的安全设置,需更改 DWORD 值或二进制值。请针对您的环境选择方法。

在 Active Directory 目录服务环境中

加强本地计算机区域的默认设置
在 Active Directory 环境中,使用“组策略对象编辑器”(以前称作“组策略编辑器”)。要加强本地计算机区域的安全设置,请执行以下步骤:
  1. 复制以下文本并将其粘贴到文本编辑器(如记事本)中。

    如果用户可以设置自己的安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    如果所有用户必须使用相同的安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
  2. 将该文件保存为 ADHardenLMZ.reg。
  3. 在要运行“组策略对象编辑器”的计算机上运行 ADHardenLMZ.reg 文件,以便将注册表设置导入注册表。
  4. 打开“组策略对象编辑器”,找到要修改的 Active Directory 对象。
  5. 系统可能会提示您执行以下操作:
    • 允许脚本运行
    • 确认是否要继续运行脚本
    如果收到此提示,请单击“是”。如果您收到消息,指出当前的设置不会允许 ActiveX 控件运行,请单击“确定”。

    注意:在加强本地计算机区域的安全设置后,“组策略对象编辑器”中将不再出现“帮助”窗格。
  6. 依次展开“用户配置”、“Windows 设置”、“Internet Explorer 维护”和“安全”。双击“安全区域和内容分级”。
  7. 单击“导入当前安全区域和隐私设置”,然后单击“确定”。
恢复本地计算机区域的默认设置
要恢复本地计算机区域的默认设置,请执行以下步骤:
  1. 复制以下文本并将其粘贴到文本编辑器(如记事本)中。

    如果用户可以设置自己的安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    如果所有用户必须使用相同的安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    
  2. 将该文件保存为 ADDefaultLMZ.reg。
  3. 在要运行“组策略对象编辑器”的计算机上运行 ADDefaultLMZ.reg 文件,以便将默认设置导入注册表。
  4. 打开“组策略对象编辑器”,找到要修改的 Active Directory 对象。
  5. 系统可能会提示您执行以下操作:
    • 允许脚本运行
    • 确认是否要继续运行脚本
    如果收到此提示,请单击“是”。如果您收到消息,指出当前的设置不会允许 ActiveX 控件运行,请单击“确定”。

    注意:在加强本地计算机区域的安全设置后,“组策略对象编辑器”中将不再出现“帮助”窗格。
  6. 依次展开“用户配置”、“Windows 设置”、“Internet Explorer 维护”和“安全”。双击“安全区域和内容分级”。
  7. 单击“导入当前安全区域和隐私设置”,然后单击“确定”。

在非 Active Directory 环境中

加强本地计算机区域的默认设置
要加强本地计算机区域的安全设置,请将更新后的安全设置导入注册表中。为此,请按照下列步骤操作:
  1. 复制以下文本并将其粘贴到文本编辑器(如记事本)中。

    如果用户可以设置自己的 Internet Explorer 安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    如果所有用户都使用相同的安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. 将该文件保存为 HardenLMZ.reg。
  3. 在所有客户机上运行 HardenLMZ.reg 文件,以便将设置导入注册表。
恢复本地计算机区域的默认设置
要恢复本地计算机区域的默认设置,请执行以下步骤:
  1. 复制以下文本并将其粘贴到文本编辑器(如记事本)中。

    如果用户可以设置自己的 Internet Explorer 安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    如果所有用户都具有相同的安全设置,请使用以下文本:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. 将该文件保存为 DefaultLMZ.reg。
  3. 在所有客户机上运行 DefaultLMZ.reg 文件,以便将设置导入注册表。

将本地计算机区域中的 HTML 文件分配给 Internet 区域

在加强本地计算机区域的安全设置后,可以将一个包含脚本、ActiveX 控件或 Java 程序的本地 HTML 文件分配给 Internet 区域。当 Internet Explorer 打开 HTML 文件时,Internet Explorer 将寻找“saved from URL”注释。如果 Internet Explorer 找到“saved from URL”注释,则 Internet Explorer 将使用 Internet 区域的安全设置,而不是本地计算机区域的设置。如果 Internet 区域配置为运行脚本、运行 ActiveX 控件或运行 Java 程序,则将运行这些项目,并且您将不会遇到“加强本地计算机区域的安全设置之前应注意的事项”部分中描述的行为。

要将本地的 HTML 文件分配给 Internet 区域,可以向该本地 HTML 文件中添加“saved from URL”注释。此注释指示 Internet Explorer 将 Internet 区域的安全设置应用于保存到硬盘上的 HTML 文件中。此注释必须类似于:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


圆括号中的值表示在 URL 中位于等号后面的字符数。在此示例中,此值为 0023。Contoso 表示一个 Internet 网站的名称。

参考

有关如何通过使用 .reg 文件将注册表更改分发到多台计算机的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
310516 如何通过使用注册项 (.reg) 文件添加、修改或删除注册表子项和值
有关 Internet Explorer 安全区域注册表项的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
182569 Internet Explorer 安全区域注册表项说明
有关 URL 安全区域模板的其他信息,请访问下面的 Microsoft 网站:
http://go.microsoft.com/fwlink/?LinkID=12658

属性

文章编号: 833633 - 最后修改: 2005年6月3日 - 修订: 3.1
这篇文章中的信息适用于:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
关键字:?
KB833633
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com