如何增強 Internet Explorer 中「本機電腦」區域的安全性設定

文章編號: 833633 - 檢視此文章適用的產品。
重要 本文包含有關修改登錄的相關資訊。建議您在修改登錄前先將其備份,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986
(http://support.microsoft.com/kb/256986/ )
Microsoft Windows 登錄說明
全部展開 | 全部摺疊

在此頁中

結論

警告 如果您進行本文所述的變更,可能會遺失某些 Windows 程式和元件的部分功能。因此,建議您先廣泛地測試這些變更,確認關鍵性的程式都能繼續在所有使用者的電腦中正確地執行之後,再於實際生產環境中進行變更。

本文將告訴您,系統管理員如何增強 Microsoft Internet Explorer 中「本機電腦」區域的安全性設定。「本機電腦」區域也稱為「我的電腦」區域。本文中的資訊適用於下列組態設定:
  • Microsoft Windows 32 位元版本上的 32 位元版本 Internet Explorer
  • Microsoft Windows XP 64 位元版本上的 64 位元版本 Internet Explorer
  • Microsoft Windows Server 2003 64 位元版本上的 64 位元版本 Internet Explorer
注意 Microsoft Windows XP Service Pack 2 (SP2) 的「本機電腦」區域中具有一些限制。因此,如果您安裝了 Windows XP SP2,可能不需執行本文所述的其中一個程序。如需詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/windowsxp/sp2/technologiesoverview.mspx#EBAA
(http://www.microsoft.com/taiwan/windowsxp/sp2/technologiesoverview.mspx#EBAA)

http://www.microsoft.com/taiwan/windowsxp/sp2/ieoeoverview.mspx
(http://www.microsoft.com/taiwan/windowsxp/sp2/ieoeoverview.mspx)

回此頁最上方 | 提供意見

其他相關資訊

關於安全性區域

Internet Explorer 使用者介面可以讓您設定四種安全性區域:
  • 網際網路
  • 近端內部網路
  • 信任的網站
  • 限制的網站
第五種區域為「本機電腦」區域,這是存在於本機電腦上的隱含區域。您無法在 Internet Explorer 中設定此區域的安全性設定,也不能透過 [網際網路選項] 控制台來設定安全性設定。然而,如果您具有系統管理權限,就可以變更登錄設定,藉以設定「本機電腦」區域的安全性設定。

Internet Explorer 可讓您指派網站至安全性區域。位於「網際網路」區域的網站,具有比位於「信任的網站」區域或「近端內部網路」區域中的網站更高的安全性層級。指派網站至安全性區域之後,您就可以控制網站在電腦上執行作業的方式。例如,您可以指派網站至具有最高安全性限制層級的安全性區域,藉此防止網站在您的電腦上執行潛在不安全的作業。

位於「本機電腦」區域的網站,具有比任何其他區域中的網站較少限制的安全性設定。Internet Explorer 快取在本機電腦上的任何內容,是此規則的唯一例外。惡意使用者可能會利用「本機電腦」區域中較少限制的安全性設定,嘗試在您的電腦上執行任意程式碼。

增強「本機電腦」區域的安全性設定之前

當您增強「本機電腦」區域的安全性設定時,使用者可能會遭遇下列一或多個情況:
  • 使用者會先收到提示,才能開啟其他網域上的資料來源。
  • 使用者會先收到提示,才能執行網頁上的指令碼。
  • ActiveX 控制項和 Java 程式將不會執行。
  • 使用者嘗試開啟的網頁可能無法正確地顯示出來。

登錄中存放「本機電腦」區域的安全性設定的位置

根據下列情況,「本機電腦」區域的安全性設定會儲存在下列登錄子機碼中:
  • 如果您允許使用者設定他們自己的 Internet Explorer 安全性設定,則「本機電腦」區域的安全性設定會儲存在此子機碼:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • 如果您允許所有使用者具有相同的 Internet Explorer 安全性設定,則「本機電腦」區域的安全性設定會儲存在此子機碼:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

根據預設,安全性區域的設定是儲存在下列登錄樹狀子目錄中:
HKEY_CURRENT_USER
由於每位使用者的此樹狀子目錄會動態地下載,因此,一位使用者的設定並不會影響到其他使用者的設定。如果要判斷所有使用者是否具有相同的安全性設定,請查看下列其中一個情況:
  • [群組原則] 中的 [安全性區域:只使用機器設定] 選項已啟用。
  • Security_HKLM_only DWORD 值已存在,且值為 1。
Security_HKLM_only DWORD 值是儲存在下列登錄子機碼中:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

當下列其中一個情況成立時,就會用到電腦設定和使用者設定:
  • [群組原則] 中的 [安全性區域:只使用機器設定] 選項未啟用。
  • Security_HKLM_only DWORD 值不存在。
  • Security_HKLM_only DWORD 值是設定為 0。

如果 Security_HKLM_only DWORD 值不存在,或者 Security_HKLM_only DWORD 值是設定為 0,Internet Explorer 就會分別讀取 HKEY_LOCAL_MACHINE 登錄機碼和 HKEY_CURRENT_USER 登錄機碼。然而,只有 HKEY_CURRENT_USER 設定會出現在 [網際網路選項] 控制台中。

[網際網路選項] 控制台中所顯示的安全性設定,在登錄中具有對應的數值。下列表格顯示每個安全性設定的預設值。同時,這個表格也顯示可以用來增強「本機電腦」區域的每個安全性設定的建議值。
摺疊此表格展開此表格
UI 中的安全性設定名稱登錄數值名稱 (類型)預設的登錄數值資料建議使用的登錄數值資料
執行 ActiveX 控制項與插件1200 (DWORD)03
起始不標示為安全的 ActiveX 控制項1201 (DWORD)13
Active scripting1400 (DWORD)01
存取各網域的資料來源1406 (DWORD)01
Java 權限1C00 (二進位)00 00 02 0000 00 00 00
在上述表格中,DWORD 值的設定代表下列意義:
  • 0 表示動作已啟用。這是預設的設定。
  • 1 表示會出現提示。
  • 3 表示動作已停用。
二進位值的預設設定 00 00 02 00 表示中度安全層級。00 00 00 00 設定會停用 Java。

注意 如果將 Active scripting 設定為 1,可能會導致出現過多提示。因此,您可以允許指令碼處理。如果要執行這項操作,請將 Active scripting 值設定為 0。如果您不想設定 Active scripting 出現提示,請在下一節<如何變更「本機電腦」區域的安全性設定>中,變更開頭為 1400 的那一行。

如何變更「本機電腦」區域的安全性設定


警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

如果要變更「本機電腦」區域的安全性設定,請變更 DWORD 值或二進位值。請採用適合您環境的方法。

在 Active Directory 目錄服務環境

增強「本機電腦」區域的預設設定
在 Active Directory 環境中,請使用「群組原則物件編輯器」,亦即先前的「群組原則編輯器」。如果要增強「本機電腦」區域的安全性設定,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
    如果所有使用者必須使用相同的安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
  2. 將檔案另存為 ADHardenLMZ.reg。
  3. 在您想要執行「群組原則物件編輯器」的電腦上,執行 ADHardenLMZ.reg 檔案,以便將登錄設定匯入登錄。
  4. 開啟所要修改 Active Directory 物件的「群組原則物件編輯器」。
  5. 系統可能會提示您執行下列動作:
    • 允許執行指令碼
    • 確認您要繼續執行指令碼
    如果您收到這個提示,請按一下 [是]。如果您收到訊息,指出目前的設定不允許執行 ActiveX 控制項,請按一下 [確定]

    注意 增強「本機電腦」區域的安全性設定之後,[說明] 窗格將不會再出現在 [群組原則物件編輯器] 中。
  6. 依序展開 [使用者設定][Windows 設定][Internet Explorer 維護][安全性]。按兩下 [安全性區域與內容分級]
  7. 按一下 [匯入目前的安全性區域和隱私權設定],然後按一下 [確定]
還原「本機電腦」區域的預設設定
如果要還原「本機電腦」區域的預設設定,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
    如果所有使用者必須使用相同的安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
  2. 將檔案另存為 ADDefaultLMZ.reg。
  3. 在您想要執行「群組原則物件編輯器」的電腦上,執行 ADDefaultLMZ.reg 檔案,以便將預設設定匯入登錄。
  4. 開啟所要修改 Active Directory 物件的「群組原則物件編輯器」。
  5. 系統可能會提示您執行下列動作:
    • 允許執行指令碼
    • 確認您要繼續執行指令碼
    如果您收到這個提示,請按一下 [是]。如果您收到訊息,指出目前的設定不允許執行 ActiveX 控制項,請按一下 [確定]

    注意 增強「本機電腦」區域的安全性設定之後,[說明] 窗格將不會再出現在 [群組原則物件編輯器] 中。
  6. 依序展開 [使用者設定][Windows 設定][Internet Explorer 維護][安全性]。按兩下 [安全性區域與內容分級]
  7. 按一下 [匯入目前的安全性區域和隱私權設定],然後按一下 [確定]

在非 Active Directory 環境

增強「本機電腦」區域的預設設定
如果要增強「本機電腦」區域的安全性設定,請將更新的安全性設定匯入登錄。如果要執行這項操作,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的 Internet Explorer 安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
    如果所有使用者具有相同的安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]

"Security_HKLM_only"=dword:00000001
  2. 將檔案另存為 HardenLMZ.reg。
  3. 在所有用戶端電腦上執行 HardenLMZ.reg 檔案,以便將設定匯入登錄。
還原「本機電腦」區域的預設設定
如果要還原「本機電腦」區域的預設設定,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的 Internet Explorer 安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
    如果所有使用者具有相同的安全性設定,請使用下列文字:
    REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]

"Security_HKLM_only"=dword:00000001
  2. 將檔案另存為 DefaultLMZ.reg。
  3. 在所有用戶端電腦上執行 DefaultLMZ.reg 檔案,以便將設定匯入登錄。

將儲存在「本機電腦」區域的 HTML 檔案指派至「網際網路」區域

增強「本機電腦」區域的安全性設定之後,您就可以指派包含指令碼、ActiveX 控制項或 Java 程式的本機 HTML 檔案至「網際網路」區域。當 Internet Explorer 開啟 HTML 檔案時,就會尋找 "saved from URL" 註解。如果 Internet Explorer 找到 "saved from URL" 註解,則會使用「網際網路」區域的安全性設定,而非「本機電腦」區域的設定。如果「網際網路」區域是設定為執行指令碼、ActiveX 控制項或 Java 程式,這些項目將會執行,並且您不會遭遇到<增強「本機電腦」區域的安全性設定之前>一節所述的情況。

如果要指派本機 HTML 檔案至「網際網路」區域,您可以將 "saved from URL" 註解新增至本機 HTML 檔案。此註解會指示 Internet Explorer 將「網際網路」區域的安全性設定套用至儲存在硬碟上的 HTML 檔案。這個註解看起來必須類似下列:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


括號中的值代表後面接著等號的 URL 包含的字元數目。在這個範例中,這個值為 0023,而 Contoso 代表網際網路網站的名稱。

回此頁最上方 | 提供意見

?考

如需有關如何使用 .reg 檔案,將登錄變更散發到多部電腦的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
310516
(http://support.microsoft.com/kb/310516/ )
如何使用登錄項目 (.reg) 檔案新增、修改或刪除登錄子機碼和登錄值
如需有關 Internet Explorer 安全性區域登錄項目的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
182569
(http://support.microsoft.com/kb/182569/ )
Internet Explorer 安全性區域登錄項目的說明
如需有關 URL 安全性區域範本的詳細資訊,請造訪下列 Microsoft 網站:
http://go.microsoft.com/fwlink/?LinkID=12658
(http://go.microsoft.com/fwlink/?LinkID=12658)
回此頁最上方 | 提供意見

屬性

文章編號: 833633 - 上次校閱: 2006年1月20日 - 版次: 3.2
這篇文章中的資訊適用於:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
關鍵字:?
kbpubtypekc KB833633
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方