Häufig gestellte Fragen zu Internet Explorer Enhanced Security Configuration (ESC)

Warnung

Die eingestellte, nicht mehr unterstützte Desktop-Anwendung Internet Explorer 11 wurde durch ein Microsoft Edge-Update in bestimmten Versionen von Windows 10 dauerhaft deaktiviert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der Desktop-App von Internet Explorer 11.

Internet Explorer Erweiterte Sicherheitskonfiguration

Internet Explorer Enhanced Security Configuration (ESC) legt Sicherheitseinstellungen fest, die definieren, wie Benutzer im Internet und auf Intranetwebsites surfen. Diese Einstellungen verringern auch die Gefährdung von Servern für Websites, die ein Sicherheitsrisiko darstellen können. Dieser Prozess wird auch als IEHarden bezeichnet. Weitere Informationen finden Sie unter Internet Explorer: Erweiterte Sicherheitskonfiguration.

Ursprüngliche Produktversion: Internet Explorer
Ursprüngliche KB-Nummer: 4551931

Die Standardeinstellung für Internet Explorer ESC

Dieses Feature ist auf Servern standardmäßig aktiviert.

Auswirkungen der Aktivierung von Internet Explorer ESC

Internet Explorer ESC passt die Erweiterungs- und Sicherheitseinstellungen des Internets Explorer an, um mögliche zukünftige Sicherheitsbedrohungen zu verringern. Diese Einstellungen befinden sich auf der Registerkarte Erweitert der Internetoptionen in Systemsteuerung. In der folgenden Tabelle werden die Einstellungen beschrieben.

Feature Eintrag Einstellung Ergebnis
Surfen Dialogfeld "Erweiterte Sicherheitskonfiguration anzeigen". Ein Zeigt ein Dialogfeld an, in dem Sie benachrichtigt werden, wenn eine Internetwebsite versucht, Skripts oder ActiveX-Steuerelemente zu verwenden.
Surfen Aktivieren Sie Browsererweiterungen. Aus Deaktiviert Features, die Sie zusammen mit Internet-Explorer installiert haben, die von anderen Unternehmen als Microsoft erstellt wurden.
Surfen Aktivieren Sie Bei Bedarf installieren (Internet Explorer). Aus Deaktiviert die Bedarfsinstallation von Internet-Explorer-Komponenten, wenn dies für eine Webseite erforderlich ist.
Surfen Aktivieren Sie Install on Demand (Other) (Bei Bedarf installieren (Sonstiges). Aus Deaktiviert die bedarfsgesteuerte Installation von Webkomponenten, wenn dies für eine Webseite erforderlich ist.
Microsoft-VM Just-in-Time-Compiler (JIT) für virtuelle Computer aktiviert (Neustart erforderlich). Aus Deaktiviert den Microsoft-VM-Compiler.
Multimedia Zeigen Sie keine Onlineinhalte in der Medienleiste an. Ein Deaktiviert die Wiedergabe von Medieninhalten im Internet Explorer Medienleiste.
Multimedia Zeigen Sie keine Onlineinhalte in der Medienleiste an. Ein Deaktiviert die Wiedergabe von Medieninhalten im Internet Explorer Medienleiste.
Multimedia Wiedergeben von Animationen auf Webseiten. Aus Deaktiviert Animationen.
Multimedia Wiedergeben von Videos auf Webseiten. Aus Deaktiviert Videoclips.
Sicherheit Überprüfen Sie die Sperrung des Serverzertifikats (erfordert einen Neustart). Ein Überprüft automatisch das Zertifikat einer Website, um festzustellen, ob das Zertifikat widerrufen wurde, bevor das Zertifikat als gültig akzeptiert wird.
Sicherheit Suchen Sie nach Signaturen für heruntergeladene Programme. Ein Überprüft automatisch die Identität der heruntergeladenen Programme und zeigt sie an.
Sicherheit Speichern Sie verschlüsselte Seiten nicht auf einem Datenträger. Ein Deaktiviert das Speichern von gesicherten Informationen im Ordner "Temporäre Internetdateien".
Sicherheit Leerer Ordner "Temporäre Internetdateien", wenn der Browser geschlossen wird. Ein Löscht automatisch den Ordner Temporäre Internetdateien, wenn Sie den Browser schließen.

Diese Änderungen verringern die Funktionalität in Webseiten, webbasierten Anwendungen, lokalen Netzwerkressourcen und Anwendungen, die einen Browser verwenden, um Onlinehilfe, Support und allgemeine Benutzerunterstützung anzuzeigen.

Deaktivieren von Internet Explorer ESC auf Windows-Servern

Führen Sie die folgenden Schritte aus, um internet Explorer ESC zu deaktivieren:

  1. Geben Sie Server-Manager in windows search ein, um die Server-Manager-Anwendung zu starten.

  2. Wählen Sie Lokaler Server aus.

  3. Navigieren Sie zur Eigenschaft Verstärkte Sicherheitskonfiguration für IE , wählen Sie die aktuelle Einstellung aus, um die Eigenschaftenseite zu öffnen, wählen Sie die Optionsschaltfläche Aus für die gewünschten Benutzer aus, und wählen Sie dann OK aus.

    Internet Explorer ESC-Einstellung ist im Server-Manager aktiviert.

    Screenshot des Fensters

  4. Wählen Sie auf der Symbolleiste Server-Manager das Symbol Aktualisieren aus, um die neuen Einstellungen im Server-Manager anzuzeigen.

    Screenshot der aktuellen Internet Explorer ESC-Einstellung im Server-Manager.

Im folgenden Video wird dieses Verfahren veranschaulicht:

Weitere Informationen finden Sie unter Verwalten des lokalen Servers und der Server-Manager-Konsole.

Deaktivieren von Internet Explorer ESC mithilfe eines Skripts

  1. Erstellen Sie eine IEHArden_V5.bat-Datei mit dem folgenden Batchdateiinhalt.

  2. Führen Sie die Bat-Datei entweder an einer administrativen Eingabeaufforderung oder als Teil des Anmeldeskripts aus, indem Sie das unter Zuweisen von Benutzeranmeldungsskripts dokumentierte Verfahren verwenden.

Inhalt der Batchdatei

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Verwalten der IEHarden-Einstellung für Benutzer mithilfe von Gruppenrichtlinie Preferences (GPP)

Führen Sie die folgenden Schritte aus, um die IEHarden-Einstellung für Benutzer mithilfe Gruppenrichtlinie Einstellungsregistrierungskonfiguration zu ändern:

  1. Öffnen Sie die GPMCM.msc-Konsole, und navigieren Sie dann zu Benutzerkonfigurationseinstellungen>>Windows-Einstellungen.

  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf das Registrierungsobjekt , und wählen Sie dann Neues>Registrierungselement aus.

    Screenshot: Schritte zum Erstellen einer neuen Registrierung

  3. Geben Sie unter IEHarden-Eigenschaften die folgenden Einstellungen an:

    • Lage: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Wertname: IEHarden

    • Werttyp: REG_DWORD

    • Wertdaten: 0 oder 00000000

      Screenshot der Registrierungseinstellungen in IEHarden Eigenschaftenfenster.

  4. Wählen Sie Übernehmen und OK aus, um diese GPP-Konfiguration abzuschließen.

Hinweis

Sie können auch die folgenden Registrierungsunterschlüssel überprüfen, wenn dieser Wert das Problem nicht behebt. In den meisten Fällen ist dies nicht notwendig.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer scheint nicht zu funktionieren, nachdem Sie ESC mithilfe von Server-Manager

Informationen zur Problembehandlung dieses Szenarios finden Sie unter Standardbenutzer können das Feature "Internet Explorer Erweiterte Sicherheit" auf einem Windows Server 2003-basierten Terminalserver oder einer höheren Version nicht deaktivieren. Grundsätzlich müssen Sie ESC möglicherweise erneut aktivieren oder deaktivieren. Die Ausrichtung auf die Registrierung ist möglicherweise die einfachste Möglichkeit, dieses Problem zu beheben.