Registervermeldingen voor beveiligingszones in Internet Explorer voor geavanceerde gebruikers

Waarschuwing

De buiten gebruik gestelde, niet meer ondersteunde Internet Explorer 11-desktoptoepassing is permanent uitgeschakeld via een Microsoft Edge-update op bepaalde versies van Windows 10. Raadpleeg Veelgestelde vragen over de beëindiging van de desktoptoepassing voor Internet Explorer 11 voor meer informatie.

In dit artikel wordt beschreven hoe en waar beveiligingszones en privacyinstellingen in Internet Explorer worden opgeslagen en beheerd in het register. U kunt groepsbeleid of de Microsoft Internet Explorer Administration Kit (IEAK) gebruiken om beveiligingszones en privacyinstellingen in te stellen.

Oorspronkelijke productversie: Internet Explorer 9, Internet Explorer 10
Origineel KB-nummer: 182569

Privacy-instellingen

Internet Explorer 6 en latere versies hebben een tabblad Privacy toegevoegd om gebruikers meer controle te geven over cookies. Dit tabblad (selecteerExtra en selecteer vervolgensInternetopties) biedt flexibiliteit voor het blokkeren of toestaan van cookies, op basis van de website waarvan de cookie afkomstig is of het type cookie. Soorten cookies zijn onder andere cookies van derden, cookies van derden en cookies die geen compact privacybeleid hebben. Dit tabblad bevat ook opties voor het beheren van websiteaanvragen voor fysieke locatiegegevens, de mogelijkheid om pop-ups te blokkeren en de mogelijkheid om werkbalken en extensies uit te voeren wanneer InPrivate-browsen is ingeschakeld.

Er zijn verschillende niveaus van privacy in de internetzone en deze worden opgeslagen in het register op dezelfde locatie als de beveiligingszones.

U kunt ook een website toevoegen om cookies op basis van de website in te schakelen of te blokkeren, ongeacht het privacybeleid op de website. Deze registersleutels worden opgeslagen in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Domeinen die zijn toegevoegd als een beheerde site, worden vermeld onder deze subsleutel. Deze domeinen kunnen een van de volgende DWORD-waarden bevatten:

0x00000005 - Always Block
0x00000001 - Altijd toestaan

Beveiligingszone-instellingen

Voor elke zone kunnen gebruikers bepalen hoe Internet Explorer items met een hoger risico verwerkt, zoals ActiveX-besturingselementen, downloads en scripts. De instellingen voor beveiligingszones in Internet Explorer worden opgeslagen onder de volgende registersubsleutels:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Deze registersleutels bevatten de volgende sleutels:

  • TemplatePolicies
  • ZoneMap
  • Zones

Opmerking

Instellingen voor beveiligingszones worden standaard opgeslagen in de substructuur van het HKEY_CURRENT_USER register. Omdat deze substructuur dynamisch wordt geladen voor elke gebruiker, hebben de instellingen voor de ene gebruiker geen invloed op de instellingen voor een andere gebruiker.

Als de instelling Beveiligingszones: alleen computerinstellingen gebruiken in groepsbeleid is ingeschakeld of als de Security_HKLM_only DWORD-waarde aanwezig is en de waarde 1 heeft in de volgende registersubsleutel, worden alleen instellingen voor de lokale computer gebruikt en hebben alle gebruikers dezelfde beveiligingsinstellingen:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Als het Security_HKLM_only beleid is ingeschakeld, worden HKLM-waarden gebruikt door Internet Explorer. De HKCU-waarden worden echter nog steeds weergegeven in de zone-instellingen op het tabblad Beveiliging in Internet Explorer. In Internet Explorer 7 wordt op het tabblad Beveiliging van het dialoogvenster Internetopties het volgende bericht weergegeven om aan te geven dat de instellingen worden beheerd door de systeembeheerder:

Sommige instellingen worden beheerd door uw systeembeheerder Als de instelling Beveiligingszones: alleen computerinstellingen gebruiken niet is ingeschakeld in groepsbeleid, of als de Security_HKLM_only DWORD-waarde niet bestaat of is ingesteld op 0, worden computerinstellingen samen met gebruikersinstellingen gebruikt. In internetopties worden echter alleen gebruikersinstellingen weergegeven. Als deze DWORD-waarde bijvoorbeeld niet bestaat of is ingesteld op 0, HKEY_LOCAL_MACHINE worden instellingen samen met HKEY_CURRENT_USER instellingen gelezen, maar worden alleen HKEY_CURRENT_USER instellingen weergegeven in internetopties.

TemplatePolicies

De TemplatePolicies sleutel bepaalt de instellingen van de standaard beveiligingszoneniveaus. Deze niveaus zijn Laag, Gemiddeld laag, Gemiddeld en Hoog. U kunt de instellingen voor het beveiligingsniveau wijzigen van de standaardinstellingen. U kunt echter niet meer beveiligingsniveaus toevoegen. De sleutels bevatten waarden die de instelling voor de beveiligingszone bepalen. Elke sleutel bevat een tekenreekswaarde Beschrijving en een tekenreekswaarde Weergavenaam waarmee de tekst wordt bepaald die wordt weergegeven op het tabblad Beveiliging voor elk beveiligingsniveau.

ZoneMap

De ZoneMap sleutel bevat de volgende sleutels:

  • Domeinen
  • EscDomains
  • ProtocolDefaults
  • Bereiken

De Domains sleutel bevat domeinen en protocollen die zijn toegevoegd om hun gedrag te wijzigen van het standaardgedrag. Wanneer een domein wordt toegevoegd, wordt er een sleutel toegevoegd aan de Domains sleutel. Subdomeinen worden weergegeven als sleutels onder het domein waar ze thuishoren. Elke sleutel waarin een domein wordt vermeld, bevat een DWORD met een waardenaam van het betrokken protocol. De waarde van de DWORD is hetzelfde als de numerieke waarde van de beveiligingszone waar het domein wordt toegevoegd.

De EscDomains sleutel lijkt op de sleutel Domeinen, behalve dat de EscDomains sleutel van toepassing is op de protocollen die worden beïnvloed door internet Explorer Enhanced Security Configuration (IE ESC). IE ESC is geïntroduceerd in Microsoft Windows Server 2003 en is alleen van toepassing op serverbesturingssystemen.

De ProtocolDefaults sleutel geeft de standaardbeveiligingszone op die wordt gebruikt voor een bepaald protocol (ftp, http, https). Als u de standaardinstelling wilt wijzigen, kunt u een protocol toevoegen aan een beveiligingszone door Sites toevoegen te selecteren op het tabblad Beveiliging of u kunt een DWORD-waarde toevoegen onder de sleutel Domeinen. De naam van de DWORD-waarde moet overeenkomen met de protocolnaam en mag geen dubbele punten (:) of slashes (/) bevatten.

De ProtocolDefaults sleutel bevat ook DWORD-waarden die de standaardbeveiligingszones opgeven waarin een protocol wordt gebruikt. U kunt de besturingselementen op het tabblad Beveiliging niet gebruiken om deze waarden te wijzigen. Deze instelling wordt gebruikt wanneer een bepaalde website niet in een beveiligingszone valt.

De Ranges sleutel bevat bereiken van TCP/IP-adressen. Elk TCP/IP-bereik dat u opgeeft, wordt weergegeven in een willekeurige sleutel met een naam. Deze sleutel bevat een :Range tekenreekswaarde die het opgegeven TCP/IP-bereik bevat. Voor elk protocol wordt een DWORD-waarde toegevoegd die de numerieke waarde van de beveiligingszone voor het opgegeven IP-bereik bevat.

Wanneer het Urlmon.dll-bestand gebruikmaakt van de openbare functie MapUrlToZone om een bepaalde URL om te lossen naar een beveiligingszone, wordt een van de volgende methoden gebruikt:

  • Als de URL een FQDN (Fully Qualified Domain Name) bevat, wordt de domeinensleutel verwerkt.

    In deze methode overschrijft een exacte siteovereenkomst een willekeurige overeenkomst.

  • Als de URL een IP-adres bevat, wordt de Ranges sleutel verwerkt. Het IP-adres van de URL wordt vergeleken met de :Range waarde die is opgenomen in de willekeurig benoemde sleutels onder de Ranges sleutel.

Opmerking

Omdat willekeurig benoemde sleutels worden verwerkt in de volgorde waarin ze zijn toegevoegd aan het register, kan deze methode een willekeurige overeenkomst vinden voordat er een overeenkomst wordt gevonden. Als met deze methode eerst een willekeurige overeenkomst wordt gevonden, kan de URL worden uitgevoerd in een andere beveiligingszone dan de zone waar deze doorgaans wordt toegewezen. Dit gedrag is inherent aan het ontwerp van het product.

Zones

De Zones sleutel bevat sleutels die elke beveiligingszone vertegenwoordigen die is gedefinieerd voor de computer. Standaard worden de volgende vijf zones gedefinieerd (genummerd van nul tot en met vier):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Opmerking

Standaard wordt Deze computer niet weergegeven in het vak Zone op het tabblad Beveiliging, omdat deze is vergrendeld om de beveiliging te verbeteren.

Elk van deze sleutels bevat de volgende DWORD-waarden die overeenkomende instellingen vertegenwoordigen op het aangepaste tabblad Beveiliging.

Opmerking

Tenzij anders vermeld, is elke DWORD-waarde gelijk aan nul, één of drie. Een instelling van nul stelt doorgaans een specifieke actie in als toegestaan, een instelling van één zorgt ervoor dat een prompt wordt weergegeven en een instelling van drie verbiedt de specifieke actie.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Notities over 1200, 1A00, 1A10, 1E05, 1C00 en 2000

De volgende twee registervermeldingen zijn van invloed op de vraag of u ActiveX-besturingselementen in een bepaalde zone kunt uitvoeren:

  • 1200 Deze registervermelding bepaalt of u ActiveX-besturingselementen of -invoegtoepassingen kunt uitvoeren.
  • 2000 Deze registervermelding bepaalt binair gedrag en scriptgedrag voor ActiveX-besturingselementen of -invoegtoepassingen.

Opmerkingen over 1A02, 1A03, 1A05 en 1A06

De volgende vier registervermeldingen worden alleen van kracht als de volgende sleutels aanwezig zijn:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie van derden *

Registervermeldingen

  • 1A02 Permanente cookies toestaan die op uw computer worden opgeslagen #
  • 1A03 Cookies per sessie toestaan (niet opgeslagen) #
  • 1A05 Permanente cookies van derden toestaan *
  • 1A06 Sessiecookies van derden toestaan *

Deze registervermeldingen bevinden zich in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

In deze registersubsleutel <is ZoneNumber> een zone zoals 0 (nul). De 1200 registervermelding en de registervermelding bevatten elk een instelling met de 2000 naam Administrator approved. Wanneer deze instelling is ingeschakeld, wordt de waarde voor de specifieke registervermelding ingesteld op 00010000. Wanneer de door beheerder goedgekeurde instelling is ingeschakeld, onderzoekt Windows de volgende registersubsleutel om een lijst met goedgekeurde besturingselementen te vinden:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

De aanmeldingsinstelling (1A00) kan een van de volgende waarden hebben (hexadecimaal):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Privacy-instellingen (1A10) wordt gebruikt door de schuifregelaar op het tabblad Privacy. De DWORD-waarden zijn als volgt:

Alle cookies blokkeren: 00000003
Hoog: 00000001
Gemiddeld hoog: 00000001
Gemiddeld: 00000001
Laag: 00000001
Accepteer alle cookies: 00000000

Op basis van de instellingen in de schuifregelaar worden ook de waarden gewijzigd in {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} of beide.

De instelling Java-machtigingen (1C00) heeft de volgende vijf mogelijke waarden (binair):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Als Aangepast is geselecteerd, wordt {7839DA25-F5FE-11D0-883B-0080C726DCBB} (die zich op dezelfde registerlocatie bevindt) gebruikt om de aangepaste informatie op te slaan in een binair bestand.

Elke beveiligingszone bevat de tekenreekswaarde Beschrijving en de tekenreekswaarde Weergavenaam. De tekst van deze waarden wordt weergegeven op het tabblad Beveiliging wanneer u een zone selecteert in het vak Zone. Er is ook een tekenreekswaarde pictogram waarmee het pictogram wordt ingesteld dat voor elke zone wordt weergegeven. Met uitzondering van de zone Mijn computer bevat elke zone een CurrentLevel, MinLevelen RecommendedLevel DWORD-waarde. De MinLevel waarde stelt de laagste instelling in die kan worden gebruikt voordat u een waarschuwingsbericht ontvangt, CurrentLevel is de huidige instelling voor de zone en RecommendedLevel is het aanbevolen niveau voor de zone.

Welke waarden voor Minlevel, RecommendedLevelen CurrentLevel betekenen het volgende:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

De Flags DWORD-waarde bepaalt of de gebruiker de eigenschappen van de beveiligingszone kan wijzigen. Als u de Flags waarde wilt bepalen, voegt u de getallen van de juiste instellingen bij elkaar op. De volgende Flags waarden zijn beschikbaar (decimaal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Als u instellingen toevoegt aan zowel de HKEY_LOCAL_MACHINE- als de HKEY_CURRENT_USER substructuur, zijn de instellingen additief. Als u websites aan beide substructuren toevoegt, zijn alleen die websites in de HKEY_CURRENT_USER zichtbaar. De websites in de HKEY_LOCAL_MACHINE substructuur worden nog steeds afgedwongen op basis van hun instellingen. Ze zijn echter niet beschikbaar en u kunt ze niet wijzigen. Deze situatie kan verwarrend zijn omdat een website mogelijk slechts in één beveiligingszone voor elk protocol wordt vermeld.

Verwijzingen

Ga naar de volgende Microsoft-website voor meer informatie over wijzigingen in de functionaliteit in Microsoft Windows XP Service Pack 2 (SP2):

Deel 5: Verbeterde browsebeveiliging

Ga naar de volgende Microsoft-website voor meer informatie over URL-beveiligingszones:

Informatie over URL-beveiligingszones

Ga naar de volgende Microsoft-website voor meer informatie over het wijzigen van beveiligingsinstellingen in Internet Explorer:

Beveiligings- en privacyinstellingen voor Internet Explorer 11 wijzigen

Ga naar de volgende Microsoft-website voor meer informatie over zonevergrendeling van lokale computers in Internet Explorer:

Zonevergrendeling van lokale computer in Internet Explorer

Zie URL-actievlagmen voor meer informatie over waarden die zijn gekoppeld aan de acties die kunnen worden uitgevoerd in een URL-beveiligingszone.