Często zadawane pytania dotyczące konfiguracji zwiększonych zabezpieczeń programu Internet Explorer (ESC)

Dotyczy: Internet Explorer

Co to jest Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer?


Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer (ESC) ustanawia ustawienia zabezpieczeń, które definiują sposób przeglądania witryn internetowych i intranetowych przez użytkowników. Te ustawienia ograniczają również narażenie serwerów na witryny sieci Web, które mogą stanowić zagrożenie bezpieczeństwa. Ten proces jest również nazywany IEHarden. Aby uzyskać więcej informacji, zobacz Konfiguracja zwiększonych zabezpieczeń w programie Internet Explorer:

Czy muszę włączyć program Internet Explorer ESC?


Ta funkcja jest domyślnie włączona na serwerach.

Jakie są efekty włączenia programu Internet Explorer ESC?


Program Internet Explorer ESC dostosowuje ustawienia rozszerzania i zabezpieczeń programu Internet Explorer, aby zmniejszyć podatność na potencjalne zagrożenia bezpieczeństwa. Te ustawienia znajdują się na karcie Zaawansowane w oknie Opcje internetowe w Panelu sterowania. W poniższej tabeli opisano ustawienia.

Funkcji

Przyjmowani

Nowe ustawienie

Wynikiem

Szukiwan

Wyświetlanie okna dialogowego Konfiguracja zwiększonych zabezpieczeń.

Podczas

Wyświetla okno dialogowe z powiadomieniem, że witryna internetowa usiłuje użyć skryptów lub kontrolek ActiveX.

Szukiwan

Włącz rozszerzenia przeglądarki.

Start

Wyłącza zainstalowane przez Ciebie funkcje do użytku z programem Internet Explorer utworzonym przez firmy inne niż Microsoft.

Szukiwan

Włącz funkcję Instaluj na żądanie (Internet Explorer).

Start

Wyłącza instalowanie składników programu Internet Explorer na żądanie, jeśli jest to wymagane przez stronę sieci Web.

Szukiwan

Włącz instalację na żądanie (inne).

Start

Wyłącza instalowanie składników sieci Web na żądanie, jeśli jest to wymagane przez stronę sieci Web.

Microsoft VM

Włączony kompilator JIT (just in Time) dla maszyny wirtualnej (wymaga ponownego uruchomienia).

Start

Wyłącza kompilator Microsoft VM.

MMS

Nie wyświetlaj zawartości online na pasku multimediów.

Podczas

Wyłącza odtwarzanie zawartości multimedialnej na pasku multimediów programu Internet Explorer.

MMS

Odtwarzaj dźwięki na stronach sieci Web.

Start

Wyłącza muzykę i inne dźwięki.

MMS

Odtwarzaj animacje na stronach sieci Web.

Start

Wyłącza animacje.

MMS

Odtwarzaj wideo na stronach internetowych.

Start

Wyłącza klipy wideo.

Zabezpieczeń

Sprawdź, czy nie ma odwołania certyfikatu serwera (wymaga ponownego uruchomienia).

Podczas

Automatycznie sprawdza certyfikat witryny sieci Web, aby sprawdzić, czy certyfikat został odwołany przed zaakceptowaniem certyfikatu jako ważny.

Zabezpieczeń

Wyszukaj podpisy w pobranych programach.

Podczas

Automatycznie weryfikuje i wyświetla tożsamość pobranych programów.

Zabezpieczeń

Nie zapisuj zaszyfrowanych stron na dysku.

Podczas

Wyłącza zapisywanie zabezpieczonych informacji w folderze tymczasowych plików internetowych.

Zabezpieczeń

Opróżnij folder Temporary Internet Files po zamknięciu przeglądarki.

Podczas

Automatycznie czyści folder Temporary Internet Files po zamknięciu przeglądarki.

Te zmiany redukują funkcjonalność stron sieci Web, aplikacji opartych na sieci Web, lokalnych zasobów sieciowych i aplikacji korzystających z przeglądarki do wyświetlania pomocy, pomocy technicznej i ogólnej pomocy dla użytkowników.

Jak mogę wyłączyć program Internet Explorer ESC na serwerach z systemem Windows?


Aby wyłączyć program Internet Explorer ESC, wykonaj następujące czynności:

  1. Wprowadź Menedżera serwera w usłudze Windows Search, aby uruchomić program Menedżer serwerów.
  2. Wybierz pozycję serwer lokalny.
  3. Przejdź do właściwości Konfiguracja zwiększonych zabezpieczeń programu IE , wybierz bieżące ustawienie, aby otworzyć stronę właściwości, wybierz przycisk opcji wył dla wybranych użytkowników, a następnie wybierz przycisk OK.
    Ustawienie konfiguracji IE ESC w Menedżerze serwera
    Wybierz pozycję-off-opcja
  4. Wybierz ikonę Odśwież na pasku narzędzi Menedżer serwerów , aby wyświetlić nowe ustawienia w Menedżerze serwera.
    Current-IE-ustawienia ESC

W poniższym klipie wideo przedstawiono tę procedurę.

Aby uzyskać więcej informacji, zobacz Zarządzanie serwerem lokalnym i konsolą Menedżer serwerów.

Jak mogę wyłączyć program Internet Explorer ESC przy użyciu skryptu?


Aby wyłączyć program Internet Explorer ESC przy użyciu skryptu, wykonaj następujące czynności: 

  1. Pobierz i Zapisz IEHArden_V5. zip.
  2. Wyodrębnij IEHArden_V5 .Collection z pliku skompresowanego (zip), a następnie uruchom go w wierszu poleceń administracyjnych lub jako część skryptu logowania przy użyciu procedury, którą opisano w temacie Przypisywanie skryptów logowania użytkowników.

Zawartość pliku wsadowego

ECHO OFF# This sample script is not supported under any Microsoft standard support program or service. # The sample script is provided AS IS without warranty of any kind. Microsoft further disclaims # all implied warranties including, without limitation, any implied warranties of merchantability # or of fitness for a particular purpose. The entire risk arising out of the use or performance of # the sample scripts and documentation remains with you. In no event shall Microsoft, its authors, # or anyone else involved in the creation, production, or delivery of the scripts be liable for any # damages whatsoever (including, without limitation, damages for loss of business profits, business # interruption, loss of business information, or other pecuniary loss) arising out of the use of or # inability to use the sample scripts or documentation, even if Microsoft has been advised of the # possibility of such damagesREM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)REM  Please understand, this is not a recommended step for servers that have any internet access and should be used carefully!REM  Please review the folowing Article for more IE Enhanced Security Configuration https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd883248(v=ws.10)?redirectedfrom=MSDNREM  IEHarden Removal Project EndECHO ON::Related Article::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991:: Rem out if you like to Backup the registry keys::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg" ::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /fREG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f ::x64REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f::Disables IE Harden for user if set to 1 which is enabledREG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /fREG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /fREG ADD "HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios::Rundll32 iesetup.dll,IEHardenLMSettingsRundll32 iesetup.dll,IEHardenUserRundll32 iesetup.dll,IEHardenAdminRundll32 iesetup.dll,IEHardenMachineNow::This apply to Windows 2003 ServersREG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /vaREG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /vaREG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /fREG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below:: 32-bit HKCU KeysREG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /fREG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /fREG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7 :: Intranet Protected mode is disable. Warning should not appear and this key will disable the warningREG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f:: Removing Terminal Server Shadowing x86 32bit REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f:: Removing Terminal Server Shadowing Wow6432NodeREG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Jak zarządzać ustawieniem IEHarden dla użytkowników przy użyciu preferencji zasad grupy (GPP)?


Aby zmienić ustawienie IEHarden dla użytkowników przy użyciu konfiguracji rejestru preferencji zasad grupy, wykonaj następujące czynności:

  1. Otwórz konsolę GPMCM. msc, a następnie przejdź do apletu Konfiguracja użytkownika > Preferencje > Ustawienia systemu Windows.
  2. W okienku nawigacji kliknij prawym przyciskiem myszy obiekt rejestru , a następnie wybierz pozycję nowyelement rejestru>.
    Nowy-a-rejestr-element
  3. W oknie Właściwości IEHardenokreśl następujące ustawienia: Lokalizacja: HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap Nazwa wartości: IEHarden Typ wartości: REG_DWORD Dane wartości: 0 lub 00000000
    Rejestr — ustawienia
  4. Wybierz pozycję Zastosuj i OK , aby ukończyć tę konfigurację GPP.

Uwaga Jeśli to nie rozwiąże problemu, warto również sprawdzić następujące podklucze rejestru. W większości przypadków nie jest to konieczne.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Po wyłączeniu klawisza ESC za pomocą Menedżera serwera program Internet Explorer nie działa. Co mam zrobić?


Aby rozwiązać ten problem, zobacz Użytkownicy standardowi nie można wyłączyć funkcji rozszerzonych zabezpieczeń programu Internet Explorer na serwerze terminali z systemem Windows Server 2003 lub nowszej wersji. W zasadzie może być konieczne ponowne włączenie lub wyłączenie klawisza ESC. Kierowanie rejestru może być Najprostszym sposobem rozwiązania tego problemu.