Эта статья предназначена для службы поддержки и ИТ-специалистов. Если приведенные в ней сведения слишком сложны, рекомендуется обратиться за помощью к специалисту или в службу поддержки. Дополнительные сведения об обращении в службу поддержки см. на следующем веб-сайте корпорации Майкрософт: Дополнительные сведения об управлении параметрами безопасности и конфиденциальности в браузере Internet Explorer для пользователей домашних компьютеров см. в следующих статьях базы знаний Майкрософт:
Аннотация
В данной статье описывается хранение и управление параметрами конфиденциальности и зон безопасности Internet Explorer в реестре. Для настройки зон безопасности и параметров конфиденциальности можно использовать средства групповой политики или пакет администрирования Microsoft Internet Explorer (IEAK). Если вы используете средства групповой политики или IEAK на компьютере под управлением Windows 2000, возможно, для настройки зон безопасности и параметров конфиденциальности вам придется установить некоторые исправления.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
Чтобы получить помощь при настройке зон безопасности, перейдите к разделу Помощь в решении проблемы. Чтобы решить эту проблему самостоятельно, перейдите к разделу Самостоятельное решение проблемы.
316116 Не удается управлять средствами групповой политики обозревателя Internet Explorer 6 на компьютере под управлением системы Windows 2000
Чтобы получить помощь при настройке зон безопасности, перейдите к разделу Помощь в решении проблемы. Чтобы решить эту проблему самостоятельно, перейдите к разделу Самостоятельное решение проблемы.
Помощь в решении проблемы
Чтобы настроить зоны безопасности автоматически, щелкните ссылку Устранить проблему. Затем в диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте указаниям мастера.
Примечание. Интерфейс этого мастера доступен только на английском языке, однако автоматическое исправление можно выполнить и в других языковых версиях Windows.
Примечание. Если загрузка выполняется не с того компьютера, на котором выявлена проблема, можно сохранить автоматическое исправление на устройстве флэш-памяти или компакт-диске, чтобы запустить его на нужном компьютере.
Примечание. Интерфейс этого мастера доступен только на английском языке, однако автоматическое исправление можно выполнить и в других языковых версиях Windows.
Примечание. Если загрузка выполняется не с того компьютера, на котором выявлена проблема, можно сохранить автоматическое исправление на устройстве флэш-памяти или компакт-диске, чтобы запустить его на нужном компьютере.
Самостоятельное решение проблемы
Конфиденциальность в Internet Explorer 6
Для предоставления пользователям больших возможностей контролировать файлы «cookie» в Internet Explorer 6 добавлена вкладка «Конфиденциальность». Зона Интернет имеет разные уровни конфиденциальности, которые хранятся в реестре в том же местоположении, что и зоны безопасности.Можно также разрешать или блокировать файлы «cookie», расположенные на том или ином веб-узле, без учета политики конфиденциальности этого веб-узла. Эти разделы реестра хранятся в следующем подразделе:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
В этом подразделе реестра перечислены домены, добавленные в качестве управляемых сайтов. Данные домены могут содержать любое из следующих значений типа DWORD: 0x00000005 – Всегда блокировать
0x00000001 – Всегда разрешать
0x00000001 – Всегда разрешать
Internet Explorer 5.0 и более поздние версии
Параметры зон безопасности браузера Internet Explorer хранятся в следующих подразделах реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Эти разделы содержат следующие подразделы. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- TemplatePolicies
- ZoneMap
- Zones
Если в групповой политике включен параметр Зоны безопасности: использовать только параметры компьютера или если в следующем разделе реестра присутствует значение Security_HKLM_only типа DWORD, равное 1, используются только локальные параметры компьютера, и для всех пользователей используются одинаковые параметры безопасности:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Если используется политика Security_HKLM_only, обозреватель Internet Explorer будет использовать значения параметра HKLM. При этом значения параметра HKCU по-прежнему будут отображаться в параметрах зоны на вкладке Безопасность обозревателя Internet Explorer. В Internet Explorer 7 на вкладке Безопасность диалогового окна Свойства обозревателя отображается следующее сообщение, означающее, что этими параметрами управляет администратор:Если в групповой политике включен параметр Зоны безопасности: использовать только параметры компьютера не включен или параметр Security_HKLM_only типа DWORD не существует (имеет значение 0), применяются параметры как компьютера, так и пользователя. Однако в свойствах обозревателя отображаются только пользовательские параметры. Например, если такой параметр типа DWORD не существует или его значение равно нулю, параметры HKEY_LOCAL_MACHINE будут считываться вместе с параметрами HKEY_CURRENT_USER, при этом в свойствах обозревателя будут отображаться только параметры HKEY_CURRENT_USER.
TemplatePolicies
Раздел TemplatePolicies определяет настройку стандартных уровней зоны безопасности. Существуют следующие уровни: Низкий, Ниже среднего, Средний и Высокий. Имеется возможность выставить отличные от используемых по умолчанию параметры уровня безопасности, однако добавлять при этом дополнительные уровни безопасности нельзя. В разделе содержатся параметры, определяющие параметры для зоны безопасности. В каждый раздел входит строковый параметр Description и строковый параметр Display Name, которые определяют текст, отображаемый на вкладке Безопасность для каждого уровня безопасности.ZoneMap
Раздел ZoneMap содержит следующие подразделы:- Domains
- EscDomains
- ProtocolDefaults
- Ranges
Параметр реестра EscDomains похож на параметр Domains, за исключением того, что параметр EscDomains применяется к протоколам, на которые влияет расширенная настройка безопасности (ESC). ESC впервые появилась в системе Microsoft Windows Server 2003.
Раздел ProtocolDefaults определяет зону безопасности по умолчанию для отдельного протокола (ftp, http, https). Чтобы изменить параметр по умолчанию, можно либо добавить протокол в зону безопасности, нажав кнопку Узлы на вкладке Безопасность, либо добавить параметр типа DWORD в раздел Domains. Имя параметра типа DWORD соответствует названию протокола и не должно содержать двоеточий (:) и косых черт (/).
Раздел ProtocolDefaults содержит также параметр типа DWORD, определяющий зоны безопасности, в которых используется протокол. На вкладке Безопасность нельзя использовать элементы управления для изменения этих значений. Данный параметр используется в том случае, когда конкретный веб-узел не попадает в зону безопасности.
Раздел Ranges содержит диапазоны адресов TCP/IP. Каждый указанный диапазон TCP/IP отображается в произвольно именуемом разделе. Этот раздел содержит строковый параметр :Range с указанным диапазоном TCP/IP. Для каждого протокола добавляется значение типа DWORD, которое содержит цифровое значение зоны безопасности для указанного диапазона IP-адресов.
Если файл Urlmon.dll использует для разрешения отдельного URL-адреса для зоны безопасности открытую функцию MapUrlToZone, возможен вызов следующих методов.
- Если URL-адрес содержит полное доменное имя (FQDN), то выполняется обработка раздела Domains.
В этом методе точное соответствие узла имеет приоритет перед случайным соответствием. - Если URL-адрес содержит IP-адрес, выполняется обработка раздела Ranges. IP-адрес из URL-адреса сравнивается со значением параметра :Range, которое содержится в каждом произвольно именуемом подразделе в разделе Ranges.
Примечание. Поскольку произвольно именуемые разделы обрабатываются в том порядке, в котором они были добавлены в реестр, согласно этому методу случайное соответствие может быть найдено раньше точного соответствия. Если при этом раньше находится случайное соответствие, URL-адрес может обрабатываться в зоне безопасности, отличной от той, которой он обычно назначается.
Такое поведение является особенностью данного продукта.
Зоны
Примечание. Начиная с Windows XP с пакетом обновления 2 (SP2), зона локального компьютера по умолчанию блокируется для повышения уровня безопасности. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:922704 Сведения о некоторых новых параметрах групповой политики для зон безопасности Internet Explorer в Microsoft Windows XP с пакетом обновления 2 (SP2) и Microsoft Windows Server 2003 с пакетом обновления 1 (SP1)
Дополнительные сведения см. на следующем веб-сайте корпорации Майкрософт: В разделе реестра Zones содержатся подразделы, в которых представлены все зоны безопасности, определенные для компьютера. По умолчанию определяются следующие пять зон (от 0 до 4): Примечание. По умолчанию «Мой компьютер» в поле Зона на вкладке Безопасность не появляется.
Параметр Значение
------------------------------
0 Мой компьютер
1 Местная интрасеть
2 Надежные узлы
3 Интернет
4 Ограниченные узлы
Каждый из этих разделов содержит следующие параметры типа DWORD, представляющие соответствующие параметры на вкладке Безопасность.
Примечание. Если не указано иное, каждый параметр типа DWORD равен нулю, единице или трем. Как правило, значение 0 разрешает выполнение конкретного действия, 1 вызывает появление запроса, а 3 запрещает действие.
Значение Параметр ---------------------------------------------------------------------------------- 1001 Элементы ActiveX и подключаемые модули: Загружать подписанные элементы ActiveX 1004 Элементы ActiveX и подключаемые модули: Загружать неподписанные элементы ActiveX 1200 Элементы ActiveX и подключаемые модули: Запускать элементы ActiveX и подключаемые модули 1201 Элементы ActiveX и подключаемые модули: Использование элементов ActiveX, не помеченных как безопасные для выполнения сценариев 1206 Прочее: Разрешить сценарии для элемента управления обозревателем Internet Explorer ^ 1207 Зарезервировано # 1208 Элементы ActiveX и подключаемые модули: Разрешить запуск элементов управления ActiveX, которые не использовались ранее, без предупреждения ^ 1209 Элементы ActiveX и подключаемые модули: Разрешить сценарии 120A Элементы ActiveX и подключаемые модули: Элементы ActiveX и подключаемые модули: Переопределять ограничения ActiveX для веб-сайтов (на базе домена) 120B Элементы управления ActiveX и подключаемые модули: Переопределять ограничения ActiveX для веб-сайтов (на базе домена) 1400 Выполнение сценариев: Активные сценарии 1402 Выполнение сценариев: Выполнять сценарии апплетов Java 1405 Элементы ActiveX и подключаемые модули: Выполнять сценарии элементов управления ActiveX, помеченных как безопасные 1406 Прочее: Доступ к источникам данных за пределами домена 1407 Выполнение сценариев: Разрешить программный доступ к буферу обмена 1408 Зарезервировано # 1601 Прочее: Передача незашифрованных данных форм 1604 Загрузка: Загрузка шрифта 1605 Запускать программы Java # 1606 Прочее: Устойчивость данных пользователя ^ 1607 Прочее: Переход между кадрами через разные домены 1608 Прочее: Разрешать META REFRESH * ^ 1609 Прочее: Отображение разнородного содержимого * 160A Прочее: Включать путь к локальной папке при загрузке файлов на сервер ^ 1800 Прочее: Установка элементов рабочего стола 1802 Прочее: Перетаскивание или копирование и вставка файлов 1803 Загрузка: Загрузка файла ^ 1804 Прочее: Запуск программ и файлов в окне IFRAME 1805 Запуск программ и файлов в окне веб-представления # 1806 Прочее: Запуск программ и небезопасных файлов 1807 Зарезервировано ** # 1808 Зарезервировано ** # 1809 Прочее: Использовать блокирование всплывающих окон ** ^ 180A Зарезервировано # 180B Зарезервировано # 180C Зарезервировано # 180D Зарезервировано # 1A00 Проверка подлинности пользователя: Вход в систему 1A02 Разрешить использование постоянных файлов cookie, которые хранятся на компьютере # 1A03 Разрешить использование файлов cookie во время сеанса (не хранятся) # 1A04 Прочее: Не запрашивать сертификат клиента, когда он отсутствует или имеется только один * ^ 1A05 Разрешить использование файлов cookie сторонних компаний * 1A06 Разрешить использование файлов cookie сторонних компаний во время сеанса * 1A10 Параметры конфиденциальности * 1C00 Разрешения Java # 1E05 Прочее: Разрешения для канала программного обеспечения 1F00 Зарезервировано ** # 2000 Элементы ActiveX и подключаемые модули: Поведение двоичного кода и сценариев 2001 Компоненты .NET Framework: Запуск компонентов, снабженных сертификатом Authenticode 2004 Компоненты .NET Framework: Запуск компонентов, не снабженных сертификатом Authenticode 2100 Прочее: Открывать файлы на основе содержимого, а не расширения имени файла ** ^ 2101 Прочее: Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны ** 2102 Прочее: Разрешить запущенные сценарием окна без ограничений размеров и положения ** ^ 2103 Выполнение сценариев: Разрешить сценарию обновлять строку состояния ^ 2104 Прочее: Разрешить веб-узлам открывать окна без строки адреса или строки состояния ^ 2105 Выполнение сценариев: Разрешить веб-узлам запрашивать информацию с помощью окон со сценариями ^ 2200 Загрузка: Автоматически запрашивать загрузку файлов ** ^ 2201 Элементы ActiveX и подключаемые модули: Автоматически запрашивать элементы управления ActiveX ** ^ 2300 Прочее: Разрешать веб-страницам использовать ограниченные протоколы для активного содержимого ** 2301 Прочее: Использовать фильтр фишинга ^ 2400 .NET Framework: XAML-приложения обозревателя 2401 .NET Framework: XPS-документы 2402 .NET Framework: Свободный XAML 2500 Включить защищенный режим [параметр Windows Vista] # 2600 Разрешить установку .NET Framework ^
{AEBA21FA-782A-4A90-978D-B72164C80120} Основной файл cookie * {A8A88C49-5EB2-4990-A1A2-0876022C854F} Сторонний файл cookie*
* обозначает параметр обозревателя Internet Explorer 6 или более поздней версии ** обозначает параметр системы Windows XP с пакетом обновления 2 (SP2) или более поздней версии # обозначает параметр, который не отображается в пользовательском интерфейсе обозревателя Internet Explorer 7 ^ обозначает параметр, который может иметь только два значения — «включено» и «выключено»
Примечания к 1200, 1A00, 1A10, 1E05, 1C00 и 2000
Следующие два параметра реестра влияют на возможность запуска элементов управления ActiveX в конкретной зоне:- 1200 Этот параметр реестра определяет возможность запуска элементов управления ActiveX и подключаемых модулей.
- 2000 Этот параметр реестра контролирует обработку двоичного кода и обработку сценариев для элементов управления ActiveX и подключаемых модулей.
Примечание о 1A02, 1A03, 1A05 и 1A06
Указанные ниже четыре записи реестра применяются только при наличии следующих разделов:- {AEBA21FA-782A-4A90-978D-B72164C80120} Собственные файлы "Cookie" *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F} Сторонние файлы "Cookie" *
- 1A02 Разрешить использование файлов "Cookie", которые хранятся на компьютере #
- 1A03 Разрешить использование файлов "Cookie" сеанса (из сети) #
- 1A05 Разрешить использование сторонних файлов "Cookie" *
- 1A06 Разрешить использование сторонних файлов "Сookie" сеанса *
Эти параметры реестра находятся в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
В этом подразделе реестра <номер_зоны> соответствует зоне со значением 0 (нуль). Параметры реестра 1200 и 2000 содержат параметр Разрешено администратором. Если данный параметр включен, значение определенного параметра реестра устанавливается равным 00010000. Если параметр Разрешено администратором включен, система Windows выполняет проверку следующего подраздела реестра, чтобы определить местоположение списка разрешенных элементов управления: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
Параметр входа в систему (1A00) может иметь одно из следующих шестнадцатеричных значений: Настройки конфиденциальности (1A10) используются ползунком на вкладке Конфиденциальность. Ниже указаны значения параметра DWORD.
Параметр Значение
---------------------------------------------------------------
0x00000000 Автоматический вход в систему с текущим именем пользователя и паролем
0x00010000 Запрос имени пользователя и пароля
0x00020000 Автоматический вход в систему только в зону местной интрасети
0x00030000 Анонимный вход в систему
Блокировать все «cookie». 00000003
Высокий: 00000001
Умеренно высокий: 00000001
Средний: 00000001
Низкий: 00000001
Принимать все «cookie». 00000000
В зависимости от настроек ползунок также изменяет значения разделов {A8A88C49-5EB2-4990-A1A2-0876022C854F} и / или {AEBA21Fa-782A-4A90-978D-B72164C80120}. Высокий: 00000001
Умеренно высокий: 00000001
Средний: 00000001
Низкий: 00000001
Принимать все «cookie». 00000000
Разрешения канала программного обеспечения (1E05) имеют 3 различных значения: высокая, средняя и низкая безопасность. Значения этих параметров следующие:
высокая: 00010000
средняя: 00020000
низкая: 00030000
Параметр «Разрешения Java» (1C00) имеет пять возможных значений (двоичных): средняя: 00020000
низкая: 00030000
При выборе значения «Особая» для хранения специальных сведений используется двоичный параметр {7839DA25-F5FE-11D0-883B-0080C726DCBB} (находится в том же разделе реестра).
Параметр Значение
-----------------------
00 00 00 00 Отключить язык Java
00 00 01 00 Высокая безопасность
00 00 02 00 Средняя безопасность
00 00 03 00 Низкая безопасность
00 00 80 00 Особая
Каждая зона безопасности содержит строковые параметры Description и Display Name. Текст этих параметров появляется на вкладке Безопасность при выборе зоны в области Зона. Существует также строковое значение Icon, определяющее значок, который отображается для каждой зоны. За исключением зоны «Мой компьютер», каждая зона содержит параметры DWORD CurrentLevel, MinLevel и RecommendedLevel. Параметр MinLevel устанавливает нижний уровень, при котором пользователь получит предупреждение, параметр CurrentLevel представляет текущий уровень безопасности для зоны, а RecomendedLevel — рекомендуемый уровень.
Ниже приведена расшифровка значений параметров Minlevel, RecommendedLevel и CurrentLevel:
Параметр Flags типа DWORD определяет способность пользователя изменять свойства зоны безопасности. Для определения значения параметра Flags сложите числа соответствующих параметров. Доступны следующие значения параметра Flags (десятичные):
Параметр (шестнадцатеричный) Значение
----------------------------------
0x00010000 Низкая безопасность
0x00010500 Безопасность ниже среднего
0x00011000 Средняя безопасность
0x00012000 Высокая безопасность
Параметры поддеревьев реестра HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER являются аддитивными. При добавлении веб-узлов к обоим поддеревьям видимыми будут только веб-узлы в разделе HKEY_CURRENT_USER. Веб-сайты, которые находятся в поддереве HKEY_LOCAL_MACHINE, по-прежнему применяются в соответствии со своими параметрами. Однако их невозможно просмотреть и изменить. Это может вызывать путаницу, поскольку веб-узел может быть перечислен только в одной зоне безопасности для каждого протокола.
Значение Параметр
------------------------------------------------------------------
1 Разрешить изменение параметров
2 Разрешить пользователям добавление веб-узлов к данной зоне
4 Требуются проверенные веб-узлы (протокол https)
8 Включить веб-узлы, которые обходят прокси-сервер
16 Включить веб-узлы, не перечисленные в других зонах
32 Не показывать зону безопасности в свойствах обозревателя (значение по умолчанию
для зоны «Мой компьютер»)
64 Показывать диалоговое окно «Требуется проверка сервера»
128 Рассматривать подключения Universal Naming Connection (UNC) как подключения
интрасети
Ссылки
Дополнительные сведения об изменениях функциональности в Windows XP с пакетом обновления 2 (SP2) см. на следующем веб-сайте корпорации Майкрософт:Дополнительные сведения о зонах безопасности URL-адреса см. на следующем веб-сайте корпорации Майкрософт:Дополнительные сведения о запуске локальной веб-страницы или веб-страницы интрасети в зоне Интернета см. в блоге на следующем веб-сайте MSDN: Дополнительные сведения об установке зон безопасности см. на следующем веб-сайте корпорации Майкрософт: Дополнительные сведения об изменении параметров безопасности Internet Explorer см. на следующем веб-сайте корпорации Майкрософт: Дополнительные сведения о блокировании зоны локального компьютера в Internet Explorer см. на следующем веб-сайте корпорации Майкрософт: