Записи реестра зон безопасности Internet Explorer для опытных пользователей

Конфиденциальность в Internet Explorer 6

Для предоставления пользователям больших возможностей контролировать файлы «cookie» в Internet Explorer 6 добавлена вкладка «Конфиденциальность». Зона Интернет имеет разные уровни конфиденциальности, которые хранятся в реестре в том же местоположении, что и зоны безопасности.

Можно также разрешать или блокировать файлы «cookie», расположенные на том или ином веб-узле, без учета политики конфиденциальности этого веб-узла. Эти разделы реестра хранятся в следующем подразделе: В этом подразделе реестра перечислены домены, добавленные в качестве управляемых сайтов. Данные домены могут содержать любое из следующих значений типа DWORD:

Internet Explorer 5.0 и более поздние версии

Параметры зон безопасности браузера Internet Explorer хранятся в следующих подразделах реестра: Эти разделы содержат следующие подразделы.

• TemplatePolicies
• ZoneMap
• Zones

Примечание. По умолчанию параметры зон безопасности хранятся в поддереве реестра HKEY_CURRENT_USER. Параметры одного пользователя не влияют на параметры остальных пользователей, поскольку это поддерево динамически загружается для каждого пользователя.

Если в групповой политике включен параметр Зоны безопасности: использовать только параметры компьютера или если в следующем разделе реестра присутствует значение Security_HKLM_only типа DWORD, равное 1, используются только локальные параметры компьютера, и для всех пользователей используются одинаковые параметры безопасности: Если используется политика Security_HKLM_only, обозреватель Internet Explorer будет использовать значения параметра HKLM. При этом значения параметра HKCU по-прежнему будут отображаться в параметрах зоны на вкладке Безопасность обозревателя Internet Explorer. В Internet Explorer 7 на вкладке Безопасность диалогового окна Свойства обозревателя отображается следующее сообщение, означающее, что этими параметрами управляет администратор:

Если в групповой политике включен параметр Зоны безопасности: использовать только параметры компьютера не включен или параметр Security_HKLM_only типа DWORD не существует (имеет значение 0), применяются параметры как компьютера, так и пользователя. Однако в свойствах обозревателя отображаются только пользовательские параметры. Например, если такой параметр типа DWORD не существует или его значение равно нулю, параметры HKEY_LOCAL_MACHINE будут считываться вместе с параметрами HKEY_CURRENT_USER, при этом в свойствах обозревателя будут отображаться только параметры HKEY_CURRENT_USER.

TemplatePolicies

Раздел TemplatePolicies определяет настройку стандартных уровней зоны безопасности. Существуют следующие уровни: Низкий, Ниже среднего, Средний и Высокий. Имеется возможность выставить отличные от используемых по умолчанию параметры уровня безопасности, однако добавлять при этом дополнительные уровни безопасности нельзя. В разделе содержатся параметры, определяющие параметры для зоны безопасности. В каждый раздел входит строковый параметр Description и строковый параметр Display Name, которые определяют текст, отображаемый на вкладке Безопасность для каждого уровня безопасности.

ZoneMap

Раздел ZoneMap содержит следующие подразделы:

• Domains
• EscDomains
• ProtocolDefaults
• Ranges

Раздел Domains включает домены и протоколы, добавленные для изменения их стандартного поведения. При добавлении домена подраздел добавляется в раздел Domains. Поддомены появляются в виде подразделов в доменах, к которым они принадлежат. Каждый раздел, в котором перечислены домены, содержит параметр типа DWORD, имеющий имя соответствующего протокола. Значение параметра типа DWORD совпадает с цифровым значением зоны безопасности, к которой добавлен домен.

Параметр реестра EscDomains похож на параметр Domains, за исключением того, что параметр EscDomains применяется к протоколам, на которые влияет расширенная настройка безопасности (ESC). ESC впервые появилась в системе Microsoft Windows Server 2003.

Раздел ProtocolDefaults определяет зону безопасности по умолчанию для отдельного протокола (ftp, http, https). Чтобы изменить параметр по умолчанию, можно либо добавить протокол в зону безопасности, нажав кнопку Узлы на вкладке Безопасность, либо добавить параметр типа DWORD в раздел Domains. Имя параметра типа DWORD соответствует названию протокола и не должно содержать двоеточий (:) и косых черт (/).

Раздел ProtocolDefaults содержит также параметр типа DWORD, определяющий зоны безопасности, в которых используется протокол. На вкладке Безопасность нельзя использовать элементы управления для изменения этих значений. Данный параметр используется в том случае, когда конкретный веб-узел не попадает в зону безопасности.

Раздел Ranges содержит диапазоны адресов TCP/IP. Каждый указанный диапазон TCP/IP отображается в произвольно именуемом разделе. Этот раздел содержит строковый параметр :Range с указанным диапазоном TCP/IP. Для каждого протокола добавляется значение типа DWORD, которое содержит цифровое значение зоны безопасности для указанного диапазона IP-адресов.

Если файл Urlmon.dll использует для разрешения отдельного URL-адреса для зоны безопасности открытую функцию MapUrlToZone, возможен вызов следующих методов.

• Если URL-адрес содержит полное доменное имя (FQDN), то выполняется обработка раздела Domains.
  
  В этом методе точное соответствие узла имеет приоритет перед случайным соответствием.
• Если URL-адрес содержит IP-адрес, выполняется обработка раздела Ranges. IP-адрес из URL-адреса сравнивается со значением параметра :Range, которое содержится в каждом произвольно именуемом подразделе в разделе Ranges.
  
  Примечание. Поскольку произвольно именуемые разделы обрабатываются в том порядке, в котором они были добавлены в реестр, согласно этому методу случайное соответствие может быть найдено раньше точного соответствия. Если при этом раньше находится случайное соответствие, URL-адрес может обрабатываться в зоне безопасности, отличной от той, которой он обычно назначается.
  Такое поведение является особенностью данного продукта.

Зоны

Примечание. Начиная с Windows XP с пакетом обновления 2 (SP2), зона локального компьютера по умолчанию блокируется для повышения уровня безопасности. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

922704 Сведения о некоторых новых параметрах групповой политики для зон безопасности Internet Explorer в Microsoft Windows XP с пакетом обновления 2 (SP2) и Microsoft Windows Server 2003 с пакетом обновления 1 (SP1)

Дополнительные сведения см. на следующем веб-сайте корпорации Майкрософт: В разделе реестра Zones содержатся подразделы, в которых представлены все зоны безопасности, определенные для компьютера. По умолчанию определяются следующие пять зон (от 0 до 4):

   Параметр    Значение
   ------------------------------
   0        Мой компьютер
   1        Местная интрасеть
   2        Надежные узлы
   3        Интернет
   4        Ограниченные узлы
 

Примечание. По умолчанию «Мой компьютер» в поле Зона на вкладке Безопасность не появляется.

Каждый из этих разделов содержит следующие параметры типа DWORD, представляющие соответствующие параметры на вкладке Безопасность.

Примечание. Если не указано иное, каждый параметр типа DWORD равен нулю, единице или трем. Как правило, значение 0 разрешает выполнение конкретного действия, 1 вызывает появление запроса, а 3 запрещает действие.

Значение    Параметр ---------------------------------------------------------------------------------- 1001     Элементы ActiveX и подключаемые модули: Загружать подписанные элементы ActiveX 1004     Элементы ActiveX и подключаемые модули: Загружать неподписанные элементы ActiveX 1200     Элементы ActiveX и подключаемые модули: Запускать элементы ActiveX и подключаемые модули 1201     Элементы ActiveX и подключаемые модули: Использование элементов ActiveX, не помеченных как безопасные для выполнения сценариев 1206     Прочее: Разрешить сценарии для элемента управления обозревателем Internet Explorer ^ 1207     Зарезервировано # 1208     Элементы ActiveX и подключаемые модули: Разрешить запуск элементов управления ActiveX, которые не использовались ранее, без предупреждения ^ 1209     Элементы ActiveX и подключаемые модули: Разрешить сценарии 120A     Элементы ActiveX и подключаемые модули: Элементы ActiveX и подключаемые модули: Переопределять ограничения ActiveX для веб-сайтов (на базе домена) 120B     Элементы управления ActiveX и подключаемые модули: Переопределять ограничения ActiveX для веб-сайтов (на базе домена) 1400     Выполнение сценариев: Активные сценарии 1402     Выполнение сценариев: Выполнять сценарии апплетов Java 1405     Элементы ActiveX и подключаемые модули: Выполнять сценарии элементов управления ActiveX, помеченных как безопасные 1406     Прочее: Доступ к источникам данных за пределами домена 1407     Выполнение сценариев: Разрешить программный доступ к буферу обмена 1408     Зарезервировано # 1601     Прочее: Передача незашифрованных данных форм 1604     Загрузка: Загрузка шрифта 1605     Запускать программы Java # 1606     Прочее: Устойчивость данных пользователя ^ 1607     Прочее: Переход между кадрами через разные домены 1608     Прочее: Разрешать META REFRESH * ^ 1609     Прочее: Отображение разнородного содержимого * 160A     Прочее: Включать путь к локальной папке при загрузке файлов на сервер ^ 1800     Прочее: Установка элементов рабочего стола 1802     Прочее: Перетаскивание или копирование и вставка файлов 1803     Загрузка: Загрузка файла ^ 1804     Прочее: Запуск программ и файлов в окне IFRAME 1805      Запуск программ и файлов в окне веб-представления # 1806     Прочее: Запуск программ и небезопасных файлов 1807     Зарезервировано ** # 1808     Зарезервировано ** # 1809     Прочее: Использовать блокирование всплывающих окон ** ^ 180A     Зарезервировано # 180B     Зарезервировано # 180C     Зарезервировано # 180D     Зарезервировано # 1A00     Проверка подлинности пользователя: Вход в систему 1A02     Разрешить использование постоянных файлов cookie, которые хранятся на компьютере # 1A03     Разрешить использование файлов cookie во время сеанса (не хранятся) # 1A04     Прочее: Не запрашивать сертификат клиента, когда он отсутствует или имеется только один * ^ 1A05     Разрешить использование файлов cookie сторонних компаний * 1A06     Разрешить использование файлов cookie сторонних компаний во время сеанса * 1A10     Параметры конфиденциальности * 1C00     Разрешения Java # 1E05     Прочее: Разрешения для канала программного обеспечения 1F00     Зарезервировано ** # 2000     Элементы ActiveX и подключаемые модули: Поведение двоичного кода и сценариев 2001     Компоненты .NET Framework: Запуск компонентов, снабженных сертификатом Authenticode 2004     Компоненты .NET Framework: Запуск компонентов, не снабженных сертификатом Authenticode 2100     Прочее: Открывать файлы на основе содержимого, а не расширения имени файла  ** ^ 2101     Прочее: Веб-узлы из зон Интернета с наименьшими правами могут открываться из этой зоны ** 2102     Прочее: Разрешить запущенные сценарием окна без ограничений размеров и положения ** ^ 2103    Выполнение сценариев: Разрешить сценарию обновлять строку состояния ^ 2104     Прочее: Разрешить веб-узлам открывать окна без строки адреса или строки состояния ^ 2105     Выполнение сценариев: Разрешить веб-узлам запрашивать информацию с помощью окон со сценариями ^ 2200     Загрузка: Автоматически запрашивать загрузку файлов ** ^ 2201     Элементы ActiveX и подключаемые модули: Автоматически запрашивать элементы управления ActiveX ** ^ 2300     Прочее: Разрешать веб-страницам использовать ограниченные протоколы для активного содержимого ** 2301     Прочее: Использовать фильтр фишинга ^ 2400     .NET Framework: XAML-приложения обозревателя 2401     .NET Framework: XPS-документы 2402     .NET Framework: Свободный XAML 2500     Включить защищенный режим [параметр Windows Vista] # 2600     Разрешить установку .NET Framework ^


   {AEBA21FA-782A-4A90-978D-B72164C80120}   Основной файл cookie * {A8A88C49-5EB2-4990-A1A2-0876022C854F}   Сторонний файл cookie*

*  обозначает параметр обозревателя Internet Explorer 6 или более поздней версии ** обозначает параметр системы Windows XP с пакетом обновления 2 (SP2) или более поздней версии # обозначает параметр, который не отображается в пользовательском интерфейсе обозревателя Internet Explorer 7 ^  обозначает параметр, который может иметь только два значения — «включено» и «выключено» 

Примечания к 1200, 1A00, 1A10, 1E05, 1C00 и 2000

Следующие два параметра реестра влияют на возможность запуска элементов управления ActiveX в конкретной зоне:

• 1200 Этот параметр реестра определяет возможность запуска элементов управления ActiveX и подключаемых модулей.
• 2000 Этот параметр реестра контролирует обработку двоичного кода и обработку сценариев для элементов управления ActiveX и подключаемых модулей.

Примечание о 1A02, 1A03, 1A05 и 1A06

Указанные ниже четыре записи реестра применяются только при наличии следующих разделов:

• {AEBA21FA-782A-4A90-978D-B72164C80120} Собственные файлы "Cookie" *
• {A8A88C49-5EB2-4990-A1A2-0876022C854F} Сторонние файлы "Cookie" *

Записи реестра

• 1A02 Разрешить использование файлов "Cookie", которые хранятся на компьютере #
• 1A03 Разрешить использование файлов "Cookie" сеанса (из сети) #
• 1A05 Разрешить использование сторонних файлов "Cookie" *
• 1A06 Разрешить использование сторонних файлов "Сookie" сеанса *

Эти параметры реестра находятся в следующем подразделе реестра:

В этом подразделе реестра <номер_зоны> соответствует зоне со значением 0 (нуль). Параметры реестра 1200 и 2000 содержат параметр Разрешено администратором. Если данный параметр включен, значение определенного параметра реестра устанавливается равным 00010000. Если параметр Разрешено администратором включен, система Windows выполняет проверку следующего подраздела реестра, чтобы определить местоположение списка разрешенных элементов управления:

Параметр входа в систему (1A00) может иметь одно из следующих шестнадцатеричных значений:

Параметр    Значение
   ---------------------------------------------------------------
   0x00000000 Автоматический вход в систему с текущим именем пользователя и паролем
   0x00010000 Запрос имени пользователя и пароля
   0x00020000 Автоматический вход в систему только в зону местной интрасети
   0x00030000 Анонимный вход в систему
 

Настройки конфиденциальности (1A10) используются ползунком на вкладке Конфиденциальность. Ниже указаны значения параметра DWORD. В зависимости от настроек ползунок также изменяет значения разделов {A8A88C49-5EB2-4990-A1A2-0876022C854F} и / или {AEBA21Fa-782A-4A90-978D-B72164C80120}.
Разрешения канала программного обеспечения (1E05) имеют 3 различных значения: высокая, средняя и низкая безопасность. Значения этих параметров следующие: Параметр «Разрешения Java» (1C00) имеет пять возможных значений (двоичных):

   Параметр    Значение
   -----------------------
   00 00 00 00 Отключить язык Java
   00 00 01 00 Высокая безопасность
   00 00 02 00 Средняя безопасность
   00 00 03 00 Низкая безопасность
   00 00 80 00 Особая
 

При выборе значения «Особая» для хранения специальных сведений используется двоичный параметр {7839DA25-F5FE-11D0-883B-0080C726DCBB} (находится в том же разделе реестра).

Каждая зона безопасности содержит строковые параметры Description и Display Name. Текст этих параметров появляется на вкладке Безопасность при выборе зоны в области Зона. Существует также строковое значение Icon, определяющее значок, который отображается для каждой зоны. За исключением зоны «Мой компьютер», каждая зона содержит параметры DWORD CurrentLevel, MinLevel и RecommendedLevel. Параметр MinLevel устанавливает нижний уровень, при котором пользователь получит предупреждение, параметр CurrentLevel представляет текущий уровень безопасности для зоны, а RecomendedLevel — рекомендуемый уровень.

Ниже приведена расшифровка значений параметров Minlevel, RecommendedLevel и CurrentLevel:

Параметр (шестнадцатеричный)        Значение
----------------------------------
0x00010000         Низкая безопасность
0x00010500         Безопасность ниже среднего
0x00011000         Средняя безопасность
0x00012000         Высокая безопасность
 

Параметр Flags типа DWORD определяет способность пользователя изменять свойства зоны безопасности. Для определения значения параметра Flags сложите числа соответствующих параметров. Доступны следующие значения параметра Flags (десятичные):

   Значение    Параметр
   ------------------------------------------------------------------
   1        Разрешить изменение параметров
   2        Разрешить пользователям добавление веб-узлов к данной зоне
   4        Требуются проверенные веб-узлы (протокол https)
   8        Включить веб-узлы, которые обходят прокси-сервер
   16      Включить веб-узлы, не перечисленные в других зонах
   32       Не показывать зону безопасности в свойствах обозревателя (значение по умолчанию
            для зоны «Мой компьютер»)
   64       Показывать диалоговое окно «Требуется проверка сервера»
   128      Рассматривать подключения Universal Naming Connection (UNC) как подключения
            интрасети
 

Параметры поддеревьев реестра HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER являются аддитивными. При добавлении веб-узлов к обоим поддеревьям видимыми будут только веб-узлы в разделе HKEY_CURRENT_USER. Веб-сайты, которые находятся в поддереве HKEY_LOCAL_MACHINE, по-прежнему применяются в соответствии со своими параметрами. Однако их невозможно просмотреть и изменить. Это может вызывать путаницу, поскольку веб-узел может быть перечислен только в одной зоне безопасности для каждого протокола.