Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để tăng cường các thiết đặt bảo mật cho vùng máy địa phương trong Internet Explorer

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:833633
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Cảnh báo Nếu bạn chọn để thực hiện các thay đổi đã được mô tả trong bài viết này, bạn có thể mất một số chức năng trong một số cửa sổ chương trình và các thành phần. Vì vậy, chúng tôi đề nghị bạn kiểm tra các thay đổi rộng rãi đến kiểm chứng rằng nhiệm vụ quan trọng các chương trình tiếp tục hoạt động chính xác cho tất cả người dùng trước khi bạn tạo những thay đổi trong một môi trường sản xuất.

Bài viết này mô tả như thế nào người quản trị có thể tăng cường bảo mật thiết đặt cho vùng máy địa phương, Microsoft Internet Explorer. Các địa phương Máy khu cũng được gọi là khu vực My Computer. Thông tin trong bài viết này áp dụng sau đây cấu hình:
  • 32-bit phiên bản của Internet Explorer trên 32-bit phiên bản của Microsoft Windows
  • 64-bit phiên bản của Internet Explorer trên 64-bit phiên bản của Microsoft Windows XP
  • 64-bit phiên bản của Internet Explorer trên 64-bit phiên bản của Microsoft Windows Server 2003
Chú ý Microsoft Windows XP Service Pack 2 (SP2) đặt những hạn chế trên khu vực địa phương máy. Vì vậy, nếu bạn cài đặt Windows XP SP2, bạn có thể không có để thực hiện một trong các thủ tục được mô tả trong bài viết này.

THÔNG TIN THÊM

Các Giao diện người dùng Internet Explorer cho phép bạn lập cấu hình bốn vùng bảo mật:
  • Internet
  • Intranet cục bộ
  • Site tin cậy
  • Site bị hạn chế
Một Thứ 5 khu, khu vực máy địa phương, là một khu vực tiềm ẩn tồn tại ngày của bạn máy tính cục bộ. Bạn không thể cấu hình các thiết đặt bảo mật cho vùng này trong Internet Explorer. Bạn cũng không thể cấu hình các thiết đặt bảo mật bằng cách sử dụng bảng điều khiển tùy chọn Internet. Tuy nhiên, nếu bạn có cho phép quản trị viên, bạn có thể cấu hình các thiết đặt bảo mật cho các Địa phương máy khu bằng cách thay đổi thiết đặt đăng ký.

Internet Explorer cho phép bạn chỉ định một Trang web đến một khu vực an ninh. Một trang Web có đang ở trong vùng Internet có một mức độ cao hơn an ninh hơn một trang Web là các trang web site tin cậy vùng hay đó là trong intranet cục bộ khu vực. Bằng cách chỉ định một trang Web đến một khu vực an ninh, bạn có thể kiểm soát như thế nào một trang Web thực hiện các hoạt động trên máy tính của bạn. Ví dụ, bạn có thể ngăn ngừa một trang Web từ thực hiện các hoạt động có tiềm năng không an toàn trên máy tính của bạn bằng cách chỉ định các Trang web đến một khu vực an ninh có mức bảo mật, hầu hết hạn chế.

Một trang Web có đang ở trong khu vực địa phương máy có một thiết lập bảo mật ít hạn chế hơn so với một trang Web có đang ở trong bất kỳ một trong những khu khác. Ngoại lệ cho quy tắc này là bất kỳ nội dung nào mà Internet Explorer lưu trữ trên máy tính địa phương của bạn. Một người sử dụng độc hại có thể cố gắng chạy mã tùy ý vào máy tính của bạn bằng cách tận dụng của ít hạn chế thiết đặt bảo mật cho vùng máy địa phương.

Khi bạn tăng cường bảo mật thiết đặt vùng máy địa phương, người dùng có thể gặp một hoặc nhiều các hành vi sau đây:
  • Người dùng được nhắc trước khi họ có thể mở một nguồn dữ liệu trên một tên miền.
  • Người dùng được nhắc trước khi họ có thể chạy một kịch bản trên một trang.
  • Điều khiển ActiveX và Java chương trình sẽ không chạy.
  • Các trang Web mà người dùng đang cố gắng mở không có thể được hiển thị một cách chính xác.

Thiết đặt bảo mật cho khu vực địa phương máy đang được lưu trong sổ đăng ký subkeys sau đây, tùy thuộc vào các điều kiện sau đây:
  • Nếu bạn cho phép người dùng đặt bảo mật Internet Explorer riêng của họ cài đặt, thiết đặt bảo mật cho khu vực địa phương máy được lưu trữ trong này subkey:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • Nếu bạn buộc tất cả người dùng có cùng một Internet Explorer thiết đặt bảo mật, thiết đặt bảo mật Đối với khu vực địa phương máy sẽ được lưu trong này subkey:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Bởi mặc định, khu vực an ninh thiết đặt được lưu trong sổ đăng ký subtree sau đây:
HKEY_CURRENT_USER
Bởi vì subtree này được tự động nạp cho mỗi người dùng, các thiết đặt cho một người sử dụng không ảnh hưởng đến các cài đặt cho người dùng khác. Để xác định cho dù tất cả người dùng có cùng thiết đặt an ninh, nhìn cho một trong các điều kiện sau đây:
  • Vùng bảo mật: các Sử dụng chỉ máy thiết lập tùy chọn trong chính sách nhóm được kích hoạt.
  • Giá trị Security_HKLM_only DWORD tồn tại, và nó có một giá trị là 1.
Giá trị Security_HKLM_only DWORD được lưu trữ trong các following registry subkey:
Cài đặt HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet

Thiết đặt máy tính và thiết lập người dùng được sử dụng khi một số các sau điều kiện là đúng:
  • Vùng bảo mật: các Sử dụng chỉ máy thiết lập tùy chọn trong chính sách nhóm không được phép
  • Giá trị Security_HKLM_only DWORD không tồn tại
  • Giá trị Security_HKLM_only DWORD được đặt thành 0

Nếu giá trị Security_HKLM_only DWORD không tồn tại, hoặc nếu giá trị Security_HKLM_only DWORD được đặt thành 0, Internet Explorer lần đọc các HKEY_LOCAL_MACHINE khóa registry và khóa registry HKEY_CURRENT_USER tương ứng. Tuy nhiên, chỉ có các thiết đặt HKEY_CURRENT_USER xuất hiện trong các Bảng điều khiển tùy chọn Internet.

Thiết đặt bảo mật hiển thị trong Pa-nen điều khiển tùy chọn Internet có tương ứng với số các giá trị trong registry. Bảng dưới đây cho thấy giá trị mặc định cho mỗi thiết lập bảo mật. Bảng cũng cho thấy các giá trị được đề nghị mà bạn có thể sử dụng để tăng cường mỗi thiết đặt bảo mật cho vùng máy địa phương.
Bảo mật thiết lập tên trong giao diệnCơ quan đăng ký giá trị số tên (loại)Mặc định Registry Value DataKhuyến cáo Registry Value Data
Chạy điều khiển ActiveX và phần bổ sung1200 (DWORD)03
Khởi tạo và script các điều khiển ActiveX không đánh dấu là an toàn1201 (DWORD)13
Active scripting1400 (DWORD)01
Nguồn dữ liệu truy cập trên tên miền1406 (DWORD)01
Cấp phép Java1 C 00 (nhị phân)00 00 02 0000 00 00 00
Trong bảng nói trên, các cài đặt cho các giá trị DWORD có nghĩa là sau đây:
  • 0 chỉ ra rằng các hành động được kích hoạt. Đây là mặc định thiết lập.
  • 1 cho biết rằng một dấu nhắc sẽ xuất hiện.
  • 3 chỉ ra rằng các hành động bị tắt.
Thiết lập mặc định của 00 00 02 00 cho giá trị nhị phân chỉ ra một mức trung bình của an toàn. 00 00 00 00 Thiết vô hiệu hóa Java.

Chú ý Cho Active scripting, một thiết lập 1 có thể gây ra quá nhiều chỉ dẫn để xuất hiện. Vì vậy, bạn có thể muốn cho phép script. Để thực hiện việc này, thiết lập các hoạt động kịch bản giá trị 0. Nếu bạn không muốn để thiết lập hoạt động kịch bản để nhắc, thay đổi dòng bắt đầu với 1400 trong phần tiếp theo, "làm thế nào để thay đổi an ninh thiết đặt cho vùng máy địa phương."


Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows


Để thay đổi thiết đặt bảo mật cho vùng máy địa phương, thay đổi hoặc là các Giá trị DWORD hoặc giá trị nhị phân. Sử dụng phương pháp thích hợp để của bạn môi trường.

Tăng cường thiết lập mặc định cho máy địa phương vùng
Trong môi trường hoạt động thư mục, sử dụng đối tượng chính sách nhóm biên tập, trước đây gọi Theo soạn thảo chính sách nhóm. Để tăng cường các thiết đặt bảo mật cho các địa phương Máy khu, hãy làm theo các bước sau:
  1. Sao văn bản sau đây và dán nó vào một trình soạn thảo văn bản, chẳng hạn như Notepad.

    Nếu người dùng có thể thiết lập của riêng mình thiết đặt bảo mật, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
    Nếu tất cả người dùng phải sử dụng cùng một thiết đặt bảo mật, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
  2. Lưu tệp như ADHardenLMZ.reg.
  3. Ngày máy tính nơi bạn muốn chạy trình soạn thảo đối tượng chính sách nhóm, chạy các ADHardenLMZ.reg tệp để chuyển nhập các thiết đặt đăng ký vào sổ đăng ký.
  4. Mở Soạn thảo đối tượng chính sách nhóm cho đối tượng Active Directory mà bạn muốn Sửa đổi.
  5. Bạn có thể được nhắc nhở cho các hành động sau đây:
    • Cho phép script để chạy
    • Xác nhận rằng bạn muốn tiếp tục chạy script
    Nếu bạn nhận được này nhanh chóng, nhấp Có. Nếu bạn nhận được một tin nhắn mà biểu rằng thiết đặt hiện thời không cho phép điều khiển ActiveX được chạy, bấm vào Ok.

    Chú ý Sau khi bạn tăng cường các thiết đặt bảo mật cho máy địa phương khu, cửa sổ trợ giúp sẽ không còn xuất hiện trong nhóm chính sách biên soạn đối tượng.
  6. Mở rộng Cấu hình người dùng, mở rộng Thiết đặt Windows, mở rộng Internet Explorer Maintenance, và sau đó mở rộng Bảo mật. Bấm đúp Vùng bảo mật và nội dung Đánh giá.
  7. Nhấp vào Chuyển nhập hiện tại vùng bảo mật và quyền riêng tư thiết đặt, sau đó bấm Ok.
Khôi phục thiết đặt mặc định cho máy địa phương vùng
Để khôi phục thiết đặt mặc định cho máy địa phương vùng, hãy làm theo các bước sau:
  1. Sao văn bản sau đây và dán nó vào một trình soạn thảo văn bản, chẳng hạn như Notepad.

    Nếu người dùng có thể thiết lập của riêng mình thiết đặt bảo mật, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
    Nếu tất cả người dùng phải sử dụng cùng một thiết đặt bảo mật, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
  2. Lưu tệp như ADDefaultLMZ.reg.
  3. Ngày máy tính nơi bạn muốn chạy trình soạn thảo đối tượng chính sách nhóm, chạy các ADDefaultLMZ.reg tệp để chuyển nhập các thiết đặt mặc định vào sổ đăng ký.
  4. Mở Soạn thảo đối tượng chính sách nhóm cho đối tượng Active Directory mà bạn muốn Sửa đổi.
  5. Bạn có thể được nhắc nhở cho các hành động sau đây:
    • Cho phép script để chạy
    • Xác nhận rằng bạn muốn tiếp tục chạy script
    Nếu bạn nhận được này nhanh chóng, nhấp Có. Nếu bạn nhận được một tin nhắn mà biểu rằng thiết đặt hiện thời không cho phép điều khiển ActiveX được chạy, bấm vào Ok.

    Chú ý Sau khi bạn tăng cường các thiết đặt bảo mật cho máy địa phương khu, cửa sổ trợ giúp sẽ không còn xuất hiện trong nhóm chính sách biên soạn đối tượng.
  6. Mở rộng Cấu hình người dùng, mở rộng Thiết đặt Windows, mở rộng Internet Explorer Maintenance, và sau đó mở rộng Bảo mật. Bấm đúp Vùng bảo mật và nội dung Đánh giá.
  7. Nhấp vào Chuyển nhập hiện tại vùng bảo mật và quyền riêng tư thiết đặt, sau đó bấm Ok.

Tăng cường thiết lập mặc định cho máy địa phương vùng
Để tăng cường các thiết đặt bảo mật cho vùng máy địa phương, nhập khẩu các Cập Nhật thiết đặt bảo mật vào sổ đăng ký. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Sao văn bản sau đây và dán nó vào một trình soạn thảo văn bản, chẳng hạn như Notepad.

    Nếu người dùng có thể thiết lập của riêng mình Thiết đặt bảo mật Internet Explorer, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
    Nếu tất cả người dùng có cùng thiết đặt bảo mật, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]"Security_HKLM_only"=dword:00000001
  2. Lưu tệp như HardenLMZ.reg.
  3. Chạy các tập tin HardenLMZ.reg trên tất cả các khách hàng máy tính để chuyển nhập các thiết đặt vào các sổ đăng ký.
Khôi phục thiết đặt mặc định cho máy địa phương vùng
Để khôi phục thiết đặt mặc định cho máy địa phương vùng, hãy làm theo các bước sau:
  1. Sao văn bản sau đây và dán nó vào một trình soạn thảo văn bản, chẳng hạn như Notepad.

    Nếu người dùng có thể thiết lập của riêng mình Thiết đặt bảo mật Internet Explorer, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
    Nếu tất cả người dùng có cùng thiết đặt bảo mật, sử dụng văn bản sau đây:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]"Security_HKLM_only"=dword:00000001
  2. Lưu tệp như DefaultLMZ.reg.
  3. Chạy các tập tin DefaultLMZ.reg trên tất cả các khách hàng máy tính để chuyển nhập các thiết đặt vào các sổ đăng ký.

Sau khi bạn tăng cường các thiết đặt bảo mật cho khu vực địa phương máy, bạn có thể chỉ định một tệp HTML địa phương có chứa các kịch bản, Điều khiển ActiveX hoặc chương trình Java cho vùng Internet. Khi Internet Explorer mở tập tin HTML, Internet Explorer sẽ cho nhận xét "được lưu từ URL". Nếu Internet Explorer tìm thấy những nhận xét "được lưu từ URL", Internet Explorer sử dụng thiết đặt bảo mật cho vùng Internet thay vì các thiết đặt cho vùng máy địa phương. Nếu vùng Internet được cấu hình để chạy các script, để chạy điều khiển ActiveX, hoặc để chạy chương trình Java, những mục này sẽ chạy và bạn sẽ không kinh nghiệm các hành vi được mô tả trong các "trước khi bạn tăng cường các thiết đặt bảo mật cho các Máy địa phương vùng"phần.

Để gán một tệp HTML cục bộ vào vùng Internet, bạn có thể thêm một bình luận "được lưu từ URL" cho các tập tin HTML địa phương. Bình luận này chỉ thị cho Internet Explorer để áp dụng các thiết đặt bảo mật cho vùng Internet để các tập tin HTML sẽ được lưu vào của bạn đĩa cứng. Bình luận này phải trông tương tự như sau:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


Giá trị trong ngoặc đơn đại diện cho số lượng nhân vật trong URL sau dấu hiệu bình đẳng. Trong ví dụ này, giá trị này là 0023. Contoso đại diện cho tên của một Internet trang web.

THAM KHẢO
Để biết thêm chi tiết về làm thế nào để phân phối thay đổi sổ đăng ký cho nhiều máy tính bằng cách sử dụng một tập tin reg, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
310516Làm thế nào để thêm, sửa đổi hoặc xóa sổ đăng ký subkeys và các giá trị bằng cách sử dụng một tập tin mục (reg) đăng ký
Cho biết thêm thông tin về đăng ký khu bảo mật Internet Explorer mục, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
182569Bảo mật Internet Explorer khu mục đăng ký cho người dùng cấp cao
Để thêm thông tin về URL an ninh khu mẫu, ghé thăm sau đây Web site của Microsoft:
bị khóa xuống khu vực an ninh địa phương khoá cứng q833633

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 833633 - Xem lại Lần cuối: 12/08/2015 05:44:39 - Bản sửa đổi: 2.0

Microsoft Internet Explorer 6.0, Microsoft Internet Explorer 5.0

  • kbnosurvey kbarchive kbpubtypekc kbmt KB833633 KbMtvi
Phản hồi