進階使用者的 Internet Explorer 安全性區域登錄專案
警告
已淘汰、不受支援的 Internet Explorer 11 傳統型應用程式已於特定 Windows 10 版本透過 Microsoft Edge 更新永久停用。 如需詳細資訊,請參閱 Internet Explorer 11 傳統型應用程式淘汰常見問題集 (英文)。
本文說明在登錄中儲存和管理 Internet Explorer 安全性區域和隱私權設定的方式和位置。 您可以使用 群組原則 或 Microsoft Internet Explorer Administration Kit (IEAK) 來設定安全性區域和隱私權設定。
原始產品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 編號: 182569
隱私權設定
Internet Explorer 6 和更新版本新增了 [隱私權] 索引卷標,讓用戶能夠更充分掌控 Cookie。 此索引標籤 (選取 [工具],然後選取 [因特網選項) 根據 Cookie 來源的網站或 Cookie 類型,提供封鎖或允許 Cookie 的彈性。 Cookie 類型包括第一方 Cookie、第三方 Cookie,以及沒有精簡隱私策略的 Cookie。 此索引標籤也包含選項,可控制實體位置數據的網站要求、封鎖彈出視窗的能力,以及啟用 InPrivate 瀏覽時執行工具列和延伸模組的能力。
因特網區域有不同層級的隱私權,而且會儲存在登錄中與安全性區域相同的位置。
您也可以新增網站,以根據網站啟用或封鎖 Cookie,而不論網站上的隱私策略為何。 這些登錄機碼會儲存在下列登錄子機碼中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
已新增為受控網站的網域會列在此子機碼之下。 這些網域可以包含下列其中一個 DWORD 值:
0x00000005 - 永遠封鎖
0x00000001 - 一律允許
安全性區域設定
針對每個區域,使用者可以控制 Internet Explorer 如何處理高風險專案,例如 ActiveX 控件、下載和腳本。 Internet Explorer 安全性區域設定會儲存在下列登錄子機碼下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
這些登入機碼包含下列機碼:
- TemplatePolicies
- ZoneMap
- 區域
注意事項
根據預設,安全性區域設定會儲存在登錄子樹中 HKEY_CURRENT_USER
。 由於此子樹會針對每個使用者動態載入,因此一位使用者的設定不會影響另一位用戶的設定。
如果已啟用 [安全性區域:只使用 群組原則 中的計算機設定],或如果 Security_HKLM_only
DWORD 值存在且在下列登錄子機碼中具有 1 的值,則只會使用本機計算機設定,且所有使用者具有相同的安全性設定:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
啟用原則 Security_HKLM_only
之後,Internet Explorer 將會使用 HKLM 值。 不過,HKCU 值仍會顯示在 Internet Explorer 中 [ 安全 性] 索引標籤上的區域設定中。 在 Internet Explorer 7 中,[因特網選項] 對話方塊的 [安全性] 索引標籤會顯示下列訊息,指出設定是由系統管理員管理:
某些設定是由您的系統管理員管理 如果 [安全性區域:僅使用機器設定] 設定未在 群組原則 中啟用,或 DWORD
Security_HKLM_only
值不存在或設定為 0,則電腦設定會與使用者設定一起使用。 不過,只有使用者設定會出現在 [ 因特網選項] 中。 例如,當此 DWORD 值不存在或設定為 0 時,HKEY_LOCAL_MACHINE
設定會與HKEY_CURRENT_USER
設定一起讀取,但只有HKEY_CURRENT_USER
設定會出現在 [ 因特網選項] 中。
TemplatePolicies
索 TemplatePolicies
引鍵會決定預設安全性區域層級的設定。 這些層級為低、中低、中和高。 您可以從預設設定變更安全性層級設定。 不過,您無法新增更多安全性層級。 索引鍵包含決定安全性區域設定的值。 每個索引鍵都包含描述字串值和顯示名稱字串值,可決定出現在每個安全性層級之 [安全性] 索引卷標上的文字。
ZoneMap
金 ZoneMap
鑰包含下列索引鍵:
- 網域
- EscDomains
- ProtocolDefaults
- 「範圍」執行 SUM (加總)
密 Domains
鑰包含已新增的網域和通訊協定,以從預設行為變更其行為。 新增網域時,會將索引鍵新增至 Domains
金鑰。 子域會顯示為其所屬網域下的索引鍵。 列出網域的每個索引鍵都包含具有受影響通訊協定值名稱的 DWORD。 DWORD 的值與加入網域之安全性區域的數值相同。
此 EscDomains
密鑰類似於網域密鑰, EscDomains
不同之處在於金鑰會套用至受 Internet Explorer 增強式安全性設定 (IE ESC) 影響的通訊協定。 IE ESC 是在 Microsoft Windows Server 2003 中引進,僅適用於伺服器操作系統。
密 ProtocolDefaults
鑰會指定用於特定通訊協定的預設安全性區域, (ftp、HTTP、https) 。 若要變更預設設定,您可以選取 [安全性] 索引標籤上的 [新增網站],將通訊協定新增至安全性區域,或在 [網域] 索引鍵下新增 DWORD 值。 DWORD 值的名稱必須符合通訊協定名稱,而且不能包含任何冒號 (:) 或斜線 (/) 。
索 ProtocolDefaults
引鍵也包含 DWORD 值,指定使用通訊協定的預設安全性區域。 您無法使用 [ 安全 性] 索引標籤上的控制項來變更這些值。 當特定網站不在安全性區域中時,就會使用此設定。
金 Ranges
鑰包含 TCP/IP 位址的範圍。 您指定的每個 TCP/IP 範圍都會出現在任意命名的金鑰中。 此索引鍵包含 :Range
字串值,其中包含指定的 TCP/IP 範圍。 針對每個通訊協定,會新增 DWORD 值,其中包含指定IP範圍之安全性區域的數值。
當 Urlmon.dll 檔案使用 MapUrlToZone 公用函式將特定 URL 解析為安全性區域時,它會使用下列其中一種方法:
如果 URL 包含 FQDN) (完整功能變數名稱,則會處理網域密鑰。
在此方法中,確切的網站比對會覆寫隨機比對。
如果 URL 包含 IP 位址,則
Ranges
會處理金鑰。 URL 的IP位址會與:Range
金鑰下任意命名索引鍵中所包含的Ranges
值進行比較。
注意事項
由於任意命名的索引鍵會依照新增至登錄的順序進行處理,因此這個方法可能會在找到相符專案之前找到隨機相符專案。 如果這個方法先找到隨機相符專案,則URL可能會在不同於通常指派該URL的安全性區域中執行。 產生此錯誤是系統刻意為之。
區域
金 Zones
鑰包含代表為電腦定義之每個安全性區域的索引鍵。 根據預設,下列五個區域會定義 (編號為零到四個) :
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
注意事項
根據預設,[我的計算機] 不會出現在 [安全性] 索引標籤上的 [區域] 方塊中,因為它已鎖定以協助改善安全性。
這些索引鍵都包含下列 DWORD 值,代表自定義 [安全性] 索引標籤上的對應設定。
注意事項
除非另有說明,否則每個 DWORD 值等於零、一或三。 一般而言,零的設定會將特定動作設定為允許,其中一個設定會導致出現提示,而三個設定會禁止特定動作。
Value Setting
----------------------------------------------------------------------------------
1001 ActiveX controls and plug-ins: Download signed ActiveX controls
1004 ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200 ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201 ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206 Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207 Reserved #
1208 ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209 ActiveX controls and plug-ins: Allow Scriptlets
120A ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400 Scripting: Active scripting
1402 Scripting: Scripting of Java applets
1405 ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406 Miscellaneous: Access data sources across domains
1407 Scripting: Allow Programmatic clipboard access
1408 Reserved #
1409 Scripting: Enable XSS Filter
1601 Miscellaneous: Submit non-encrypted form data
1604 Downloads: Font download
1605 Run Java #
1606 Miscellaneous: Userdata persistence ^
1607 Miscellaneous: Navigate sub-frames across different domains
1608 Miscellaneous: Allow META REFRESH * ^
1609 Miscellaneous: Display mixed content *
160A Miscellaneous: Include local directory path when uploading files to a server ^
1800 Miscellaneous: Installation of desktop items
1802 Miscellaneous: Drag and drop or copy and paste files
1803 Downloads: File Download ^
1804 Miscellaneous: Launching programs and files in an IFRAME
1805 Launching programs and files in webview #
1806 Miscellaneous: Launching applications and unsafe files
1807 Reserved ** #
1808 Reserved ** #
1809 Miscellaneous: Use Pop-up Blocker ** ^
180A Reserved #
180B Reserved #
180C Reserved #
180D Reserved #
180E Allow OpenSearch queries in Windows Explorer #
180F Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00 User Authentication: Logon
1A02 Allow persistent cookies that are stored on your computer #
1A03 Allow per-session cookies (not stored) #
1A04 Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05 Allow 3rd party persistent cookies *
1A06 Allow 3rd party session cookies *
1A10 Privacy Settings *
1C00 Java permissions #
1E05 Miscellaneous: Software channel permissions
1F00 Reserved ** #
2000 ActiveX controls and plug-ins: Binary and script behaviors
2001 .NET Framework-reliant components: Run components signed with Authenticode
2004 .NET Framework-reliant components: Run components not signed with Authenticode
2007 .NET Framework-Reliant Components: Permissions for Components with Manifests
2100 Miscellaneous: Open files based on content, not file extension ** ^
2101 Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102 Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103 Scripting: Allow status bar updates via script ^
2104 Miscellaneous: Allow websites to open windows without address or status bars ^
2105 Scripting: Allow websites to prompt for information using scripted windows ^
2200 Downloads: Automatic prompting for file downloads ** ^
2201 ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300 Miscellaneous: Allow web pages to use restricted protocols for active content **
2301 Miscellaneous: Use Phishing Filter ^
2400 .NET Framework: XAML browser applications
2401 .NET Framework: XPS documents
2402 .NET Framework: Loose XAML
2500 Turn on Protected Mode [Vista only setting] #
2600 Enable .NET Framework setup ^
2702 ActiveX controls and plug-ins: Allow ActiveX Filtering
2708 Miscellaneous: Allow dragging of content between domains into the same window
2709 Miscellaneous: Allow dragging of content between domains into separate windows
270B Miscellaneous: Render legacy filters
270C ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls
{AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *
* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled
1200、1A00、1A10、1E05、1C00 和 2000 的相關注意事項
下列兩個登入項目會影響您是否可以在特定區域中執行 ActiveX 控制項:
- 1200 此登錄專案會影響您是否可以執行 ActiveX 控件或外掛程式。
- 2000 此登錄專案可控制 ActiveX 控件或外掛程式的二進位行為和腳本行為。
1A02、1A03、1A05 和 1A06 的相關注意事項
下列四個登錄專案只有在有下列機碼時才會生效:
- {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *
登錄專案
- 1A02 允許儲存在電腦上的永續性Cookie#
- 1A03 允許個別會話 Cookie (不儲存) #
- 1A05 允許第三方持續性 Cookie *
- 1A06 允許第三方會話 Cookie *
這些登入項目位於下列登入子機碼中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
在此登錄子機碼中, <ZoneNumber> 是一個區域,例如 0 (零) 。 登錄 1200
專案和 2000
登錄專案各包含名為 Administrator approved 的設定。 啟用此設定時,特定登錄專案的值會設定為 00010000。 啟用系統管理員核准的設定時,Windows 會檢查下列登錄子機碼,以找出核准的控制項清單:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
(1A00) 登入設定可能會有下列任一值 (十六進位) :
Value Setting
---------------------------------------------------------------
0x00000000 Automatically logon with current username and password
0x00010000 Prompt for user name and password
0x00020000 Automatic logon only in the Intranet zone
0x00030000 Anonymous logon
隱私權設定 (1A10) 是由 [隱私權] 索引卷標滑桿使用。 DWORD 值如下所示:
封鎖所有 Cookie:00000003
高:00000001
中高:00000001
中:00000001
低:00000001
接受所有 Cookie:00000000
根據滑桿中的設定,它也會修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120} 或兩者的值。
[Java 許可權] 設定 (1C00) 具有下列五個可能值 (二進位) :
Value Setting
-----------------------
00 00 00 00 Disable Java
00 00 01 00 High safety
00 00 02 00 Medium safety
00 00 03 00 Low safety
00 00 80 00 Custom
如果選取 [自定義],它會使用位於相同登錄位置的 {7839DA25-F5FE-11D0-883B-0080C726DCBB} (,) 將自定義資訊儲存在二進位檔中。
每個安全性區域都包含 Description 字串值和顯示名稱字串值。 當您在 [區域] 方塊中選取區域時,這些值的文字會出現在 [安全性] 索引卷標上。 另外還有一個圖示字串值,可設定針對每個區域顯示的圖示。 除了 [我的計算機] 區域之外,每個區域都包含 CurrentLevel
、 MinLevel
和 RecommendedLevel
DWORD 值。 值 MinLevel
會設定在您收到警告訊息之前可以使用的最低設定、 CurrentLevel
是區域的目前設定,而 RecommendedLevel
是區域的建議層級。
、 RecommendedLevel
和 CurrentLevel
的Minlevel
值代表下列各項:
Value (Hexadecimal) Setting
----------------------------------
0x00010000 Low Security
0x00010500 Medium Low Security
0x00011000 Medium Security
0x00012000 High Security
Flags
DWORD 值決定使用者修改安全性區域屬性的能力。 若要判斷值 Flags
,請將適當設定的編號一起加入。 十進位) (提供下列 Flags
值:
Value Setting
------------------------------------------------------------------
1 Allow changes to custom settings
2 Allow users to add Web sites to this zone
4 Require verified Web sites (https protocol)
8 Include Web sites that bypass the proxy server
16 Include Web sites not listed in other zones
32 Do not show security zone in Internet Properties (default setting for My Computer)
64 Show the Requires Server Verification dialog box
128 Treat Universal Naming Connections (UNCs) as intranet connections
256 Automatically detect Intranet network
如果您同時將設定新增至 HKEY_LOCAL_MACHIN
E 和 HKEY_CURRENT_USER
子樹,則這些設定會加總。 如果您將網站新增至這兩個子樹狀目錄,則只會顯示 中的 HKEY_CURRENT_USER
那些網站。 子樹中的 HKEY_LOCAL_MACHINE
網站仍會根據其設定強制執行。 不過,它們無法使用,而且您無法加以修改。 這種情況可能會造成混淆,因為每個通訊協議的網站可能只列在一個安全性區域中。
參考資料
如需 Microsoft Windows XP Service Pack 2 (SP2) 中功能變更的詳細資訊,請造訪下列 Microsoft 網站:
如需 URL 安全性區域的詳細資訊,請造訪下列 Microsoft 網站:
如需如何變更 Internet Explorer 安全性設定的詳細資訊,請造訪下列 Microsoft 網站:
變更 Internet Explorer 11 的安全性和隱私權設定
如需 Internet Explorer 本機計算機區域鎖定的詳細資訊,請造訪下列 Microsoft 網站:
如需與可在 URL 安全性區域中採取之動作相關聯之值的詳細資訊,請參閱 URL 動作旗標。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應