進階使用者的 Internet Explorer 安全性區域登錄專案

  • 發行項

警告

已淘汰、不受支援的 Internet Explorer 11 傳統型應用程式已於特定 Windows 10 版本透過 Microsoft Edge 更新永久停用。 如需詳細資訊,請參閱 Internet Explorer 11 傳統型應用程式淘汰常見問題集 (英文)。

本文說明在登錄中儲存和管理 Internet Explorer 安全性區域和隱私權設定的方式和位置。 您可以使用 群組原則 或 Microsoft Internet Explorer Administration Kit (IEAK) 來設定安全性區域和隱私權設定。

原始產品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 編號: 182569

隱私權設定

Internet Explorer 6 和更新版本新增了 [隱私權] 索引卷標,讓用戶能夠更充分掌控 Cookie。 此索引標籤 (選取 [工具],然後選取 [因特網選項) 根據 Cookie 來源的網站或 Cookie 類型,提供封鎖或允許 Cookie 的彈性。 Cookie 類型包括第一方 Cookie、第三方 Cookie,以及沒有精簡隱私策略的 Cookie。 此索引標籤也包含選項,可控制實體位置數據的網站要求、封鎖彈出視窗的能力,以及啟用 InPrivate 瀏覽時執行工具列和延伸模組的能力。

因特網區域有不同層級的隱私權,而且會儲存在登錄中與安全性區域相同的位置。

您也可以新增網站,以根據網站啟用或封鎖 Cookie,而不論網站上的隱私策略為何。 這些登錄機碼會儲存在下列登錄子機碼中:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

已新增為受控網站的網域會列在此子機碼之下。 這些網域可以包含下列其中一個 DWORD 值:

0x00000005 - 永遠封鎖
0x00000001 - 一律允許

安全性區域設定

針對每個區域,使用者可以控制 Internet Explorer 如何處理高風險專案,例如 ActiveX 控件、下載和腳本。 Internet Explorer 安全性區域設定會儲存在下列登錄子機碼下:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

這些登入機碼包含下列機碼:

  • TemplatePolicies
  • ZoneMap
  • 區域

注意事項

根據預設,安全性區域設定會儲存在登錄子樹中 HKEY_CURRENT_USER 。 由於此子樹會針對每個使用者動態載入,因此一位使用者的設定不會影響另一位用戶的設定。

如果已啟用 [安全性區域:只使用 群組原則 中的計算機設定],或如果 Security_HKLM_only DWORD 值存在且在下列登錄子機碼中具有 1 的值,則只會使用本機計算機設定,且所有使用者具有相同的安全性設定:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

啟用原則 Security_HKLM_only 之後,Internet Explorer 將會使用 HKLM 值。 不過,HKCU 值仍會顯示在 Internet Explorer 中 [ 安全 性] 索引標籤上的區域設定中。 在 Internet Explorer 7 中,[因特網選項] 對話方塊的 [安全性] 索引標籤會顯示下列訊息,指出設定是由系統管理員管理:

某些設定是由您的系統管理員管理 如果 [安全性區域:僅使用機器設定] 設定未在 群組原則 中啟用,或 DWORD Security_HKLM_only 值不存在或設定為 0,則電腦設定會與使用者設定一起使用。 不過,只有使用者設定會出現在 [ 因特網選項] 中。 例如,當此 DWORD 值不存在或設定為 0 時, HKEY_LOCAL_MACHINE 設定會與 HKEY_CURRENT_USER 設定一起讀取,但只有 HKEY_CURRENT_USER 設定會出現在 [ 因特網選項] 中

TemplatePolicies

TemplatePolicies 引鍵會決定預設安全性區域層級的設定。 這些層級為低、中低、中和高。 您可以從預設設定變更安全性層級設定。 不過,您無法新增更多安全性層級。 索引鍵包含決定安全性區域設定的值。 每個索引鍵都包含描述字串值和顯示名稱字串值,可決定出現在每個安全性層級之 [安全性] 索引卷標上的文字。

ZoneMap

ZoneMap 鑰包含下列索引鍵:

  • 網域
  • EscDomains
  • ProtocolDefaults
  • 「範圍」執行 SUM (加總)

Domains 鑰包含已新增的網域和通訊協定,以從預設行為變更其行為。 新增網域時,會將索引鍵新增至 Domains 金鑰。 子域會顯示為其所屬網域下的索引鍵。 列出網域的每個索引鍵都包含具有受影響通訊協定值名稱的 DWORD。 DWORD 的值與加入網域之安全性區域的數值相同。

EscDomains 密鑰類似於網域密鑰, EscDomains 不同之處在於金鑰會套用至受 Internet Explorer 增強式安全性設定 (IE ESC) 影響的通訊協定。 IE ESC 是在 Microsoft Windows Server 2003 中引進,僅適用於伺服器操作系統。

ProtocolDefaults 鑰會指定用於特定通訊協定的預設安全性區域, (ftp、HTTP、https) 。 若要變更預設設定,您可以選取 [安全性] 索引標籤上的 [新增網站],將通訊協定新增至安全性區域,或在 [網域] 索引鍵下新增 DWORD 值。 DWORD 值的名稱必須符合通訊協定名稱,而且不能包含任何冒號 (:) 或斜線 (/) 。

ProtocolDefaults 引鍵也包含 DWORD 值,指定使用通訊協定的預設安全性區域。 您無法使用 [ 安全 性] 索引標籤上的控制項來變更這些值。 當特定網站不在安全性區域中時,就會使用此設定。

Ranges 鑰包含 TCP/IP 位址的範圍。 您指定的每個 TCP/IP 範圍都會出現在任意命名的金鑰中。 此索引鍵包含 :Range 字串值,其中包含指定的 TCP/IP 範圍。 針對每個通訊協定,會新增 DWORD 值,其中包含指定IP範圍之安全性區域的數值。

當 Urlmon.dll 檔案使用 MapUrlToZone 公用函式將特定 URL 解析為安全性區域時,它會使用下列其中一種方法:

  • 如果 URL 包含 FQDN) (完整功能變數名稱,則會處理網域密鑰。

    在此方法中,確切的網站比對會覆寫隨機比對。

  • 如果 URL 包含 IP 位址,則 Ranges 會處理金鑰。 URL 的IP位址會與 :Range 金鑰下任意命名索引鍵中所包含的 Ranges 值進行比較。

注意事項

由於任意命名的索引鍵會依照新增至登錄的順序進行處理,因此這個方法可能會在找到相符專案之前找到隨機相符專案。 如果這個方法先找到隨機相符專案,則URL可能會在不同於通常指派該URL的安全性區域中執行。 產生此錯誤是系統刻意為之。

區域

Zones 鑰包含代表為電腦定義之每個安全性區域的索引鍵。 根據預設,下列五個區域會定義 (編號為零到四個) :

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

注意事項

根據預設,[我的計算機] 不會出現在 [安全性] 索引標籤上的 [區域] 方塊中,因為它已鎖定以協助改善安全性。

這些索引鍵都包含下列 DWORD 值,代表自定義 [安全性] 索引標籤上的對應設定。

注意事項

除非另有說明,否則每個 DWORD 值等於零、一或三。 一般而言,零的設定會將特定動作設定為允許,其中一個設定會導致出現提示,而三個設定會禁止特定動作。

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

1200、1A00、1A10、1E05、1C00 和 2000 的相關注意事項

下列兩個登入項目會影響您是否可以在特定區域中執行 ActiveX 控制項:

  • 1200 此登錄專案會影響您是否可以執行 ActiveX 控件或外掛程式。
  • 2000 此登錄專案可控制 ActiveX 控件或外掛程式的二進位行為和腳本行為。

1A02、1A03、1A05 和 1A06 的相關注意事項

下列四個登錄專案只有在有下列機碼時才會生效:

  • {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *

登錄專案

  • 1A02 允許儲存在電腦上的永續性Cookie#
  • 1A03 允許個別會話 Cookie (不儲存) #
  • 1A05 允許第三方持續性 Cookie *
  • 1A06 允許第三方會話 Cookie *

這些登入項目位於下列登入子機碼中:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

在此登錄子機碼中, <ZoneNumber> 是一個區域,例如 0 (零) 。 登錄 1200 專案和 2000 登錄專案各包含名為 Administrator approved 的設定。 啟用此設定時,特定登錄專案的值會設定為 00010000。 啟用系統管理員核准的設定時,Windows 會檢查下列登錄子機碼,以找出核准的控制項清單:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

(1A00) 登入設定可能會有下列任一值 (十六進位) :

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

隱私權設定 (1A10) 是由 [隱私權] 索引卷標滑桿使用。 DWORD 值如下所示:

封鎖所有 Cookie:00000003
高:00000001
中高:00000001
中:00000001
低:00000001
接受所有 Cookie:00000000

根據滑桿中的設定,它也會修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120} 或兩者的值。

[Java 許可權] 設定 (1C00) 具有下列五個可能值 (二進位) :

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

如果選取 [自定義],它會使用位於相同登錄位置的 {7839DA25-F5FE-11D0-883B-0080C726DCBB} (,) 將自定義資訊儲存在二進位檔中。

每個安全性區域都包含 Description 字串值和顯示名稱字串值。 當您在 [區域] 方塊中選取區域時,這些值的文字會出現在 [安全性] 索引卷標上。 另外還有一個圖示字串值,可設定針對每個區域顯示的圖示。 除了 [我的計算機] 區域之外,每個區域都包含 CurrentLevelMinLevelRecommendedLevel DWORD 值。 值 MinLevel 會設定在您收到警告訊息之前可以使用的最低設定、 CurrentLevel 是區域的目前設定,而 RecommendedLevel 是區域的建議層級。

RecommendedLevelCurrentLevelMinlevel值代表下列各項:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags DWORD 值決定使用者修改安全性區域屬性的能力。 若要判斷值 Flags ,請將適當設定的編號一起加入。 十進位) (提供下列 Flags 值:

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

如果您同時將設定新增至 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子樹,則這些設定會加總。 如果您將網站新增至這兩個子樹狀目錄,則只會顯示 中的 HKEY_CURRENT_USER 那些網站。 子樹中的 HKEY_LOCAL_MACHINE 網站仍會根據其設定強制執行。 不過,它們無法使用,而且您無法加以修改。 這種情況可能會造成混淆,因為每個通訊協議的網站可能只列在一個安全性區域中。

參考資料

如需 Microsoft Windows XP Service Pack 2 (SP2) 中功能變更的詳細資訊,請造訪下列 Microsoft 網站:

第 5 部分:增強的瀏覽安全性

如需 URL 安全性區域的詳細資訊,請造訪下列 Microsoft 網站:

關於 URL 安全性區域

如需如何變更 Internet Explorer 安全性設定的詳細資訊,請造訪下列 Microsoft 網站:

變更 Internet Explorer 11 的安全性和隱私權設定

如需 Internet Explorer 本機計算機區域鎖定的詳細資訊,請造訪下列 Microsoft 網站:

Internet Explorer 本機計算機區域鎖定

如需與可在 URL 安全性區域中採取之動作相關聯之值的詳細資訊,請參閱 URL 動作旗標