編輯

Internet Explorer 增強式安全性設定 (ESC) 的常見問題

  • 常見問題集

警告

已淘汰、不受支援的 Internet Explorer 11 傳統型應用程式已於特定 Windows 10 版本透過 Microsoft Edge 更新永久停用。 如需詳細資訊,請參閱 Internet Explorer 11 傳統型應用程式淘汰常見問題集 (英文)。

Internet Explorer 增強式安全性設定

Internet Explorer 增強式安全性設定 (ESC) 建立安全性設定,定義使用者流覽因特網和內部網路網站的方式。 這些設定也會減少伺服器暴露於可能會造成安全性風險的網站。 此程式也稱為 IEHarden。 如需詳細資訊,請參閱 Internet Explorer:增強式安全性設定

原始產品版本: Ie
原始 KB 編號: 4551931

Internet Explorer ESC 的預設設定

此功能預設會在伺服器上啟用。

啟用 Internet Explorer ESC 的效果

Internet Explorer ESC 會調整 Internet Explorer 擴充性和安全性設定,以降低未來可能的安全性威脅暴露。 這些設定位於 控制台 中 [因特網選項] 的 [階] 索引標籤上。 下表描述這些設定。

功能 項目 設定 結果
流覽 顯示 [增強式安全性設定] 對話框。 On 顯示對話框,以在因特網網站嘗試使用腳本或 ActiveX 控件時通知您。
流覽 啟用瀏覽器擴充功能。 關閉 停用您安裝的功能,以與 Microsoft 以外的公司所建立的 Internet Explorer 搭配使用。
流覽 在 Internet Explorer) (啟用隨選安裝。 關閉 如果網頁需要,停用隨選安裝 Internet Explorer 元件。
流覽 啟用 [隨選安裝] ([其他) ]。 關閉 如果網頁需要,停用隨選安裝 Web 元件。
Microsoft VM 啟用虛擬機的 Just-In-Time (JIT) 編譯程式 (需要重新啟動) 。 關閉 停用 Microsoft VM 編譯程式。
多媒體 請勿在媒體列中顯示在線內容。 On 停用 Internet Explorer 媒體列中媒體內容的播放。
多媒體 請勿在媒體列中顯示在線內容。 On 停用 Internet Explorer 媒體列中媒體內容的播放。
多媒體 在網頁中播放動畫。 關閉 停用動畫。
多媒體 在網頁中播放影片。 關閉 停用視訊剪輯。
安全性 檢查伺服器證書撤銷 (需要重新啟動) 。 On 接受憑證為有效之前,自動檢查網站的憑證,以查看憑證是否已撤銷。
安全性 檢查所下載程序的簽章。 On 自動驗證並顯示您下載之程式的身分識別。
安全性 請勿將加密的頁面儲存至磁碟。 On 停用將安全資訊儲存在 [暫存因特網檔案] 資料夾中。
安全性 瀏覽器關閉時,空的 [暫存因特網檔案] 資料夾。 On 當您關閉瀏覽器時,自動清除 [暫時因特網檔案] 資料夾。

這些變更會減少網頁、網頁型應用程式、局域網路資源,以及使用瀏覽器顯示在線說明、支援和一般使用者協助的應用程式中的功能。

如何在 Windows 伺服器上關閉 Internet Explorer ESC

若要關閉 Internet Explorer ESC,請遵循下列步驟:

  1. 在 Windows 搜尋中輸入 伺服器管理員 以啟動伺服器管理員應用程式。

  2. 選取 [本地伺服器]

  3. 流覽至 [IE 增強式安全 性設定] 屬性,選取目前的設定以開啟屬性頁,選取所需使用者的 [關閉 ] 選項按鈕,然後選取 [ 確定]

    Internet Explorer ESC 設定在伺服器管理員中開啟。

    [IE 增強式安全性設定] 視窗的螢幕快照。已選取 [關閉] 選項。

  4. 取 伺服器管理員 工具列上的重新整理圖示,以查看伺服器管理員中反映的新設定。

    伺服器管理員中目前 Internet Explorer ESC 設定的螢幕快照。

下列影片示範此程式:

如需詳細資訊,請參閱管理本地伺服器和 伺服器管理員 主控台

如何使用腳本停用 Internet Explorer ESC

  1. 使用下列批處理文件內容建立 IEHArden_V5.bat 檔案。

  2. 使用 如何指派使用者登入腳本中所述的程式,在系統管理命令提示字元或登入腳本中執行 Bat 檔案。

批處理文件的內容

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

如何使用 群組原則 喜好設定 (GPP) 來管理使用者的 IEHarden 設定

若要使用 群組原則 Preferences Registry 設定來變更使用者的 IEHarden 設定,請遵循下列步驟:

  1. 開啟 GPMCM.msc 控制台,然後流覽至 [用戶組態>喜好設定>] [Windows 設定]

  2. 在瀏覽窗格中,以滑鼠右鍵按兩下 [ 登錄 ] 物件,然後選取 [ 新增>登錄專案]

    此螢幕快照顯示建立新登錄的步驟。

  3. IEHarden 屬性中,指定下列設定:

    • 位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • 數值名稱: IEHarden

    • 實值類型: REG_DWORD

    • 值數據: 0000000000

      IEHarden 屬性視窗 中登錄設定的螢幕快照。

  4. 取 [套 用] 和 [確定] 以完成此 GPP 設定。

注意事項

如果此值無法解決問題,您也可以檢查下列登錄子機碼。 在大部分情況下,這並非必要。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

在您使用 伺服器管理員 停用 ESC 之後,Internet Explorer 似乎無法運作

若要對此案例進行疑難解答,請參閱 標準用戶無法在 Windows Server 2003 型終端機伺服器或更新版本上關閉 Internet Explorer 增強式安全性功能。 基本上,您可能必須再次啟用或停用 ESC。 以登錄為目標可能是解決此問題最簡單的方式。