您目前已離線,請等候您的網際網路重新連線

如何增強 Internet Explorer 中「本機電腦」區域的安全性設定

重要 本文包含有關修改登錄的相關資訊。建議您在修改登錄前先將其備份,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
結論
警告 如果您進行本文所述的變更,可能會遺失某些 Windows 程式和元件的部分功能。因此,建議您先廣泛地測試這些變更,確認關鍵性的程式都能繼續在所有使用者的電腦中正確地執行之後,再於實際生產環境中進行變更。

本文將告訴您,系統管理員如何增強 Microsoft Internet Explorer 中「本機電腦」區域的安全性設定。「本機電腦」區域也稱為「我的電腦」區域。本文中的資訊適用於下列組態設定:
  • Microsoft Windows 32 位元版本上的 32 位元版本 Internet Explorer
  • Microsoft Windows XP 64 位元版本上的 64 位元版本 Internet Explorer
  • Microsoft Windows Server 2003 64 位元版本上的 64 位元版本 Internet Explorer
注意 Microsoft Windows XP Service Pack 2 (SP2) 的「本機電腦」區域中具有一些限制。因此,如果您安裝了 Windows XP SP2,可能不需執行本文所述的其中一個程序。如需詳細資訊,請造訪下列 Microsoft 網站:
其他相關資訊

Internet Explorer 使用者介面可以讓您設定四種安全性區域:
  • 網際網路
  • 近端內部網路
  • 信任的網站
  • 限制的網站
第五種區域為「本機電腦」區域,這是存在於本機電腦上的隱含區域。您無法在 Internet Explorer 中設定此區域的安全性設定,也不能透過 [網際網路選項] 控制台來設定安全性設定。然而,如果您具有系統管理權限,就可以變更登錄設定,藉以設定「本機電腦」區域的安全性設定。

Internet Explorer 可讓您指派網站至安全性區域。位於「網際網路」區域的網站,具有比位於「信任的網站」區域或「近端內部網路」區域中的網站更高的安全性層級。指派網站至安全性區域之後,您就可以控制網站在電腦上執行作業的方式。例如,您可以指派網站至具有最高安全性限制層級的安全性區域,藉此防止網站在您的電腦上執行潛在不安全的作業。

位於「本機電腦」區域的網站,具有比任何其他區域中的網站較少限制的安全性設定。Internet Explorer 快取在本機電腦上的任何內容,是此規則的唯一例外。惡意使用者可能會利用「本機電腦」區域中較少限制的安全性設定,嘗試在您的電腦上執行任意程式碼。

當您增強「本機電腦」區域的安全性設定時,使用者可能會遭遇下列一或多個情況:
  • 使用者會先收到提示,才能開啟其他網域上的資料來源。
  • 使用者會先收到提示,才能執行網頁上的指令碼。
  • ActiveX 控制項和 Java 程式將不會執行。
  • 使用者嘗試開啟的網頁可能無法正確地顯示出來。

根據下列情況,「本機電腦」區域的安全性設定會儲存在下列登錄子機碼中:
  • 如果您允許使用者設定他們自己的 Internet Explorer 安全性設定,則「本機電腦」區域的安全性設定會儲存在此子機碼:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • 如果您允許所有使用者具有相同的 Internet Explorer 安全性設定,則「本機電腦」區域的安全性設定會儲存在此子機碼:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

根據預設,安全性區域的設定是儲存在下列登錄樹狀子目錄中:
HKEY_CURRENT_USER
由於每位使用者的此樹狀子目錄會動態地下載,因此,一位使用者的設定並不會影響到其他使用者的設定。如果要判斷所有使用者是否具有相同的安全性設定,請查看下列其中一個情況:
  • [群組原則] 中的 [安全性區域:只使用機器設定] 選項已啟用。
  • Security_HKLM_only DWORD 值已存在,且值為 1。
Security_HKLM_only DWORD 值是儲存在下列登錄子機碼中:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

當下列其中一個情況成立時,就會用到電腦設定和使用者設定:
  • [群組原則] 中的 [安全性區域:只使用機器設定] 選項未啟用。
  • Security_HKLM_only DWORD 值不存在。
  • Security_HKLM_only DWORD 值是設定為 0。

如果 Security_HKLM_only DWORD 值不存在,或者 Security_HKLM_only DWORD 值是設定為 0,Internet Explorer 就會分別讀取 HKEY_LOCAL_MACHINE 登錄機碼和 HKEY_CURRENT_USER 登錄機碼。然而,只有 HKEY_CURRENT_USER 設定會出現在 [網際網路選項] 控制台中。

[網際網路選項] 控制台中所顯示的安全性設定,在登錄中具有對應的數值。下列表格顯示每個安全性設定的預設值。同時,這個表格也顯示可以用來增強「本機電腦」區域的每個安全性設定的建議值。
UI 中的安全性設定名稱登錄數值名稱 (類型)預設的登錄數值資料建議使用的登錄數值資料
執行 ActiveX 控制項與插件1200 (DWORD)03
起始不標示為安全的 ActiveX 控制項1201 (DWORD)13
Active scripting1400 (DWORD)01
存取各網域的資料來源1406 (DWORD)01
Java 權限1C00 (二進位)00 00 02 0000 00 00 00
在上述表格中,DWORD 值的設定代表下列意義:
  • 0 表示動作已啟用。這是預設的設定。
  • 1 表示會出現提示。
  • 3 表示動作已停用。
二進位值的預設設定 00 00 02 00 表示中度安全層級。00 00 00 00 設定會停用 Java。

注意 如果將 Active scripting 設定為 1,可能會導致出現過多提示。因此,您可以允許指令碼處理。如果要執行這項操作,請將 Active scripting 值設定為 0。如果您不想設定 Active scripting 出現提示,請在下一節<如何變更「本機電腦」區域的安全性設定>中,變更開頭為 1400 的那一行。


警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

如果要變更「本機電腦」區域的安全性設定,請變更 DWORD 值或二進位值。請採用適合您環境的方法。

增強「本機電腦」區域的預設設定
在 Active Directory 環境中,請使用「群組原則物件編輯器」,亦即先前的「群組原則編輯器」。如果要增強「本機電腦」區域的安全性設定,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的安全性設定,請使用下列文字:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
    如果所有使用者必須使用相同的安全性設定,請使用下列文字:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
  2. 將檔案另存為 ADHardenLMZ.reg。
  3. 在您想要執行「群組原則物件編輯器」的電腦上,執行 ADHardenLMZ.reg 檔案,以便將登錄設定匯入登錄。
  4. 開啟所要修改 Active Directory 物件的「群組原則物件編輯器」。
  5. 系統可能會提示您執行下列動作:
    • 允許執行指令碼
    • 確認您要繼續執行指令碼
    如果您收到這個提示,請按一下 [是]。如果您收到訊息,指出目前的設定不允許執行 ActiveX 控制項,請按一下 [確定]

    注意 增強「本機電腦」區域的安全性設定之後,[說明] 窗格將不會再出現在 [群組原則物件編輯器] 中。
  6. 依序展開 [使用者設定][Windows 設定][Internet Explorer 維護][安全性]。按兩下 [安全性區域與內容分級]
  7. 按一下 [匯入目前的安全性區域和隱私權設定],然後按一下 [確定]
還原「本機電腦」區域的預設設定
如果要還原「本機電腦」區域的預設設定,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的安全性設定,請使用下列文字:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
    如果所有使用者必須使用相同的安全性設定,請使用下列文字:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
  2. 將檔案另存為 ADDefaultLMZ.reg。
  3. 在您想要執行「群組原則物件編輯器」的電腦上,執行 ADDefaultLMZ.reg 檔案,以便將預設設定匯入登錄。
  4. 開啟所要修改 Active Directory 物件的「群組原則物件編輯器」。
  5. 系統可能會提示您執行下列動作:
    • 允許執行指令碼
    • 確認您要繼續執行指令碼
    如果您收到這個提示,請按一下 [是]。如果您收到訊息,指出目前的設定不允許執行 ActiveX 控制項,請按一下 [確定]

    注意 增強「本機電腦」區域的安全性設定之後,[說明] 窗格將不會再出現在 [群組原則物件編輯器] 中。
  6. 依序展開 [使用者設定][Windows 設定][Internet Explorer 維護][安全性]。按兩下 [安全性區域與內容分級]
  7. 按一下 [匯入目前的安全性區域和隱私權設定],然後按一下 [確定]

增強「本機電腦」區域的預設設定
如果要增強「本機電腦」區域的安全性設定,請將更新的安全性設定匯入登錄。如果要執行這項操作,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的 Internet Explorer 安全性設定,請使用下列文字:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00
    如果所有使用者具有相同的安全性設定,請使用下列文字:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000003"1201"=dword:00000003"1400"=dword:00000001"1406"=dword:00000001"1C00"=hex:00,00,00,00[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]"Security_HKLM_only"=dword:00000001
  2. 將檔案另存為 HardenLMZ.reg。
  3. 在所有用戶端電腦上執行 HardenLMZ.reg 檔案,以便將設定匯入登錄。
還原「本機電腦」區域的預設設定
如果要還原「本機電腦」區域的預設設定,請依照下列步驟執行:
  1. 複製下列文字,然後貼至文字編輯器 (例如,「記事本」)。

    如果使用者可以設定自己的 Internet Explorer 安全性設定,請使用下列文字:
    REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00
    如果所有使用者具有相同的安全性設定,請使用下列文字:
    REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1200"=dword:00000000"1201"=dword:00000001"1400"=dword:00000000"1406"=dword:00000000"1C00"=hex:00,00,02,00[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]"Security_HKLM_only"=dword:00000001
  2. 將檔案另存為 DefaultLMZ.reg。
  3. 在所有用戶端電腦上執行 DefaultLMZ.reg 檔案,以便將設定匯入登錄。

增強「本機電腦」區域的安全性設定之後,您就可以指派包含指令碼、ActiveX 控制項或 Java 程式的本機 HTML 檔案至「網際網路」區域。當 Internet Explorer 開啟 HTML 檔案時,就會尋找 "saved from URL" 註解。如果 Internet Explorer 找到 "saved from URL" 註解,則會使用「網際網路」區域的安全性設定,而非「本機電腦」區域的設定。如果「網際網路」區域是設定為執行指令碼、ActiveX 控制項或 Java 程式,這些項目將會執行,並且您不會遭遇到<增強「本機電腦」區域的安全性設定之前>一節所述的情況。

如果要指派本機 HTML 檔案至「網際網路」區域,您可以將 "saved from URL" 註解新增至本機 HTML 檔案。此註解會指示 Internet Explorer 將「網際網路」區域的安全性設定套用至儲存在硬碟上的 HTML 檔案。這個註解看起來必須類似下列:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


括號中的值代表後面接著等號的 URL 包含的字元數目。在這個範例中,這個值為 0023,而 Contoso 代表網際網路網站的名稱。

参考
如需有關如何使用 .reg 檔案,將登錄變更散發到多部電腦的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
310516如何使用登錄項目 (.reg) 檔案新增、修改或刪除登錄子機碼和登錄值
如需有關 Internet Explorer 安全性區域登錄項目的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
182569Internet Explorer 安全性區域登錄項目的說明
如需有關 URL 安全性區域範本的詳細資訊,請造訪下列 Microsoft 網站:
locked down lockdown local security zone q833633
內容

文章識別碼:833633 - 最後檢閱時間:01/20/2006 12:25:34 - 修訂: 3.2

  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
  • kbpubtypekc KB833633
意見反應