Warnung
Die eingestellte, nicht mehr unterstützte Desktop-Anwendung Internet Explorer 11 wurde durch ein Microsoft Edge-Update in bestimmten Versionen von Windows 10 dauerhaft deaktiviert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der Desktop-App von Internet Explorer 11.
Erweiterte Sicherheitskonfiguration für Internet Explorer
Internet Explorer Enhanced Security Configuration (ESC) richtet Sicherheitseinstellungen ein, die definieren, wie Benutzer die Internet- und Intranetwebsites durchsuchen. Diese Einstellungen verringern auch die Gefährdung von Servern auf Websites, die möglicherweise ein Sicherheitsrisiko darstellen. Dieser Prozess wird auch als IEHarden bezeichnet. Weitere Informationen finden Sie unter Internet Explorer: Erweiterte Sicherheitskonfiguration.
Originalproduktversion: Internet Explorer
Ursprüngliche KB-Nummer: 4551931
Die Standardeinstellung für Internet Explorer ESC
Dieses Feature ist auf Servern standardmäßig aktiviert.
Die Auswirkungen der Aktivierung von Internet Explorer ESC
Internet Explorer ESC passt die Internet Explorer-Erweiterbarkeit und Sicherheitseinstellungen an, um die Gefährdung möglicher zukünftiger Sicherheitsbedrohungen zu verringern. Diese Einstellungen befinden sich auf der Registerkarte "Erweitert" der Internetoptionen in Systemsteuerung. In der folgenden Tabelle werden die Einstellungen beschrieben.
Funktion | Eingabe | Einstellung | Ergebnis |
---|---|---|---|
Durchsuchen | Dialogfeld "Erweiterte Sicherheitskonfiguration anzeigen". | Ein | Zeigt ein Dialogfeld an, das Sie benachrichtigt, wenn eine Internetwebsite versucht, Skripting oder ActiveX-Steuerelemente zu verwenden. |
Durchsuchen | Browsererweiterungen aktivieren. | Aus | Deaktiviert Features, die Sie zusammen mit Internet Explorer installiert haben, die von anderen Unternehmen als Microsoft erstellt werden. |
Durchsuchen | Installation bei Bedarf aktivieren (Internet Explorer). | Aus | Deaktiviert die Installation von Internet Explorer-Komponenten bei Bedarf bei Bedarf durch eine Webseite. |
Durchsuchen | Install on Demand (Other) aktivieren. | Aus | Deaktiviert die Installation von Webkomponenten bei Bedarf bei Bedarf durch eine Webseite. |
Microsoft-VM | Just-in-Time-Compiler (JIT) für aktivierte virtuelle Computer (erfordert Neustart). | Aus | Deaktiviert den Microsoft VM-Compiler. |
Multimedia | Zeigen Sie keine Onlineinhalte in der Medienleiste an. | Ein | Deaktiviert die Wiedergabe von Medieninhalten in der Internet Explorer-Medienleiste. |
Multimedia | Zeigen Sie keine Onlineinhalte in der Medienleiste an. | Ein | Deaktiviert die Wiedergabe von Medieninhalten in der Internet Explorer-Medienleiste. |
Multimedia | Wiedergeben von Animationen in Webseiten. | Aus | Deaktiviert Animationen. |
Multimedia | Wiedergeben von Videos auf Webseiten. | Aus | Deaktiviert Videoclips. |
Sicherheit | Überprüfen Sie auf den Sperrungsstatus des Serverzertifikats (erfordert einen Neustart). | Ein | Überprüft automatisch das Zertifikat einer Website, um festzustellen, ob das Zertifikat widerrufen wurde, bevor das Zertifikat als gültig akzeptiert wird. |
Sicherheit | Überprüfen Sie auf Signaturen für heruntergeladene Programme. | Ein | Überprüft automatisch und zeigt die Identität von Programmen an, die Sie herunterladen. |
Sicherheit | Speichern Sie verschlüsselte Seiten nicht auf dem Datenträger. | Ein | Deaktiviert das Speichern gesicherter Informationen im Ordner "Temporäre Internetdateien". |
Sicherheit | Ordner "Temporäre Internetdateien" leeren, wenn der Browser geschlossen wird. | Ein | Löscht automatisch den Ordner "Temporäre Internetdateien", wenn Sie den Browser schließen. |
Diese Änderungen verringern die Funktionalität in Webseiten, webbasierten Anwendungen, lokalen Netzwerkressourcen und Anwendungen, die einen Browser verwenden, um Onlinehilfe, Support und allgemeine Benutzerunterstützung anzuzeigen.
So deaktivieren Sie Internet Explorer ESC auf Windows-Servern
Führen Sie die folgenden Schritte aus, um Internet Explorer ESC zu deaktivieren:
Geben Sie Server-Manager in der Windows-Suche ein, um die Server-Manager-Anwendung zu starten.
Wählen Sie "Lokaler Server" aus.
Navigieren Sie zur IE Enhanced Security Configuration-Eigenschaft, wählen Sie die aktuelle Einstellung aus, um die Eigenschaftenseite zu öffnen, wählen Sie die Optionsschaltfläche "Aus" für die gewünschten Benutzer und dann "OK" aus.
Wählen Sie auf der Symbolleiste Server-Manager das Symbol "Aktualisieren" aus, um die neuen Einstellungen im Server-Manager anzuzeigen.
Das folgende Video veranschaulicht dieses Verfahren:
Weitere Informationen finden Sie unter Verwalten des lokalen Servers und der Server-Manager Konsole.
So deaktivieren Sie Internet Explorer ESC mithilfe eines Skripts
Erstellen Sie eine IEHArden_V5.bat Datei mit dem folgenden Batchdateiinhalt.
Führen Sie die Bat-Datei entweder an einer Administrativen Eingabeaufforderung oder als Teil des Anmeldeskripts mithilfe der unter "Zuweisen von Benutzeranmeldeskripts" dokumentierten Prozedur aus.
Inhalt der Batchdatei
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
So verwalten Sie die IEHarden-Einstellung für Benutzer mithilfe von Gruppenrichtlinieneinstellungen (GPP)
Führen Sie die folgenden Schritte aus, um die IEHarden-Einstellung für Benutzer mithilfe der Registrierungskonfiguration für Gruppenrichtlinieneinstellungen zu ändern:
Öffnen Sie die GPMCM.msc-Konsole, und navigieren Sie dann zu den Windows-Einstellungen für die Benutzerkonfiguration>>.
Klicken Sie im Navigationsbereich mit der rechten Maustaste auf das Registrierungsobjekt, und wählen Sie dann "Neues>Registrierungselement" aus.
Geben Sie in den IEHarden-Eigenschaften die folgenden Einstellungen an:
Ort:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Wertname: IEHarden
Werttyp: REG_DWORD
Wertdaten: 0 oder 00000000
Wählen Sie "Übernehmen" und "OK" aus, um diese GPP-Konfiguration abzuschließen.
Notiz
Möglicherweise möchten Sie auch die folgenden Registrierungsunterschlüssel überprüfen, wenn dieser Wert das Problem nicht behebt. In den meisten Fällen ist dies nicht erforderlich.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Internet Explorer scheint nicht zu funktionieren, nachdem Sie ESC mithilfe von Server-Manager deaktiviert haben.
Informationen zur Problembehandlung in diesem Szenario finden Sie unter Standardbenutzern, die das Feature "Erweiterte Sicherheit" von Internet Explorer auf einem Windows Server 2003-basierten Terminalserver oder einer höheren Version nicht deaktivieren können. Grundsätzlich müssen Sie ESC möglicherweise erneut aktivieren oder deaktivieren. Die Adressierung der Registrierung ist möglicherweise die einfachste Möglichkeit, dieses Problem zu beheben.