次の方法で共有


Internet Explorer のセキュリティ強化構成 (ESC) に関する FAQ

警告

廃止され、サポート対象外となった Internet Explorer 11 デスクトップ アプリケーションは、特定のバージョンの Windows 10 で Microsoft Edge の更新プログラムを通じて完全に無効になります。 詳細については、「Internet Explorer 11 デスクトップ アプリの廃止に関する FAQ」をご覧ください。

Internet Explorer のセキュリティ強化の構成

Internet Explorer セキュリティ強化構成 (ESC) は、ユーザーがインターネットおよびイントラネット Web サイトを参照する方法を定義するセキュリティ設定を確立します。 これらの設定により、セキュリティ 上のリスクが発生する可能性がある Web サイトへのサーバーの露出も軽減されます。 このプロセスは IEHarden とも呼ばれます。 詳細については、「 Internet Explorer: セキュリティ強化の構成」を参照してください。

元の製品バージョン: Internet Explorer
元の KB 番号: 4551931

Internet Explorer ESC の既定の設定

この機能は、サーバーで既定で有効になっています。

Internet Explorer ESC を有効にした場合の影響

Internet Explorer ESC は、Internet Explorer の拡張性とセキュリティ設定を調整して、将来のセキュリティ上の脅威にさらされる可能性を減らします。 これらの設定は、コントロール パネルInternet Options の [Advanced] タブにあります。 次の表に設定を示します。

機能 入力 設定 結果
参照 [セキュリティ強化の構成] ダイアログ ボックスを表示します。 オン インターネット サイトがスクリプトまたは ActiveX コントロールを使用しようとしたときに通知するダイアログ ボックスを表示します。
参照 ブラウザー拡張機能を有効にします。 "オフ" Microsoft 以外の企業によって作成された Internet Explorer と共に使用するためにインストールした機能を無効にします。
参照 オンデマンドインストールを有効にする (Internet Explorer)。 "オフ" Web ページで必要な場合は、必要に応じて Internet Explorer コンポーネントのインストールを無効にします。
参照 オンデマンドインストールを有効にします (その他)。 "オフ" Web ページで必要な場合は、必要に応じて Web コンポーネントのインストールを無効にします。
Microsoft VM 仮想マシンの Just-In-Time (JIT) コンパイラが有効になっている (再起動が必要)。 "オフ" Microsoft VM コンパイラを無効にします。
マルチメディア メディア バーにオンライン コンテンツを表示しないでください。 オン Internet Explorer メディア バーでのメディア コンテンツの再生を無効にします。
マルチメディア メディア バーにオンライン コンテンツを表示しないでください。 オン Internet Explorer メディア バーでのメディア コンテンツの再生を無効にします。
マルチメディア Web ページでアニメーションを再生します。 "オフ" アニメーションを無効にします。
マルチメディア Web ページでビデオを再生します。 "オフ" ビデオ クリップを無効にします。
セキュリティ サーバー証明書の失効を確認します (再起動が必要)。 オン 証明書を有効として受け入れる前に、Web サイトの証明書を自動的にチェックして、証明書が失効しているかどうかを確認します。
セキュリティ ダウンロードしたプログラムの署名を確認します。 オン ダウンロードしたプログラムの ID を自動的に検証して表示します。
セキュリティ 暗号化されたページをディスクに保存しないでください。 オン セキュリティで保護された情報を一時インターネット ファイル フォルダーに保存できないようにします。
セキュリティ ブラウザーを閉じたときに空のインターネット一時ファイル フォルダー。 オン ブラウザーを閉じると、インターネット一時ファイル フォルダーが自動的にクリアされます。

これらの変更により、Web ページ、Web ベースのアプリケーション、ローカル ネットワーク リソース、ブラウザーを使用してオンライン ヘルプ、サポート、および一般的なユーザー アシスタンスを表示するアプリケーションの機能が低下します。

Windows サーバーで Internet Explorer ESC をオフにする方法

Internet Explorer ESC をオフにするには、次の手順に従います。

  1. Windows 検索に「サーバー マネージャー」と入力して、サーバー マネージャー アプリケーションを起動します。

  2. [ローカル サーバー 選択

  3. IE セキュリティ強化構成プロパティに移動し、現在の設定を選択してプロパティ ページを開き、目的のユーザーの [Off オプション ボタンを選択して、OKを選択します。

    サーバー マネージャーで Internet Explorer の ESC 設定がオンになっています。

    [IE セキュリティ強化の構成] ウィンドウのスクリーンショット。[オフ] オプションが選択されています。

  4. サーバー マネージャー ツール バーの Refresh アイコンを選択すると、サーバー マネージャーに反映された新しい設定が表示されます。

    サーバー マネージャーの現在の Internet Explorer ESC 設定のスクリーンショット。

次のビデオでは、この手順を示します。

詳細については、「ローカル サーバーと サーバー マネージャー コンソールを管理するを参照してください。

スクリプトを使用して Internet Explorer ESC を無効にする方法

  1. 次のバッチ ファイルの内容を含むIEHArden_V5.bat ファイルを作成します。

  2. 管理者コマンド プロンプトで、またはログイン スクリプトの一部として、 ユーザー ログオン スクリプトを割り当てる方法に関する記事に記載されている手順を使用して、bat ファイルを実行します

バッチ ファイルの内容

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

グループ ポリシー基本設定 (GPP) を使用してユーザーの IEHarden 設定を管理する方法

グループ ポリシー基本設定レジストリ構成を使用してユーザーの IEHarden 設定を変更するには、次の手順に従います。

  1. GPMCM.msc コンソールを開き、 User Configuration>Preferences>Windows Settings に移動します。

  2. ナビゲーション ウィンドウで、 Registry オブジェクトを右クリックし、 New>Registry Item を選択します。

    スクリーンショットは、新しいレジストリを作成する手順を示しています。

  3. IEHarden プロパティで、次の設定を指定します。

    • 場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • 値の名前: IEHarden

    • 値の種類: REG_DWORD

    • 値データ: 0 または 000000000

      IEHarden プロパティ ウィンドウのレジストリ設定のスクリーンショット。

  4. ApplyOK を選択して、この GPP 構成を完了します。

Note

この値で問題が解決しない場合は、次のレジストリ サブキーを確認することもできます。 ほとんどの場合、これは必要ありません。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

サーバー マネージャーを使用して ESC を無効にした後、Internet Explorer が機能しないようです

このシナリオをトラブルシューティングするには、「 標準ユーザーが Windows Server 2003 ベースのターミナル サーバー以降のバージョンで Internet Explorer のセキュリティ強化機能をオフにできないを参照してください。 基本的には、ESC をもう一度有効または無効にする必要がある場合があります。 レジストリをターゲットにすることが、この問題を解決する最も簡単な方法である可能性があります。