警告
廃止され、サポート対象外となった Internet Explorer 11 デスクトップ アプリケーションは、特定のバージョンの Windows 10 で Microsoft Edge の更新プログラムを通じて完全に無効になります。 詳細については、「Internet Explorer 11 デスクトップ アプリの廃止に関する FAQ」をご覧ください。
Internet Explorer のセキュリティ強化の構成
Internet Explorer セキュリティ強化構成 (ESC) は、ユーザーがインターネットおよびイントラネット Web サイトを参照する方法を定義するセキュリティ設定を確立します。 これらの設定により、セキュリティ 上のリスクが発生する可能性がある Web サイトへのサーバーの露出も軽減されます。 このプロセスは IEHarden とも呼ばれます。 詳細については、「 Internet Explorer: セキュリティ強化の構成」を参照してください。
元の製品バージョン: Internet Explorer
元の KB 番号: 4551931
Internet Explorer ESC の既定の設定
この機能は、サーバーで既定で有効になっています。
Internet Explorer ESC を有効にした場合の影響
Internet Explorer ESC は、Internet Explorer の拡張性とセキュリティ設定を調整して、将来のセキュリティ上の脅威にさらされる可能性を減らします。 これらの設定は、コントロール パネルの Internet Options の [Advanced] タブにあります。 次の表に設定を示します。
機能 | 入力 | 設定 | 結果 |
---|---|---|---|
参照 | [セキュリティ強化の構成] ダイアログ ボックスを表示します。 | オン | インターネット サイトがスクリプトまたは ActiveX コントロールを使用しようとしたときに通知するダイアログ ボックスを表示します。 |
参照 | ブラウザー拡張機能を有効にします。 | "オフ" | Microsoft 以外の企業によって作成された Internet Explorer と共に使用するためにインストールした機能を無効にします。 |
参照 | オンデマンドインストールを有効にする (Internet Explorer)。 | "オフ" | Web ページで必要な場合は、必要に応じて Internet Explorer コンポーネントのインストールを無効にします。 |
参照 | オンデマンドインストールを有効にします (その他)。 | "オフ" | Web ページで必要な場合は、必要に応じて Web コンポーネントのインストールを無効にします。 |
Microsoft VM | 仮想マシンの Just-In-Time (JIT) コンパイラが有効になっている (再起動が必要)。 | "オフ" | Microsoft VM コンパイラを無効にします。 |
マルチメディア | メディア バーにオンライン コンテンツを表示しないでください。 | オン | Internet Explorer メディア バーでのメディア コンテンツの再生を無効にします。 |
マルチメディア | メディア バーにオンライン コンテンツを表示しないでください。 | オン | Internet Explorer メディア バーでのメディア コンテンツの再生を無効にします。 |
マルチメディア | Web ページでアニメーションを再生します。 | "オフ" | アニメーションを無効にします。 |
マルチメディア | Web ページでビデオを再生します。 | "オフ" | ビデオ クリップを無効にします。 |
セキュリティ | サーバー証明書の失効を確認します (再起動が必要)。 | オン | 証明書を有効として受け入れる前に、Web サイトの証明書を自動的にチェックして、証明書が失効しているかどうかを確認します。 |
セキュリティ | ダウンロードしたプログラムの署名を確認します。 | オン | ダウンロードしたプログラムの ID を自動的に検証して表示します。 |
セキュリティ | 暗号化されたページをディスクに保存しないでください。 | オン | セキュリティで保護された情報を一時インターネット ファイル フォルダーに保存できないようにします。 |
セキュリティ | ブラウザーを閉じたときに空のインターネット一時ファイル フォルダー。 | オン | ブラウザーを閉じると、インターネット一時ファイル フォルダーが自動的にクリアされます。 |
これらの変更により、Web ページ、Web ベースのアプリケーション、ローカル ネットワーク リソース、ブラウザーを使用してオンライン ヘルプ、サポート、および一般的なユーザー アシスタンスを表示するアプリケーションの機能が低下します。
Windows サーバーで Internet Explorer ESC をオフにする方法
Internet Explorer ESC をオフにするには、次の手順に従います。
Windows 検索に「サーバー マネージャー」と入力して、サーバー マネージャー アプリケーションを起動します。
[ローカル サーバー 選択。
IE セキュリティ強化構成プロパティに移動し、現在の設定を選択してプロパティ ページを開き、目的のユーザーの [Off オプション ボタンを選択して、OKを選択します。
サーバー マネージャー ツール バーの Refresh アイコンを選択すると、サーバー マネージャーに反映された新しい設定が表示されます。
次のビデオでは、この手順を示します。
詳細については、「ローカル サーバーと サーバー マネージャー コンソールを管理するを参照してください。
スクリプトを使用して Internet Explorer ESC を無効にする方法
次のバッチ ファイルの内容を含むIEHArden_V5.bat ファイルを作成します。
管理者コマンド プロンプトで、またはログイン スクリプトの一部として、 ユーザー ログオン スクリプトを割り当てる方法に関する記事に記載されている手順を使用して、bat ファイルを実行します。
バッチ ファイルの内容
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
グループ ポリシー基本設定 (GPP) を使用してユーザーの IEHarden 設定を管理する方法
グループ ポリシー基本設定レジストリ構成を使用してユーザーの IEHarden 設定を変更するには、次の手順に従います。
GPMCM.msc コンソールを開き、 User Configuration>Preferences>Windows Settings に移動します。
ナビゲーション ウィンドウで、 Registry オブジェクトを右クリックし、 New>Registry Item を選択します。
IEHarden プロパティで、次の設定を指定します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
値の名前: IEHarden
値の種類: REG_DWORD
値データ: 0 または 000000000
Apply と OK を選択して、この GPP 構成を完了します。
Note
この値で問題が解決しない場合は、次のレジストリ サブキーを確認することもできます。 ほとんどの場合、これは必要ありません。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
サーバー マネージャーを使用して ESC を無効にした後、Internet Explorer が機能しないようです
このシナリオをトラブルシューティングするには、「 標準ユーザーが Windows Server 2003 ベースのターミナル サーバー以降のバージョンで Internet Explorer のセキュリティ強化機能をオフにできないを参照してください。 基本的には、ESC をもう一度有効または無効にする必要がある場合があります。 レジストリをターゲットにすることが、この問題を解決する最も簡単な方法である可能性があります。