Udostępnij za pośrednictwem


Często zadawane pytania dotyczące konfiguracji zwiększonych zabezpieczeń programu Internet Explorer (ESC)

Ostrzeżenie

Wycofana, nieobsługiwana aplikacja klasyczna Internet Explorer 11 ma zostać trwale wyłączona za pośrednictwem aktualizacji aplikacji Microsoft Edge dla niektórych wersji systemu Windows 10. Aby uzyskać więcej informacji, zobacz artykuł pt. Często zadawane pytania dotyczące wycofywania aplikacji klasycznej Internet Explorer 11.

Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer

Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer (ESC) ustanawia ustawienia zabezpieczeń definiujące sposób przeglądania witryn internetowych i intranetowych przez użytkowników. Te ustawienia zmniejszają również narażenie serwerów na witryny internetowe, które mogą stanowić zagrożenie bezpieczeństwa. Ten proces jest również znany jako IEHarden. Aby uzyskać więcej informacji, zobacz Internet Explorer: Konfiguracja zwiększonych zabezpieczeń.

Oryginalna wersja produktu: Internet Explorer
Oryginalny numer KB: 4551931

Ustawienie domyślne dla programu Internet Explorer ESC

Ta funkcja jest domyślnie włączona na serwerach.

Efekty włączania programu Internet Explorer ESC

Program Internet Explorer ESC dostosowuje ustawienia rozszerzalności i zabezpieczeń programu Internet Explorer, aby zmniejszyć narażenie na możliwe przyszłe zagrożenia bezpieczeństwa. Te ustawienia znajdują się na karcie Zaawansowane opcje internetowe w Panel sterowania. W poniższej tabeli opisano ustawienia.

Funkcja Wpis Ustawienie Result
Przeglądanie Wyświetl okno dialogowe Konfiguracja zwiększonych zabezpieczeń. Włączone Wyświetla okno dialogowe z powiadomieniem, gdy witryna internetowa próbuje użyć skryptów lub kontrolek ActiveX.
Przeglądanie Włącz rozszerzenia przeglądarki. Wyłączona Wyłącza funkcje zainstalowane do użytku razem z programem Internet Explorer, które są tworzone przez firmy inne niż Microsoft.
Przeglądanie Włącz opcję Zainstaluj na żądanie (Internet Explorer). Wyłączona Wyłącza instalowanie składników programu Internet Explorer na żądanie, jeśli jest to wymagane przez stronę internetową.
Przeglądanie Włącz opcję Zainstaluj na żądanie (inne). Wyłączona Wyłącza instalowanie składników internetowych na żądanie, jeśli jest to wymagane przez stronę internetową.
Maszyna wirtualna firmy Microsoft Kompilator just in time (JIT) dla maszyny wirtualnej z włączoną obsługą (wymaga ponownego uruchomienia). Wyłączona Wyłącza kompilator maszyn wirtualnych firmy Microsoft.
Multimedia Nie wyświetlaj zawartości online na pasku multimediów. Włączone Wyłącza odtwarzanie zawartości multimedialnej na pasku multimediów programu Internet Explorer.
Multimedia Nie wyświetlaj zawartości online na pasku multimediów. Włączone Wyłącza odtwarzanie zawartości multimedialnej na pasku multimediów programu Internet Explorer.
Multimedia Odtwarzaj animacje na stronach internetowych. Wyłączona Wyłącza animacje.
Multimedia Odtwarzanie filmów wideo na stronach internetowych. Wyłączona Wyłącza klipy wideo.
Bezpieczeństwo Sprawdź, czy nie ma odwołania certyfikatów serwera (wymaga ponownego uruchomienia). Włączone Automatycznie sprawdza certyfikat witryny internetowej, aby sprawdzić, czy certyfikat został odwołany przed zaakceptowaniem certyfikatu jako ważny.
Bezpieczeństwo Sprawdź podpisy pobranych programów. Włączone Automatycznie weryfikuje i wyświetla tożsamość pobranych programów.
Bezpieczeństwo Nie zapisuj zaszyfrowanych stron na dysku. Włączone Wyłącza zapisywanie zabezpieczonych informacji w folderze Tymczasowe pliki internetowe.
Bezpieczeństwo Pusty folder Tymczasowe pliki internetowe po zamknięciu przeglądarki. Włączone Automatycznie czyści folder Tymczasowe pliki internetowe po zamknięciu przeglądarki.

Te zmiany zmniejszają funkcjonalność stron internetowych, aplikacji internetowych, zasobów sieci lokalnej i aplikacji korzystających z przeglądarki do wyświetlania pomocy online, pomocy technicznej i ogólnej pomocy użytkownika.

Jak wyłączyć program Internet Explorer ESC na serwerach z systemem Windows

Aby wyłączyć program Internet Explorer ESC, wykonaj następujące kroki:

  1. Wprowadź Menedżer serwera w wyszukiwaniu systemu Windows, aby uruchomić aplikację Menedżera serwera.

  2. Wybierz pozycję Serwer lokalny.

  3. Przejdź do właściwości Konfiguracja zwiększonych zabezpieczeń programu IE, wybierz bieżące ustawienie, aby otworzyć stronę właściwości, wybierz przycisk Opcji Wył . dla żądanych użytkowników, a następnie wybierz przycisk OK.

    Ustawienie ESC programu Internet Explorer jest włączone w Menedżerze serwera.

    Zrzut ekranu przedstawiający okno Konfiguracja zwiększonych zabezpieczeń programu IE. Wybrana jest opcja Wył.

  4. Wybierz ikonę Odśwież na pasku narzędzi Menedżer serwera, aby wyświetlić nowe ustawienia odzwierciedlone w Menedżerze serwera.

    Zrzut ekranu przedstawiający bieżące ustawienie ESC programu Internet Explorer w Menedżerze serwera.

W poniższym filmie wideo przedstawiono tę procedurę:

Aby uzyskać więcej informacji, zobacz Zarządzanie serwerem lokalnym i konsolą Menedżer serwera.

Jak wyłączyć program Internet Explorer ESC przy użyciu skryptu

  1. Utwórz plik IEHArden_V5.bat z następującą zawartością pliku wsadowego.

  2. Uruchom plik bat w wierszu polecenia administracyjnego lub w ramach skryptu logowania, korzystając z procedury opisanej w temacie How to assign user logon scripts (Jak przypisać skrypty logowania użytkownika).

Zawartość pliku wsadowego

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Jak zarządzać ustawieniem IEHarden dla użytkowników przy użyciu preferencji zasad grupy (GPP)

Aby zmienić ustawienie IEHarden dla użytkowników przy użyciu konfiguracji rejestru preferencji zasad grupy, wykonaj następujące kroki:

  1. Otwórz konsolę GPMCM.msc, a następnie przejdź do pozycji Preferencje>konfiguracji>użytkownika Ustawienia systemu Windows.

  2. W okienku nawigacji kliknij prawym przyciskiem myszy obiekt Rejestru, a następnie wybierz pozycję Nowy>element rejestru.

    Zrzut ekranu przedstawia kroki tworzenia nowego rejestru.

  3. We właściwościach IEHarden określ następujące ustawienia:

    • Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nazwa wartości: IEHarden

    • Typ wartości: REG_DWORD

    • Dane wartości: 0 lub 00000000

      Zrzut ekranu przedstawiający ustawienia rejestru w okno Właściwości IEHarden.

  4. Wybierz pozycję Zastosuj i OK , aby ukończyć tę konfigurację GPP.

Uwaga 16.

Możesz również sprawdzić następujące podklucze rejestru, jeśli ta wartość nie rozwiąże problemu. W większości przypadków nie jest to konieczne.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Program Internet Explorer nie działa po wyłączeniu ESC przy użyciu Menedżer serwera

Aby rozwiązać ten problem, zapoznaj się z tematem Użytkownicy standardowi nie mogą wyłączyć funkcji zwiększonych zabezpieczeń programu Internet Explorer na serwerze terminalu opartym na systemie Windows Server 2003 lub nowszej wersji. Zasadniczo może być konieczne ponowne włączenie lub wyłączenie esc. Ukierunkowanie na rejestr może być najprostszym sposobem rozwiązania tego problemu.