有关 Internet Explorer 增强型安全配置(ESC)的常见问题解答

警告

已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答

Internet Explorer 增强的安全配置

Internet Explorer 增强的安全配置(ESC)建立安全设置,用于定义用户如何浏览 Internet 和 Intranet 网站。 这些设置还会减少服务器暴露给可能带来安全风险的网站。 此过程也称为 IEHarden。 有关详细信息,请参阅 Internet Explorer:增强的安全配置

原始产品版本: Internet Explorer
原始 KB 数: 4551931

Internet Explorer ESC 的默认设置

默认情况下,此功能在服务器上启用。

启用 Internet Explorer ESC 的效果

Internet Explorer ESC 调整 Internet Explorer 扩展性和安全设置,以减少未来可能的安全威胁的暴露。 这些设置位于 控制面板 Internet 选项“高级”选项卡上。 下表描述了这些设置。

功能 条目 设置 Result
浏览 显示“增强的安全配置”对话框。 显示一个对话框,用于在 Internet 站点尝试使用脚本或 ActiveX 控件时通知你。
浏览 启用浏览器扩展。 禁用安装的功能,以便与除Microsoft以外的公司创建的 Internet Explorer 一起使用。
浏览 启用按需安装(Internet Explorer)。 如果网页需要,请按需禁用安装 Internet Explorer 组件。
浏览 启用按需安装(其他)。 如果网页需要,请按需禁用安装 Web 组件。
Microsoft VM 已启用虚拟机的实时 (JIT) 编译器(需要重启)。 禁用Microsoft VM 编译器。
多媒体 不要在媒体栏中显示联机内容。 禁止在 Internet Explorer 媒体栏中播放媒体内容。
多媒体 不要在媒体栏中显示联机内容。 禁止在 Internet Explorer 媒体栏中播放媒体内容。
多媒体 在网页中播放动画。 禁用动画。
多媒体 在网页中播放视频。 禁用视频剪辑。
安全性 检查服务器证书吊销(需要重启)。 在接受证书有效之前,自动检查网站的证书,以查看证书是否已吊销。
安全性 检查下载的程序上的签名。 自动验证并显示你下载的程序的标识。
安全性 不要将加密页保存到磁盘。 禁用在临时 Internet 文件文件夹中保存安全信息。
安全性 关闭浏览器时,空临时 Internet 文件文件夹。 关闭浏览器时自动清除临时 Internet 文件文件夹。

这些更改减少了网页、基于 Web 的应用程序、本地网络资源和使用浏览器显示联机帮助、支持和常规用户帮助的应用程序的功能。

如何在 Windows 服务器上关闭 Internet Explorer ESC

若要关闭 Internet Explorer ESC,请执行以下步骤:

  1. 在 Windows 搜索中输入服务器管理器以启动服务器管理器应用程序。

  2. 选择“ 本地服务器”。

  3. 导航到 IE 增强的安全配置 属性,选择当前设置以打开属性页,为所需用户选择 “关闭 ”选项按钮,然后选择“ 确定”。

    Internet Explorer ESC 设置位于服务器管理器中。

    “IE 增强的安全配置”窗口的屏幕截图。已选择“关闭”选项。

  4. 选择服务器管理器工具栏上的“刷新”图标以查看服务器管理器中反映的新设置。

    服务器管理器中当前 Internet Explorer ESC 设置的屏幕截图。

以下视频演示了此过程:

有关详细信息,请参阅“管理本地服务器”和“服务器管理器控制台”。

如何使用脚本禁用 Internet Explorer ESC

  1. 使用以下批处理文件内容创建IEHArden_V5.bat文件。

  2. 使用“如何分配用户登录脚本” 中记录的过程,在管理命令提示符处或作为登录脚本的一部分运行 bat 文件。

批处理文件的内容

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

如何使用组策略首选项(GPP)管理用户的 IEHarden 设置

若要使用组策略首选项注册表配置更改用户的 IEHarden 设置,请执行以下步骤:

  1. 打开 GPMCM.msc 控制台,然后导航到“用户配置>首选项>Windows 设置”。

  2. 在导航窗格中,右键单击注册表对象,然后选择“新建>注册表项”。

    屏幕截图显示了创建新注册表的步骤。

  3. IEHarden 属性中,指定以下设置:

    • 位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • 值名称: IEHarden

    • 值类型: REG_DWORD

    • 值数据: 000000000

      IEHarden 属性窗口中的注册表设置的屏幕截图。

  4. 选择“ 应用 ”并 “确定 ”完成此 GPP 配置。

注意

如果此值未解决问题,可能还需要检查以下注册表子项。 在大多数情况下,不需要这样做。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

使用 服务器管理器 禁用 ESC 后,Internet Explorer 似乎不起作用

若要排查这种情况问题,请参阅 标准用户无法在基于 Windows Server 2003 的终端服务器或更高版本上关闭 Internet Explorer 增强安全功能。 基本上,可能需要再次启用或禁用 ESC。 以注册表为目标可能是解决此问题的最简单方法。