Udostępnij przez

Najczęściej zadawane pytania dotyczące rozszerzonej konfiguracji zabezpieczeń Internet Explorera (ESC)

Ostrzeżenie

Wycofana i nieobsługiwana aplikacja Internet Explorer 11 na komputery stacjonarne została na stałe wyłączona poprzez aktualizację Microsoft Edge w niektórych wersjach systemu Windows 10. Aby uzyskać więcej informacji, zobacz Najczęściej zadawane pytania dotyczące wycofania aplikacji Internet Explorer 11 na pulpicie.

Konfiguracja Ulepszonego Bezpieczeństwa dla Internet Explorera

Konfiguracja Rozszerzonego Bezpieczeństwa w Internet Explorer (ESC) ustanawia ustawienia bezpieczeństwa, które definiują, w jaki sposób użytkownicy przeglądają strony internetowe i intranetowe. Te ustawienia również zmniejszają ryzyko wystawienia serwerów na strony internetowe, które mogą stanowić zagrożenie dla bezpieczeństwa. Proces ten jest również znany jako IEHarden. Aby uzyskać więcej informacji, zobacz Internet Explorer: Konfiguracja rozszerzonego zabezpieczenia.

Original product version: Internet Explorer
Original KB number: 4551931

Domyślne ustawienie dla Internet Explorer ESC

Ta funkcja jest domyślnie włączona na serwerach.

Efekty włączenia funkcji ESC w Internet Explorerze

Internet Explorer ESC dostosowuje ustawienia rozszerzalności i zabezpieczeń przeglądarki Internet Explorer, aby zmniejszyć narażenie na potencjalne przyszłe zagrożenia dla bezpieczeństwa. Te ustawienia znajdują się na karcie Zaawansowane w Opcjach Internetowych w Panelu Sterowania. Poniższa tabela opisuje ustawienia.

Funkcja Wpis Ustawienia Wynik
Przeglądanie Wyświetl okno dialogowe Konfiguracja Zwiększonego Bezpieczeństwa. On Wyświetla okno dialogowe powiadamiające o próbie użycia skryptów lub kontrolek ActiveX przez witrynę internetową.
Przeglądanie Włącz rozszerzenia przeglądarki. Wyłączony Wyłącza funkcje, które zainstalowałeś do używania razem z Internet Explorerem, a które zostały stworzone przez firmy inne niż Microsoft.
Przeglądanie Włącz instalację na żądanie (Internet Explorer). Wyłączony Wyłącza instalowanie komponentów Internet Exploreru na żądanie, jeśli wymaga tego strona internetowa.
Przeglądanie Włącz instalację na żądanie (Inne). Wyłączony Wyłącza instalację komponentów sieciowych na żądanie, jeśli jest to wymagane przez stronę internetową.
Microsoft VM Kompilator Just-in-time (JIT) dla maszyny wirtualnej włączony (wymaga ponownego uruchomienia). Wyłączony Wyłącza kompilator Microsoft VM.
Multimedia Nie wyświetlaj treści online na pasku multimedialnym. On Wyłącza odtwarzanie treści multimedialnych w pasku multimedialnym Internet Explorer.
Multimedia Nie wyświetlaj treści online na pasku multimediów. On Wyłącza odtwarzanie zawartości multimedialnej na pasku multimedialnym Internet Explorer.
Multimedia Odtwarzaj animacje na stronach internetowych. Wyłącz Disables animations.
Multimedia Play videos in webpages. Wyłączony Wyłącza klipy wideo.
Security Sprawdź, czy certyfikat serwera został unieważniony (wymaga ponownego uruchomienia). On Automatically checks a website's certificate to see whether the certificate has been revoked before accepting the certificate as valid.
Bezpieczeństwo Sprawdź podpisy na pobranych programach. On Automatycznie weryfikuje i wyświetla tożsamość programów, które pobierasz.
Bezpieczeństwo Nie zapisuj zaszyfrowanych stron na dysku. On Wyłącza zapisywanie zabezpieczonych informacji w folderze Tymczasowe pliki internetowe.
Bezpieczeństwo Opróżnij folder z plikami tymczasowymi Internetu po zamknięciu przeglądarki. On Automatycznie czyści folder plików tymczasowych internetu po zamknięciu przeglądarki.

Te zmiany zmniejszają funkcjonalność na stronach internetowych, w aplikacjach opartych na sieci, zasobach lokalnej sieci oraz w aplikacjach, które używają przeglądarki do wyświetlania pomocy online, wsparcia i ogólnej pomocy dla użytkowników.

Jak wyłączyć Internet Explorer ESC na serwerach Windows

Aby wyłączyć funkcję ESC w przeglądarce Internet Explorer, wykonaj następujące kroki:

  1. Wpisz Menedżer serwera w wyszukiwarkę Windows, aby uruchomić aplikację Menedżer serwera.

  2. Select Local Server.

  3. Nawiguj do właściwości IE Enhanced Security Configuration, wybierz bieżące ustawienie, aby otworzyć stronę właściwości, następnie wybierz przycisk opcji Wyłącz dla wybranych użytkowników, a na koniec wybierz OK.

    Ustawienie zabezpieczeń rozszerzonych Internet Explorer (ESC) jest włączone w Menedżerze serwera.

    Zrzut ekranu okna Konfiguracja Zabezpieczeń Zwiększona IE. Wybrana jest opcja Wyłączone.

  4. Wybierz ikonę Odśwież na pasku narzędzi Server Manager, aby zobaczyć, jak nowe ustawienia zostały zastosowane w zarządcy serwera.

    Zrzut ekranu bieżącego ustawienia Internet Explorer ESC w menedżerze serwera.

Następujący film demonstruje tę procedurę:

Aby uzyskać więcej informacji, zobacz Zarządzanie serwerem lokalnym i konsolą Menedżera serwera.

Jak wyłączyć ESC programu Internet Explorer za pomocą skryptu

  1. Create an IEHArden_V5.bat file with the following batch file content.

  2. Uruchom plik bat przy użyciu wiersza poleceń z uprawnieniami administratora lub jako część skryptu logowania, stosując procedurę opisaną w instrukcji Jak przypisać skrypty logowania użytkownika.

Zawartość pliku wsadowego

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Jak zarządzać ustawieniem IEHarden dla użytkowników za pomocą Preferencji Zasad Grupowych (GPP)

To change the IEHarden setting for users by using Group Policy Preferences Registry configuration, follow these steps:

  1. Otwórz konsolę GPMCM.msc, a następnie przejdź do Konfiguracja użytkownika>Preferencje>Ustawienia Windows.

  2. W okienku nawigacji kliknij prawym przyciskiem myszy obiekt Rejestr, a następnie wybierz Nowy>element rejestru.

    Zrzut ekranu pokazuje kroki tworzenia nowego rejestru.

  3. W Właściwościach IEHarden określ następujące ustawienia:

    • Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nazwa wartości: IEHarden

    • Value Type: REG_DWORD

    • Value data: 0 or 00000000

      Zrzut ekranu ustawień rejestru w oknie właściwości IEHarden.

  4. Wybierz Zastosuj i OK, aby zakończyć konfigurację GPP.

Notatka

Możesz również sprawdzić następujące podklucze rejestru, jeśli ta wartość nie rozwiązuje problemu. W większości przypadków nie jest to konieczne.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer wydaje się nie działać po wyłączeniu ESC za pomocą Menedżera serwera.

Aby rozwiązać ten problem, odnieś się do artykułu Standardowi użytkownicy nie mogą wyłączyć funkcji Zwiększonego Bezpieczeństwa Internet Explorer na serwerze terminali opartym na systemie Windows Server 2003 lub nowszym. Zasadniczo może być konieczne ponowne włączenie lub wyłączenie funkcji ESC. Kierowanie działań na rejestr może być najprostszym sposobem rozwiązania tego problemu.