最新版本的 Microsoft Edge WebView2 包含下列原則。 您可以使用這些原則來設定 Microsoft Edge WebView2 在組織中的執行方式。
如需用於控制 Microsoft Edge WebView2 更新方式和更新時機的一組額外原則之詳細資訊,請參閱 Microsoft Edge 更新原則參考。
注意
本文適用於 Microsoft Edge 版本 87 或更新版本。
可用原則
下表列出此版本 Microsoft Edge WebView2 提供的所有群組原則。 使用下表中的連結,深入了解特定原則。
載入程式重寫設定
| 原則名稱 | 標題 |
|---|---|
| BrowserExecutableFolder | 設定 [瀏覽器可執行檔] 資料夾的位置 |
| 頻道搜尋種類 | 設定 WebView2 發行通道搜尋類型 |
| ReleaseChannelPreference | 將發行管道搜尋順序偏好設定設定 (已棄用) |
| 發行通道 | 設定 WebView2 發行通道 |
網路設定
| 原則名稱 | 標題 |
|---|---|
| AccessControlAllowMethodsInCORSPreflightSpecConformant | 讓 CORS 預檢規格中的 Access-Control-Allow-Methods 比對符合 |
| 封鎖截斷 Cookie | 封鎖截斷的 Cookie (過時的) |
| ZstdContentEncoding已啟用 | 啟用 zstd 內容編碼支援 (過時的) |
其他
| 原則名稱 | 標題 |
|---|---|
| ExperimentationAndConfigurationServiceControl | 控制與實驗和設定服務的通訊 |
| ForcePermissionPolicyUnloadDefaultEnabled | 控制是否可以停用卸載事件處理常式。 |
| Http允許清單 | HTTP 允許清單 |
| NewBaseUrl繼承行為允許 | 允許啟用 NewBaseUrlInheritanceBehavior 功能 (過時的) |
| NewPDFReaderWebView2List | 啟用由 Adobe Acrobat for WebView2 提供支援的內建 PDF 閱讀器 |
| RSAKeyUsageForLocalAnchors已啟用 | 檢查本機信任錨點所發行伺服器憑證的 RSA 金鑰使用情況 (過時的) |
載入程式重寫設定原則
BrowserExecutableFolder
設定 [瀏覽器可執行檔] 資料夾的位置
支援的版本:
- Windows 上,版本 87 或更新版本
描述
這項原則會在指定路徑中,將 WebView2 應用程式設定為使用 WebView2 Runtime。 該資料夾應包含下列檔案:msedgewebview2.exe、msedge.dll 等等。
若要設定資料夾路徑的值,請提供值名稱和值配對。 將 [值名稱] 設定為 [應用程式使用者模型識別碼] 或 [可執行檔名]。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:BrowserExecutableFolder
- GP 名稱:設定 [瀏覽器可執行檔] 資料夾的位置
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2\BrowserExecutableFolder
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\BrowserExecutableFolder = "Name: *, Value: C:\\Program Files\\Microsoft Edge WebView2 Runtime Redistributable 85.0.541.0 x64"
頻道搜尋種類
設定 WebView2 發行通道搜尋類型
支援的版本:
- 在 Windows 上,從 121 或更高版本開始
描述
此原則會設定 WebView2 應用程式的通道搜尋類型。 預設情況下,通道搜尋類型為 0,相當於對應 WebView2 API 中的「最穩定」搜尋類型;此原則指出 WebView2 環境建立應該從最穩定到最不穩定地搜尋發行通道:WebView2 執行階段、Beta、Dev 和 Canary。
若要反轉預設搜尋順序並使用「最不穩定」搜尋類型,請將此原則設定為 1。
若要設定頻道搜尋類型的值,請提供 值名稱 和 值組。 將 [值名稱] 設定為 [應用程式使用者模型識別碼] 或 [可執行檔名]。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ChannelSearchKind
- GP 名稱:設定 WebView2 發行通道搜尋類型
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (必要) :SOFTWARE\Policies\Microsoft\Edge\WebView2\ChannelSearchKind
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ChannelSearchKind = "Name: WebView2APISample.exe, Value: 1"
ReleaseChannelPreference
將發行管道搜尋順序偏好設定設定 (已棄用)
已取代:此原則已被取代。 目前支援,但將在未來版本中過時。
支援的版本:
- Windows 上,版本 87 或更新版本
描述
此原則已被取代,取而代之的是具有相同功能的 ChannelSearchKind,而且將在 124 版本中過時。 預設通道搜尋順序為 WebView2 Runtime、Beta、Dev 和 Canary。
若要顛倒預設的搜尋順序,請將此原則設定為 1。
若要設定發行通道喜好設定的值,請提供值名稱和值配對。 將 [值名稱] 設定為 [應用程式使用者模型識別碼] 或 [可執行檔名]。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ReleaseChannelPreference
- GP 名稱:設定已棄用) (發行通道搜尋順序喜好設定
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannelPreference
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannelPreference = "Name: *, Value: 1"
發行通道
設定 WebView2 發行通道
支援的版本:
- 在 Windows 上,從 121 或更高版本開始
描述
此原則會設定 WebView2 應用程式的發行通道選項。 若要設定這些選項,請將值設定為逗號分隔的整數字串,這些整數字串會對應至 COREWEBVIEW2_RELEASE_CHANNELS 對應 WebView2 API 中的值。 這些值是:WebView2 執行階段 (0) 、Beta (1) 、Dev (2) ,以及 Canary (3) 。 依預設,環境建立會使用裝置上找到的第一個通道,從最穩定到最不穩定地搜尋通道。 提供時 ReleaseChannels ,環境建立只會搜尋集合中指定的通道。 例如,值 「0,2」 和 「2,0」 表示環境建立應該只搜尋開發通道和 WebView2 執行階段,使用所指出 ChannelSearchKind的順序。 環境建立會嘗試解譯每個整數,並將任何無效的專案視為穩定通道。 設定為 ChannelSearchKind 反轉搜尋順序,讓環境建立先搜尋最不穩定的組建。 如果同時 BrowserExecutableFolder 提供 和 ReleaseChannels ,則 優先 BrowserExecutableFolder ,無論 的 BrowserExecutableFolder 通道是否包含在 中 ReleaseChannels。
若要設定發行通道的值,請提供 值名稱 和 值組。 將值名稱設定為應用程式使用者模型 ID 或可執行檔名稱。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ReleaseChannels
- GP 名稱:設定 WebView2 發行通道
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/載入程式重寫設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (必要) :SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannels
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\ReleaseChannels = "Name: WebView2APISample.exe, Value: 0,1,2"
網路設定原則
AccessControlAllowMethodsInCORSPreflightSpecConformant
讓 CORS 預檢規格中的 Access-Control-Allow-Methods 比對符合
支援的版本:
- 在 Windows 123 或更新版本上
描述
此原則會控制在 CORS 預檢中與 Access-Control-Allow-Methods 回應標頭比對時,要求方法是否為大寫。
如果您停用此原則,則要求方法會以大寫。 這是 Microsoft Edge 108 上或之前的行為。
如果您啟用或未設定此原則,則要求方法不會大寫,除非與 DELETE、GET、HEAD、OPTIONS、POST 或 PUT 不區分大小寫進行比對。
這將拒絕 fetch (url, {method: 'Foo'}) + “Access-Control-Allow-Methods: FOO” 回應標頭,並接受 fetch (url, {method: 'Foo'}) + “Access-Control-Allow-Methods: Foo” 回應標頭。
注意:請求方法 “post” 和 “put” 不受影響,而 “patch” 則受到影響。
此政策僅為臨時政策,將來將被刪除。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:否 - 需要重新啟動瀏覽器
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:AccessControlAllowMethodsInCORSPreflightSpecConformant
- GP 名稱:讓 CORS 預檢規格中的 Access-Control-Allow-Methods 比對符合
- GP 路徑 (必要) :系統管理範本/Microsoft Edge WebView2/網路設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 值名稱:AccessControlAllowMethodsInCORSPreflightSpecConformant
- 數值類型:REG_DWORD
範例值:
0x00000001
封鎖截斷 Cookie
封鎖截斷的 Cookie (過時的)
已過時:此原則已過時,且在 Microsoft Edge 131 之後無法運作。
支援的版本:
- 在 Windows 上,從 123 開始,直到 131
描述
此原則提供暫時選擇退出,以變更 Microsoft Edge 處理透過 JavaScript 設定的 Cookie,這些 Cookie 包含特定控制字元 (NULL、回車符和換行) 。 以前,Cookie 字串中存在這些字元中的任何一個都會導致它被截斷,但仍會設定。 現在,這些字元的存在會導致忽略整個 cookie 字串。
如果您啟用或未設定此原則,則會啟用新行為。
如果您停用此原則,則會啟用舊行為。
這項政策已過時,因為這項政策最初是作為發生破損時的安全措施而實施的,但沒有報告。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:BlockTruncatedCookies
- GP 名稱:封鎖截斷的 Cookie (過時的)
- GP 路徑 (必要) :系統管理範本/Microsoft Edge WebView2/網路設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 值名稱:BlockTruncatedCookies
- 數值類型:REG_DWORD
範例值:
0x00000000
ZstdContentEncoding已啟用
啟用 zstd 內容編碼支援 (過時的)
已過時:此原則已過時,且在 Microsoft Edge 137 之後無法運作。
支援的版本:
- 在 Windows 上,從 125 開始,直到 137
描述
此原則控制 Microsoft Edge 是否支援 Zstandard (zstd) 內容編碼。
已啟用 (Enabled) — Edge 會在 Accept-Encoding 要求標頭中通告 zstd,並可以解壓縮使用 zstd 編碼的回應。
已停用 – Edge 不會公告或支援 zstd 內容編碼。
未設定 — 預設行為是啟用對 zstd 內容編碼的支援。
注意: 從 Microsoft Edge 138 版開始,此原則已過時,因為 Microsoft Edge 現在一律支援 zstd 內容編碼。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:否 - 需要重新啟動瀏覽器
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ZstdContentEncodingEnabled
- GP 名稱:啟用 zstd 內容編碼支援 (過時的)
- GP 路徑 (必要) :系統管理範本/Microsoft Edge WebView2/網路設定
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 值名稱:ZstdContentEncodingEnabled
- 數值類型:REG_DWORD
範例值:
0x00000001
其他原則
ExperimentationAndConfigurationServiceControl
控制與實驗和設定服務的通訊
支援的版本:
- Windows 上,版本 97 或更新版本
描述
試驗和設定服務會用來部署試驗和設定承載至用戶端。
實驗承載是由 Microsoft 為測試和意見反應所啟用的開發功能的早期清單所組成。
設定承載包含 Microsoft 要部署以最佳化使用者體驗的建議設定清單。
設定承載可能也包含基於相容性原因,要在特定網域上採取之動作的清單。 例如,如果網站損毀,則瀏覽器可能會覆寫網站上的使用者代理程式字串。 這些動作都是 Microsoft 嘗試解決網站擁有者的問題時的暫時性動作。
如果將此原則設定為 'FullMode',則會透過實驗和設定服務下載完整承載。 這同時包括實驗和設定承載。
如果您將此原則設定為 'ConfigurationsOnlyMode' - 只會下載組態承載。
如果您將此原則設定為 'RestrictedMode' - 與實驗和設定服務的通訊會完全停止。 Microsoft 不建議使用此設定。
如果未設定此原則,在受管理的裝置上,穩定和 Beta 版通道上的行為與 'ConfigurationsOnlyMode' 相同。 在 Canary 和開發人員通道上,行為與 'FullMode' 相同。
如果未設定此原則,則在未受管理的裝置上,其行為與 'FullMode' 相同。
原則選項對應:
FullMode (2) = 擷取設定和實驗
ConfigurationsOnlyMode (1) = 僅擷取設定
RestrictedMode (0) = 停用與實驗和設定服務的通訊
設定此原則時,請使用上述資訊。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 整數
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ExperimentationAndConfigurationServiceControl
- GP 名稱:控制與實驗和設定服務的通訊
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 數值名稱:ExperimentationAndConfigurationServiceControl
- 數值類型:REG_DWORD
範例值:
0x00000002
ForcePermissionPolicyUnloadDefaultEnabled
控制是否可以停用卸載事件處理常式。
支援的版本:
- 在 Windows 118 或更新版本上
描述
Unload 事件處理常式即將淘汰。 它們是否引發取決於卸載 Permissions-Policy。 目前,預設情況下,原則允許。 將來,它們將逐漸進入預設不允許狀態,網站必須使用 Permissions-Policy 標頭明確啟用它們。 此企業原則可用來強制預設值保持啟用狀態,以選擇退出此逐步淘汰。
頁面可能相依於卸載事件處理常式來儲存資料,或向伺服器發出使用者階段作業結束的訊號。 不建議這樣做,因為它不可靠,而且會封鎖使用 BackForwardCache 來影響效能。 建議的替代方案存在,但卸載事件已經使用了很長時間。 某些應用程式可能仍依賴它們。
如果您停用此原則或未設定它,卸載事件處理常式將會逐漸取代,並取代推出,而未設定標頭 Permissions-Policy 網站將會停止引發 unload 事件。
如果您啟用此原則,則卸載事件處理常式預設會繼續運作。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:ForcePermissionPolicyUnloadDefaultEnabled
- GP 名稱:控制是否可以停用卸載事件處理常式。
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 值名稱:ForcePermissionPolicyUnloadDefaultEnabled
- 數值類型:REG_DWORD
範例值:
0x00000001
Http允許清單
HTTP 允許清單
支援的版本:
- 在 Windows 123 或更新版本上
描述
設定原則會指定主機名稱或主機名稱模式的清單,例如 ('[*.]example.com ) 不會升級到 HTTPS。 組織可以使用此原則來維護對不支援 HTTPS 的伺服器的存取,而不需要停用 「HttpsUpgradesEnabled」。
提供的主機名稱必須經過規範:任何 IDN 都必須轉換成其 A 標籤格式,而且所有 ASCII 字母都必須是小寫。
不允許使用一攬子主機萬用字元 (即 “” 或 “[]”) 。 相反地,應透過特定原則明確停用 HTTPS-First 模式和 HTTPS 升級。
注意:此政策不適用於 HSTS 升級。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:HttpAllowlist
- GP 名稱:HTTP 允許清單
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (必要) :SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist = "testserver.example.com"
SOFTWARE\Policies\Microsoft\Edge\WebView2\HttpAllowlist = "[*.]example.org"
NewBaseUrl繼承行為允許
允許啟用 NewBaseUrlInheritanceBehavior 功能 (過時的)
已過時:此原則已過時,在 Microsoft Edge 135 之後無法運作。
支援的版本:
- 在 Windows 上,從 123 開始,直到 135
描述
NewBaseUrlInheritanceBehavior 是一項 Microsoft Edge 功能,可導致 about:blank 和 about:srcdoc 框架透過其起始端基底 URL 的快照集一致地繼承其基底 URL 值。
如果您停用此原則,它會防止使用者或 Microsoft Edge 變化啟用 NewBaseUrlInheritanceBehavior,以防發現相容性問題。
如果您啟用或未設定此原則,則允許啟用 NewBaseUrlInheritanceBehavior。
從 Microsoft Edge 136 版開始,原則已過時,但 NewBaseUrlInheritanceBehaviorAllowed 功能已在 Microsoft Edge 123 版中移除。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:NewBaseUrlInheritanceBehaviorAllowed
- GP 名稱:允許啟用 NewBaseUrlInheritanceBehavior 功能 (過時的)
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 值名稱:NewBaseUrlInheritanceBehaviorAllowed
- 數值類型:REG_DWORD
範例值:
0x00000001
NewPDFReaderWebView2List
啟用由 Adobe Acrobat for WebView2 提供支援的內建 PDF 閱讀器
支援的版本:
- 在 Windows 上,從 116 或更新版本開始
描述
此原則會設定 WebView2 應用程式,以啟動由 Adobe Acrobat 的 PDF 閱讀器提供支援的新版本 PDF 閱讀器。 新的 PDF 閱讀器可確保功能不會丟失並提供增強的 PDF 體驗。 這種體驗包括更豐富的渲染、改進的效能、PDF 檔案處理的強大安全性以及更高的可訪問性。
如果針對應用程式指定此原則,則可能也會影響其他相關應用程式。 原則會套用至共用相同 WebView2 使用者數據資料夾的所有 WebView2。 如果這些應用程式可能來自相同的產品系列,這些應用程式設計為共用相同的使用者數據資料夾,則這些 WebView2 可能屬於多個應用程式。
使用名稱/值組來啟用應用程式的新 PDF 閱讀器。 將名稱設為應用程式使用者模型 ID 或可執行檔名稱。 您可以使用萬用字元「*」作為值名稱來套用到所有應用程式。 將 Value 設定為 true 以啟用新的讀取器,或將其設定為 false 以使用現有的讀取器。
如果您為指定的 WebView2 應用程式啟用此原則,則它們會使用新的 Adobe Acrobat 支援的 PDF 閱讀器來開啟所有 PDF 檔案。
如果您停用指定 WebView2 應用程式的原則或未設定它,它們會使用現有的 PDF 閱讀器來開啟所有 PDF 檔案。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:否 - 需要重新啟動瀏覽器
資料類型:
- 字串清單
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:NewPDFReaderWebView2List
- GP 名稱:啟用由 Adobe Acrobat 提供支援的內建 PDF 閱讀器 for WebView2
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (必要) :SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List
- 路徑 (建議):不適用
- 值名稱:REG_SZ 的清單
- 數值類型:REG_SZ 的清單
範例值:
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "app1.exe", "value": true}
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "app_id_for_app2", "value": true}
SOFTWARE\Policies\Microsoft\Edge\WebView2\NewPDFReaderWebView2List = {"name": "*", "value": false}
RSAKeyUsageForLocalAnchors已啟用
檢查本機信任錨點所發行伺服器憑證的 RSA 金鑰使用情況 (過時的)
已過時:此原則已過時,在 Microsoft Edge 135 之後無法運作。
支援的版本:
- 在 Windows 上,從 123 開始,直到 135
描述
X.509 金鑰使用延伸模組會宣告如何使用憑證中的金鑰。 這些指示可確保憑證不會在非預期的內容中使用,從而防止對 HTTPS 和其他通訊協定進行一類跨通訊協定攻擊。 HTTPS 用戶端必須驗證伺服器憑證是否符合連線的 TLS 參數。
從 Microsoft Edge 124 開始,一律會啟用此檢查。
Microsoft Edge 123 和更早版本具有下列行為:
如果此原則設定為已啟用,Microsoft Edge 會執行此金鑰檢查。 這有助於防止攻擊者操縱瀏覽器以憑證擁有者不想要的方式解譯金鑰的攻擊。
如果此原則設定為已停用,Microsoft Edge 會略過此金鑰簽入 HTTPS 連線,以交涉 TLS 1.2,並使用鏈結至本機信任錨點的 RSA 憑證。 本機信任錨點的範例包括原則提供或使用者安裝的根憑證。 在所有其他情況下,檢查會獨立於此原則的設定執行。
如果未設定此原則,Microsoft Edge 的行為就像已啟用原則一樣。
此原則可供系統管理員預覽未來版本的行為,預設會啟用此檢查。 此時,此原則仍暫時可供需要更多時間更新憑證以符合新 RSA 金鑰使用需求的系統管理員使用。
未通過此檢查的Connections會失敗,並出現錯誤ERR_SSL_KEY_USAGE_INCOMPATIBLE。 因此錯誤而失敗的站台可能具有錯誤設定的憑證。 現代ECDHE_RSA密碼套件使用「digitalSignature」金鑰使用選項,而舊版 RSA 解密密碼套件則使用「keyEncipherment」金鑰使用選項。 如果不確定,管理員應將兩者包含在適用於 HTTPS 的 RSA 憑證中。
從 Microsoft Edge 136 版開始,原則已過時,但自 Microsoft Edge 124 版以來,金鑰檢查一律會啟用。
支援的功能:
- 可強制執行:是
- 可以建議:否
- 動態原則重新整理:是
資料類型:
- 布林值
Windows 資訊和設定
群組原則 (ADMX) 資訊
- GP 唯一名稱:RSAKeyUsageForLocalAnchorsEnabled
- GP 名稱:檢查本機信任錨點所發行之伺服器憑證的 RSA 金鑰使用方式 (過時的)
- GP 路徑 (強制):系統管理範本/Microsoft Edge WebView2/
- GP 路徑 (建議):不適用
- GP ADMX 檔案名稱:MSEdgeWebView2.admx
Windows 登錄設定
- 路徑 (強制):SOFTWARE\Policies\Microsoft\Edge\WebView2
- 路徑 (建議):不適用
- 值名稱:RSAKeyUsageForLocalAnchorsEnabled
- 數值類型:REG_DWORD
範例值:
0x00000001