Поделиться через

Вопросы и ответы о конфигурации расширенной безопасности Internet Explorer (ESC)

  • Вопросы и ответы

Предупреждение

Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено путем обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в разделе Часто задаваемые вопросы о прекращении поддержки программы для настольных компьютеров Internet Explorer 11.

Конфигурация расширенной безопасности Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) устанавливает параметры безопасности, определяющие, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также снижают уровень воздействия серверов на веб-сайты, которые могут представлять угрозу безопасности. Этот процесс также называется IEHarden. Дополнительные сведения см. в Internet Explorer: расширенная конфигурация безопасности.

Исходная версия продукта: Internet Explorer
Исходный номер базы знаний: 4551931

Параметр по умолчанию для Internet Explorer ESC

Эта функция включена по умолчанию на серверах.

Эффекты включения internet Explorer ESC

Internet Explorer ESC настраивает расширяемость и параметры безопасности Internet Explorer, чтобы снизить вероятность возможных будущих угроз безопасности. Эти параметры находятся на вкладке "Дополнительные параметры" в панель управления. В следующей таблице описаны параметры.

Функция Формат ввода Параметр Результат
Просмотр Диалоговое окно "Расширенная конфигурация безопасности". Включено Отображает диалоговое окно для уведомления о попытке веб-сайта использовать скрипты или элементы ActiveX.
Просмотр Включите расширения браузера. Выключено Отключает компоненты, установленные для использования вместе с Internet Explorer, созданными компаниями, отличными от Корпорации Майкрософт.
Просмотр Включение установки по запросу (Internet Explorer). Выключено При необходимости отключает установку компонентов Internet Explorer по запросу.
Просмотр Включите установку по запросу (другое). Выключено При необходимости отключает установку веб-компонентов по запросу.
Виртуальная машина Майкрософт JIT-компилятор для включенной виртуальной машины (требуется перезапуск). Выключено Отключает компилятор виртуальной машины Майкрософт.
Мультимедиа Не отображайте веб-содержимое на панели мультимедиа. Включено Отключает воспроизведение содержимого мультимедиа в панели мультимедиа Internet Explorer.
Мультимедиа Не отображайте веб-содержимое на панели мультимедиа. Включено Отключает воспроизведение содержимого мультимедиа в панели мультимедиа Internet Explorer.
Мультимедиа Воспроизведение анимаций на веб-страницах. Выключено Отключает анимации.
Мультимедиа Воспроизведение видео на веб-страницах. Выключено Отключает клипы видео.
Безопасность Проверьте отзыв сертификата сервера (требуется перезагрузка). Включено Автоматически проверяет сертификат веб-сайта, чтобы узнать, был ли сертификат отозван перед принятием сертификата в качестве допустимого.
Безопасность Проверьте наличие подписей в скачанных программах. Включено Автоматически проверяет и отображает удостоверение загруженных программ.
Безопасность Не сохраняйте зашифрованные страницы на диске. Включено Отключает сохранение защищенных данных в папке временных файлов Интернета.
Безопасность Пустая папка временных файлов Интернета при закрытии браузера. Включено Автоматически очищает папку временных файлов Интернета при закрытии браузера.

Эти изменения снижают функциональные возможности веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, использующих браузер для отображения веб-справки, поддержки и общей помощи пользователям.

Отключение internet Explorer ESC на серверах Windows

Чтобы отключить internet Explorer ESC, выполните следующие действия.

  1. Введите диспетчер сервера в поиске Windows, чтобы запустить приложение диспетчера серверов.

  2. Выберите локальный сервер.

  3. Перейдите к свойству конфигурации расширенной безопасности IE, выберите текущий параметр, чтобы открыть страницу свойств, нажмите кнопку "Отключить " для нужных пользователей и нажмите кнопку "ОК".

    Параметр ESC Internet Explorer находится в диспетчере серверов.

    Снимок экрана: окно конфигурации расширенной безопасности IE. Выбран параметр Off.

  4. Щелкните значок обновления на панели инструментов диспетчер сервера, чтобы увидеть новые параметры, отраженные в диспетчере серверов.

    Снимок экрана: текущий параметр ESC Internet Explorer в диспетчере серверов.

В следующем видео демонстрируется эта процедура:

Дополнительные сведения см. в разделе "Управление локальным сервером" и консолью диспетчер сервера.

Отключение internet Explorer ESC с помощью скрипта

  1. Создайте файл IEHArden_V5.bat со следующим содержимым пакетного файла.

  2. Запустите файл bat либо в административной командной строке, либо в рамках скрипта входа с помощью процедуры, описанной в разделе "Как назначить скрипты входа пользователя".

Содержимое пакетного файла

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Управление параметром IEHarden для пользователей с помощью параметров групповой политики (GPP)

Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра параметров групповой политики, выполните следующие действия.

  1. Откройте консоль GPMCM.msc и перейдите к параметрам Windows параметров>конфигурации>пользователей.

  2. В области навигации щелкните правой кнопкой мыши объект Реестра и выберите новый>элемент реестра.

    Снимок экрана: шаги по созданию нового реестра.

  3. В свойствах IEHarden укажите следующие параметры:

    • Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Имя значения: IEHarden

    • Тип значения: REG_DWORD

    • Данные значения: 0 или 000000000

      Снимок экрана: параметры реестра в окно свойств IEHarden.

  4. Нажмите кнопку "Применить" и "ОК", чтобы завершить эту конфигурацию GPP.

Примечание.

Кроме того, может потребоваться проверить следующие подразделы реестра, если это значение не устраняет проблему. В большинстве случаев это не обязательно.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer не работает после отключения ESC с помощью диспетчер сервера

Чтобы устранить эту проблему, обратитесь к стандартным пользователям, не удается отключить функцию расширенной безопасности Internet Explorer на сервере терминалов windows Server 2003 или более поздней версии. В основном вам может потребоваться включить или отключить ESC еще раз. Назначение реестра может быть самым простым способом решения этой проблемы.