Предупреждение
Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено путем обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в разделе Часто задаваемые вопросы о прекращении поддержки программы для настольных компьютеров Internet Explorer 11.
Internet Explorer Enhanced Security Configuration (ESC) устанавливает параметры безопасности, определяющие, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также снижают уровень воздействия серверов на веб-сайты, которые могут представлять угрозу безопасности. Этот процесс также называется IEHarden. Дополнительные сведения см. в Internet Explorer: расширенная конфигурация безопасности.
Исходная версия продукта: Internet Explorer
Исходный номер базы знаний: 4551931
Эта функция включена по умолчанию на серверах.
Internet Explorer ESC настраивает расширяемость и параметры безопасности Internet Explorer, чтобы снизить вероятность возможных будущих угроз безопасности. Эти параметры находятся на вкладке "Дополнительные параметры" в панель управления. В следующей таблице описаны параметры.
| Функция | Вход | Настройка | Результат |
|---|---|---|---|
| Просмотр веб-страниц | Отобразить диалоговое окно "Расширенная конфигурация безопасности". | Включено | Отображает диалоговое окно для уведомления о попытке веб-сайта использовать скрипты или элементы ActiveX. |
| Просмотр веб-страниц | Включите расширения браузера. | Выключено | Отключает компоненты, установленные для использования вместе с Internet Explorer, созданными компаниями, отличными от Корпорации Майкрософт. |
| Просмотр веб-страниц | Включение установки по запросу (Internet Explorer). | Выключено | Отключает установку компонентов Internet Explorer по требованию страницы, если это необходимо. |
| Просмотр веб-страниц | Включите установку по запросу (на других платформах). | Выключено | При необходимости отключает установку веб-компонентов по запросу. |
| Виртуальная машина Майкрософт | JIT-компилятор для включенной виртуальной машины (требуется перезапуск). | Выключено | Отключает компилятор виртуальной машины Майкрософт. |
| Мультимедиа | Не отображайте веб-содержимое на панели мультимедиа. | Включено | Отключает воспроизведение содержимого мультимедиа в панели мультимедиа Internet Explorer. |
| Мультимедиа | Не отображайте веб-содержимое на панели мультимедиа. | Включено | Отключает воспроизведение содержимого мультимедиа в панели мультимедиа Internet Explorer. |
| Мультимедиа | Воспроизведение анимаций на веб-страницах. | Выключено | Отключает анимации. |
| Мультимедиа | Воспроизведение видео на веб-страницах. | Выключено | Отключает видеоклипы. |
| Безопасность | Проверьте отзыв сертификата сервера (требуется перезагрузка). | Включено | Автоматически проверяет сертификат веб-сайта, чтобы узнать, был ли сертификат отозван перед принятием сертификата в качестве допустимого. |
| Безопасность | Проверьте наличие подписей в скачанных программах. | Включено | Автоматически проверяет и отображает подлинность программ, которые вы загружаете. |
| Безопасность | Не сохраняйте зашифрованные страницы на диске. | Включено | Отключает сохранение защищенных данных в папке временных файлов Интернета. |
| Безопасность | Пустая папка временных файлов Интернета при закрытии браузера. | Включено | Автоматически очищает папку временных файлов Интернета при закрытии браузера. |
Эти изменения снижают функциональные возможности веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, использующих браузер для отображения веб-справки, поддержки и общей помощи пользователям.
Чтобы отключить internet Explorer ESC, выполните следующие действия.
Введите диспетчер сервера в поиске Windows, чтобы запустить приложение диспетчера серверов.
Выберите локальный сервер.
Перейдите к свойству конфигурации расширенной безопасности IE, выберите текущий параметр, чтобы открыть страницу свойств, нажмите кнопку "Отключить " для нужных пользователей и нажмите кнопку "ОК".
Щелкните значок обновления на панели инструментов диспетчер сервера, чтобы увидеть новые параметры, отраженные в диспетчере серверов.
В следующем видео демонстрируется эта процедура:
Дополнительные сведения см. в разделе Управление локальным сервером и консоль диспетчера сервера.
Создайте файл IEHArden_V5.bat со следующим содержимым пакетного файла.
Запустите файл bat либо в административной командной строке, либо в рамках скрипта входа с помощью процедуры, описанной в разделе "Как назначить скрипты входа пользователя".
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра параметров групповой политики, выполните следующие действия.
Откройте консоль GPMCM.msc и перейдите к Конфигурации пользователей>Предпочтения>Параметры Windows.
В области навигации щелкните правой кнопкой мыши объект Реестра и выберите новый>элемент реестра.
В свойствах IEHarden укажите следующие параметры:
Расположение:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapИмя параметра: IEHarden
Тип значения: REG_DWORD
Данные значения: 0 или 000000000
Нажмите кнопку "Применить" и "ОК", чтобы завершить эту конфигурацию GPP.
Примечание
Кроме того, может потребоваться проверить следующие подразделы реестра, если это значение не устраняет проблему. В большинстве случаев это не обязательно.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Чтобы устранить эту проблему, обратитесь к стандартным пользователям, не удается отключить функцию расширенной безопасности Internet Explorer на сервере терминалов windows Server 2003 или более поздней версии. В основном вам может потребоваться включить или отключить ESC еще раз. Нацеливание на реестр может быть самым простым способом решения этой проблемы.