Параметры реестра зон безопасности Internet Explorer для опытных пользователей

В этой статье описывается, как и где хранятся и управляются зонами безопасности Internet Explorer и параметрами конфиденциальности в реестре. Групповую политику или пакет администрирования Microsoft Internet Explorer (IEAK) можно использовать для задания зон безопасности и параметров конфиденциальности.

Исходная версия продукта: Internet Explorer 9, Internet Explorer 10
Исходный номер базы знаний: 182569

Параметры конфиденциальности

Internet Explorer 6 и более поздних версий добавил вкладку конфиденциальности, чтобы предоставить пользователям больше контроля над файлами cookie. Эта вкладка (выберите"Сервис", а затем выберитепараметры Интернета) обеспечивает гибкость для блокировки или разрешения файлов cookie на основе веб-сайта, из который был получен файл cookie или тип файла cookie. Файлы cookie могут быть основными, сторонними или не содержащими краткой политики конфиденциальности. Эта вкладка также включает параметры контролирования запросов веб-сайтов на предмет сведений о физическом расположении, возможности блокировать всплывающие окна и запускать панели инструментов и расширения, когда включен просмотр InPrivate.

Существуют различные уровни конфиденциальности в зоне Интернета, и они хранятся в реестре в том же расположении, что и зоны безопасности.

Вы также можете добавить веб-сайт, чтобы включить или заблокировать файлы cookie для данного веб-сайта, независимо от его политики конфиденциальности. Те ключи реестра хранятся в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Домены, добавленные в качестве управляемого сайта, перечислены в этом подразделе. Эти домены могут содержать одно из следующих значений DWORD:

0x00000005 — Всегда блокировать
0x00000001 — всегда разрешать

Параметры зоны безопасности

Для каждой зоны пользователи могут управлять тем, как Internet Explorer обрабатывает элементы с повышенным риском, такие как элементы ActiveX, загрузки и скрипты. Параметры зон безопасности Internet Explorer сохраняются в следующих подразделах ключей реестра:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Эти ключи реестра содержат следующие ключи:

• Политики шаблонов
• Карта Зон
• Зоны

Если в групповой политике включена настройка «Зоны безопасности: использовать только параметры компьютера» или если в следующем подразделе реестра присутствует параметр Security_HKLM_only DWORD со значением 1, то используются только настройки локального компьютера, и все пользователи имеют одинаковые параметры безопасности:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Если политика Security_HKLM_only включена, значения HKLM будут использовать Internet Explorer. Однако значения HKCU по-прежнему будут отображаться в параметрах зоны на вкладке "Безопасность " в Internet Explorer. В Internet Explorer 7 на вкладке "Безопасность " диалогового окна "Параметры браузера" отображается следующее сообщение, указывающее, что параметры управляются системным администратором:

Некоторые параметры управляются системным администратором Если параметр Зоны безопасности: используйте только настройки компьютера не включён в группе политики, или если значение Security_HKLM_only DWORD не существует или установлено в 0, используются как настройки компьютера, так и настройки пользователя. Однако в параметрах браузера отображаются только параметры пользователя. Например, если это значение DWORD не существует или имеет значение 0, HKEY_LOCAL_MACHINE параметры считываются вместе с HKEY_CURRENT_USER параметрами, но в параметрахHKEY_CURRENT_USERтолько параметры.

Политики шаблонов

Ключ TemplatePolicies определяет параметры уровней зоны безопасности по умолчанию. Эти уровни: "Низкий", "Средне-низкий", "Средний", "Высокий". Параметры уровня безопасности можно изменить из параметров по умолчанию. Однако нельзя добавить дополнительные уровни безопасности. Ключи содержат значения, определяющие параметр для зоны безопасности. Каждый ключ содержит строковое значение описания и строковое значение отображаемого имени, определяющее текст, отображаемый на вкладке "Безопасность" для каждого уровня безопасности.

Карта Зон

Ключ ZoneMap содержит следующие ключи:

• Домены
• EscDomains
• НастройкиПоУмолчаниюПротокола
• Диапазоны

Ключ Domains содержит домены и протоколы, добавленные для изменения поведения по умолчанию. При добавлении домена ключ добавляется в ключ Domains. Поддомены отображаются как ключи в домене, где они принадлежат. Каждый ключ, который связан с доменом, содержит DWORD с именем значения, обозначающим затронутый протокол. Значение DWORD совпадает с числовым значением зоны безопасности, в которой добавляется домен.

Ключ EscDomains напоминает ключ доменов, за исключением того, что EscDomains ключ применяется к этим протоколам, затронутым конфигурацией расширенной безопасности Internet Explorer (IE ESC). IE ESC представлен в Microsoft Windows Server 2003 и применяется только к операционным системам сервера.

Ключ ProtocolDefaults указывает зону безопасности по умолчанию, используемую для определенного протокола (ftp, http, https). Чтобы изменить параметр по умолчанию, можно добавить протокол в зону безопасности, нажав кнопку "Добавить сайты " на вкладке "Безопасность " или добавить значение DWORD в ключ "Домены". Имя значения DWORD должно соответствовать имени протокола, и оно не должно содержать двоеточия (:) или косой черты (/).

Ключ ProtocolDefaults также содержит значения DWORD, указывающие зоны безопасности по умолчанию, в которых используется протокол. Для изменения этих значений нельзя использовать элементы управления на вкладке "Безопасность ". Этот параметр используется, если определенный веб-сайт не попадает в зону безопасности.

Ключ Ranges содержит диапазоны TCP/IP-адресов. Каждый диапазон TCP/IP, указанный в ключе с произвольным именем. Этот ключ содержит строковое значение, содержащее указанный :Range диапазон TCP/IP. Для каждого протокола добавляется значение DWORD, содержащее числовое значение зоны безопасности для указанного диапазона IP-адресов.

Если файл Urlmon.dll использует общедоступную функцию MapUrlToZone для разрешения определенного URL-адреса в зоне безопасности, он использует один из следующих методов:

• Если URL-адрес содержит полное доменное имя (FQDN), ключ доменов обрабатывается.

  В этом методе точное соответствие сайта переопределяет случайное совпадение.

• Если URL-адрес содержит IP-адрес, Ranges ключ обрабатывается. IP-адрес URL сравнивается со значением :Range, содержащимся в ключах с произвольными именами, находящимися под ключом Ranges.

Зоны

Ключ Zones содержит ключи, представляющие каждую зону безопасности, определенную для компьютера. По умолчанию определяются следующие пять зон (пронумерованных от нуля до четырех):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Каждый из этих ключей содержит следующие значения DWORD, представляющие соответствующие параметры на пользовательской вкладке "Безопасность".

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Заметки о 1200, 1A00, 1A10, 1E05, 1C00 и 2000

Следующие две записи реестра влияют на возможность запуска элементов ActiveX в определенной зоне:

• 1200 Эта запись реестра влияет на возможность запуска элементов ActiveX или подключаемых модулей.
• 2000 Эта запись реестра управляет двоичным поведением и поведением скрипта для элементов ActiveX или подключаемых модулей.

Заметки о 1A02, 1A03, 1A05 и 1A06

Следующие четыре записи реестра вступают в силу только в том случае, если присутствуют следующие ключи:

• {AEBA21FA-782A-4A90-978D-B72164C80120} файл cookie первой стороны *
• {A8A88C49-5EB2-4990-A1A2-0876022C854F} Сторонний файл cookie *

Записи реестра

• 1A02 Разрешить постоянные файлы cookie, хранящиеся на компьютере #
• 1A03 Разрешить файлы cookie для каждого сеанса (не хранятся) #
• 1A05 Разрешить сторонние постоянные файлы cookie *
• 1A06 Разрешить сторонние сеансовые куки *

Эти записи реестра находятся в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

В этом подразделе реестра <ZoneNumber> — это зона, например 0 (ноль). Запись 1200 реестра и запись 2000 реестра каждая содержит параметр с именем «Одобрено администратором». Если этот параметр включен, для конкретной записи реестра задано значение 00010000. Если включены утвержденные настройки администратора, Windows проверяет следующий подраздел реестра, чтобы найти список утвержденных компонентов управления.

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

Параметр входа (1A00) может иметь одно из следующих значений (в шестнадцатеричном формате):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Настройки конфиденциальности (1A10) используются ползунком на вкладке "Конфиденциальность". Значения DWORD приведены следующим образом:

Блокировать все файлы cookie: 00000003
Высокий: 00000001
Умеренно высокий: 00000001
Средний: 00000001
Низкий: 00000001
Примите все файлы cookie: 00000000

На основе параметров ползунка он также изменит значения в {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120} или обоих.

Параметр разрешений Java (1C00) имеет следующие пять возможных значений (двоичные):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Если выбрана функция "Пользовательский", то используется {7839DA25-F5FE-11D0-883B-0080C726DCBB} (расположенный в том же месте реестра) для хранения пользовательских данных в двоичном файле.

Каждая зона безопасности содержит строковое значение Description и строковое значение отображаемого имени. Текст этих значений отображается на вкладке "Безопасность" при выборе зоны в поле "Зона". Существует также строковое значение значка, которое задает значок, отображаемый для каждой зоны. За исключением зоны "Мой компьютер", каждая зона содержит значения DWORD: CurrentLevel, MinLevel и RecommendedLevel. Значение MinLevel задает самый низкий параметр, который можно использовать перед получением предупреждения, CurrentLevel является текущим параметром для зоны и RecommendedLevel является рекомендуемым уровнем для зоны.

Какие значения для Minlevel, RecommendedLevelи CurrentLevel означают следующее:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags Значение DWORD определяет способность пользователя изменять свойства зоны безопасности. Чтобы определить значение Flags, сложите числа соответствующих настроек. Доступны следующие Flags значения (десятичные):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Если вы добавляете параметры как в поддерево HKEY_LOCAL_MACHIN, так и в поддерево HKEY_CURRENT_USER, параметры суммируются. Если вы добавляете сайты в оба поддерева, отображаются только те сайты, которые находятся в HKEY_CURRENT_USER. Веб-сайты в HKEY_LOCAL_MACHINE поддереве по-прежнему регулируются в соответствии с их параметрами. Однако они недоступны, и их нельзя изменить. Эта ситуация может быть запутана, так как веб-сайт может быть указан только в одной зоне безопасности для каждого протокола.

Ссылки

Дополнительные сведения об изменениях функций в Microsoft Windows XP с пакетом обновления 2 (SP2) см. на следующем веб-сайте Майкрософт:

Часть 5. Улучшенная безопасность просмотра

Дополнительные сведения о зонах безопасности URL-адресов см. на следующем веб-сайте Майкрософт:

Сведения о зонах безопасности URL-адресов

Дополнительные сведения об изменении параметров безопасности Internet Explorer см. на следующем веб-сайте Майкрософт:

Изменение параметров безопасности и конфиденциальности для Internet Explorer 11

Дополнительные сведения о блокировке локальной зоны компьютера Internet Explorer см. на следующем веб-сайте Майкрософт:

Блокировка локальной зоны компьютера Internet Explorer

Дополнительные сведения о значениях, связанных с действиями, которые могут выполняться в зоне безопасности URL, см. в разделе "Флаги действий URL".