FAQ sur Internet Explorer configuration de sécurité renforcée (ESC)

Avertissement

L’application de bureau Internet Explorer 11, mise hors service et dont le support a pris fin, a été désactivée définitivement via une mise à jour Microsoft Edge sur certaines versions de Windows 10. Pour plus d’informations, consultez le forum aux questions sur la mise hors service de l’application de bureau Internet Explorer 11.

Configuration de la sécurité renforcée Explorer Internet

Internet Explorer configuration de sécurité renforcée (ESC) établit des paramètres de sécurité qui définissent la façon dont les utilisateurs parcourent les sites Web Internet et intranet. Ces paramètres réduisent également l’exposition des serveurs aux sites web susceptibles de présenter un risque pour la sécurité. Ce processus est également appelé IEHarden. Pour plus d’informations, consultez Internet Explorer : configuration de la sécurité renforcée.

Version d’origine du produit : Internet Explorer
Numéro de la base de connaissances d’origine : 4551931

Paramètre par défaut pour Internet Explorer ESC

Cette fonctionnalité est activée par défaut sur les serveurs.

Les effets de l’activation d’Internet Explorer ESC

Internet Explorer ESC ajuste les paramètres d’extensibilité et de sécurité d’Internet Explorer afin de réduire l’exposition aux menaces de sécurité futures possibles. Ces paramètres se trouvent sous l’onglet Avancé des options Internet dans Panneau de configuration. Le tableau suivant décrit les paramètres.

Fonctionnalité Entrée Setting Résultat
Navigation Boîte de dialogue Afficher la configuration de la sécurité renforcée. Activé Affiche une boîte de dialogue pour vous avertir lorsqu’un site Internet tente d’utiliser des scripts ou des contrôles ActiveX.
Navigation Activez les extensions de navigateur. Désactivé Désactive les fonctionnalités que vous avez installées pour une utilisation avec les Explorer Internet créées par des sociétés autres que Microsoft.
Navigation Activez Installer à la demande (Internet Explorer). Désactivé Désactive l’installation des composants Internet Explorer à la demande, si nécessaire par une page web.
Navigation Activez l’installation à la demande (Autre). Désactivé Désactive l’installation des composants web à la demande, si nécessaire par une page web.
Machine virtuelle Microsoft Compilateur juste-à-temps (JIT) pour la machine virtuelle activée (nécessite un redémarrage). Désactivé Désactive le compilateur de machine virtuelle Microsoft.
Multimédia N’affichez pas de contenu en ligne dans la barre multimédia. Activé Désactive la lecture du contenu multimédia dans la barre multimédia d’Internet Explorer.
Multimédia N’affichez pas de contenu en ligne dans la barre multimédia. Activé Désactive la lecture du contenu multimédia dans la barre multimédia d’Internet Explorer.
Multimédia Lire des animations dans des pages web. Désactivé Désactive les animations.
Multimédia Lire des vidéos dans des pages web. Désactivé Désactive les clips vidéo.
Sécurité Vérifiez la révocation du certificat de serveur (nécessite un redémarrage). Activé Vérifie automatiquement le certificat d’un site web pour voir si le certificat a été révoqué avant d’accepter le certificat comme valide.
Sécurité Recherchez les signatures sur les programmes téléchargés. Activé Vérifie et affiche automatiquement l’identité des programmes que vous téléchargez.
Sécurité N’enregistrez pas les pages chiffrées sur le disque. Activé Désactive l’enregistrement des informations sécurisées dans votre dossier Fichiers Internet temporaires.
Sécurité Dossier Fichiers Internet temporaires vide lorsque le navigateur est fermé. Activé Efface automatiquement le dossier Fichiers Internet temporaires lorsque vous fermez le navigateur.

Ces modifications réduisent les fonctionnalités des pages web, des applications web, des ressources de réseau local et des applications qui utilisent un navigateur pour afficher l’aide en ligne, le support et l’assistance utilisateur générale.

Comment désactiver Internet Explorer Échap sur les serveurs Windows

Pour désactiver Internet Explorer ÉCHAP, procédez comme suit :

  1. Entrez Gestionnaire de serveur dans La recherche Windows pour démarrer l’application Gestionnaire de serveur.

  2. Sélectionnez Serveur local.

  3. Accédez à la propriété Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez le paramètre actuel pour ouvrir la page de propriétés, sélectionnez le bouton d’option Désactivé pour les utilisateurs souhaités, puis sélectionnez OK.

    Internet Explorer paramètre ÉCHAP est activé dans le gestionnaire de serveur.

    Capture d’écran de la fenêtre Configuration de la sécurité renforcée d’Internet Explorer. L’option Off est sélectionnée.

  4. Sélectionnez l’icône Actualiser dans la barre d’outils Gestionnaire de serveur pour voir les nouveaux paramètres reflétés dans le gestionnaire de serveur.

    Capture d’écran du paramètre ESC d’Internet Explorer actuel dans le Gestionnaire de serveur.

La vidéo suivante illustre cette procédure :

Pour plus d’informations, consultez Gérer le serveur local et la console Gestionnaire de serveur.

Comment désactiver Internet Explorer ESC à l’aide d’un script

  1. Créez un fichier IEHArden_V5.bat avec le contenu de fichier de commandes suivant.

  2. Exécutez le fichier bat à partir d’une invite de commandes d’administration ou dans le cadre d’un script de connexion à l’aide de la procédure décrite dans Comment affecter des scripts d’ouverture de session utilisateur.

Contenu du fichier de commandes

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Comment gérer le paramètre IEHarden pour les utilisateurs à l’aide des préférences stratégie de groupe (GPP)

Pour modifier le paramètre IEHarden pour les utilisateurs à l’aide de stratégie de groupe préférences configuration du Registre, procédez comme suit :

  1. Ouvrez la console GPMCM.msc, puis accédez àPréférences>de configuration> utilisateurParamètres Windows.

  2. Dans le volet de navigation, cliquez avec le bouton droit sur l’objet Registre , puis sélectionnez Nouvel>élément du Registre.

    Capture d’écran montrant les étapes de création d’un registre.

  3. Dans Propriétés IEHarden, spécifiez les paramètres suivants :

    • Emplacement: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nom de la valeur : IEHarden

    • Type de valeur : REG_DWORD

    • Données de valeur : 0 ou 000000000

      Capture d’écran des paramètres du Registre dans IEHarden Fenêtre Propriétés.

  4. Sélectionnez Appliquer et OK pour terminer cette configuration GPP.

Remarque

Vous pouvez également case activée les sous-clés de Registre suivantes si cette valeur ne résout pas le problème. Dans la plupart des cas, cela n’est pas nécessaire.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer ne semble pas fonctionner une fois que vous avez désactivé esc à l’aide de Gestionnaire de serveur

Pour résoudre ce scénario, reportez-vous à l’article Les utilisateurs Standard ne peuvent pas désactiver internet Explorer fonctionnalité de sécurité renforcée sur un serveur Terminal Server 2003 ou une version ultérieure. Fondamentalement, vous devrez peut-être activer ou désactiver à nouveau échap. Le ciblage du registre peut être le moyen le plus simple de résoudre ce problème.