FAQ sur la configuration de la sécurité renforcée (ESC) d’Internet Explorer

Configuration de sécurité renforcée d’Internet Explorer

La configuration de sécurité renforcée (ESC) d’Internet Explorer établit des paramètres de sécurité qui définissent la façon dont les utilisateurs parcourent les sites web Internet et intranet. Ces paramètres réduisent également l’exposition des serveurs aux sites web qui peuvent présenter un risque de sécurité. Ce processus est également appelé IEHarden. Pour plus d’informations, voir Internet Explorer : Configuration de sécurité renforcée.

Version du produit d’origine :   Internet Explorer
Numéro de la ko d’origine :   4551931

Paramètre par défaut d’Internet Explorer ESC

Cette fonctionnalité est activée par défaut sur les serveurs.

Effets de l’activation d’Internet Explorer ESC

Internet Explorer ESC ajuste les paramètres d’extensibilité et de sécurité d’Internet Explorer pour réduire l’exposition aux menaces de sécurité futures possibles. Ces paramètres sont sous l’onglet Avancé des options Internet du Panneau de configuration. Le tableau suivant décrit les paramètres.

Fonctionnalité Entrée Paramètre Résultat
Navigation Afficher la boîte de dialogue Configuration de la sécurité renforcée. Activé Affiche une boîte de dialogue pour vous avertir lorsqu’un site Internet tente d’utiliser des scripts ou ActiveX contrôles.
Navigation Activez les extensions de navigateur. Désactivé Désactive les fonctionnalités que vous avez installées pour une utilisation avec Internet Explorer qui sont créées par des sociétés autres que Microsoft.
Navigation Activer l’installation à la demande (Internet Explorer). Désactivé Désactive l’installation des composants Internet Explorer à la demande, si une page web l’exige.
Navigation Activer l’installation à la demande (autre). Désactivé Désactive l’installation de composants web à la demande, si une page web l’exige.
Microsoft VM Compilateur JIT (Just-in-time) pour ordinateur virtuel activé (nécessite un redémarrage). Désactivé Désactive le compilateur microsoft VM.
Multimédia N’affichez pas de contenu en ligne dans la barre multimédia. Activé Désactive la lecture de contenu multimédia dans la barre multimédia d’Internet Explorer.
Multimédia N’affichez pas de contenu en ligne dans la barre multimédia. Activé Désactive la lecture de contenu multimédia dans la barre multimédia d’Internet Explorer.
Multimédia Lire des animations dans des pages web. Désactivé Désactive les animations.
Multimédia Lire des vidéos dans des pages web. Désactivé Désactive les clips vidéo.
Sécurité Recherchez la révocation des certificats de serveur (redémarrage nécessaire). Activé Vérifie automatiquement le certificat d’un site web pour voir si le certificat a été révoqué avant d’accepter le certificat comme valide.
Sécurité Recherchez les signatures sur les programmes téléchargés. Activé Vérifie et affiche automatiquement l’identité des programmes que vous téléchargez.
Sécurité N’enregistrez pas les pages chiffrées sur le disque. Activé Désactive l’enregistrement des informations sécurisées dans votre dossier Fichiers Internet temporaires.
Sécurité Dossier Fichiers Internet temporaires vide lorsque le navigateur est fermé. Activé Cette approche permet d’effacer automatiquement le dossier Fichiers Internet temporaires lorsque vous fermez le navigateur.

Ces modifications réduisent les fonctionnalités des pages web, des applications web, des ressources réseau locales et des applications qui utilisent un navigateur pour afficher l’aide en ligne, le support et l’assistance générale des utilisateurs.

Comment désactiver Internet Explorer ÉCHAP sur les serveurs Windows

Pour désactiver l’échap Internet Explorer, suivez les étapes suivantes :

  1. Entrez le Gestionnaire de serveur dans la recherche Windows pour démarrer l’application Gestionnaire de serveur.

  2. Sélectionnez Serveur local.

  3. Accédez à la propriété Configuration de sécurité renforcée d’Internet Explorer, sélectionnez le paramètre actuel pour ouvrir la page de propriétés, sélectionnez la bouton d’option Off pour les utilisateurs souhaités, puis sélectionnez OK.

    Paramètre ÉCHAP d’Internet Explorer dans le Gestionnaire de serveur

    Capture d’écran de l’option Sélectionner hors écran

  4. Sélectionnez l’icône Actualiser dans la barre d’outils du Gestionnaire de serveur pour voir les nouveaux paramètres reflétés dans le gestionnaire de serveur.

    paramètre ÉCHAP Internet Explorer actuel dans le Gestionnaire de serveur.

La vidéo suivante illustre cette procédure :

Pour plus d’informations, voir Gérer le serveur local et la console du Gestionnaire de serveur.

Comment désactiver Internet Explorer ESC à l’aide d’un script

  1. Téléchargez et enregistrezIEHArden_V5.zip.

  2. Extrayez les IEHArden_V5.bat à partir du fichier compressé (.zip), puis exécutez-le à l’invite de commandes d’administration ou dans le cadre du script de connexion à l’aide de la procédure documentée dans la procédure d’affectation de scriptsd’ouverture de session utilisateur.

Contenu du fichier de traitement par lots

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Comment gérer le paramètre IEHarden pour les utilisateurs à l’aide des préférences de stratégie de groupe (GPP)

Pour modifier le paramètre IEHarden pour les utilisateurs à l’aide de la configuration du Registre Préférences de stratégie de groupe, suivez les étapes suivantes :

  1. Ouvrez la console GPMCM.msc, puis accédez aux paramètres Windows Préférences de configuration > > utilisateur.

  2. Dans le volet de navigation, cliquez avec le bouton droit sur l’objet Registre, puis sélectionnez Nouvel > élément de Registre.

    créer un registre

  3. Dans les propriétés IEHarden, spécifiez les paramètres suivants :

    • Emplacement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nom de la valeur : IEHarden

    • Type de valeur : REG_DWORD

    • Données de valeur : 0 ou 00000000

      paramètres de Registre

  4. Sélectionnez Appliquer et OK pour terminer cette configuration GPP.

Notes

Vous pouvez également vérifier les sous-clés de Registre suivantes si cette valeur ne résout pas le problème. Dans la plupart des cas, cela n’est pas nécessaire.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer ne semble pas fonctionner après la désactivation d’ÉCHAP à l’aide du Gestionnaire de serveur

Pour résoudre ce problème, reportez-vous aux utilisateurs standard qui ne peuvent pas désactiver la fonctionnalité Sécurité renforcée d’Internet Explorer sur un serveur Terminal Server 2003ou une version ultérieure. En bref, vous de devez peut-être activer ou désactiver à nouveau ÉCHAP. Le ciblage du Registre peut être le moyen le plus simple de résoudre ce problème.