Voci del Registro di sistema delle zone di sicurezza di Internet Explorer per gli utenti avanzati

  • Articolo

Avviso

L'applicazione desktop Internet Explorer 11, ritirata e fuori supporto, è stata disabilitata in modo permanente tramite un aggiornamento di Microsoft Edge su alcune versioni di Windows 10. Per altre informazioni, vedere Domande frequenti sul ritiro delle app desktop di Internet Explorer 11.

Questo articolo descrive come e dove le aree di sicurezza e le impostazioni di privacy di Internet Explorer vengono archiviate e gestite nel Registro di sistema. È possibile usare Criteri di gruppo o Microsoft Internet Explorer Administration Kit (IEAK) per impostare le aree di sicurezza e le impostazioni di privacy.

Versione originale del prodotto: Internet Explorer 9, Internet Explorer 10
Numero KB originale: 182569

Impostazioni di privacy

Internet Explorer 6 e versioni successive hanno aggiunto una scheda Privacy per dare agli utenti un maggiore controllo sui cookie. Questa scheda (selezionareStrumenti e quindi selezionareopzioni Internet) offre flessibilità per bloccare o consentire i cookie, in base al sito Web da cui proviene il cookie o al tipo di cookie. I tipi di cookie includono cookie di prima parte, cookie di terze parti e cookie che non hanno un'informativa sulla privacy compatta. Questa scheda include anche opzioni per controllare le richieste di siti Web per i dati di posizione fisica, la possibilità di bloccare i popup e la possibilità di eseguire barre degli strumenti ed estensioni quando InPrivate Browsing è abilitato.

Esistono diversi livelli di privacy nell'area Internet e vengono archiviati nel Registro di sistema nella stessa posizione delle zone di sicurezza.

È anche possibile aggiungere un sito Web per abilitare o bloccare i cookie in base al sito Web, indipendentemente dall'informativa sulla privacy nel sito Web. Tali chiavi del Registro di sistema vengono archiviate nella sottochiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

I domini aggiunti come sito gestito sono elencati in questa sottochiave. Questi domini possono contenere uno dei valori DWORD seguenti:

0x00000005 - Blocca sempre
0x00000001 - Consenti sempre

Impostazioni dell'area di sicurezza

Per ogni zona, gli utenti possono controllare il modo in cui Internet Explorer gestisce gli elementi a rischio più elevato, ad esempio controlli ActiveX, download e script. Le impostazioni delle zone di sicurezza di Internet Explorer vengono archiviate nelle sottochiavi del Registro di sistema seguenti:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Queste chiavi del Registro di sistema contengono le chiavi seguenti:

  • TemplatePolicies
  • ZoneMap
  • Aree

Nota

Per impostazione predefinita, le impostazioni delle zone di sicurezza vengono archiviate nel sottoalbero del HKEY_CURRENT_USER Registro di sistema. Poiché questo sottoalbero viene caricato dinamicamente per ogni utente, le impostazioni per un utente non influiscono sulle impostazioni per un altro utente.

Se l'impostazione Zone di sicurezza: usa solo le impostazioni del computer in Criteri di gruppo è abilitata o se il Security_HKLM_only valore DWORD è presente e ha un valore pari a 1 nella sottochiave del Registro di sistema seguente, vengono usate solo le impostazioni del computer locale e tutti gli utenti hanno le stesse impostazioni di sicurezza:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Con il Security_HKLM_only criterio abilitato, i valori HKLM verranno usati da Internet Explorer. Tuttavia, i valori HKCU verranno comunque visualizzati nelle impostazioni di zona nella scheda Sicurezza in Internet Explorer. In Internet Explorer 7 la scheda Sicurezza della finestra di dialogo Opzioni Internet visualizza il messaggio seguente per indicare che le impostazioni sono gestite dall'amministratore di sistema:

Alcune impostazioni sono gestite dall'amministratore di sistema Se l'impostazione Zone di sicurezza: usa solo le impostazioni del computer non è abilitata in Criteri di gruppo o se il Security_HKLM_only valore DWORD non esiste o è impostato su 0, le impostazioni del computer vengono usate insieme alle impostazioni utente. Tuttavia, solo le impostazioni utente vengono visualizzate nelle opzioni Internet. Ad esempio, quando questo valore DWORD non esiste o è impostato su 0, HKEY_LOCAL_MACHINE le impostazioni vengono lette insieme alle HKEY_CURRENT_USER impostazioni, ma solo HKEY_CURRENT_USER le impostazioni vengono visualizzate in Opzioni Internet.

TemplatePolicies

La TemplatePolicies chiave determina le impostazioni dei livelli predefiniti dell'area di sicurezza. Questi livelli sono Basso, Medio Basso, Medio e Alto. È possibile modificare le impostazioni del livello di sicurezza dalle impostazioni predefinite. Tuttavia, non è possibile aggiungere altri livelli di sicurezza. Le chiavi contengono valori che determinano l'impostazione per l'area di sicurezza. Ogni chiave contiene un valore di stringa Description e un valore di stringa Display Name che determinano il testo visualizzato nella scheda Sicurezza per ogni livello di sicurezza.

ZoneMap

La ZoneMap chiave contiene le chiavi seguenti:

  • Domini
  • EscDomains
  • ProtocolDefaults
  • Intervalli

La Domains chiave contiene domini e protocolli che sono stati aggiunti per modificare il comportamento rispetto al comportamento predefinito. Quando viene aggiunto un dominio, viene aggiunta una chiave alla Domains chiave. I sottodomini vengono visualizzati come chiavi nel dominio a cui appartengono. Ogni chiave che elenca un dominio contiene un DWORD con un nome di valore del protocollo interessato. Il valore di DWORD è lo stesso del valore numerico dell'area di sicurezza in cui viene aggiunto il dominio.

La EscDomains chiave è simile alla chiave Domains, ad eccezione del fatto che la EscDomains chiave si applica ai protocolli interessati da Internet Explorer Enhanced Security Configuration (IE ESC). Internet Explorer ESC è stato introdotto in Microsoft Windows Server 2003 e si applica solo ai sistemi operativi server.

La ProtocolDefaults chiave specifica l'area di sicurezza predefinita utilizzata per un particolare protocollo (ftp, http, https). Per modificare l'impostazione predefinita, è possibile aggiungere un protocollo a un'area di sicurezza selezionando Aggiungi siti nella scheda Sicurezza oppure aggiungere un valore DWORD nella chiave Domini. Il nome del valore DWORD deve corrispondere al nome del protocollo e non deve contenere due punti (:) o barre (/).

La ProtocolDefaults chiave contiene anche valori DWORD che specificano le zone di sicurezza predefinite in cui viene usato un protocollo. Non è possibile usare i controlli nella scheda Sicurezza per modificare questi valori. Questa impostazione viene usata quando un determinato sito Web non rientra in un'area di sicurezza.

La Ranges chiave contiene intervalli di indirizzi TCP/IP. Ogni intervallo TCP/IP specificato viene visualizzato in una chiave denominata arbitrariamente. Questa chiave contiene un :Range valore stringa che contiene l'intervallo TCP/IP specificato. Per ogni protocollo viene aggiunto un valore DWORD che contiene il valore numerico dell'area di sicurezza per l'intervallo IP specificato.

Quando il file Urlmon.dll usa la funzione pubblica MapUrlToZone per risolvere un URL specifico in un'area di sicurezza, usa uno dei metodi seguenti:

  • Se l'URL contiene un nome di dominio completo (FQDN), viene elaborata la chiave Domains.

    In questo metodo, una corrispondenza esatta del sito esegue l'override di una corrispondenza casuale.

  • Se l'URL contiene un indirizzo IP, la Ranges chiave viene elaborata. L'indirizzo IP dell'URL viene confrontato con il :Range valore contenuto nelle chiavi con nome arbitrario sotto la Ranges chiave.

Nota

Poiché le chiavi con nome arbitrario vengono elaborate nell'ordine in cui sono state aggiunte al Registro di sistema, questo metodo potrebbe trovare una corrispondenza casuale prima di trovare una corrispondenza. Se questo metodo trova prima una corrispondenza casuale, l'URL può essere eseguito in un'area di sicurezza diversa da quella in cui viene in genere assegnato. Si tratta di un comportamento legato alla progettazione del prodotto.

Aree

La Zones chiave contiene chiavi che rappresentano ogni area di sicurezza definita per il computer. Per impostazione predefinita, vengono definite le cinque zone seguenti (numerato da zero a quattro):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Nota

Per impostazione predefinita, Il computer non viene visualizzato nella casella Area della scheda Sicurezza perché è bloccato per migliorare la sicurezza.

Ognuna di queste chiavi contiene i valori DWORD seguenti che rappresentano le impostazioni corrispondenti nella scheda Sicurezza personalizzata.

Nota

Se non diversamente specificato, ogni valore DWORD è uguale a zero, uno o tre. In genere, un'impostazione di zero imposta un'azione specifica come consentita, un'impostazione di uno fa apparire una richiesta e un'impostazione di tre impedisce l'azione specifica.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Note su 1200, 1A00, 1A10, 1E05, 1C00 e 2000

Le due voci del Registro di sistema seguenti influiscono sulla possibilità di eseguire controlli ActiveX in una determinata zona:

  • 1200 Questa voce del Registro di sistema determina se è possibile eseguire controlli ActiveX o plug-in.
  • 2000 Questa voce del Registro di sistema controlla il comportamento binario e il comportamento degli script per i controlli ActiveX o i plug-in.

Note su 1A02, 1A03, 1A05 e 1A06

Le quattro voci del Registro di sistema seguenti hanno effetto solo se sono presenti le chiavi seguenti:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Cookie di prima parte *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie di terze parti *

Voci del Registro di sistema

  • 1A02 Consenti cookie persistenti archiviati nel computer #
  • 1A03 Consenti cookie per sessione (non archiviati) #
  • 1A05 Consenti cookie persistenti di terze parti *
  • 1A06 Consenti cookie di sessione di terze parti *

Queste voci del Registro di sistema si trovano nella sottochiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

In questa sottochiave del Registro di sistema ZoneNumber <> è una zona, ad esempio 0 (zero). La 1200 voce del Registro di sistema e la 2000 voce del Registro di sistema contengono ognuna un'impostazione denominata Approvata dall'amministratore. Quando questa impostazione è abilitata, il valore per la voce del Registro di sistema specifica è impostato su 000100000. Quando l'impostazione Approvata dall'amministratore è abilitata, Windows esamina la sottochiave del Registro di sistema seguente per individuare un elenco di controlli approvati:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

L'impostazione di accesso (1A00) può avere uno dei valori seguenti (esadecimale):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

Impostazioni privacy (1A10) viene usato dal dispositivo di scorrimento della scheda Privacy. I valori DWORD sono i seguenti:

Blocca tutti i cookie: 00000003
Alto: 00000001
Medio alto: 00000001
Medio: 00000001
Basso: 00000001
Accettare tutti i cookie: 00000000

In base alle impostazioni nel dispositivo di scorrimento, modificherà anche i valori in {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120}, o entrambi.

L'impostazione Autorizzazioni Java (1C00) include i cinque valori possibili seguenti (binario):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Se è selezionato Personalizzato, usa {7839DA25-F5FE-11D0-883B-0080C726DCBB} (che si trova nello stesso percorso del Registro di sistema) per archiviare le informazioni personalizzate in un file binario.

Ogni area di sicurezza contiene il valore della stringa Description e il valore della stringa Display Name. Il testo di questi valori viene visualizzato nella scheda Sicurezza quando si seleziona un'area nella casella Area. Esiste anche un valore stringa Icon che imposta l'icona visualizzata per ogni zona. Ad eccezione della zona Computer personale, ogni zona contiene un CurrentLevelvalore , MinLevele RecommendedLevel DWORD. Il MinLevel valore imposta l'impostazione più bassa che è possibile usare prima di ricevere un messaggio di avviso, CurrentLevel è l'impostazione corrente per la zona ed RecommendedLevel è il livello consigliato per la zona.

Quali valori per Minlevel, RecommendedLevele CurrentLevel indicano quanto segue:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Il Flags valore DWORD determina la capacità dell'utente di modificare le proprietà dell'area di sicurezza. Per determinare il Flags valore, aggiungere insieme i numeri delle impostazioni appropriate. Sono disponibili i valori seguenti Flags (decimale):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Se si aggiungono impostazioni sia a E che HKEY_LOCAL_MACHINai HKEY_CURRENT_USER sottoalberi, le impostazioni sono additive. Se si aggiungono siti Web a entrambi i sottoalberi, solo i siti Web in HKEY_CURRENT_USER sono visibili. I siti Web nel HKEY_LOCAL_MACHINE sottoalbero vengono ancora applicati in base alle impostazioni. Tuttavia, non sono disponibili e non è possibile modificarli. Questa situazione può creare confusione perché un sito Web può essere elencato in una sola area di sicurezza per ogni protocollo.

Riferimenti

Per altre informazioni sulle modifiche alle funzionalità in Microsoft Windows XP Service Pack 2 (SP2), visitare il seguente sito Web Microsoft:

Parte 5: Sicurezza avanzata dell'esplorazione

Per altre informazioni sulle zone di sicurezza URL, visitare il seguente sito Web Microsoft:

Informazioni sulle zone di sicurezza degli URL

Per altre informazioni su come modificare le impostazioni di sicurezza di Internet Explorer, visitare il seguente sito Web Microsoft:

Modificare le impostazioni di sicurezza e privacy per Internet Explorer 11

Per altre informazioni su Internet Explorer Local Machine Zone Lockdown, visitare il seguente sito Web Microsoft:

Blocco della zona del computer locale di Internet Explorer

Per altre informazioni sui valori associati alle azioni che è possibile eseguire in un'area di sicurezza URL, vedere Flag di azione URL.