Internet Explorerユーザーのセキュリティ ゾーン レジストリ エントリの管理

重要

Internet Explorer 11 デスクトップ アプリケーションは廃止され、2022 年 6 月 15 日にサポートが終了します (スコープ内の一覧については 、FAQを参照してください)。 現在使用しているのと同じ IE11 アプリとサイトは、Microsoft EdgeモードInternet Explorerできます。 詳細については、こちらを参照してください。

この記事では、セキュリティ ゾーンとInternet Explorer設定をレジストリに格納および管理する方法と場所について説明します。 グループ ポリシーまたは Microsoft Internet Explorer管理キット (IEAK) を使用して、セキュリティ ゾーンとプライバシー設定を設定できます。

元の製品バージョン:  Internet Explorer 9、Internet Explorer 10
元の KB 番号:   182569

プライバシーの設定

Internet Explorer 6 以降のバージョンでは、[プライバシー] タブが追加され、ユーザーは Cookie を制御できます。 このタブ ([ツール] を選択し、[インターネット オプション] を 選択) を使用すると、Cookie が取得した Web サイトまたは Cookie の種類に基づいて、Cookie をブロックまたは許可できます。 Cookie の種類には、ファースト パーティ Cookie、サード パーティ Cookie、およびコンパクトなプライバシー ポリシーを持つ Cookie が含まれます。 また、このタブには、物理的な位置情報データに対する Web サイト要求、ポップアップをブロックする機能、InPrivate ブラウズが有効なときにツールバーと拡張機能を実行する機能を制御するオプションも含まれています。

インターネット ゾーンにはさまざまなレベルのプライバシーが設定され、セキュリティ ゾーンと同じ場所にあるレジストリに格納されます。

また、Web サイトのプライバシー ポリシーに関係なく、Web サイトに基づいて Cookie を有効またはブロックする Web サイトを追加することもできます。 これらのレジストリ キーは、次のレジストリ サブキーに格納されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

管理サイトとして追加されたドメインは、このサブキーの下に一覧表示されます。 これらのドメインには、次の DWORD 値のいずれかを指定できます。

0x00000005 - Always Block
0x00000001 - 常に許可する

セキュリティ ゾーンの設定

各ゾーンについて、ユーザーは、Internet Explorer、ダウンロード、スクリプトなどのリスクの高いActiveX処理する方法を制御できます。 Internet Explorerの設定は、次のレジストリ サブキーの下に格納されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

これらのレジストリ キーには、次のキーが含まれます。

  • TemplatePolicies
  • ZoneMap
  • 領域

注意

既定では、セキュリティ ゾーンの設定はレジストリ  HKEY_CURRENT_USER   サブツリーに格納されます。 このサブツリーはユーザーごとに動的に読み込まれるため、1 人のユーザーの設定は別のユーザーの設定には影響を及ぼします。

[セキュリティ ゾーン  : グループ ポリシーでコンピューター設定のみを使用する] が有効になっている場合、または DWORD 値が存在し、次のレジストリ サブキーに    Security_HKLM_only1 の値が設定されている場合は、ローカル コンピューターの設定だけが使用され、すべてのユーザーが同じセキュリティ設定を使用します。

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

ポリシーが Security_HKLM_only 有効な場合、HKLM 値はユーザーが使用Internet Explorer。 ただし、HKCU 値は引き続き[セキュリティ] タブ **** のゾーン設定   に表示Internet Explorer。 [Internet Explorer 7] では、[ **** インターネット オプション] ダイアログ ボックスの [セキュリティ] タブに、設定がシステム管理者によって管理されているというメッセージ    ****   が表示されます。

一部の設定はシステム管理者によって管理されます   グループ ポリシー  で [セキュリティ ゾーン: コンピューター設定のみを使用する] 設定が有効になっていない場合、または DWORD 値が存在しない場合、  Security_HKLM_only   または 0 に設定されている場合は、コンピューター設定がユーザー設定と共に使用されます。 ただし、インターネット オプションにはユーザー設定 だけが表示されます。 たとえば、この DWORD 値が存在しない場合、または 0 に設定されている場合、設定は設定と共に読み取りますが、インターネット オプションには設定  HKEY_LOCAL_MACHINE    HKEY_CURRENT_USER    HKEY_CURRENT_USER   だけが 表示されます

TemplatePolicies

キー  TemplatePolicies   は、既定のセキュリティ ゾーン レベルの設定を決定します。 これらのレベルは、低、中低、中、高です。 セキュリティ レベルの設定は、既定の設定から変更できます。 ただし、セキュリティ レベルを追加することはできません。 キーには、セキュリティ ゾーンの設定を決定する値が含まれます。 各キーには、Description 文字列値と、各セキュリティ レベルの [セキュリティ] タブに表示されるテキストを決定する表示名文字列値が含まれます。

ZoneMap

キー ZoneMap には、次のキーが含まれます。

  • ドメイン
  • EscDomains
  • ProtocolDefaults
  • 範囲

キーには、既定の動作から動作を変更するために追加されたドメインと  Domains   プロトコルが含まれる。 ドメインを追加すると、キーがキーに追加  Domains   されます。 サブドメインは、所属するドメインの下にキーとして表示されます。 ドメインを一覧表示する各キーには、影響を受けるプロトコルの値名を持つ DWORD が含まれる。 DWORD の値は、ドメインが追加されるセキュリティ ゾーンの数値と同じです。

キーは Domains キーに似ていて、キーが拡張セキュリティ構成 (IE ESC) の影響を受Internet Explorerプロトコルに  EscDomains    EscDomains   適用されます。 IE ESC は Microsoft Windows Server 2003 で導入され、サーバー オペレーティング システムにのみ適用されます。

キー  ProtocolDefaults   は、特定のプロトコル (ftp、http、https) に使用される既定のセキュリティ ゾーンを指定します。 既定の設定を変更するには、[セキュリティ] タブの [サイトの追加] **** を選択してプロトコルをセキュリティ ゾーンに追加するか、Domains キーの下に DWORD 値を追加    ****   します。 DWORD 値の名前はプロトコル名と一致する必要があります。また、コロン (:)またはスラッシュ (/)。

キーには、プロトコルが使用される既定のセキュリティ ゾーンを指定する  ProtocolDefaults   DWORD 値も含まれます。 [セキュリティ] タブのコントロールを使用 して   、これらの値を変更することはできません。 この設定は、特定の Web サイトがセキュリティ ゾーンに入らない場合に使用されます。

キー  Ranges   には、TCP/IP アドレスの範囲が含まれます。 指定した各 TCP/IP 範囲は、任意の名前のキーに表示されます。 このキーには、指定  :Range   した TCP/IP 範囲を含む文字列値が含まれます。 プロトコルごとに、指定した IP 範囲のセキュリティ ゾーンの数値を含む DWORD 値が追加されます。

このファイルUrlmon.dll MapUrlToZone パブリック関数を使用して特定の URL をセキュリティ ゾーンに解決する場合、次のいずれかの方法を使用します。

  • URL に完全修飾ドメイン名 (FQDN) が含まれている場合、Domains キーが処理されます。

    このメソッドでは、サイトの完全一致がランダムな一致を上書きします。

  • URL に IP アドレスが含まれている場合は、  Ranges   キーが処理されます。 URL の IP アドレスは、キーの下の任意の名前のキーに含まれる  :Range   値と比較  Ranges   されます。

注意

任意の名前のキーはレジストリに追加された順序で処理されます。このメソッドは、一致を見つける前にランダムな一致を見つける可能性があります。 このメソッドが最初にランダムな一致を見つけた場合、URL は通常割り当てられている領域とは異なるセキュリティ 領域で実行される可能性があります。 この動作は仕様です。

領域

キー  Zones   には、コンピューターに対して定義されている各セキュリティ 領域を表すキーが含まれる。 既定では、次の 5 つの領域が定義されます (番号は 0 ~ 4)。

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

注意

既定では、[セキュリティ] タブの [ゾーン] ボックスには[マイ コンピューター] が表示されません。セキュリティを向上させるためにロックダウンされています。

これらの各キーには、カスタムの [セキュリティ] タブの対応する設定を表す次の DWORD 値が含まれます。

注意

特に指定しない限り、各 DWORD 値は 0、1、または 3 に等しくなります。 通常、0 の設定は、許可されている特定のアクションを設定し、1 の設定を指定するとプロンプトが表示され、3 の設定では特定のアクションが禁止されます。

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

1200、1A00、1A10、1E05、1C00、および 2000 に関するメモ

次の 2 つのレジストリ エントリは、特定の領域でActiveXを実行できるかどうかに影響します。

  • 1200 このレジストリ エントリは、コントロールまたはプラグインActiveX実行できるかどうかに影響します。
  • 2000 このレジストリ エントリは、コントロールまたはプラグインのバイナリ動作ActiveXスクリプトの動作を制御します。

1A02、1A03、1A05、および 1A06 に関するメモ

次の 4 つのレジストリ エントリは、次のキーが存在する場合にのみ有効になります。

  • {AEBA21FA-782A-4A90-978D-B72164C80120}ファースト パーティ Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F}サード パーティ Cookie *

レジストリ エントリ

  • 1A02 コンピューターに保存されている永続的な Cookie を許可する#
  • 1A03 セッションごとの Cookie を許可する (保存されない)#
  • 1A05 サードパーティの永続的な Cookie を許可する *
  • 1A06 サードパーティ セッション Cookie を許可する *

これらのレジストリ エントリは、次のレジストリ サブキーに含まれます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

このレジストリ サブキーでは <ZoneNumber> 、0 (ゼロ) などの領域です。 レジストリ エントリとレジストリ エントリには、それぞれ管理者承認済みという 1200 2000 名前の設定が含まれている。 この設定を有効にすると、特定のレジストリ エントリの値が 00010000 に設定されます。 管理者承認済み設定が有効になっている場合、Windowsレジストリ サブキーを調べて、承認されたコントロールの一覧を探します。

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

ログオン設定 (1A00) には、次の値 (16 進数) のいずれかを指定できます。

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

プライバシー 設定 (1A10) は、[プライバシー] タブ スライダーで使用されます。 DWORD 値は次のとおりです。

すべての Cookie をブロックする: 00000003
高: 00000001
中高: 00000001
中: 00000001
低: 00000001
すべての Cookie を受け入れる: 00000000

スライダーの設定に基づいて、{A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120}、または両方の値も変更します。

[Javaアクセス許可] 設定 (1C00) には、次の 5 つの値 (バイナリ) があります。

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

[カスタム] が選択されている場合は、{7839DA25-F5FE-11D0-883B-0080C726DCBB} (同じレジストリの場所にある) を使用して、カスタム情報をバイナリに格納します。

各セキュリティ ゾーンには、Description 文字列値と表示名の文字列値が含まれます。 これらの値のテキストは、[領域] ボックスでゾーンを選択すると、[セキュリティ] タブに表示されます。 各領域に表示されるアイコンを設定する Icon 文字列値も用意されています。 [マイ コンピューター] 領域を除き、各領域には 、 、および  CurrentLevelMinLevelRecommendedLevel   DWORD の値が含まれる。 この  MinLevel 値は、警告メッセージを受け取る前に使用できる最も低い設定を設定し、ゾーンの現在の設定であり、ゾーンの    CurrentLevel    RecommendedLevel   推奨レベルです。

の値、  Minlevel および  RecommendedLevel 意味  CurrentLevel   は次のとおりです。

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags   DWORD 値は、ユーザーがセキュリティ ゾーンのプロパティを変更する機能を決定します。 値を決定  Flags   するには、適切な設定の番号を一緒に追加します。 次の  Flags   値を使用できます (10 進数)。

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

E とサブツリーの両方に設定を追加すると、  HKEY_LOCAL_MACHINHKEY_CURRENT_USER   設定は加算されます。 両方のサブツリーに Web サイトを追加すると、その Web サイトだけが  HKEY_CURRENT_USER   表示されます。 サブツリー内の Web サイト  HKEY_LOCAL_MACHINE   は、設定に従って引き続き適用されます。 ただし、使用できないので、変更することはできません。 この状況は、Web サイトがプロトコルごとに 1 つのセキュリティ ゾーンにのみ表示される可能性があるため、混乱する可能性があります。

関連情報

Microsoft Windows XP Service Pack 2 (SP2) の機能の変更の詳細については、次の Microsoft Web サイトを参照してください。

パート 5: 拡張ブラウズ セキュリティ

URL セキュリティ ゾーンの詳細については、次の Microsoft Web サイトを参照してください。

URL セキュリティ ゾーンについて

セキュリティ設定を変更する方法のInternet Explorerについては、次の Microsoft Web サイトを参照してください。

11 のセキュリティとプライバシーの設定Internet Explorerする

ローカル マシン ゾーン ロックダウンInternet Explorer詳細については、次の Microsoft Web サイトを参照してください。

Internet Explorer ローカル マシン ゾーンのロックダウン

URL セキュリティ ゾーンで実行できるアクションに関連付けられている値の詳細については、「URL アクション フラグ」 を参照してください