警告
廃止され、サポート対象外となった Internet Explorer 11 デスクトップ アプリケーションは、特定のバージョンの Windows 10 で Microsoft Edge の更新プログラムを通じて完全に無効になります。 詳細については、「Internet Explorer 11 デスクトップ アプリの廃止に関する FAQ」をご覧ください。
インターネット エクスプローラー強化されたセキュリティ構成
インターネット エクスプローラーセキュリティ強化構成 (ESC) は、ユーザーがインターネットおよびイントラネット Web サイトを閲覧する方法を定義するセキュリティ設定を確立します。 これらの設定により、セキュリティ リスクが発生する可能性がある Web サイトへのサーバーの公開も減ります。 このプロセスは IEHarden とも呼ばれます。 詳細については、「インターネット エクスプローラー: 拡張セキュリティ構成」を参照してください。
元の製品バージョン:インターネット エクスプローラー
元の KB 番号: 4551931
インターネット エクスプローラー ESC の既定の設定
この機能は、サーバーで既定で有効になっています。
インターネット エクスプローラー ESC を有効にした場合の効果
インターネット エクスプローラー ESC は、インターネットのエクスプローラー機能拡張とセキュリティ設定を調整して、将来のセキュリティ上の脅威にさらされる可能性を減らします。 これらの設定は、コントロール パネルの [インターネット オプション] の [詳細設定] タブにあります。 次の表では、設定について説明します。
機能 | エントリ | 設定 | 結果 |
---|---|---|---|
閲覧 | [拡張セキュリティ構成] ダイアログ ボックスを表示します。 | オン | インターネット サイトがスクリプトまたは ActiveX コントロールを使用しようとしたときに通知するダイアログ ボックスを表示します。 |
閲覧 | ブラウザー拡張機能を有効にします。 | Off | Microsoft 以外の企業によって作成されたインターネット エクスプローラーと共に使用するためにインストールした機能を無効にします。 |
閲覧 | オンデマンドインストール (インターネット エクスプローラー) を有効にします。 | Off | Web ページで必要に応じて、インターネット エクスプローラー コンポーネントのオンデマンドインストールを無効にします。 |
閲覧 | オンデマンドインストール (その他) を有効にします。 | Off | Web ページで必要に応じて、必要に応じて Web コンポーネントのインストールを無効にします。 |
Microsoft VM | 仮想マシンが有効になっている Just-In-Time (JIT) コンパイラ (再起動が必要)。 | Off | Microsoft VM コンパイラを無効にします。 |
マルチメディア | メディア バーにオンライン コンテンツを表示しないでください。 | オン | インターネット エクスプローラー メディア バーでのメディア コンテンツの再生を無効にします。 |
マルチメディア | メディア バーにオンライン コンテンツを表示しないでください。 | オン | インターネット エクスプローラー メディア バーでのメディア コンテンツの再生を無効にします。 |
マルチメディア | Web ページでアニメーションを再生します。 | Off | アニメーションを無効にします。 |
マルチメディア | Web ページでビデオを再生します。 | Off | ビデオ クリップを無効にします。 |
セキュリティ | サーバー証明書の失効を確認します (再起動が必要)。 | オン | 証明書を有効として受け入れる前に、Web サイトの証明書が自動的にチェックされ、証明書が失効しているかどうかを確認します。 |
セキュリティ | ダウンロードしたプログラムの署名を確認します。 | オン | ダウンロードしたプログラムの ID を自動的に検証して表示します。 |
セキュリティ | 暗号化されたページをディスクに保存しないでください。 | オン | セキュリティで保護された情報を [一時インターネット ファイル] フォルダーに保存できないようにします。 |
セキュリティ | ブラウザーが閉じられたときに空の一時インターネット ファイル フォルダー。 | オン | ブラウザーを閉じると、一時インターネット ファイル フォルダーが自動的にクリアされます。 |
これらの変更により、Web ページ、Web ベースのアプリケーション、ローカル ネットワーク リソース、ブラウザーを使用してオンライン ヘルプ、サポート、および一般的なユーザー アシスタンスを表示するアプリケーションの機能が低下します。
Windows サーバーでインターネット エクスプローラー ESC をオフにする方法
インターネット エクスプローラー ESC をオフにするには、次の手順に従います。
Windows 検索に「サーバー マネージャー」と入力して、サーバー マネージャー アプリケーションを起動します。
[ ローカル サーバー] を選択します。
IE 拡張セキュリティ構成プロパティに移動し、現在の設定を選択してプロパティ ページを開き、目的のユーザーの [オフ] オプション ボタンを選択し、[OK] を選択します。
サーバー マネージャー ツール バーの [更新] アイコンを選択すると、サーバー マネージャーに反映される新しい設定が表示されます。
次のビデオでは、この手順を示します。
詳細については、「ローカル サーバーとサーバー マネージャー コンソールの管理」を参照してください。
スクリプトを使用してインターネット エクスプローラー ESC を無効にする方法
次のバッチ ファイル コンテンツを含む IEHArden_V5.bat ファイルを作成します。
bat ファイルは、管理コマンド プロンプトで実行するか、「 ユーザー ログオン スクリプトを割り当てる方法」に記載されている手順を使用して、ログイン スクリプトの一部として実行します。
バッチ ファイルの内容
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
グループ ポリシー基本設定 (GPP) を使用してユーザーの IEHarden 設定を管理する方法
グループ ポリシー基本設定レジストリ構成を使用してユーザーの IEHarden 設定を変更するには、次の手順に従います。
GPMCM.msc コンソールを開き、[ ユーザー構成>の基本設定>] [Windows 設定] に移動します。
ナビゲーション ウィンドウで、 Registry オブジェクトを右クリックし、[ 新しい>レジストリ項目] を選択します。
[IEHarden のプロパティ] で、次の設定を指定します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
値名: IEHarden
値の種類: REG_DWORD
値データ: 0 または 00000000
[ 適用]と [OK] を選択 して、この GPP 構成を完了します。
注:
この値によって問題が解決されない場合は、次のレジストリ サブキーをチェックすることもできます。 ほとんどの場合、これは必要ありません。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
サーバー マネージャーを使用して ESC を無効にした後、インターネット エクスプローラーが機能しないようです
このシナリオのトラブルシューティングについては、「Standard ユーザーが Windows Server 2003 ベースのターミナル サーバー以降のバージョンでインターネット エクスプローラーセキュリティ強化機能をオフにできない」を参照してください。 基本的には、ESC をもう一度有効または無効にする必要がある場合があります。 レジストリをターゲットにすることが、この問題を解決する最も簡単な方法である可能性があります。