Waarschuwing
De buiten gebruik gestelde, niet meer ondersteunde Internet Explorer 11-desktoptoepassing is permanent uitgeschakeld via een Microsoft Edge-update op bepaalde versies van Windows 10. Raadpleeg Veelgestelde vragen over de beëindiging van de desktoptoepassing voor Internet Explorer 11 voor meer informatie.
Verbeterde beveiligingsconfiguratie in Internet Explorer
Internet Explorer Enhanced Security Configuration (ESC) stelt beveiligingsinstellingen vast die bepalen hoe gebruikers op internet- en intranetwebsites surfen. Deze instellingen verminderen ook de blootstelling van servers aan websites die mogelijk een beveiligingsrisico vormen. Dit proces wordt ook wel IEHarden genoemd. Zie Internet Explorer: Verbeterde beveiligingsconfiguratie voor meer informatie.
Oorspronkelijke productversie: Internet Explorer
Origineel KB-nummer: 4551931
De standaardinstelling voor Internet Explorer ESC
Deze functie is standaard ingeschakeld op servers.
De effecten van het inschakelen van Internet Explorer ESC
Internet Explorer ESC past de uitbreidbaarheid en beveiligingsinstellingen van Internet Explorer aan om de blootstelling aan mogelijke toekomstige beveiligingsrisico's te verminderen. Deze instellingen vindt u op het tabblad Geavanceerd van Internetopties in Configuratiescherm. In de volgende tabel worden de instellingen beschreven.
Functie | Post | Instelling | Resultaat |
---|---|---|---|
Browsen | Het dialoogvenster Verbeterde beveiligingsconfiguratie weergeven. | Aan | Geeft een dialoogvenster weer waarin u wordt gewaarschuwd wanneer een internetsite probeert scripting of ActiveX-besturingselementen te gebruiken. |
Browsen | Schakel Browserextensies in. | Uit | Hiermee schakelt u functies uit die u hebt geïnstalleerd voor gebruik in combinatie met Internet Explorer die zijn gemaakt door andere bedrijven dan Microsoft. |
Browsen | Schakel Installeren op aanvraag (Internet Explorer) in. | Uit | Hiermee schakelt u het installeren van Internet Explorer-onderdelen op aanvraag uit, indien vereist door een webpagina. |
Browsen | Schakel Installeren op aanvraag (overig) in. | Uit | Hiermee wordt het installeren van webonderdelen op aanvraag uitgeschakeld, indien vereist door een webpagina. |
Microsoft VM | JIT-compiler (Just-In-Time) voor ingeschakelde virtuele machines (opnieuw opstarten vereist). | Uit | Hiermee schakelt u de Microsoft VM-compiler uit. |
Multimedia | Online-inhoud niet weergeven op de mediabalk. | Aan | Hiermee wordt het afspelen van media-inhoud op de mediabalk van Internet Explorer uitgeschakeld. |
Multimedia | Online-inhoud niet weergeven op de mediabalk. | Aan | Hiermee wordt het afspelen van media-inhoud op de mediabalk van Internet Explorer uitgeschakeld. |
Multimedia | Animaties afspelen op webpagina's. | Uit | Hiermee schakelt u animaties uit. |
Multimedia | Video's afspelen op webpagina's. | Uit | Hiermee schakelt u videoclips uit. |
Beveiliging | Controleer op intrekking van servercertificaten (opnieuw opstarten vereist). | Aan | Controleert automatisch het certificaat van een website om te zien of het certificaat is ingetrokken voordat het certificaat als geldig wordt geaccepteerd. |
Beveiliging | Controleer op handtekeningen voor gedownloade programma's. | Aan | Controleert en geeft automatisch de identiteit weer van programma's die u downloadt. |
Beveiliging | Sla versleutelde pagina's niet op schijf op. | Aan | Hiermee schakelt u het opslaan van beveiligde gegevens in de map Tijdelijke internetbestanden uit. |
Beveiliging | De map Tijdelijke internetbestanden leegmaken wanneer de browser wordt gesloten. | Aan | De map Tijdelijke internetbestanden wordt automatisch gewist wanneer u de browser sluit. |
Deze wijzigingen verminderen de functionaliteit in webpagina's, webtoepassingen, lokale netwerkbronnen en toepassingen die een browser gebruiken om online help, ondersteuning en algemene gebruikersondersteuning weer te geven.
Internet Explorer ESC uitschakelen op Windows-servers
Voer de volgende stappen uit om Internet Explorer ESC uit te schakelen:
Voer Serverbeheer in Windows Search in om de toepassing Serverbeheer te starten.
Selecteer Lokale server.
Navigeer naar de eigenschap Verbeterde beveiliging van IE , selecteer de huidige instelling om de eigenschappenpagina te openen, selecteer de optieknop Uit voor de gewenste gebruikers en selecteer vervolgens OK.
Selecteer het pictogram Vernieuwen op de werkbalk Serverbeheer om de nieuwe instellingen te zien die in serverbeheer worden weergegeven.
In de volgende video ziet u deze procedure:
Zie De lokale server en de Serverbeheer console beheren voor meer informatie.
Esc in Internet Explorer uitschakelen met behulp van een script
Maak een IEHArden_V5.bat-bestand met de volgende batchbestandsinhoud.
Voer het bat-bestand uit bij een beheerdersopdrachtprompt of als onderdeel van het aanmeldingsscript met behulp van de procedure die wordt beschreven in Aanmeldingsscripts voor gebruikers toewijzen.
Inhoud van het batchbestand
ECHO OFF
REM IEHarden Removal Project
REM HasVersionInfo: Yes
REM Author: Axelr
REM Productname: Remove IE Enhanced Security
REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
De IEHarden-instelling voor gebruikers beheren met behulp van groepsbeleid Preferences (GPP)
Voer de volgende stappen uit om de instelling IEHarden voor gebruikers te wijzigen met behulp van groepsbeleid voorkeurenregisterconfiguratie:
Open de GPMCM.msc-console en navigeer vervolgens naar Gebruikersconfiguratievoorkeuren>>Windows-instellingen.
Klik in het navigatiedeelvenster met de rechtermuisknop op het registerobject en selecteer vervolgens Nieuw>registeritem.
Geef in IEHarden-eigenschappen de volgende instellingen op:
Locatie:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Waardenaam: IEHarden
Waardetype: REG_DWORD
Waardegegevens: 0 of 000000000
Selecteer Toepassen en OK om deze GPP-configuratie te voltooien.
Opmerking
U kunt ook de volgende registersubsleutels controleren als deze waarde het probleem niet oplost. In de meeste gevallen is dit niet nodig.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Internet Explorer lijkt niet te werken nadat u ESC hebt uitgeschakeld met behulp van Serverbeheer
Raadpleeg Standaardgebruikers kunnen de functie Verbeterde beveiliging van Internet Explorer niet uitschakelen op een Windows Server 2003-terminalserver of een latere versie om problemen met dit scenario op te lossen. In principe moet u ESC mogelijk opnieuw in- of uitschakelen. Het richten op het register is mogelijk de eenvoudigste manier om dit probleem op te lossen.