FaQ о конфигурации расширенной безопасности Internet Explorer (ESC)

Расширенная конфигурация безопасности Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) устанавливает параметры безопасности, определяя, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также уменьшают воздействие серверов на веб-сайты, которые могут представлять угрозу безопасности. Этот процесс также известен как IEHarden. Дополнительные сведения см. в сайте Internet Explorer: Enhanced Security Configuration.

Оригинальная версия продукта:   Internet Explorer
Исходный номер КБ:   4551931

Параметр по умолчанию для ESC Internet Explorer

Эта функция включена по умолчанию на серверах.

Последствия включения ESC Internet Explorer

Esc Internet Explorer регулирует параметров экстензивности и безопасности Internet Explorer, чтобы снизить риск возможных угроз безопасности в будущем. Эти параметры находятся на вкладке Расширенные параметры Интернета в панели управления. В следующей таблице описываются параметры.

Функция Запись Setting Result
Просмотр Отображение диалогового окна Расширенной конфигурации безопасности. Вкл. Отображает диалоговое окно, чтобы уведомить вас, когда веб-сайт пытается использовать сценарии или ActiveX элементов управления.
Просмотр Включить расширения браузера. Выкл. Отключает функции, установленные для использования вместе с Internet Explorer, созданные другими компаниями, кроме Microsoft.
Просмотр Включить установку по требованию (Internet Explorer). Выкл. Отключает установку компонентов Internet Explorer по запросу, если это требуется веб-страницей.
Просмотр Включить установку по требованию (Другое). Выкл. Отключает установку веб-компонентов по запросу, если это требуется веб-страницей.
Microsoft VM Компилятор по времени (JIT) для включенной виртуальной машины (требуется перезапустить). Выкл. Отключает компилятор Microsoft VM.
Мультимедиа Не отобразить контент в интернете в панели мультимедиа. Вкл. Отключает воспроизведение медиаконтента в панели мультимедиа Internet Explorer.
Мультимедиа Не отобразить контент в интернете в панели мультимедиа. Вкл. Отключает воспроизведение медиаконтента в панели мультимедиа Internet Explorer.
Мультимедиа Воспроизведения анимации на веб-сайтах. Выкл. Отключает анимацию.
Мультимедиа Воспроизведения видео на веб-сайтах. Выкл. Отключает видеоклипы.
Безопасность Проверка отзыва сертификата сервера (требуется перезапуск). Вкл. Автоматически проверяет сертификат веб-сайта, чтобы узнать, отозван ли сертификат, прежде чем принять сертификат действительным.
Безопасность Проверьте, есть ли подписи в скачаемых программах. Вкл. Автоматически проверяет и отображает удостоверение программ, которые вы скачиваете.
Безопасность Не сохраните зашифрованные страницы на диске. Вкл. Отключение сохранения защищенных сведений в папке Временные файлы Интернета.
Безопасность Пустая временная папка "Файлы Интернета" при закрытии браузера. Вкл. Автоматически очищает папку Временные файлы Интернета при закрытии браузера.

Эти изменения уменьшают функциональные возможности веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, которые используют браузер для отображения онлайн-помощи, поддержки и общей помощи пользователям.

Отключение ESC Internet Explorer на Windows серверах

Чтобы отключить ESC Internet Explorer, выполните следующие действия:

  1. Введите диспетчер сервера в Windows, чтобы запустить приложение manager Server.

  2. Выберите локальный сервер.

  3. Перейдите к свойству Расширенной конфигурации безопасности IE, выберите текущий параметр, чтобы открыть страницу свойств, выберите кнопку Off для нужных пользователей и выберите ОК.

    Параметр ESC Internet Explorer находится в диспетчере сервера.

    Снимок экрана окна расширенной конфигурации безопасности IE. Выбран параметр Off.

  4. Чтобы увидеть новые параметры, отраженные в диспетчере сервера, выберите значок Обновления на панели инструментов Server Manager.

    Снимок экрана текущего параметра ESC Internet Explorer в диспетчере сервера.

Следующее видео демонстрирует эту процедуру:

Дополнительные сведения см. в веб-сведениях Управление локальным сервером и консолью диспетчера сервера.

Отключение ESC Internet Explorer с помощью скрипта

  1. Создайте IEHArden_V5.bat со следующим пакетным содержимым файла.

  2. Запустите файл летучей мыши по запросу административной команды или в рамках сценария входа в систему с помощью процедуры, которая описана в пункте Как назначить скрипты логоса пользователя.

Содержимое пакетного файла

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Управление параметром IEHarden для пользователей с помощью параметров групповой политики (GPP)

Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра предпочтений групповой политики, выполните следующие действия:

  1. Откройте консоль GPMCM.msc и перейдите к настройкам > > конфигурации пользователей Windows Параметры.

  2. В области навигации щелкните правой кнопкой мыши объект Реестр и выберите элемент New > Registry Item.

    На скриншоте показаны действия по созданию нового реестра.

  3. В свойствах IEHarden укажите следующие параметры:

    • Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Имя значения: IEHarden

    • Тип значения: REG_DWORD

    • Данные значения: 0 или 00000000

      Снимок экрана параметров реестра в окне IEHarden Properties.

  4. Выберите Apply и OK для завершения этой конфигурации GPP.

Примечание

Вы также можете проверить следующие подкайки реестра, если это значение не решает проблему. В большинстве случаев это необязательно.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer не работает после отключения ESC с помощью Server Manager

Чтобы устранить неполадки в этом сценарии, обратитесь к стандартным пользователям, которые не могут отключить функцию расширенной безопасности Internet Explorer на сервере терминала на Windows Server 2003или более поздней версии . В принципе, возможно, вам придется включить или отключить ESC снова. Адресная ориентация реестра может быть самым простым способом решения этой проблемы.