適用于高級使用者的 Internet Explorer 安全區域登錄專案

本文說明如何在登錄中儲存及管理 Internet Explorer 安全區域與隱私權設定的方式和位置。 您可以使用「群組原則」或「Microsoft Internet Explorer 管理工具組 (IEAK) 設定安全性區域和隱私權設定。

原始產品版本:   Internet Explorer 9,Internet Explorer 10
原始 KB 編號:   182569

隱私權設定

Internet Explorer 6 和更新版本新增 [隱私權] 索引標籤,讓使用者更多控制 cookie。 此索引標籤 (選取 工具],然後選取 [網際網路選項 ]) 會根據 cookie 來自的網站或 cookie 類型,提供封鎖或允許 cookie 的彈性。 Cookie 類型包括第一方 cookie、協力廠商 cookie,以及沒有簡短隱私權原則的 cookie。 此索引標籤也包含一些選項,可控制實體位置資料的網站要求、封鎖快顯視窗的能力,以及在 InPrivate 瀏覽功能時執行工具列和分機的功能。

網際網路區域上有不同的隱私權層級,並儲存在登錄所在的安全性區域相同位置。

您也可以新增網站來啟用或封鎖以網站為基礎的 cookie,不論網站的隱私權原則為何。 這些登錄機碼儲存在下列登錄子項中:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

已新增為受管理網站的網域會列在此子機底下。 這些網域可以攜帶下列其中一個 DWORD 值:

0x00000005-Always 封鎖
0x00000001-Always Allow

安全性區域設定

針對每個區域,使用者可以控制 Internet Explorer 如何處理較高風險的專案,例如 ActiveX 控制項、下載及腳本。 Internet Explorer 安全性區域設定會儲存在下列登錄子項下:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

這些登錄機碼包含下列機碼:

  • TemplatePolicies
  • ZoneMap
  • 區域

注意

根據預設,安全性區域設定會儲存在登錄  HKEY_CURRENT_USER   子樹中。 因為此子樹會為每位使用者動態載入,所以一個使用者的設定不會影響另一個使用者的設定。

如果 [ 安全性區域:只使用   群組原則中的電腦設定] 設定已啟用,或  Security_HKLM_only   DWORD 值存在,且下列登錄子機碼中的值為 1 ,則只會使用本機電腦設定,而且所有使用者都具有相同的安全性設定:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Security_HKLM_only啟用原則之後,Internet Explorer 會使用 HKLM 值。 不過,HKCU 值仍會顯示在 Internet Explorer 中 [ 安全性] 索引標籤上的 [區域設定   ] 中。 在 Internet Explorer 7 中, ****[    網際網路選項] 對話方塊的 [安全性] 索引卷   標會顯示下列訊息,指出系統管理員會管理這些設定:

部分設定是由系統管理員管理   如果 [ 安全性區域:只使用電腦 設定] 設定未啟用群組原則,或  Security_HKLM_only   DWORD 值不存在,或設定為 0,則會搭配使用者設定一起使用電腦設定。 不過,只有使用者設定會出現在 [ 網際網路選項]。 例如,當此 DWORD 值不存在,或設定為 0 時,  HKEY_LOCAL_MACHINE   設定會以設定一起讀取  HKEY_CURRENT_USER   ,但只有  HKEY_CURRENT_USER   設定會出現在 [網際網路選項] 中。

TemplatePolicies

索引  TemplatePolicies   鍵會決定預設安全性區域層級的設定。 這些層級為低、中低、中和高。 您可以從預設設定變更安全性層級設定。 不過,您無法新增更多的安全性層級。 這些機碼包含的值可決定安全性區域的設定。 每個索引鍵都包含描述字串值,以及一個顯示名稱字串值,以決定每個安全性層級出現在 [安全性] 索引標籤上的文字。

ZoneMap

ZoneMap 碼包含下列機碼:

  • 網域
  • EscDomains
  • ProtocolDefaults
  • 「範圍」執行 SUM (加總)

此機  Domains   碼包含已新增的網域和通訊協定,可從預設行為變更其行為。 新增網域時,會將金鑰加入機  Domains   碼中。 子域會顯示為其所屬網域底下的索引鍵。 每個列出網域的索引鍵都包含一個 DWORD,其值名稱為受影響的通訊協定。 DWORD 的值與新增網域的安全性區域的數值相同。

此機  EscDomains   碼類似網域機碼,但機  EscDomains   碼適用于受 Internet Explorer 增強式安全性設定所影響的通訊協定。 (IE ESC) 。 IE ESC 會引入 Microsoft Windows Server 2003,且僅適用于伺服器作業系統。

此機  ProtocolDefaults   碼會指定用於特定通訊協定 (ftp、HTTP、HTTPs) 的預設安全性區域。 若要變更預設設定,您可以選取 [安全性] 索引標籤上的 [ 新增網站   ], **** 然後在 [網域] 索引標籤   下新增一個 DWORD 值,將通訊協定新增至安全區域。 DWORD 值的名稱必須符合通訊協定名稱,而且不能包含任何冒號 (: ) 或斜線 (/) 。

機  ProtocolDefaults   碼也包含 DWORD 值,會指定使用通訊協定的預設安全性區域。 您無法使用 [ 安全性] 索引標籤上的控制項   來變更這些值。 當特定網站不屬於安全區域時,會使用此設定。

此機  Ranges   碼包含 TCP/IP 位址的範圍。 您指定的每個 TCP/IP 範圍都會出現在任意命名的索引鍵中。 此機碼包含的  :Range   字串值包含指定的 TCP/IP 範圍。 針對每個通訊協定,新增一個 DWORD 值,其中包含指定之 IP 範圍之安全區域的數值。

當 Urlmon.dll 檔案使用 MapUrlToZone 公用函數將特定 URL 解析為安全性區域時,它會使用下列其中一種方法:

  • 如果 URL 中包含 (FQDN) 的完整功能變數名稱,則會處理 domain 索引鍵。

    在此方法中,精確的網站相符會覆寫隨機相符。

  • 如果 URL 包含 IP 位址,  Ranges   就會處理機碼。 URL 的 IP 位址會與  :Range   金鑰底下的任意命名項中所包含的值進行比較  Ranges   。

注意

由於任意命名的按鍵都會以其新增至登錄的順序來處理,因此這個方法在找到相符之前,可能會找到隨機的相符。 如果此方法先找出隨機相符,則 URL 可能會在與一般指派的區域不同的安全性區域中執行。 產生此錯誤是系統刻意為之。

區域

Zones   機碼包含機碼,代表為電腦定義的每個安全性區域。 根據預設,下列五個區域的定義 (編號為零到四) :

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

注意

根據預設,[我的電腦] 不會出現在 [安全性] 索引標籤上的 [區域] 方塊中,因為會鎖定以協助改善安全性。

每個索引鍵都包含下列 DWORD 值,這些值代表自訂安全性索引標籤上的對應設定。

注意

除非另有說明,否則每個 DWORD 值都等於零、一或三。 一般來說,設定為0時,會將特定動作設定為允許,設定為一會出現提示,而設定為3會禁止特定動作。

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

關於1200、1A00、1A10、1E05、1C00 和2000的附注

下列兩個登錄專案會影響您是否可以在特定區域中執行 ActiveX 控制項:

  • 1200此登錄專案會影響您是否可以執行 ActiveX 控制項或外掛程式。
  • 2000此登錄專案會控制 ActiveX 控制項或外掛程式的二進位行為和腳本行為。

1A02、1A03、1A05 及1A06 的附注

下列四個登錄專案只有在下列機碼存在時才會生效:

  • {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F}Third-Party Cookie *

登錄專案

  • 1A02 允許儲存在電腦上的持久性 cookie#
  • 1A03 允許每會話 cookie (未儲存) #
  • 1A05 允許協力廠商持久 cookie *
  • 1A06 允許協力廠商會話 cookie *

這些登錄專案位於下列登錄子項中:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

在此登錄子機碼中, <ZoneNumber> 是一個區域,例如 0 (零) 。 1200登錄專案和 2000 登錄專案每一項都包含一個名為「管理員核准」的設定。 啟用此設定時,會將特定登錄專案的值設為 00010000。 啟用系統管理員核准的設定時,Windows 會檢查下列登錄子機碼,以找出核准的控制項清單:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

登入設定 (1A00) 可能會有下列其中一個值 (十六進位) :

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

隱私權設定 (1A10) 由隱私權] 索引標籤滑塊使用。 DWORD 值如下:

封鎖所有 Cookie:00000003
高:00000001
中高:00000001
中:00000001
Low:00000001
接受所有 Cookie:00000000

根據滑塊中的設定,它也會修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F}、{AEBA21Fa-782A-4A90-978D-B72164C80120} 或兩者的值。

1C00) (的 JAVA 許可權設定具有下列五個可能的值 (二進位) :

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

如果選取 [自訂],它會使用位於相同登錄位置的 {7839DA25-F5FE-11D0-883B-0080C726DCBB} () 將自訂資訊儲存在二進位中。

每個安全性區域都包含 Description 字串值及顯示名稱字串值。 當您選取 [區域] 方塊中的區域時,這些值的文字會出現在 [安全性] 索引標籤上。 還有一個圖示字串值,會設定每個區域所顯示的圖示。 除了「我的電腦」區域以外,每個區域都包含  CurrentLevel 、  MinLevel 、和  RecommendedLevel   DWORD 值。 這個  MinLevel   值會設定在您收到警告郵件之前所能使用的最低設定值,這  CurrentLevel   是該區域的目前設定,也就  RecommendedLevel   是區域的建議層級。

Minlevel、  RecommendedLevel 、和  CurrentLevel   表示下列各項的值:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags   DWORD 值可決定使用者修改安全區域的屬性的能力。 若要判斷  Flags   值,請將適當設定的數目新增至一起。  Flags   可以使用下列值 (decimal) :

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

如果您同時將設定新增至  HKEY_LOCAL_MACHIN E 與子  HKEY_CURRENT_USER   樹,則設定為附加。 如果您將網站新增至這兩個子樹,只會顯示中的網站  HKEY_CURRENT_USER   。 子樹中的網站  HKEY_LOCAL_MACHINE   仍會依照其設定而強制執行。 不過,您無法使用它們,您也無法加以修改。 這種情況可能是混淆的,因為網站可能只會在每個通訊協定的一個安全區域中列出。

參考

如需 Microsoft Windows XP Service Pack 2 (SP2) 中功能變更的相關資訊,請流覽下列 Microsoft 網站:

第5部分:增強型流覽安全性

如需 URL 安全性區域的詳細資訊,請流覽下列 Microsoft 網站:

關於 URL 安全性區域

如需如何變更 Internet Explorer 安全性設定的相關資訊,請流覽下列 Microsoft 網站:

變更 Internet Explorer 11 的安全性和隱私權設定

如需 Internet Explorer 本機電腦區域鎖定的相關資訊,請流覽下列 Microsoft 網站:

Internet Explorer 本機電腦區域鎖定

如需與 URL 安全性區域中可以採取之動作相關聯之值的詳細資訊,請參閱 Url 動作旗標