高级用户的 Internet Explorer 安全区域注册表项

  • 项目

警告

已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答

本文介绍如何以及在哪里存储和管理注册表中的 Internet Explorer 安全区域和隐私设置。 可以使用 组策略 或 Microsoft Internet Explorer 管理工具包 (IEAK) 来设置安全区域和隐私设置。

原始产品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 编号: 182569

隐私设置

Internet Explorer 6 及更高版本添加了“隐私”选项卡,使用户能够更好地控制 Cookie。 此选项卡 (选择“工具”,然后选择“Internet 选项” ,) 根据 Cookie 来自的网站或 Cookie 类型提供阻止或允许 Cookie 的灵活性。 Cookie 类型包括第一方 Cookie、第三方 Cookie 和没有紧凑隐私策略的 Cookie。 此选项卡还包括用于控制物理位置数据的网站请求的选项、阻止弹出窗口的功能,以及启用 InPrivate 浏览时运行工具栏和扩展的功能。

Internet 区域中存在不同级别的隐私,它们存储在与安全区域相同的位置的注册表中。

还可以添加网站来启用或阻止基于网站的 Cookie,而不考虑网站上的隐私策略。 这些注册表项存储在以下注册表子项中:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

已添加为托管站点的域将在此子项下列出。 这些域可以携带以下 DWORD 值之一:

0x00000005 - 始终阻止
0x00000001 - 始终允许

安全区域设置

对于每个区域,用户可以控制 Internet Explorer 如何处理高风险项目,例如 ActiveX 控件、下载和脚本。 Internet Explorer 安全区域设置存储在以下注册表子项下:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

这些注册表项包含以下项:

  • TemplatePolicies
  • ZoneMap
  • 区域

注意

默认情况下,安全区域设置存储在注册表子树中 HKEY_CURRENT_USER 。 由于此子树是针对每个用户动态加载的,因此一个用户的设置不会影响另一个用户的设置。

如果启用了 组策略 中的“安全区域:仅使用计算机设置”设置,或者如果Security_HKLM_only存在 DWORD 值,并且以下注册表子项中的值为 1,则仅使用本地计算机设置,并且所有用户具有相同的安全设置:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

启用策略后 Security_HKLM_only ,Internet Explorer 将使用 HKLM 值。 但是,HKCU 值仍将显示在 Internet Explorer 的“ 安全性 ”选项卡上的区域设置中。 在 Internet Explorer 7 中,“Internet 选项”对话框的“安全”选项卡显示以下消息,指示设置由系统管理员管理:

某些设置由系统管理员管理 如果在 组策略 中未启用“安全区域:仅使用计算机设置”设置,或者 Security_HKLM_only DWORD 值不存在或设置为 0,则计算机设置与用户设置一起使用。 但是,“ Internet 选项”中仅显示用户设置。 例如,当此 DWORD 值不存在或设置为 0 时, HKEY_LOCAL_MACHINE 设置与 HKEY_CURRENT_USER 设置一起读取,但只有 HKEY_CURRENT_USER 设置显示在 Internet 选项中。

TemplatePolicies

密钥 TemplatePolicies 确定默认安全区域级别的设置。 这些级别为“低”、“中低”、“中”和“高”。 可以从默认设置更改安全级别设置。 但是,无法添加更多安全级别。 密钥包含确定安全区域设置的值。 每个键都包含一个 Description 字符串值和一个显示名称字符串值,用于确定每个安全级别“安全性”选项卡上显示的文本。

ZoneMap

密钥 ZoneMap 包含以下键:

  • EscDomains
  • ProtocolDefaults
  • Ranges

Domains 包含已添加的域和协议,以更改其行为与默认行为。 添加域时,会向 Domains 密钥添加一个密钥。 子域在它们所属的域下显示为键。 列出域的每个键都包含一个 DWORD,其中包含受影响协议的值名称。 DWORD 的值与添加域的安全区域的数值相同。

密钥 EscDomains 类似于域密钥,只不过该 EscDomains 密钥适用于受 Internet Explorer 增强安全配置 (IE ESC) 影响的那些协议。 IE ESC 在 Microsoft Windows Server 2003 中引入,仅适用于服务器操作系统。

密钥 ProtocolDefaults 指定用于特定协议的默认安全区域, (ftp、http、https) 。 若要更改默认设置,可以通过选择“安全”选项卡上的“ 添加站点 ”将协议添加到 安全 区域,也可以在“域”键下添加 DWORD 值。 DWORD 值的名称必须与协议名称匹配,并且不能包含任何冒号 (:) 或斜杠 (/) 。

密钥 ProtocolDefaults 还包含 DWORD 值,这些值指定使用协议的默认安全区域。 不能使用“ 安全性 ”选项卡上的控件更改这些值。 当特定网站不位于安全区域中时,将使用此设置。

密钥 Ranges 包含 TCP/IP 地址的范围。 指定的每个 TCP/IP 范围都显示在任意命名的密钥中。 此键包含一个 :Range 字符串值,该值包含指定的 TCP/IP 范围。 对于每个协议,都会添加一个 DWORD 值,该值包含指定 IP 范围的安全区域数值。

当 Urlmon.dll 文件使用 MapUrlToZone 公共函数将特定 URL 解析为安全区域时,它将使用以下方法之一:

  • 如果 URL 包含完全限定的域名 (FQDN) ,则会处理域密钥。

    在此方法中,完全的站点匹配将覆盖随机匹配。

  • 如果 URL 包含 IP 地址,则会 Ranges 处理密钥。 URL 的 IP 地址与 :Range 该键下 Ranges 任意命名的密钥中包含的值进行比较。

注意

由于任意命名的键按添加到注册表的顺序进行处理,因此此方法可能会在找到匹配项之前找到随机匹配项。 如果此方法首先找到随机匹配项,则 URL 可能会在与通常分配该 URL 的区域不同的安全区域中执行。 此行为是设计使然。

区域

密钥 Zones 包含表示为计算机定义的每个安全区域的密钥。 默认情况下,定义以下五个区域 (编号为零到四个) :

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

注意

默认情况下,“我的计算机”不会显示在“安全性”选项卡上的“区域”框中,因为它被锁定以帮助提高安全性。

其中每个键都包含以下 DWORD 值,这些值表示自定义“安全性”选项卡上的相应设置。

注意

除非另有说明,否则每个 DWORD 值都等于零、1 或 3。 通常,设置为 0 将设置允许的特定操作,设置为 1 会导致出现提示,设置为 3 将禁止特定操作。

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

有关 1200、1A00、1A10、1E05、1C00 和 2000 的说明

以下两个注册表项会影响是否可以在特定区域中运行 ActiveX 控件:

  • 1200 此注册表项会影响是否可以运行 ActiveX 控件或插件。
  • 2000 此注册表项控制 ActiveX 控件或插件的二进制行为和脚本行为。

有关 1A02、1A03、1A05 和 1A06 的说明

仅当存在以下键时,以下四个注册表项才会生效:

  • {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *

注册表项

  • 1A02 允许计算机上存储的持久性 Cookie#
  • 1A03 允许每个会话的 cookie (不存储) #
  • 1A05 允许第三方持久性 Cookie *
  • 1A06 允许第三方会话 Cookie *

这些注册表项位于以下注册表子项中:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

在此注册表子项中, <ZoneNumber> 是一个区域,例如 0 (零) 。 注册表项 12002000 注册表项各包含名为“已批准的管理员”的设置。 启用此设置后,特定注册表项的值设置为 00010000。 启用“管理员批准”设置后,Windows 会检查以下注册表子项以查找已批准控件的列表:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

登录设置 (1A00) 可能具有以下任何一个值 (十六进制) :

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

隐私选项卡滑块使用隐私设置 (1A10) 。 DWORD 值如下所示:

阻止所有 Cookie:00000003
高:00000001
中高:00000001
中:00000001
低: 00000001
接受所有 Cookie:00000000

根据滑块中的设置,它还将修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F} 和/或 {AEBA21Fa-782A-4A90-978D-B72164C80120} 中的值。

Java 权限设置 (1C00) 具有以下五个可能值 (二进制) :

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

如果选择了“自定义”,它将使用位于同一注册表位置的 {7839DA25-F5FE-11D0-883B-0080C726DCBB} () 将自定义信息存储在二进制文件中。

每个安全区域都包含 Description 字符串值和显示名称字符串值。 在“区域”框中选择区域时,这些值的文本将显示在“安全性”选项卡上。 还有一个 Icon 字符串值,用于设置为每个区域显示的图标。 除“我的电脑”区域外,每个区域都包含 CurrentLevelMinLevel、 和 RecommendedLevel DWORD 值。 值 MinLevel 设置在收到警告消息之前可以使用的最低设置, CurrentLevel 是区域的当前设置,是 RecommendedLevel 该区域的建议级别。

RecommendedLevelCurrentLevel 的值Minlevel的含义如下:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

Flags DWORD 值确定用户修改安全区域属性的能力。 若要确定 Flags 值,请将相应设置的编号相加。 以下 Flags 值 (十进制) 可用:

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

如果将设置同时添加到 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子树,则设置是累加的。 如果将网站添加到这两个子树,则只有 中的 HKEY_CURRENT_USER 这些网站可见。 子树中的 HKEY_LOCAL_MACHINE 网站仍会根据其设置强制执行。 但是,它们不可用,你无法修改它们。 这种情况可能会令人困惑,因为网站可能只列出每个协议的一个安全区域中。

References

有关 Microsoft Windows XP Service Pack 2 (SP2) 中功能更改的详细信息,请访问以下 Microsoft 网站:

第 5 部分:增强的浏览安全性

有关 URL 安全区域的详细信息,请访问以下 Microsoft 网站:

关于 URL 安全区域

有关如何更改 Internet Explorer 安全设置的详细信息,请访问以下 Microsoft 网站:

更改 Internet Explorer 11 的安全和隐私设置

有关 Internet Explorer 本地计算机区域锁定的详细信息,请访问以下 Microsoft 网站:

Internet Explorer 本地计算机区域锁定

有关与 URL 安全区域中可执行的操作关联的值的详细信息,请参阅 URL 操作标志