高级用户的 Internet Explorer 安全区域注册表项
警告
已停用、不受支持的 Internet Explorer 11 桌面应用程序在某些版本的 Windows 10 上已通过 Microsoft Edge 更新永久禁用。 有关详细信息,请参阅 Internet Explorer 11 桌面应用停用常见问题解答。
本文介绍如何以及在哪里存储和管理注册表中的 Internet Explorer 安全区域和隐私设置。 可以使用 组策略 或 Microsoft Internet Explorer 管理工具包 (IEAK) 来设置安全区域和隐私设置。
原始产品版本: Internet Explorer 9、Internet Explorer 10
原始 KB 编号: 182569
隐私设置
Internet Explorer 6 及更高版本添加了“隐私”选项卡,使用户能够更好地控制 Cookie。 此选项卡 (选择“工具”,然后选择“Internet 选项” ,) 根据 Cookie 来自的网站或 Cookie 类型提供阻止或允许 Cookie 的灵活性。 Cookie 类型包括第一方 Cookie、第三方 Cookie 和没有紧凑隐私策略的 Cookie。 此选项卡还包括用于控制物理位置数据的网站请求的选项、阻止弹出窗口的功能,以及启用 InPrivate 浏览时运行工具栏和扩展的功能。
Internet 区域中存在不同级别的隐私,它们存储在与安全区域相同的位置的注册表中。
还可以添加网站来启用或阻止基于网站的 Cookie,而不考虑网站上的隐私策略。 这些注册表项存储在以下注册表子项中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
已添加为托管站点的域将在此子项下列出。 这些域可以携带以下 DWORD 值之一:
0x00000005 - 始终阻止
0x00000001 - 始终允许
安全区域设置
对于每个区域,用户可以控制 Internet Explorer 如何处理高风险项目,例如 ActiveX 控件、下载和脚本。 Internet Explorer 安全区域设置存储在以下注册表子项下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
这些注册表项包含以下项:
- TemplatePolicies
- ZoneMap
- 区域
注意
默认情况下,安全区域设置存储在注册表子树中 HKEY_CURRENT_USER
。 由于此子树是针对每个用户动态加载的,因此一个用户的设置不会影响另一个用户的设置。
如果启用了 组策略 中的“安全区域:仅使用计算机设置”设置,或者如果Security_HKLM_only
存在 DWORD 值,并且以下注册表子项中的值为 1,则仅使用本地计算机设置,并且所有用户具有相同的安全设置:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
启用策略后 Security_HKLM_only
,Internet Explorer 将使用 HKLM 值。 但是,HKCU 值仍将显示在 Internet Explorer 的“ 安全性 ”选项卡上的区域设置中。 在 Internet Explorer 7 中,“Internet 选项”对话框的“安全”选项卡显示以下消息,指示设置由系统管理员管理:
某些设置由系统管理员管理 如果在 组策略 中未启用“安全区域:仅使用计算机设置”设置,或者
Security_HKLM_only
DWORD 值不存在或设置为 0,则计算机设置与用户设置一起使用。 但是,“ Internet 选项”中仅显示用户设置。 例如,当此 DWORD 值不存在或设置为 0 时,HKEY_LOCAL_MACHINE
设置与HKEY_CURRENT_USER
设置一起读取,但只有HKEY_CURRENT_USER
设置显示在 Internet 选项中。
TemplatePolicies
密钥 TemplatePolicies
确定默认安全区域级别的设置。 这些级别为“低”、“中低”、“中”和“高”。 可以从默认设置更改安全级别设置。 但是,无法添加更多安全级别。 密钥包含确定安全区域设置的值。 每个键都包含一个 Description 字符串值和一个显示名称字符串值,用于确定每个安全级别“安全性”选项卡上显示的文本。
ZoneMap
密钥 ZoneMap
包含以下键:
- 域
- EscDomains
- ProtocolDefaults
- Ranges
键 Domains
包含已添加的域和协议,以更改其行为与默认行为。 添加域时,会向 Domains
密钥添加一个密钥。 子域在它们所属的域下显示为键。 列出域的每个键都包含一个 DWORD,其中包含受影响协议的值名称。 DWORD 的值与添加域的安全区域的数值相同。
密钥 EscDomains
类似于域密钥,只不过该 EscDomains
密钥适用于受 Internet Explorer 增强安全配置 (IE ESC) 影响的那些协议。 IE ESC 在 Microsoft Windows Server 2003 中引入,仅适用于服务器操作系统。
密钥 ProtocolDefaults
指定用于特定协议的默认安全区域, (ftp、http、https) 。 若要更改默认设置,可以通过选择“安全”选项卡上的“ 添加站点 ”将协议添加到 安全 区域,也可以在“域”键下添加 DWORD 值。 DWORD 值的名称必须与协议名称匹配,并且不能包含任何冒号 (:) 或斜杠 (/) 。
密钥 ProtocolDefaults
还包含 DWORD 值,这些值指定使用协议的默认安全区域。 不能使用“ 安全性 ”选项卡上的控件更改这些值。 当特定网站不位于安全区域中时,将使用此设置。
密钥 Ranges
包含 TCP/IP 地址的范围。 指定的每个 TCP/IP 范围都显示在任意命名的密钥中。 此键包含一个 :Range
字符串值,该值包含指定的 TCP/IP 范围。 对于每个协议,都会添加一个 DWORD 值,该值包含指定 IP 范围的安全区域数值。
当 Urlmon.dll 文件使用 MapUrlToZone 公共函数将特定 URL 解析为安全区域时,它将使用以下方法之一:
如果 URL 包含完全限定的域名 (FQDN) ,则会处理域密钥。
在此方法中,完全的站点匹配将覆盖随机匹配。
如果 URL 包含 IP 地址,则会
Ranges
处理密钥。 URL 的 IP 地址与:Range
该键下Ranges
任意命名的密钥中包含的值进行比较。
注意
由于任意命名的键按添加到注册表的顺序进行处理,因此此方法可能会在找到匹配项之前找到随机匹配项。 如果此方法首先找到随机匹配项,则 URL 可能会在与通常分配该 URL 的区域不同的安全区域中执行。 此行为是设计使然。
区域
密钥 Zones
包含表示为计算机定义的每个安全区域的密钥。 默认情况下,定义以下五个区域 (编号为零到四个) :
Value Setting
------------------------------
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
注意
默认情况下,“我的计算机”不会显示在“安全性”选项卡上的“区域”框中,因为它被锁定以帮助提高安全性。
其中每个键都包含以下 DWORD 值,这些值表示自定义“安全性”选项卡上的相应设置。
注意
除非另有说明,否则每个 DWORD 值都等于零、1 或 3。 通常,设置为 0 将设置允许的特定操作,设置为 1 会导致出现提示,设置为 3 将禁止特定操作。
Value Setting
----------------------------------------------------------------------------------
1001 ActiveX controls and plug-ins: Download signed ActiveX controls
1004 ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200 ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201 ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206 Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207 Reserved #
1208 ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209 ActiveX controls and plug-ins: Allow Scriptlets
120A ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400 Scripting: Active scripting
1402 Scripting: Scripting of Java applets
1405 ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406 Miscellaneous: Access data sources across domains
1407 Scripting: Allow Programmatic clipboard access
1408 Reserved #
1409 Scripting: Enable XSS Filter
1601 Miscellaneous: Submit non-encrypted form data
1604 Downloads: Font download
1605 Run Java #
1606 Miscellaneous: Userdata persistence ^
1607 Miscellaneous: Navigate sub-frames across different domains
1608 Miscellaneous: Allow META REFRESH * ^
1609 Miscellaneous: Display mixed content *
160A Miscellaneous: Include local directory path when uploading files to a server ^
1800 Miscellaneous: Installation of desktop items
1802 Miscellaneous: Drag and drop or copy and paste files
1803 Downloads: File Download ^
1804 Miscellaneous: Launching programs and files in an IFRAME
1805 Launching programs and files in webview #
1806 Miscellaneous: Launching applications and unsafe files
1807 Reserved ** #
1808 Reserved ** #
1809 Miscellaneous: Use Pop-up Blocker ** ^
180A Reserved #
180B Reserved #
180C Reserved #
180D Reserved #
180E Allow OpenSearch queries in Windows Explorer #
180F Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00 User Authentication: Logon
1A02 Allow persistent cookies that are stored on your computer #
1A03 Allow per-session cookies (not stored) #
1A04 Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05 Allow 3rd party persistent cookies *
1A06 Allow 3rd party session cookies *
1A10 Privacy Settings *
1C00 Java permissions #
1E05 Miscellaneous: Software channel permissions
1F00 Reserved ** #
2000 ActiveX controls and plug-ins: Binary and script behaviors
2001 .NET Framework-reliant components: Run components signed with Authenticode
2004 .NET Framework-reliant components: Run components not signed with Authenticode
2007 .NET Framework-Reliant Components: Permissions for Components with Manifests
2100 Miscellaneous: Open files based on content, not file extension ** ^
2101 Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102 Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103 Scripting: Allow status bar updates via script ^
2104 Miscellaneous: Allow websites to open windows without address or status bars ^
2105 Scripting: Allow websites to prompt for information using scripted windows ^
2200 Downloads: Automatic prompting for file downloads ** ^
2201 ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300 Miscellaneous: Allow web pages to use restricted protocols for active content **
2301 Miscellaneous: Use Phishing Filter ^
2400 .NET Framework: XAML browser applications
2401 .NET Framework: XPS documents
2402 .NET Framework: Loose XAML
2500 Turn on Protected Mode [Vista only setting] #
2600 Enable .NET Framework setup ^
2702 ActiveX controls and plug-ins: Allow ActiveX Filtering
2708 Miscellaneous: Allow dragging of content between domains into the same window
2709 Miscellaneous: Allow dragging of content between domains into separate windows
270B Miscellaneous: Render legacy filters
270C ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls
{AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *
* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled
有关 1200、1A00、1A10、1E05、1C00 和 2000 的说明
以下两个注册表项会影响是否可以在特定区域中运行 ActiveX 控件:
- 1200 此注册表项会影响是否可以运行 ActiveX 控件或插件。
- 2000 此注册表项控制 ActiveX 控件或插件的二进制行为和脚本行为。
有关 1A02、1A03、1A05 和 1A06 的说明
仅当存在以下键时,以下四个注册表项才会生效:
- {AEBA21FA-782A-4A90-978D-B72164C80120}第一方 Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F}第三方 Cookie *
注册表项
- 1A02 允许计算机上存储的持久性 Cookie#
- 1A03 允许每个会话的 cookie (不存储) #
- 1A05 允许第三方持久性 Cookie *
- 1A06 允许第三方会话 Cookie *
这些注册表项位于以下注册表子项中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>
在此注册表子项中, <ZoneNumber> 是一个区域,例如 0 (零) 。 注册表项 1200
和 2000
注册表项各包含名为“已批准的管理员”的设置。 启用此设置后,特定注册表项的值设置为 00010000。 启用“管理员批准”设置后,Windows 会检查以下注册表子项以查找已批准控件的列表:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
登录设置 (1A00) 可能具有以下任何一个值 (十六进制) :
Value Setting
---------------------------------------------------------------
0x00000000 Automatically logon with current username and password
0x00010000 Prompt for user name and password
0x00020000 Automatic logon only in the Intranet zone
0x00030000 Anonymous logon
隐私选项卡滑块使用隐私设置 (1A10) 。 DWORD 值如下所示:
阻止所有 Cookie:00000003
高:00000001
中高:00000001
中:00000001
低: 00000001
接受所有 Cookie:00000000
根据滑块中的设置,它还将修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F} 和/或 {AEBA21Fa-782A-4A90-978D-B72164C80120} 中的值。
Java 权限设置 (1C00) 具有以下五个可能值 (二进制) :
Value Setting
-----------------------
00 00 00 00 Disable Java
00 00 01 00 High safety
00 00 02 00 Medium safety
00 00 03 00 Low safety
00 00 80 00 Custom
如果选择了“自定义”,它将使用位于同一注册表位置的 {7839DA25-F5FE-11D0-883B-0080C726DCBB} () 将自定义信息存储在二进制文件中。
每个安全区域都包含 Description 字符串值和显示名称字符串值。 在“区域”框中选择区域时,这些值的文本将显示在“安全性”选项卡上。 还有一个 Icon 字符串值,用于设置为每个区域显示的图标。 除“我的电脑”区域外,每个区域都包含 CurrentLevel
、 MinLevel
、 和 RecommendedLevel
DWORD 值。 值 MinLevel
设置在收到警告消息之前可以使用的最低设置, CurrentLevel
是区域的当前设置,是 RecommendedLevel
该区域的建议级别。
、 RecommendedLevel
和 CurrentLevel
的值Minlevel
的含义如下:
Value (Hexadecimal) Setting
----------------------------------
0x00010000 Low Security
0x00010500 Medium Low Security
0x00011000 Medium Security
0x00012000 High Security
Flags
DWORD 值确定用户修改安全区域属性的能力。 若要确定 Flags
值,请将相应设置的编号相加。 以下 Flags
值 (十进制) 可用:
Value Setting
------------------------------------------------------------------
1 Allow changes to custom settings
2 Allow users to add Web sites to this zone
4 Require verified Web sites (https protocol)
8 Include Web sites that bypass the proxy server
16 Include Web sites not listed in other zones
32 Do not show security zone in Internet Properties (default setting for My Computer)
64 Show the Requires Server Verification dialog box
128 Treat Universal Naming Connections (UNCs) as intranet connections
256 Automatically detect Intranet network
如果将设置同时添加到 HKEY_LOCAL_MACHIN
E 和 HKEY_CURRENT_USER
子树,则设置是累加的。 如果将网站添加到这两个子树,则只有 中的 HKEY_CURRENT_USER
这些网站可见。 子树中的 HKEY_LOCAL_MACHINE
网站仍会根据其设置强制执行。 但是,它们不可用,你无法修改它们。 这种情况可能会令人困惑,因为网站可能只列出每个协议的一个安全区域中。
References
有关 Microsoft Windows XP Service Pack 2 (SP2) 中功能更改的详细信息,请访问以下 Microsoft 网站:
有关 URL 安全区域的详细信息,请访问以下 Microsoft 网站:
有关如何更改 Internet Explorer 安全设置的详细信息,请访问以下 Microsoft 网站:
更改 Internet Explorer 11 的安全和隐私设置
有关 Internet Explorer 本地计算机区域锁定的详细信息,请访问以下 Microsoft 网站:
有关与 URL 安全区域中可执行的操作关联的值的详细信息,请参阅 URL 操作标志。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈