Internet Explorer 增強式安全性設定的常見問題(ESC)

Internet Explorer 增強的安全性設定

Internet Explorer 增強式安全性設定(ESC)建立的安全性設定,可定義使用者流覽網際網路和內部網路網站的方式。 這些設定也會減少伺服器對可能出現安全性風險的網站的暴露。 此處理程式也稱為 IEHarden。 如需詳細資訊,請參閱Internet Explorer:增強的安全性設定。

原始產品版本:  Ie
原始 KB 編號:  4551931

Internet Explorer ESC 的預設設定

在伺服器上,此功能預設為啟用。

啟用 Internet Explorer ESC 的影響

Internet Explorer ESC 會調整 Internet Explorer 擴充性和安全性設定,以降低未來可能安全性威脅的風險。 這些設定位於 [控制台] 中 [網際網路選項] 的 [高級] 索引標籤上。 下表說明這些設定。

功能 進入 設定 結果
流覽 [顯示增強的安全性設定] 對話方塊。 開啟 當網際網路網站嘗試使用腳本或 ActiveX 控制項時,會顯示對話方塊,以通知您。
流覽 啟用瀏覽器擴充功能。 關閉 停用您已安裝的功能,可搭配 Microsoft 以外的公司所建立的 Internet Explorer 使用。
流覽 啟用隨選即安裝(Internet Explorer)。 關閉 視網頁需要,停用要求安裝 Internet Explorer 元件。
流覽 啟用隨選即安裝(其他)。 關閉 視網頁需要,停用要求安裝 web 元件。
Microsoft VM 啟用虛擬機器的即時(JIT)編譯器(需要重新開機)。 關閉 停用 Microsoft VM 編譯器。
多媒體 請勿在媒體欄中顯示線上內容。 開啟 停用 Internet Explorer media bar 中的媒體內容播放功能。
多媒體 請勿在媒體欄中顯示線上內容。 開啟 停用 Internet Explorer media bar 中的媒體內容播放功能。
多媒體 播放網頁中的動畫。 關閉 停用動畫。
多媒體 在網頁中播放影片。 關閉 停用影片剪貼畫。
安全性 檢查伺服器憑證是否已撤銷(需要重新開機)。 開啟 自動檢查網站的憑證,以查看憑證是否已被吊銷,然後再將憑證接受為有效。
安全性 檢查已下載程式的簽名。 開啟 會自動驗證及顯示您下載之程式的身分識別。
安全性 不要將加密的頁面儲存至磁片。 開啟 停用將安全資訊儲存在 [暫存網際網路檔案] 資料夾中。
安全性 關閉瀏覽器時清空 [暫存網際網路檔案] 資料夾。 開啟 當您關閉瀏覽器時,會自動清除 [暫存網際網路檔案] 資料夾。

這些變更可減少網頁、web 應用程式、本機網路資源和使用瀏覽器顯示線上說明、支援及一般使用者協助的應用程式中的功能。

如何在 Windows server 上關閉 Internet Explorer ESC

若要關閉 Internet Explorer ESC,請遵循下列步驟:

  1. 在 [Windows 搜尋] 中輸入伺服器管理員以啟動伺服器管理員應用程式。

  2. 選取 [本機伺服器]。

  3. 流覽至 [ IE 增強的安全性設定] 屬性,選取目前的設定以開啟 [屬性] 頁面,然後選取所需使用者的 [關閉] 選項按鈕,然後選取 [確定]

    伺服器管理員的 Internet Explorer ESC 設定

    選取關閉選項螢幕擷取畫面

  4. 選取 [伺服器管理員] 工具列上的 [重新整理] 圖示,以查看伺服器管理員所反映的新設定。

    在 [伺服器管理員] 中的目前 Internet Explorer ESC 設定。

下列影片示範此程式:

如需詳細資訊,請參閱管理本機伺服器及伺服器管理員主控台

如何使用腳本停用 Internet Explorer ESC

  1. 下載並儲存IEHArden_V5.zip

  2. 從壓縮(.zip)檔案中解壓縮 IEHArden_V5.bat,然後使用如何指派使用者登入腳本的程式,在系統管理命令提示字元或登入腳本的一部分中執行此操作。

批次檔的內容

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

如何使用群組原則首選項(GPP)管理使用者的 IEHarden 設定

若要使用群組原則偏好設定登錄設定來變更使用者的 IEHarden 設定,請遵循下列步驟:

  1. 開啟 GPMCM 主控台,然後流覽至 [使用者 > 設定偏好設定] [ > Windows 設定]。

  2. 在功能窗格中,以滑鼠右鍵按一下Registry物件,然後選取 [新增登錄 > 專案]。

    建立新的登錄

  3. 在 [ IEHarden 屬性] 中,指定下列設定:

    • 位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • 值名稱: IEHarden

    • 數值型別: REG_DWORD

    • 值資料: 000000000

      登錄設定

  4. 選取Apply [套用],然後按一下 [確定] 以完成此 GPP 設定。

注意

如果此值不會解決問題,您也可能想要檢查下列登錄子項。 在大多數情況下,這不是必要的。

  • HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER \Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

使用伺服器管理員停用 ESC 後,Internet Explorer 似乎無法運作

若要疑難排解此案例,請參閱標準使用者無法在 Windows Server 2003 的終端伺服器或更新版本上關閉 Internet Explorer 增強式安全性功能。 基本上,您可能需要再次啟用或停用 ESC。 以登錄為目標可能是解決此問題最簡單的方法。