Q: Internet Explorer 增強式安全性設定

Internet Explorer 增強式安全性設定 （ESC） 會建立安全性設定，以定義使用者流覽因特網和內部網路網站的方式。 這些設定也會降低伺服器暴露在可能會造成安全性風險的網站。 此程式也稱為 IEHarden。 如需詳細資訊，請參閱 Internet Explorer：增強式安全性設定 。 原始產品版本： Internet Explorer 原始 KB 編號： 4551931

Q: Internet Explorer ESC 的預設設定

此功能預設會在伺服器上啟用。

Q: 如何在 Windows 伺服器上關閉 Internet Explorer ESC

若要關閉 Internet Explorer ESC，請遵循下列步驟： 在 Windows 搜尋中輸入 伺服器管理員 ，以啟動伺服器管理員應用程式。 選取 [ 本地伺服器 ]。 流覽至 [IE 增強式安全性組態 ] 屬性，選取目前的設定以開啟屬性頁，選取 所需使用者的 [關閉 ] 選項按鈕，然後選取 [ 確定 ]。 選取 伺服器管理員 工具列上的 [ 重新 整理] 圖示，以查看伺服器管理員中反映的新設定。 下列影片示範此程式： 如需詳細資訊，請參閱 管理本地伺服器和 伺服器管理員 主控台 。

Q: 使用 伺服器管理員 停用 ESC 之後，Internet Explorer 似乎無法運作

若要針對此案例進行疑難解答，請參閱 標準用戶無法在以 Windows Server 2003 為基礎的終端機伺服器或更新版本 上關閉 Internet Explorer 增強式安全性功能。 基本上，您可能必須再次啟用或停用 ESC。 以登錄為目標可能是解決此問題的最簡單方式。

Question 1

Internet Explorer 增強式安全性設定

Accepted Answer

Internet Explorer 增強式安全性設定（ESC）會建立安全性設定，以定義使用者流覽因特網和內部網路網站的方式。這些設定也會降低伺服器暴露在可能會造成安全性風險的網站。此程式也稱為 IEHarden。如需詳細資訊，請參閱 Internet Explorer：增強式安全性設定。

原始產品版本： Internet Explorer
原始 KB 編號： 4551931

Question 2

Internet Explorer ESC 的預設設定

Accepted Answer

此功能預設會在伺服器上啟用。

Question 3

啟用 Internet Explorer ESC 的效果

Accepted Answer

Internet Explorer ESC 會調整 Internet Explorer 擴充性和安全性設定，以減少未來可能的安全性威脅的風險。這些設定位於 控制台中 [因特網選項] 的 [進階] 索引標籤上。下表描述設定。

功能	Entry	設定	結果
瀏覽	顯示 [增強式安全性組態] 對話框。	另一	顯示對話框，以在因特網網站嘗試使用腳本或 ActiveX 控件時通知您。
瀏覽	啟用瀏覽器擴充功能。	關閉	停用您安裝的功能，以便與 Microsoft 以外的公司所建立的 Internet Explorer 搭配使用。
瀏覽	啟用隨選安裝（Internet Explorer）。	關閉	如果網頁需要，請停用視需要安裝 Internet Explorer 元件。
瀏覽	啟用隨選安裝（其他）。	關閉	視網頁需要停用視需要安裝 Web 元件。
Microsoft VM	已啟用虛擬機的 Just-In-Time （JIT）編譯程式（需要重新啟動）。	關閉	停用Microsoft VM 編譯程式。
多媒體	請勿在媒體列中顯示在線內容。	另一	停用 Internet Explorer 媒體列中媒體內容的播放。
多媒體	請勿在媒體列中顯示在線內容。	另一	停用 Internet Explorer 媒體列中媒體內容的播放。
多媒體	在網頁中播放動畫。	關閉	停用動畫。
多媒體	在網頁中播放影片。	關閉	停用視訊剪輯。
安全性	檢查伺服器證書吊銷（需要重新啟動）。	另一	在接受憑證為有效之前，自動檢查網站的憑證，以查看是否已撤銷憑證。
安全性	檢查下載程式上的簽章。	另一	自動驗證並顯示您下載的程式身分識別。
安全性	請勿將加密的頁面儲存至磁碟。	另一	停用儲存暫存因特網檔案資料夾中的安全資訊。
安全性	關閉瀏覽器時，空白暫存因特網檔案資料夾。	另一	當您關閉瀏覽器時，自動清除 [暫存因特網檔案] 資料夾。

這些變更可減少網頁、網頁應用程式、局域網路資源和應用程式的功能，這些應用程式會使用瀏覽器來顯示在線說明、支援和一般用戶協助。

Question 4

如何在 Windows 伺服器上關閉 Internet Explorer ESC

Accepted Answer

若要關閉 Internet Explorer ESC，請遵循下列步驟：

在 Windows 搜尋中輸入 伺服器管理員，以啟動伺服器管理員應用程式。
選取 [ 本地伺服器]。
流覽至 [IE 增強式安全性組態 ] 屬性，選取目前的設定以開啟屬性頁，選取 所需使用者的 [關閉 ] 選項按鈕，然後選取 [ 確定]。
選取伺服器管理員工具列上的 [重新整理] 圖示，以查看伺服器管理員中反映的新設定。

下列影片示範此程式：

如需詳細資訊，請參閱管理本地伺服器和伺服器管理員主控台。

Question 5

如何使用腳本停用 Internet Explorer ESC

Accepted Answer

使用下列批處理文件內容建立IEHArden_V5.bat檔案。
使用如何指派使用者登入腳本中所述的程式，在系統管理命令提示字元中執行 bat 檔案，或作為登入腳本的一部分。

批處理文件的內容

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Question 6

如何使用群組策略喜好設定來管理使用者的 IEHarden 設定 （GPP）

Accepted Answer

若要使用組策略喜好設定登錄設定來變更使用者的 IEHarden 設定，請遵循下列步驟：

開啟 GPMCM.msc 控制台，然後流覽至 [使用者設定>喜好>設定] [Windows 設定]。
在瀏覽窗格中，以滑鼠右鍵按兩下 [登錄] 物件，然後選取 [新增>登錄專案]。
在 IEHarden 屬性中，指定下列設定：
- 位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- 值名稱： IEHarden
- 實值類型： REG_DWORD
- 值數據： 0 或 000000000
選取 [套用] 和 [確定] 以完成此 GPP 設定。

注意

如果此值無法解決問題，您也可以檢查下列登錄子機碼。在大部分情況下，這並非必要。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Question 7

使用 伺服器管理員 停用 ESC 之後，Internet Explorer 似乎無法運作

Accepted Answer

若要針對此案例進行疑難解答，請參閱標準用戶無法在以 Windows Server 2003 為基礎的終端機伺服器或更新版本上關閉 Internet Explorer 增強式安全性功能。基本上，您可能必須再次啟用或停用 ESC。以登錄為目標可能是解決此問題的最簡單方式。

共用方式為

Internet Explorer 增強式安全性設定的常見問題（ESC）