什么是Internet Explorer 增強(qiáng)的安全配置?
簡單的說就是在你訪問一個未標(biāo)記為信任的網(wǎng)站的時候給你彈出一個提示���,如下圖:
640.png)
如果你認(rèn)為這個網(wǎng)站是可信任的����,就點(diǎn)擊“添加”按鈕,把它添加到信任區(qū)���,這樣就可以訪問了�,否則的話就不能訪問����,
類似于防火墻,只是它主要是針對網(wǎng)址進(jìn)行過慮�,不在信任區(qū)的網(wǎng)址都無法訪問,從而有效的避免來自惡意網(wǎng)站的攻擊��。
但有個前提條件��,你得知道哪個網(wǎng)址是安全的才行�����,對于大多數(shù)人來說�,哪里知道到底安不安全啊����!
再說了,即使網(wǎng)址是安全的����,也不能保證內(nèi)容一定是安全的���,萬一被黑了呢!
所以說個人感覺還是形同虛設(shè)�,反而操作起來比較麻煩!
如何關(guān)閉Internet Explorer 增強(qiáng)的安全配置���?
開始菜單》管理工具》服務(wù)器管理
640.png)
服務(wù)器管理首頁》配置IE ESC���,在打開的對話框中選擇禁用,確定�。
640.png)
OK�,重新打開瀏覽器就可以了。
點(diǎn)擊“了解有關(guān)Internet Explorer 增強(qiáng)的安全配置的更多信息”可以看到以下官方內(nèi)容:
Internet Explorer 增強(qiáng)的安全配置使服務(wù)器和 Microsoft Internet Explorer 處于這樣一種配置中: 減少服務(wù)器對那些可通過 Web 內(nèi)容和應(yīng)用程序腳本產(chǎn)生的潛在攻擊的暴露���。因此��,某些網(wǎng)站可能無法按預(yù)期顯示或執(zhí)行����。
有關(guān)詳細(xì)信息�,請參閱以下內(nèi)容:
在 Internet Explorer 中���,可以配置下列幾個內(nèi)置安全區(qū)域的安全設(shè)置: Internet 區(qū)域、本地 Intranet 區(qū)域����、受信任站點(diǎn)區(qū)域和受限制的站點(diǎn)區(qū)域。Internet Explorer 增強(qiáng)的安全配置為這些區(qū)域分配的安全級別如下所示:
- 對于 Internet 區(qū)域��,將安全級別設(shè)置為“高”�����。
- 對于受信任的站點(diǎn)區(qū)域���,將安全級別設(shè)置為“中”�,這將允許瀏覽許多 Internet 站點(diǎn)���。
- 對于本地 Intranet 區(qū)域�,將安全級別設(shè)置為“中低”�,這將允許用戶憑據(jù)(名稱和密碼)自動傳遞到需要它們的站點(diǎn)和應(yīng)用程序。
- 對于受限制的站點(diǎn)區(qū)域���,將安全級別設(shè)置為“高”���。
- 默認(rèn)情況下��,將所有 Internet 和 Intranet 站點(diǎn)都分配到 Internet 區(qū)域���。如果未將 Intranet 站點(diǎn)顯式加入本地 Intranet 區(qū)域,則其不是此區(qū)域的一部分�。
返回頁首
增強(qiáng)的安全配置提高服務(wù)器上的安全級別,但也可能以如下方式影響 Internet 瀏覽:
- 由于已禁用 ActiveX 控件和腳本�,所以 Internet 站點(diǎn)可能在 Internet Explorer 中不能按要求顯示,并且使用 Internet 的應(yīng)用程序可能不能正確運(yùn)行��。如果信任某個 Internet 站點(diǎn)并且需要讓其正常運(yùn)行�����,則可在 Internet Explorer 中將該站點(diǎn)添加到受信任的站點(diǎn)區(qū)域����。如果嘗試瀏覽某個使用腳本或 Active X 控件的 Internet 站點(diǎn)����,則 Internet Explorer 將提示您考慮將該站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。僅當(dāng)您完全確信該站點(diǎn)可信�,并且要添加的 URL 確實(shí)正確時���,才應(yīng)將其添加到受信任的站點(diǎn)區(qū)域。有關(guān)詳細(xì)信息�����,請參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域��。
- 對 Intranet 站點(diǎn)���、在本地 Intranet 上運(yùn)行的基于 Web 的應(yīng)用程序以及網(wǎng)絡(luò)共享上的其他文件的訪問可能受到限制�。如果信任某個 Intranet 站點(diǎn)或共享����,并需要讓其正常運(yùn)行,則可將其添加到本地 Intranet 區(qū)域����。有關(guān)詳細(xì)信息,請參閱將站點(diǎn)添加到本地 Intranet 區(qū)域���。
返回頁首
Internet Explorer 增強(qiáng)的安全配置可調(diào)整現(xiàn)有安全區(qū)域的安全級別���。下表描述如何影響每個區(qū)域����。
|
| Internet 區(qū)域 | 高 | 該區(qū)域與受限制的站點(diǎn)區(qū)域具有相同的安全設(shè)置�����。所有 Internet 和 Intranet 站點(diǎn)默認(rèn)情況下都分配到該區(qū)域�����。
由于腳本�����、Microsoft ActiveX 控件�����、用于 HTML 內(nèi)容的 Microsoft 虛擬機(jī)(Microsoft VM)及文件下載被禁用�,網(wǎng)頁可能不會按預(yù)期在 Internet Explorer 中顯示,以及需要使用瀏覽器的應(yīng)用程序可能不能正常工作���。如果您信任某個 Internet 站點(diǎn)并需要它發(fā)揮作用,您可以將該站點(diǎn)添加到 Internet Explorer 的受信任的站點(diǎn)區(qū)域中。有關(guān)詳細(xì)信息�����,請參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域�。
|
| 本地 Intranet 區(qū)域 | 中低 | 訪問 Internet 站點(diǎn)時,系統(tǒng)可能反復(fù)要求您提供憑據(jù)(用戶名和密碼)����,這是增強(qiáng)的安全配置導(dǎo)致的結(jié)果。過去����,Internet Explorer 自動將憑據(jù)傳遞給 Intranet 站點(diǎn)。增強(qiáng)的安全配置禁用 Intranet 站點(diǎn)的自動檢測����。如果要將憑據(jù)自動傳遞給某些 Intranet 站點(diǎn),請將這些站點(diǎn)添加到本地 Intranet 區(qū)域����。有關(guān)詳細(xì)信息,請參閱將站點(diǎn)添加到本地 Intranet 區(qū)域���。
請勿將 Internet 站點(diǎn)添加到本地 Intranet 區(qū)域��,原因是請求添加站點(diǎn)后憑據(jù)會自動傳遞到站點(diǎn)����。
|
| 受信任的站點(diǎn)區(qū)域 | 中 | 此區(qū)域用于信任其內(nèi)容的 Internet 站點(diǎn)。有關(guān)詳細(xì)信息��,請參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域���。 |
| 受限制的站點(diǎn)區(qū)域 | 高 | 此區(qū)域包括您不信任的站點(diǎn)�����,如當(dāng)您嘗試從其下載或運(yùn)行文件時���,可能會損壞計算機(jī)或數(shù)據(jù)的那些站點(diǎn)。 |
增強(qiáng)的安全配置還能調(diào)整 Internet Explorer 擴(kuò)展性和安全設(shè)置�,從而進(jìn)一步減少將來暴露于安全威脅的可能性?����?稍凇翱刂泼姘濉钡摹癐nternet 選項”中的“高級”選項卡上找到這些設(shè)置����。下表描述了受影響的設(shè)置�����。
|
| 啟用第三方瀏覽器擴(kuò)展 | 關(guān)閉 | 禁用為了與 Internet Explorer 一起使用而安裝的功能,這些功能可能是由 Microsoft 之外的公司所創(chuàng)建��。 |
| 在網(wǎng)頁中播放聲音 | 關(guān)閉 | 禁用音樂和其他聲音�����。 |
| 在網(wǎng)頁中播放動畫 | 關(guān)閉 | 禁用動畫����。 |
| 檢查服務(wù)器證書吊銷 | 打開 | 自動檢查網(wǎng)站的證書以確定證書是否已吊銷。 |
| 請勿將加密的頁保存到磁盤 | 打開 | 禁用將安全信息保存到臨時 Internet 文件文件夾中����。 |
| 關(guān)閉瀏覽器時清空臨時 Internet 文件文件夾 | 打開 | 當(dāng) IE 關(guān)閉時自動清除 Temporary Internet Files 文件夾。 |
| 在安全和非安全模式之間轉(zhuǎn)換時發(fā)出警告 | 打開 | 顯示瀏覽器從安全網(wǎng)站重定向到不安全網(wǎng)站的警告����。 |
| 啟用內(nèi)存保護(hù)有助于減輕聯(lián)機(jī)攻擊 | 關(guān)閉 | 啟用數(shù)據(jù)執(zhí)行保護(hù)(DEP)有助于減輕聯(lián)機(jī)攻擊。 |
這些更改降低網(wǎng)頁����、基于 Web 的應(yīng)用程序����、本地網(wǎng)絡(luò)資源以及使用瀏覽器顯示聯(lián)機(jī)幫助����、支持和常規(guī)用戶協(xié)助的應(yīng)用程序中的功能。
有關(guān)使用本地 Intranet 或受信任的站點(diǎn)區(qū)域的包含列表的詳細(xì)信息����,請參閱管理 Internet Explorer 增強(qiáng)的安全配置。
啟用 Internet Explorer 增強(qiáng)的安全配置時:
- 將 Windows Update 網(wǎng)站添加到受信任的站點(diǎn) 區(qū)域����。這將允許您繼續(xù)獲取操作系統(tǒng)的重要更新。
- 將 Windows 錯誤報告站點(diǎn)添加到受信任的站點(diǎn)區(qū)域��。這將允許您報告操作系統(tǒng)所遇到的問題��,并搜索修復(fù)程序��。
- 將幾個本地計算機(jī)站點(diǎn)(例如 http://localhost���、https://localhost�����、hcp://system)添加到本地 Intranet 區(qū)域�����。這將允許應(yīng)用程序和代碼在本地工作以便完成一般管理任務(wù)�����。
- 對于受信任的站點(diǎn)區(qū)域�,隱私首選項平臺(P3P)級別將設(shè)置為“中”����。如果要更改非 Internet 區(qū)域的任何區(qū)域的 P3P 級別,請轉(zhuǎn)至“控制面板”的“Internet 選項”中的“隱私”選項卡��,然后單擊“導(dǎo)入”以應(yīng)用自定義隱私策略。有關(guān)隱私策略的示例,請轉(zhuǎn)至 Microsoft MSDN Library 網(wǎng)站(http://msdn.microsoft.com/workshop/security/privacy/overview/privacyimportxml.asp)�����。
下表描述 Internet Explorer 增強(qiáng)的安全配置如何使用 Internet Explorer 影響每位用戶的體驗��。
|
| |
|---|
| 打開/關(guān)閉 Internet Explorer 增強(qiáng)的安全配置 | 是 | 否 | 否 | 否 |
| 在 Internet Explorer 中調(diào)整特殊區(qū)域的安全級別 | 是 | 是 | 否 | 否 |
| 將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域 | 是 | 是 | 是 | 是 |
| 將站點(diǎn)添加到本地 Intranet 區(qū)域 | 是 | 是 | 是 | 是 |
其他所有 Internet Explorer 任務(wù)均可由所有用戶組完成�,除非服務(wù)器管理員選擇進(jìn)一步限制用戶訪問權(quán)限��。
返回頁首
Internet Explorer 增強(qiáng)的安全配置旨在減少服務(wù)器暴露于安全威脅中的可能性。若要確保您從增強(qiáng)的安全配置獲取最大益處�����,請考慮采用以下瀏覽器管理建議:
- 默認(rèn)情況下�����,將所有 Internet 和 Intranet 站點(diǎn)都分配到 Internet 區(qū)域�����。如果您信任某個 Internet 站點(diǎn)或 Intranet 站點(diǎn)并需要讓其正常運(yùn)行�����,請將 Internet 站點(diǎn)添加到受信任的站點(diǎn)區(qū)域����,并將 Intranet 站點(diǎn)添加到本地 Intranet 區(qū)域。有關(guān)每個區(qū)域的安全級別的詳細(xì)信息���,請參閱 Internet Explorer 增強(qiáng)的安全配置的效果�����。
- 如果要在 Internet 上運(yùn)行基于瀏覽器的客戶端應(yīng)用程序���,則應(yīng)將承載該應(yīng)用程序的網(wǎng)頁添加到受信任的站點(diǎn)區(qū)域�����。有關(guān)詳細(xì)信息���,請參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。
- 如果要在受保護(hù)且安全的本地 Intranet 上運(yùn)行基于瀏覽器的客戶端應(yīng)用程序����,則應(yīng)將承載該應(yīng)用程序的網(wǎng)頁添加到本地 Intranet 站點(diǎn)區(qū)域��。有關(guān)詳細(xì)信息����,請參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。
- 將內(nèi)部站點(diǎn)和本地服務(wù)器添加到本地 Intranet 區(qū)域可以確保您能夠從服務(wù)器訪問和運(yùn)行應(yīng)用程序���。
- 使用 unattend.xml 將 Intranet 站點(diǎn)和 UNC 服務(wù)器添加到本地 Intranet 區(qū)域包含列表作為安裝過程的一部分���。
- 使用客戶端計算機(jī)下載驅(qū)動程序�、service pack 等�����,并避免在服務(wù)器上進(jìn)行任何瀏覽��。
- 如果使用磁盤映像在服務(wù)器上安裝操作系統(tǒng)���,請將信任的 Intranet 站點(diǎn)和 UNC 服務(wù)器添加到本地 Intranet 區(qū)域���,并將信任的 Internet 站點(diǎn)添加到基本映像上受信任的站點(diǎn)區(qū)域。然后�����,您可以更改與各個服務(wù)器類型和需求相關(guān)的映像列表�����。
- 如果 Microsoft Terminal Services 已安裝在一個啟用 IE ESC 的計算機(jī)上���,則 Terminal Services 安裝將自動禁用 IE ESC��?�?梢允褂梅?wù)器管理器重新啟用它����。
- 在手動安裝 Terminal Services 期間,將提示您為用戶禁用 Internet Explorer 增強(qiáng)的安全配置���。這允許用戶不受限的運(yùn)行終端服務(wù)器會話����。
- 從安裝 Internet Explorer 6 或更新版本的 Windows Server 2003 升級到 Windows Server 2008 時�����,將自動應(yīng)用與 IE ESC 關(guān)聯(lián)的新默認(rèn)設(shè)置�。
在服務(wù)器上啟用 Internet Explorer 增強(qiáng)的安全配置之后���,所有 Internet 站點(diǎn)的安全設(shè)置都設(shè)置為“高”�。如果您信任某個網(wǎng)頁���,并需要其它正常運(yùn)行�,則可在 Internet Explorer 中將其添加到受信任的站點(diǎn)區(qū)域。
- 導(dǎo)航到要添加的站點(diǎn)�����。
- 如果已在查看要添加的站點(diǎn)����,則繼續(xù)執(zhí)行步驟 2。
- 如果知道要添加的站點(diǎn)的 URL��,請打開 Internet Explorer��,在地址欄中鍵入該站點(diǎn)的 URL��,然后等待加載該站點(diǎn)����。
- 在“文件”菜單上,單擊“將此站點(diǎn)添加到”���,然后單擊“受信任的站點(diǎn)區(qū)域”���。
- 在“受信任的站點(diǎn)”對話框中,單擊“添加”將站點(diǎn)移動到列表中�����,再單擊“關(guān)閉”。
- 刷新頁面以便從其新的區(qū)域查看站點(diǎn)�����。
- 檢查瀏覽器的狀態(tài)欄以確認(rèn)此站點(diǎn)位于“受信任的站點(diǎn)區(qū)域”中����。
注意
- 網(wǎng)頁一次只能是一個區(qū)域的一部分—不能將一個頁面既添加到受信任的站點(diǎn)區(qū)域中�,又添加到本地 Intranet 區(qū)域中。
- 將某個網(wǎng)頁添加到受信任的站點(diǎn)區(qū)域中時�����,實(shí)際上添加的是該網(wǎng)頁的域����。因此,也就添加了該域內(nèi)的所有網(wǎng)頁�����。例如����,如果您將 http://www.microsoft.com/windowsxp/expertzone/ 添加到受信任的站點(diǎn)區(qū)域中,實(shí)際上添加的是 http://www.microsoft.com����。那么,如果要查看 Windows 幫助和支持站點(diǎn)���,就必須單獨(dú)添加 http://support.microsoft.com��,原因是 Windows 幫助和支持站點(diǎn)是一個獨(dú)立的域��。
- 對于受信任的站點(diǎn)區(qū)域����,Internet Explorer 維護(hù)兩種不同的站點(diǎn)列表�。一個列表在啟用增強(qiáng)的安全配置時生效,而另一個單獨(dú)的列表在禁用增強(qiáng)的安全配置時生效�。將網(wǎng)頁添加到受信任的站點(diǎn)區(qū)域時,僅將其添加到當(dāng)前正在使用的列表中�。
- 可使用通配符添加給定域的所有子域。例如�����,可在該列表中添加 *.microsoft.com,此操作同時添加 www.microsoft.com 和 support.microsoft.com��。
- 許多 Internet 站點(diǎn)使用多個域以承載其內(nèi)容��?����?赡苄枰谑苄湃蔚恼军c(diǎn)區(qū)域中添加多個域���,才能獲得一個站點(diǎn)的全部功能�����。
- 安裝期間��,可以使用 unattend.xml 中的某些設(shè)置一次將多個站點(diǎn)添加到受信任的站點(diǎn)區(qū)域��。
啟用 Internet Explorer 增強(qiáng)的安全配置時����,所有 Intranet 站點(diǎn)的安全設(shè)置都設(shè)置為“高”���。因此�����,每次訪問未添加到本地 Intranet 區(qū)域的 Intranet 站點(diǎn)時����,系統(tǒng)都會提示您輸入憑據(jù)(用戶名和密碼)��。如果您經(jīng)常性使用 Intranet 站點(diǎn)���,并且知道那些站點(diǎn)可信�����,則可在 Internet Explorer 中將其添加到本地 Intranet 區(qū)域����。
- 導(dǎo)航到要添加的站點(diǎn)��。
- 如果已在查看要添加的站點(diǎn)�����,則繼續(xù)執(zhí)行步驟 2�����。
- 如果知道要添加的站點(diǎn)的 URL,請打開 Internet Explorer�����,在地址欄中鍵入該站點(diǎn)的 URL��,然后等待加載該站點(diǎn)���。
- 在“文件”菜單上�����,單擊“將此站點(diǎn)添加到”���,然后單擊“本地 Intranet 區(qū)域”。
- 在“本地 Intranet”對話框中����,單擊“添加”將站點(diǎn)移到列表中,再單擊“關(guān)閉”�。
- 刷新頁面以便從其新的區(qū)域查看站點(diǎn)。
- 檢查瀏覽器的狀態(tài)欄以確認(rèn)該站點(diǎn)位于“本地 Intranet 區(qū)域”中。
注意
- 請勿將 Internet 站點(diǎn)添加到本地 Intranet 區(qū)域����,原因是一旦添加,則在請求時自動將憑據(jù)傳遞到該站點(diǎn)�。
- 網(wǎng)頁一次只能是一個區(qū)域的一部分&mdash�;不能將一個頁面既添加到受信任的站點(diǎn)區(qū)域中,又添加到本地 Intranet 區(qū)域中��。
- 將某個網(wǎng)頁添加到本地 Intranet 區(qū)域中時��,實(shí)際上添加的是該頁面的域����。因此,也就添加了該域內(nèi)的所有頁面�����。例如����,如果將 http://YourIntranetServer/SubWeb 添加到本地 Intranet 區(qū)域,實(shí)際上添加的是 http://YourIntranetServer�。
- 對于本地 Intranet 區(qū)域,Internet Explorer 維護(hù)兩種不同的站點(diǎn)列表。一個列表在啟用增強(qiáng)的安全配置時生效���,而另一個單獨(dú)的列表在禁用增強(qiáng)的安全配置時生效����。將網(wǎng)頁添加到本地 Intranet 區(qū)域時�����,僅將其添加到當(dāng)前正在使用的列表中�����。
- 安裝期間���,可以使用 unattend.xml 中的某些設(shè)置一次將多個站點(diǎn)添加到“本地 Intranet 區(qū)域”�。
使用 Internet Explorer 增強(qiáng)的安全配置�����,可以在服務(wù)器上控制允許某些用戶組訪問 Internet Explorer 的級別���。
為所有用戶啟用 IE ESC
- 關(guān)閉所有 Internet Explorer 的實(shí)例���。
- 單擊“開始”����,指向“管理工具”����,然后單擊“服務(wù)器管理器”。
- 如果出現(xiàn)“用戶帳戶控制”對話框���,單擊“繼續(xù)”。
- 在“安全摘要”下���,單擊“配置 IE ESC”�����。
- 在“管理員”下�,單擊“啟用(推薦)”�����。
- 在“用戶”下�����,單擊“啟用(推薦)”。
- 單擊“確定”���。
- 若要禁用 IE ESC���,請單擊“管理員”和 “用戶”的“禁用”,然后單擊“確定”�����。
注意
- 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到 Administrators 組時��,這些設(shè)置就會應(yīng)用到管理員和超級用戶�。 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到 Users 組時,這些設(shè)置應(yīng)用到受限用戶�。
- 有關(guān) Internet Explorer 安全區(qū)域的最新信息,請轉(zhuǎn)到 Microsoft MSDN Library 網(wǎng)站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)�����。
如果在您所處的環(huán)境中不使用 Internet Explorer 增強(qiáng)的安全配置���,則可通過使用“控制面板”中的“Internet 選項”手動提升服務(wù)器上的安全設(shè)置����,從而輕松增強(qiáng) Internet Explorer 的安全性。
- 打開 Internet Explorer��。
- 在“工具”菜單上���,單擊“Internet 選項”�����。
- 在“安全”選項卡上��,選擇要調(diào)整的 Web 內(nèi)容區(qū)域: Internet、本地 Intranet�、受信任的站點(diǎn)或受限制的站點(diǎn)。
- 在該區(qū)域的安全級別下����,單擊“默認(rèn)級別”以使用該區(qū)域的默認(rèn)安全級別,或單擊“自定義級別”����,然后選擇所需的設(shè)置。
注意
- 對于受限制的站點(diǎn)�����,請單擊“自定義級別”,然后在“重置為”列表中單擊某個級別����。
- 有關(guān) Internet Explorer 安全區(qū)域的最新信息,請轉(zhuǎn)到 Microsoft MSDN Library 網(wǎng)站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)���。
使用服務(wù)器進(jìn)行 Internet 瀏覽并不符合最佳安全操作�����,因為 Internet 瀏覽會增加服務(wù)器遭受潛在安全攻擊的可能性�。不論使用的是哪種瀏覽器��,都應(yīng)對在服務(wù)器上進(jìn)行瀏覽加以限制�。
減少服務(wù)器遭受來自基于 Web 的惡意內(nèi)容的潛在攻擊的步驟:
- 請勿使用服務(wù)器瀏覽一般 Web 內(nèi)容。
- 使用客戶端計算機(jī)下載驅(qū)動程序�、service pack 等。
- 請勿查看無法確定是否安全的站點(diǎn)��。
- 請使用受限制的用戶帳戶而不是管理員帳戶進(jìn)行一般的 Web 瀏覽��。
- 請使用組策略來防止非授權(quán)用戶對瀏覽器安全設(shè)置進(jìn)行不適當(dāng)?shù)母摹?/li>
該文章在 2018/9/8 9:34:23 編輯過
400 186 1886
