IE增强的安全配置(精)

Internet Explorer 增强的安全配置改变了浏览体验默认情况下，Windows Server 2003 启用了 Internet Explorer 增强的安全配置。在启动 Microsoft Internet Explorer 时，将收到下面的消息：当前在您的服务器上启用了 Microsoft Internet Explorer 的增强的安全配置。此增强的安全级别降低了来自基于 Web 的不安全内容攻击的风险，但同时也可能会使网站不能显示正确的内容，并且不能访问网络资源。Internet Explorer 增强的安全配置为服务器和 Microsoft Internet Explorer 建立了一种配置，可以减少服务器遭受潜在的、可通过 Web 内容和应用程序脚本进行的攻击的可能性。因此，某些网站可能无法正常显示或执行操作。本文介绍 Windows Server 2003 中 Internet Explorer 增强的安全配置的效果。回到顶端更多信息Internet Explorer 增强的安全配置可建立一些安全设置，以定义用户浏览 Internet 和 Intranet 网站的方式。这些设置还减少了服务器遭受来自可能存在安全风险的网站的攻击的可能性。此增强级别的安全性可能使网站无法在 Internet Explorer 中正常显示，并可能限制对网络资源（如统一命名约定 (UNC 共享文件夹中的文件）的访问。如果希望查看的网站需要已禁用的 Internet Explorer 功能，则可以将该网站添加到“本地 Intranet”或“受信任的站点”区域的包含列表中。回到顶端Internet Explorer 安全区域在 Internet Explorer 中，可以为数个内置的安全区域配置安全设置：“Internet”区域、“本地 Intranet”区域、“受信任的站点”区域和“受限制的站点”区域。Internet Explorer 增强的安全配置按如下方式向这些区域分配安全级别： 对于“Internet”区域，将安全级别设置为“高”。 对于“受信任的站点”区域，将安全级别设置为“中”。此级别允许浏览许多 Internet 站点。 对于“本地 Intranet”区域，将安全级别设置为“中低”。此级别允许将用户凭据（名称和密码）自动传递到需要它们的站点和应用程序。 对于“受限制的站点”区域，将安全级别设置为“高”。 默认情况下，将所有 Internet 和 Intranet 站点都指定到“Internet”区域。除非将 Intranet 站点明确添加到“本地 Intranet”区域，否则这些站点不属于该区域。回到顶端如何在启用 Internet Explorer 增强的安全配置的情况下进行浏览Internet Explorer 增强的安全配置提高了服务器的安全级别。但是，它还可能以下面几种方式影响 Internet 浏览： 由于禁用了 ActiveX 控件和脚本，因此 Internet 站点可能无法在 Internet Explorer 中按预期方式显示，并且使用 Internet 的应用程序可能无法正常工作。如果信任某个 Internet 站点并需要其完全正常工作，则可以将该站点添加到 Internet Explorer 中的“受信任的站点”区域。如果试图查看使用脚本或 ActiveX 控件的 Internet 站点，会收到下面的消息：下面列出的网站内容被 Internet Explorer 增强的安全配置堵塞。如果您信任此网站，您可以通过把此站点添加到信任的站点区域中来降低它的安全设置。如果您知道此网站在您的本地 Intranet 上，则参照帮助中的如何在本地 Intranet 上添加站点的说明。Microsoft 建议，仅当您完全确信某站点可以信赖并且 URL 正确时，才可以将其添加到“受信任的站点”区域。注意：将网站添加到“受信任的站点”区域会对包括 Internet Explorer 在内的所有应用程序降低来自该网站的所有内容的安全设置级别。有关如何将网站添加到“受信任的站点”区域的更多信息，请参阅本文中的“将站点添加到受信任的站点区域”一节。 可能限制对 Intranet 站点、在本地 Intranet 中运行的基于 Web 的应用程序以及共享网络资源上其他文件的访问。如果您信任某个 Intranet 站点或共享文件夹并且需要其正常工作，可以将它添加到“本地 Intranet”区域。有关如何操作的更多信息，请参阅本文中的“将站点添加到本地 Intranet区域”一节。回到顶端Internet Explorer 增强的安全配置的效果Internet Explorer 增强的安全配置对现有安全区域的安全级别进行调整。下表描述每个区域如何受影响：区域安全级别结果“Internet”区域高“Internet”区域与“受限制的站点”区域具有相同的安全设置。默认情况下，将所有 Internet 和 Intranet 站点指定到此区域。网页可能无法在 Internet Explorer 中按预期方式显示，并且需要浏览器的应用程序可能无法正常工作，原因是脚本、ActiveX 控件、用于 HTML 内容的 Microsoft 虚拟机 (Microsoft VM 和文件下载已经被禁用。如果您信任某个 Internet 站点并需要其正常工作，可将该站点添加到 Internet Explorer 中“受信任的站点”区域。有关如何操作的更多信息，请参阅本文中的“将站点添加到受信任的站点区域”一节。“本地 Intranet”区域中低除非将统一命名约定 (UNC 共享文件夹明确添加到“本地 Intranet”区域，否则会限制对该共享文件夹上的脚本、可执行文件和其他文件的访问。有关更多信息，请参阅本文中的“将站点添加到本地 Intranet区域”一节。访问 Intranet 站点时，由于使用了增强的安全配置，系统可能反复提示您输入凭据（用户名和密码）。在过去，Internet Explorer 会自动将凭据传递到 Intranet 站点。增强的安全配置禁用自动检测 Intranet 站点的功能。如果希望将凭据自动传递到某些 Intranet 站点，请将这些站点添加到“本地 Intranet”区域。有关如何操作的更多信息，请参阅本文中的“将站点添加到本地 Intranet区域”一节。不要将 Internet 站点添加到“本地 Intranet”区域，否则会在请求您的凭据时自动将其传递到该 Internet 站点。“受信任的站点”区域中此区域用于信任其内容的 Internet 站点。有关更多信息，请参阅本文中的“将站点添加到受信任的站点区域”一节。“受限制的站点”区域高此区域包含您不信任的站点，例如在您试图从中下载或运行文件时可能破坏您的计算机或数据的站点。Internet Explorer 增强的安全配置还调整 Internet Explorer 的可扩展性和安全设置，以减少未来可能出现的安全威胁。这些设置位于“控制面板”中“Internet 选项”的“高级”选项卡上。下表描述了这些设置：功能条目新设置结果浏览显示“增强的安全配置”对话框。开在 Internet 站点试图使用脚本或 ActiveX 控件时，显示对话框进行通知。浏览启用浏览器扩展。关禁用所安装以便与 Internet Explorer 一起使用的、由 Microsoft 之外的公司创建的功能。浏览启用“按需安装”功能 (Internet Explorer。关禁止在网页需要时按需安装 Internet Explorer 组件。浏览启用“按需安装”功能（其他）。关禁止在网页需要时按需安装 Web 组件。Microsoft VM启用虚拟机的实时 (JIT 编译器（需要重新启动）。关禁用 Microsoft VM 编译器。多媒体不在媒体栏中显示联机内容。开禁止在 Internet Explorer 媒体栏中播放媒体内容。多媒体播放网页中的声音。关禁用音乐和其他声音。多媒体播放网页中的动画。关禁用动画。多媒体播放网页中的视频。关禁用视频剪辑。安全检查服务器证书吊销（需要重新启动）。开在将网站的证书视为有效前，对其进行自动检查，以查看是否已吊销该证书。安全检查所下载程序的签名。开自动验证并显示所下载程序的标识。安全不将加密的页面存入硬盘。开禁止在 Temporary Internet Files 文件夹中保存受保护的信息。安全关闭浏览器时清空 Temporary Internet Files 文件夹。开在关闭浏览器时自动清除 Temporary Internet Files 文件夹。这些更改会减少网页、基于 Web 的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序中的功能。有关使用“本地 Intranet”或“受信任的站点”区域的包含列表的更多信息，请参阅本文中的“管理 Internet Explorer 增强的安全配置”一节。当启用 Internet Explorer 增强的安全配置时，将配置下列附加设置： 将 Windows Update 网站添加到“受信任的站点”区域。这允许您继续接收操作系统的重要更新。 将 Windows 错误报告站点添加到“受信任的站点”区域。这允许您报告使用操作系统时所遇到的问题并搜索修补程序。 将数个本地计算机站点（如 http:/localhost、https:/localhost 和 hcp:/system）添加到“本地 Intranet”区域。这允许应用程序和代码在本地运行，以便您可以完成常见的管理任务。 对于“受信任的站点”区域，将“P3P (Platform for Privacy Preferences”级别设置为“中”。如果希望对“Internet”区域之外的任何区域更改 P3P 级别，请单击“控制面板”中“Internet 选项”的“隐私”选项卡，然后单击“导入”以应用自定义隐私策略。对于其他隐私策略示例，请访问下面的 Microsoft MSDN Library 网站：/en-us/library/ms.aspxInternet Explorer 增强的安全配置和终端服务增强的安全配置根据安装类型的不同而适用于不同的用户帐户。下表描述用户如何受影响：安装类型增强的安全配置适用于管理员？超级用户？有限用户？受限用户？升级操作系统是是否否以“无人参与”模式安装操作系统是是否否手动安装终端服务是是是*是*在手动安装终端服务的过程中，系统将提示您为用户禁用“Internet Explorer 增强的安全配置”。这允许用户不受限制地运行终端服务会话。要在启用终端服务时获得更好的体验，最好从用户组的成员中删除增强的安全配置。这些用户在服务器上具有较少的权限，因此他们在遭受攻击时只会带来较低级别的风险。有关应用增强的安全配置的更多信息，请参阅本文中的“将 Internet Explorer 增强的安全配置应用到特定用户”一节。Internet Explorer 增强的安全配置对 Internet Explorer 用户体验的影响下表描述 Internet Explorer 增强的安全配置如何影响每个用户使用 Internet Explorer 时的体验：任务是否可以由以下用户完成管理员？超级用户？有限用户？受限用户？打开/关闭 Internet Explorer 增强的安全配置是否否否调整 Internet Explorer 中特定区域的安全级别是是否否将站点添加到“受信任的站点”区域是是是是将站点添加到“本地 Intranet”区域是是是是除非服务器管理员另外限制用户访问权限，否则其他所有 Internet Explorer 任务都可以由所有用户组完成。回到顶端管理 Internet Explorer 增强的安全配置Internet Explorer 增强的安全配置用于减少服务器遭受安全威胁的风险。要确保从增强的安全配置中获得最大好处，请考虑下面这些浏览器管理建议： 默认情况下，将所有 Internet 和 Intranet 站点都指定到“Internet”区域。如果信任某个 Internet 或 Intranet 站点并需要其正常工作，则将该 Internet 站点添加到“受信任的站点”区域；或者，如果它是 Intranet 站点，则将其添加到“本地 Intranet”区域。有关每个区域的安全级别的更多信息，请参阅本文中的“Internet Explorer 增强的安全配置的效果”一节。 如果希望通过 Internet 运行基于浏览器的客户端应用程序，最好的做法是将承载该应用程序的网页添加到“受信任的站点”区域。有关如何操作的更多信息，请参阅本文中的“将站点添加到“受信任的站点”区域”一节。 如果希望通过受保护的、安全的本地 Intranet 运行基于浏览器的客户端应用程序，最好的做法是将承载该应用程序的网页添加到“本地 Intranet”区域。有关如何操作的更多信息，请参阅本文中的“将站点添加到本地 Intranet区域”一节。 将内部站点和本地服务器添加到“本地 Intranet”区域，以确保对应用程序具有访问权限并可以从您的服务器运行这些应用程序。 作为安装过程的一部分，请使用 Unattend.txt 将 Intranet 站点和 UNC 服务器添加到“本地 Intranet”区域包含列表中。有关如何操作的更多信息，请参阅 Windows 产品 CD 上 Deploy.cab 中的自述文件。 使用客户端计算机下载文件（如驱动程序和 Service Pack），并避免在服务器上浏览。 如果使用磁盘映像在服务器上安装操作系统，则在基本映像中，将所信任的 Intranet 站点和 UNC 服务器添加到“本地 Intranet”区域，并将所信任的 Internet 站点添加到“受信任的站点”区域。然后即可相对于不同服务器类型和要求，更改映像列表。将站点添加到“受信任的站点”区域当您的服务器上启用了 Internet Explorer 增强的安全配置时，会将所有 Internet 站点的安全设置设为“高”。如果您信任某个网页并需要其正常工作，则可将其添加到 Internet Explorer 中的“受信任的站点”区域。为此，请按照下列步骤操作：1. 访问要添加的站点。o 如果已经在查看要添加的站点，请转到步骤 2。o 如果知道要添加的站点的 URL，请启动 Internet Explorer，在“地址”栏中键入该站点的 URL，然后等待加载此站点。2. 在“文件”菜单上，单击“将此站点添加至”，然后单击“受信任的站点区域”。3. 在“受信任的站点”对话框中，单击“添加”将该站点移入列表，然后单击“关闭”。4. 刷新页面以从其新区域中查看此站点。5. 检查浏览器的状态栏以确认此站点是否位于“受信任的站点”区域中。注意 如果 Internet 站点试图使用脚本或 ActiveX 控件，则会出现对话框以便通知您。可直接在此对话框中将该 Internet 站点添加到“受信任的站点”区域。如果已禁用此对话框，可在 Internet Explorer 中重新启用它。在“工具”菜单上，单击“Internet 选项”。在“高级”选项卡上，选择“显示增强的安全配置对话框”。 一个网页同时只能属于一个区域。无法将一个页面同时添加到“受信任的站点”区域和“本地 Intranet”区域。 在将网页添加到“受信任的站点”区域时，所添加的是该页的域。因此，也就同时添加了该域中的所有页。例如，如果将/windowsxp/expertzone/添加到您的“受信任的站点”区域，同时还会添加。如果要在随后查看 Windows 帮助和支持站点，则必须单独添加，因为 Windows 帮助和支持站点位于单独的域中。 Internet Explorer 维护着两个不同的“受信任的站点”区域的站点列表。启用增强的安全配置时，其中一个列表将生效；禁用增强的安全配置时，另一个列表将生效。将网页添加到“受信任的站点”区域时，只是将其添加到当前生效的列表中。 可以使用通配符来添加特定域的所有子域。例如，可以将*.添加到列表中。这会添加和。 许多 Internet 站点使用一个以上的域来承载其内容。可能必须将多个域添加到“受信任的站点”区域，才能获得一个站点的全部功能。 在安装过程中，可使用 Unattend.txt 中的某些设置，一次性地将许多站点添加到“受信任的站点”区域。有关如何操作的更多信息，请参阅 Windows 产品 CD 上 Deploy.cab 中的自述文件。还可以使用“组策略”来添加和管理多个站点。有关如何操作的更多信息，请参阅Microsoft Windows Server 2003 部署工具包。将站点添加到“本地 Intranet”区域当启用了 Internet Explorer 增强的安全配置时，会将所有 Intranet 站点的安全设置设为“高”。因此，每次访问尚未添加到“本地 Intranet”区域的 Intranet 站点时，系统都会提示您输入凭据（用户名和密码）。如果经常使用 Intranet 站点并且知道这些站点可靠，则可以将其添加到 Internet Explorer 中的“本地 Intranet 区域”。为此，请按照下列步骤操作：1. 访问要添加的站点。o 如果已经在查看要添加的站点，请转到步骤 2。o 如果知道要添加的站点的 URL，请启动 Internet Explorer，在“地址”栏中键入该站点的 URL，然后等待加载此站点。2. 在“文件”菜单上，单击“将此站点添加至”，然后单击“本地 Intranet 区域”。3. 在“本地 Intranet”对话框中，单击“添加”将此站点移入列表，然后单击“关闭”。4. 刷新页面以从其新区域中查看此站点。5. 检查浏览器的状态栏以确认站点是否位于“本地 Intranet”区域中。注意 不要将 Internet 站点添加到“本地 Intranet”区域，否则会在请求凭据时将凭据自动传递到该 Internet 站点。 一个网页同时只能属于一个区域。无法将一个页面同时添加到“受信任的站点”区域和“本地 Intranet”区域。 除非将 UNC 路径明确添加到“本地 Intranet”区域，否则增强的安全配置还会限制对该 UNC 路径上的脚本、可执行文件和其他可能不安全文件的访问。例如，如果要访问 serversharesetup.exe，则必须将server添加到“本地 Intranet”区域。 在将网页添加到“本地 Intranet”区域时，所添加的是该页的域。因此，也就同时添加了该域中的所有页。例如，如果将http:/YourIntranetServer/SubWeb添加到“本地 Intranet”区域，则添加的是 http:/YourIntranetServer。 Internet Explorer 维护着两个不同的“本地 Intranet”区域的站点列表。启用增强的安全配置时，其中一个列表将生效；禁用增强的安全配置时，另一个列表将生效。将网页添加到“本地 Intranet”区域时，只是将其添加到当前生效的列表中。 在安装过程中，可使用 Unattend.txt 中的某些设置，一次性地将许多站点添加到“本地 Intranet”区域。有关如何操作的更多信息，请参阅 Windows 产品 CD 上 Deploy.cab 中的自述文件。还可以使用“组策略”来添加和管理多个站点。有关更多信息，请参阅Microsoft Windows Server 2003 部署工具包。将 Internet Explorer 增强的安全配置应用到特定用户可以使用 Internet Explorer 增强的安全配置控制服务器上允许某些用户组具有的 Internet Explorer 访问级别。为此，请按照下列步骤操作：1. 打开“控制面板”，单击“添加或删除程序”，然后单击“添加/删除 Windows 组件”。2. 选择“Internet Explorer 增强的安全配置”，然后单击“详细信息”。3. 单击以选中要向其应用增强的安全配置的用户或组所对应的复选框：“用于管理员组”和/或“用于所有其他组”，然后单击“确定”。4. 单击“下一步”，然后单击“完成”。5. 重新启动 Internet Explorer 以应用增强的安全设置。注意 在将 Internet Explorer 增强的安全配置应用到管理员组时，这些设置将同时应用于管理员和超级用户。在将 Internet Explorer 增强的安全配置应用于用户组时，这些设置将同时应用于有限用户和受限用户。 有关 Internet Explorer 安全区域的最新信息，请访问下面的 Microsoft MSDN Library 网站：/workshop/security/szone/overview/templates.asp应用 Windows 2000 的默认 Internet Explorer 安全设置如果在您的服务器上启用了 Internet Explorer 增强的安全配置，则可以使用由 Windows 2000 使用的默认 Internet Explorer 安全设置。为此，请按照下列步骤操作：1. 打开“控制面板”，单击“添加或删除程序”，然后单击“添加/删除 Windows 组件”。2. 选择“Internet Explorer 增强的安全配置”，单击以清除选择，然后单击“确定”。3. 单击“下一步”，然后单击“完成”。4. 重新启动 Internet Explorer 以应用这些更改。重要说明 在使用 Windows 2000 的 Internet Explorer 安全设置时，会还原在应用 Internet Explorer 增强的安全配置时生效的“受信任的站点”和“本地 Intranet”站点列表。 应用 Windows 2000 的默认 Internet Explorer 安全设置时，会增大服务器遭受来自基于 Web 的恶意内容的潜在攻击的可能性。手动增强服务器上的 Internet Explorer 安全设置如果不在您的环境中使用 Internet Explorer 增强的安全配置，则可以通过“控制面板”中的“Internet 选项”轻松地增强 Internet Explorer，以手动提高服务器上的安全设置级别。为此，请按照下列步骤操作：1. 启动 Internet Explorer，然后单击“工具”菜单上的“Internet 选项”。2. 在“安全”选项卡上，选择要调整的 Web 内容区域：“