什么是Internet Explorer 增强的安全配置?
简单的说就是在你访问一个未标记为信任的网站的时候给你弹出一个提示,如下图:
如果你认为这个网站是可信任的,就点击“添加”按钮,把它添加到信任区,这样就可以访问了,否则的话就不能访问,
类似于防火墙,只是它主要是针对网址进行过虑,不在信任区的网址都无法访问,从而有效的避免来自恶意网站的攻击。
但有个前提条件,你得知道哪个网址是安全的才行,对于大多数人来说,哪里知道到底安不安全啊!
再说了,即使网址是安全的,也不能保证内容一定是安全的,万一被黑了呢!
所以说个人感觉还是形同虚设,反而操作起来比较麻烦!
如何关闭Internet Explorer 增强的安全配置?
开始菜单》管理工具》服务器管理
服务器管理首页》配置IE ESC,在打开的对话框中选择禁用,确定。
OK,重新打开浏览器就可以了。
点击“了解有关Internet Explorer 增强的安全配置的更多信息”可以看到以下官方内容:
Internet Explorer 增强的安全配置使服务器和 Microsoft Internet Explorer 处于这样一种配置中: 减少服务器对那些可通过 Web 内容和应用程序脚本产生的潜在攻击的暴露。因此,某些网站可能无法按预期显示或执行。
有关详细信息,请参阅以下内容:
- Internet Explorer 安全区域
- 启用 Internet Explorer 增强的安全配置时如何进行浏览
- Internet Explorer 增强的安全配置的效果
- 管理 Internet Explorer 增强的安全配置
- 浏览器安全 - 最佳操作
Internet Explorer 安全区域
在 Internet Explorer 中,可以配置下列几个内置安全区域的安全设置: Internet 区域、本地 Intranet 区域、受信任站点区域和受限制的站点区域。Internet Explorer 增强的安全配置为这些区域分配的安全级别如下所示:
- 对于 Internet 区域,将安全级别设置为“高”。
- 对于受信任的站点区域,将安全级别设置为“中”,这将允许浏览许多 Internet 站点。
- 对于本地 Intranet 区域,将安全级别设置为“中低”,这将允许用户凭据(名称和密码)自动传递到需要它们的站点和应用程序。
- 对于受限制的站点区域,将安全级别设置为“高”。
- 默认情况下,将所有 Internet 和 Intranet 站点都分配到 Internet 区域。如果未将 Intranet 站点显式加入本地 Intranet 区域,则其不是此区域的一部分。
启用 Internet Explorer 增强的安全配置时如何进行浏览
增强的安全配置提高服务器上的安全级别,但也可能以如下方式影响 Internet 浏览:
- 由于已禁用 ActiveX 控件和脚本,所以 Internet 站点可能在 Internet Explorer 中不能按要求显示,并且使用 Internet 的应用程序可能不能正确运行。如果信任某个 Internet 站点并且需要让其正常运行,则可在 Internet Explorer 中将该站点添加到受信任的站点区域。如果尝试浏览某个使用脚本或 Active X 控件的 Internet 站点,则 Internet Explorer 将提示您考虑将该站点添加到受信任的站点区域。仅当您完全确信该站点可信,并且要添加的 URL 确实正确时,才应将其添加到受信任的站点区域。有关详细信息,请参阅将站点添加到受信任的站点区域。
- 对 Intranet 站点、在本地 Intranet 上运行的基于 Web 的应用程序以及网络共享上的其他文件的访问可能受到限制。如果信任某个 Intranet 站点或共享,并需要让其正常运行,则可将其添加到本地 Intranet 区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。
Internet Explorer 增强的安全配置的效果
Internet Explorer 增强的安全配置可调整现有安全区域的安全级别。下表描述如何影响每个区域。
区域 | 安全级别 | 结果 |
---|---|---|
Internet 区域 | 高 | 该区域与受限制的站点区域具有相同的安全设置。所有 Internet 和 Intranet 站点默认情况下都分配到该区域。 由于脚本、Microsoft ActiveX 控件、用于 HTML 内容的 Microsoft 虚拟机(Microsoft VM)及文件下载被禁用,网页可能不会按预期在 Internet Explorer 中显示,以及需要使用浏览器的应用程序可能不能正常工作。如果您信任某个 Internet 站点并需要它发挥作用,您可以将该站点添加到 Internet Explorer 的受信任的站点区域中。有关详细信息,请参阅将站点添加到受信任的站点区域。 |
本地 Intranet 区域 | 中低 | 访问 Internet 站点时,系统可能反复要求您提供凭据(用户名和密码),这是增强的安全配置导致的结果。过去,Internet Explorer 自动将凭据传递给 Intranet 站点。增强的安全配置禁用 Intranet 站点的自动检测。如果要将凭据自动传递给某些 Intranet 站点,请将这些站点添加到本地 Intranet 区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。 请勿将 Internet 站点添加到本地 Intranet 区域,原因是请求添加站点后凭据会自动传递到站点。 |
受信任的站点区域 | 中 | 此区域用于信任其内容的 Internet 站点。有关详细信息,请参阅将站点添加到受信任的站点区域。 |
受限制的站点区域 | 高 | 此区域包括您不信任的站点,如当您尝试从其下载或运行文件时,可能会损坏计算机或数据的那些站点。 |
增强的安全配置还能调整 Internet Explorer 扩展性和安全设置,从而进一步减少将来暴露于安全威胁的可能性。可在“控制面板”的“Internet 选项”中的“高级”选项卡上找到这些设置。下表描述了受影响的设置。
名称 | 默认设置 | 说明 |
---|---|---|
启用第三方浏览器扩展 | 关闭 | 禁用为了与 Internet Explorer 一起使用而安装的功能,这些功能可能是由 Microsoft 之外的公司所创建。 |
在网页中播放声音 | 关闭 | 禁用音乐和其他声音。 |
在网页中播放动画 | 关闭 | 禁用动画。 |
检查服务器证书吊销 | 打开 | 自动检查网站的证书以确定证书是否已吊销。 |
请勿将加密的页保存到磁盘 | 打开 | 禁用将安全信息保存到临时 Internet 文件文件夹中。 |
关闭浏览器时清空临时 Internet 文件文件夹 | 打开 | 当 IE 关闭时自动清除 Temporary Internet Files 文件夹。 |
在安全和非安全模式之间转换时发出警告 | 打开 | 显示浏览器从安全网站重定向到不安全网站的警告。 |
启用内存保护有助于减轻联机攻击 | 关闭 | 启用数据执行保护(DEP)有助于减轻联机攻击。 |
这些更改降低网页、基于 Web 的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序中的功能。
有关使用本地 Intranet 或受信任的站点区域的包含列表的详细信息,请参阅管理 Internet Explorer 增强的安全配置。
启用 Internet Explorer 增强的安全配置时:
- 将 Windows Update 网站添加到受信任的站点 区域。这将允许您继续获取操作系统的重要更新。
- 将 Windows 错误报告站点添加到受信任的站点区域。这将允许您报告操作系统所遇到的问题,并搜索修复程序。
- 将几个本地计算机站点(例如 http://localhost、https://localhost、hcp://system)添加到本地 Intranet 区域。这将允许应用程序和代码在本地工作以便完成一般管理任务。
- 对于受信任的站点区域,隐私首选项平台(P3P)级别将设置为“中”。如果要更改非 Internet 区域的任何区域的 P3P 级别,请转至“控制面板”的“Internet 选项”中的“隐私”选项卡,然后单击“导入”以应用自定义隐私策略。有关隐私策略的示例,请转至 Microsoft MSDN Library 网站(http://msdn.microsoft.com/workshop/security/privacy/overview/privacyimportxml.asp)。
Internet Explorer 用户体验中 Internet Explorer 增强的安全配置的效果
下表描述 Internet Explorer 增强的安全配置如何使用 Internet Explorer 影响每位用户的体验。
任务 | 可由以下角色完成 | |||
---|---|---|---|---|
管理员? | 高级用户? | 受限制的用户? | 受限用户? | |
打开/关闭 Internet Explorer 增强的安全配置 | 是 | 否 | 否 | 否 |
在 Internet Explorer 中调整特殊区域的安全级别 | 是 | 是 | 否 | 否 |
将站点添加到受信任的站点区域 | 是 | 是 | 是 | 是 |
将站点添加到本地 Intranet 区域 | 是 | 是 | 是 | 是 |
其他所有 Internet Explorer 任务均可由所有用户组完成,除非服务器管理员选择进一步限制用户访问权限。
管理 Internet Explorer 增强的安全配置
Internet Explorer 增强的安全配置旨在减少服务器暴露于安全威胁中的可能性。若要确保您从增强的安全配置获取最大益处,请考虑采用以下浏览器管理建议:
- 默认情况下,将所有 Internet 和 Intranet 站点都分配到 Internet 区域。如果您信任某个 Internet 站点或 Intranet 站点并需要让其正常运行,请将 Internet 站点添加到受信任的站点区域,并将 Intranet 站点添加到本地 Intranet 区域。有关每个区域的安全级别的详细信息,请参阅 Internet Explorer 增强的安全配置的效果。
- 如果要在 Internet 上运行基于浏览器的客户端应用程序,则应将承载该应用程序的网页添加到受信任的站点区域。有关详细信息,请参阅将站点添加到受信任的站点区域。
- 如果要在受保护且安全的本地 Intranet 上运行基于浏览器的客户端应用程序,则应将承载该应用程序的网页添加到本地 Intranet 站点区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。
- 将内部站点和本地服务器添加到本地 Intranet 区域可以确保您能够从服务器访问和运行应用程序。
- 使用 unattend.xml 将 Intranet 站点和 UNC 服务器添加到本地 Intranet 区域包含列表作为安装过程的一部分。
- 使用客户端计算机下载驱动程序、service pack 等,并避免在服务器上进行任何浏览。
- 如果使用磁盘映像在服务器上安装操作系统,请将信任的 Intranet 站点和 UNC 服务器添加到本地 Intranet 区域,并将信任的 Internet 站点添加到基本映像上受信任的站点区域。然后,您可以更改与各个服务器类型和需求相关的映像列表。
- 如果 Microsoft Terminal Services 已安装在一个启用 IE ESC 的计算机上,则 Terminal Services 安装将自动禁用 IE ESC。可以使用服务器管理器重新启用它。
- 在手动安装 Terminal Services 期间,将提示您为用户禁用 Internet Explorer 增强的安全配置。这允许用户不受限的运行终端服务器会话。
- 从安装 Internet Explorer 6 或更新版本的 Windows Server 2003 升级到 Windows Server 2008 时,将自动应用与 IE ESC 关联的新默认设置。
将站点添加到受信任的站点区域
在服务器上启用 Internet Explorer 增强的安全配置之后,所有 Internet 站点的安全设置都设置为“高”。如果您信任某个网页,并需要其它正常运行,则可在 Internet Explorer 中将其添加到受信任的站点区域。
- 导航到要添加的站点。
- 如果已在查看要添加的站点,则继续执行步骤 2。
- 如果知道要添加的站点的 URL,请打开 Internet Explorer,在地址栏中键入该站点的 URL,然后等待加载该站点。
- 在“文件”菜单上,单击“将此站点添加到”,然后单击“受信任的站点区域”。
- 在“受信任的站点”对话框中,单击“添加”将站点移动到列表中,再单击“关闭”。
- 刷新页面以便从其新的区域查看站点。
- 检查浏览器的状态栏以确认此站点位于“受信任的站点区域”中。
注意
- 网页一次只能是一个区域的一部分—不能将一个页面既添加到受信任的站点区域中,又添加到本地 Intranet 区域中。
- 将某个网页添加到受信任的站点区域中时,实际上添加的是该网页的域。因此,也就添加了该域内的所有网页。例如,如果您将 http://www.microsoft.com/windowsxp/expertzone/ 添加到受信任的站点区域中,实际上添加的是 http://www.microsoft.com。那么,如果要查看 Windows 帮助和支持站点,就必须单独添加 http://support.microsoft.com,原因是 Windows 帮助和支持站点是一个独立的域。
- 对于受信任的站点区域,Internet Explorer 维护两种不同的站点列表。一个列表在启用增强的安全配置时生效,而另一个单独的列表在禁用增强的安全配置时生效。将网页添加到受信任的站点区域时,仅将其添加到当前正在使用的列表中。
- 可使用通配符添加给定域的所有子域。例如,可在该列表中添加 *.microsoft.com,此操作同时添加 www.microsoft.com 和 support.microsoft.com。
- 许多 Internet 站点使用多个域以承载其内容。可能需要在受信任的站点区域中添加多个域,才能获得一个站点的全部功能。
- 安装期间,可以使用 unattend.xml 中的某些设置一次将多个站点添加到受信任的站点区域。
将站点添加到本地 Intranet 区域
启用 Internet Explorer 增强的安全配置时,所有 Intranet 站点的安全设置都设置为“高”。因此,每次访问未添加到本地 Intranet 区域的 Intranet 站点时,系统都会提示您输入凭据(用户名和密码)。如果您经常性使用 Intranet 站点,并且知道那些站点可信,则可在 Internet Explorer 中将其添加到本地 Intranet 区域。
- 导航到要添加的站点。
- 如果已在查看要添加的站点,则继续执行步骤 2。
- 如果知道要添加的站点的 URL,请打开 Internet Explorer,在地址栏中键入该站点的 URL,然后等待加载该站点。
- 在“文件”菜单上,单击“将此站点添加到”,然后单击“本地 Intranet 区域”。
- 在“本地 Intranet”对话框中,单击“添加”将站点移到列表中,再单击“关闭”。
- 刷新页面以便从其新的区域查看站点。
- 检查浏览器的状态栏以确认该站点位于“本地 Intranet 区域”中。
注意
- 请勿将 Internet 站点添加到本地 Intranet 区域,原因是一旦添加,则在请求时自动将凭据传递到该站点。
- 网页一次只能是一个区域的一部分—不能将一个页面既添加到受信任的站点区域中,又添加到本地 Intranet 区域中。
- 将某个网页添加到本地 Intranet 区域中时,实际上添加的是该页面的域。因此,也就添加了该域内的所有页面。例如,如果将 http://YourIntranetServer/SubWeb 添加到本地 Intranet 区域,实际上添加的是 http://YourIntranetServer。
- 对于本地 Intranet 区域,Internet Explorer 维护两种不同的站点列表。一个列表在启用增强的安全配置时生效,而另一个单独的列表在禁用增强的安全配置时生效。将网页添加到本地 Intranet 区域时,仅将其添加到当前正在使用的列表中。
- 安装期间,可以使用 unattend.xml 中的某些设置一次将多个站点添加到“本地 Intranet 区域”。
为特定用户应用 Internet Explorer 增强的安全配置
使用 Internet Explorer 增强的安全配置,可以在服务器上控制允许某些用户组访问 Internet Explorer 的级别。
为所有用户启用 IE ESC
- 关闭所有 Internet Explorer 的实例。
- 单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
- 如果出现“用户帐户控制”对话框,单击“继续”。
- 在“安全摘要”下,单击“配置 IE ESC”。
- 在“管理员”下,单击“启用(推荐)”。
- 在“用户”下,单击“启用(推荐)”。
- 单击“确定”。
- 若要禁用 IE ESC,请单击“管理员”和 “用户”的“禁用”,然后单击“确定”。
注意
- 当将 Internet Explorer 增强的安全配置应用到 Administrators 组时,这些设置就会应用到管理员和超级用户。 当将 Internet Explorer 增强的安全配置应用到 Users 组时,这些设置应用到受限用户。
- 有关 Internet Explorer 安全区域的最新信息,请转到 Microsoft MSDN Library 网站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)。
在服务器上手动增强 Internet Explorer 安全设置
如果在您所处的环境中不使用 Internet Explorer 增强的安全配置,则可通过使用“控制面板”中的“Internet 选项”手动提升服务器上的安全设置,从而轻松增强 Internet Explorer 的安全性。
- 打开 Internet Explorer。
- 在“工具”菜单上,单击“Internet 选项”。
- 在“安全”选项卡上,选择要调整的 Web 内容区域: Internet、本地 Intranet、受信任的站点或受限制的站点。
- 在该区域的安全级别下,单击“默认级别”以使用该区域的默认安全级别,或单击“自定义级别”,然后选择所需的设置。
注意
- 对于受限制的站点,请单击“自定义级别”,然后在“重置为”列表中单击某个级别。
- 有关 Internet Explorer 安全区域的最新信息,请转到 Microsoft MSDN Library 网站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)。
浏览器安全性—最佳操作
使用服务器进行 Internet 浏览并不符合最佳安全操作,因为 Internet 浏览会增加服务器遭受潜在安全攻击的可能性。不论使用的是哪种浏览器,都应对在服务器上进行浏览加以限制。
减少服务器遭受来自基于 Web 的恶意内容的潜在攻击的步骤:
- 请勿使用服务器浏览一般 Web 内容。
- 使用客户端计算机下载驱动程序、service pack 等。
- 请勿查看无法确定是否安全的站点。
- 请使用受限制的用户帐户而不是管理员帐户进行一般的 Web 浏览。
- 请使用组策略来防止非授权用户对浏览器安全设置进行不适当的更改。