作者:许本新
Internet Explorer 增强的安全配置可以使用户的服务器和 Microsoft Internet Explorer减少那些可能通过 Web 内容和应用程序脚本产生的潜在攻击的暴露程度。因此,某些网站可能不能按预期显示或执行。
1、Internet Explorer 安全区域
在 Internet Explorer 中,用户可以根据需要配置多个内置安全区域的安全设置: Internet 区域、本地 Intranet 区域、受信任的站点区域以及受限制的站点区域。如图1-1所示。Internet Explorer 增强的安全配置按如下所述指派这些区域的安全级别:
n
对于 Internet 区域,安全级别将设置为“高”。
n
对于受信任的站点区域,安全级别将设置为“中”,这将允许浏览许多 Internet 站点。
n
对于本地 Intranet 区域,安全级别设置为“中低”,这将允许您的用户凭据(名称和密码)自动传递到需要它们的站点和应用程序。
n
对于受限制的站点区域,安全级别将设置为“高”。
n
默认情况下,所有 Internet 和 Intranet 站点都被指派到 Internet 区域。Intranet 站点不是本地 Intranet 区域的一部分,除非您明确地将其添加到该区域。
图1-1
2、启用 Internet Explorer 增强的安全配置时如何进行浏览
增强的安全配置提高了服务器上的安全级别,不过也可能以如下方式影响 Internet 浏览:
n
因为已禁用 ActiveX 控件和脚本,所以 Internet 站点在 Internet Explorer 中可能无法正常显示,并且使用 Internet 的程序可能无法正常运行。如果您信任某个 Internet 站点并且需要其可用,则可在 Internet Explorer 中将该站点添加到受信任的站点区域。如图1-2所示。如果您尝试浏览某个 Internet 站点,该站点使用脚本或 Active X 控件,那么 Internet Explorer 将提示您考虑将站点添加至受信任的站点区域。仅当您完全确信该站点值得信赖,并且待添加的 URL 真实正确时,才能够将该站点添加至受信任的站点区域。
n
对 Intranet 站点的访问、通过本地 Intranet 运行的应用程序以及其他网络文件共享可能都将受到限制。如果您信任某个 Intranet 站点或共享,并需要其可用,您可以将其添加到本地 Intranet 区域。
图
1-2
3、Internet Explorer 增强的安全配置的效果
Internet Explorer
增强的安全配置可调整现有安全区域的安全级别。如表1-1所示。描述了每个区域如何受到影响。
|
区域
|
安全级别
|
结果
|
|
Internet
区域
|
高
|
此区域的安全设置与受限制的站点区域的设置相同。默认情况下,所有 Internet 和 Intranet 站点都将被指派到该区域。网页可能不能在 Internet Explorer 中按预期显示,而需要使用浏览器的应用程序可能不能正确运行,因为对于 HTML 内容,脚本、Microsoft ActiveX 控件、Microsoft 虚拟机 (Microsoft VM) 以及文件下载都已被禁用。如果您信任某个 Internet站点并且需要其可用,则可在 Internet Explorer 中将该站点添加到受信任的站点区域。对脚本、可执行文件以及在通用命名约定 (UNC) 共享上的其他文件的访问受到限制,除非已将共享明确添加到本地 Intranet 区域。
|
|
本地 Intranet 区域
|
中低
|
增强的安全配置导致的一个结果是,当访问 Intranet 站点时,您可能会重复收到要求输入凭据(您的用户名和密码)的提示。过去,Internet Explorer 自动将您的凭据传递给 Intranet 站点。增强的安全配置禁用 Intranet 站点的自动检测。如果您要将凭据自动传递给特定的 Intranet 站点,请将这些站点添加到本地 Intranet 区域。*请勿将 Internet 站点添加到本地 Intranet 区域,因为一旦添加,则当您的凭据被要求时会被自动传递到站点。
|
|
受信任的站点区域
|
中
|
该区域适用于您信任其内容的 Internet 站点。
|
|
受限制的站点区域
|
高
|
此区域包括您不信任的站点,例如当您尝试从中下载或运行文件时,可能会损坏您的计算机的那些站点。
|
表1-1
增强的安全配置也能调整 Internet Explorer 扩展性和安全设置,从而进一步减少对将来可能的安全威胁的暴露程度。可在“控制面板”中的“Internet 选项”中的“高级”选项卡上找到这些设置。如表1-2所示,描述了所影响的设置:
|
功能
|
项
|
新设置
|
结果
|
|
浏览
|
显示增强的安全配置对话框
|
启用
|
显示一个对话框,通知您 Internet 站点何时尝试使用脚本或 ActiveX 控件。
|
|
浏览
|
启用浏览器扩展
|
停用
|
禁用您安装的、要与 Internet Explorer 一起使用的功能,这些功能可能是由 Microsoft 以外的公司创建的。
|
|
浏览
|
启用即需安装 (Internet Explorer)
|
停用
|
禁用即需安装 Internet Explorer 组件(如果某网页需要)。
|
|
浏览
|
启用即需安装(其他)
|
停用
|
禁用即需安装 Web 组件(如果某网页需要)。
|
|
Microsoft VM
|
启用虚拟机的 JIT 编译器(需要重启动)
|
停用
|
禁用 Microsoft VM 编译器。
|
|
多媒体
|
不在媒体栏显示联机内容
|
启用
|
在 Internet Explorer 媒体栏中禁用媒体内容播放。
|
|
多媒体
|
播放网页中的声音
|
停用
|
禁用音乐和其他声音。
|
|
多媒体
|
播放网页中的动画
|
停用
|
禁用动画。
|
|
多媒体
|
播放网页中的视频
|
停用
|
禁用视频剪辑。
|
|
安全
|
检查服务器证书吊销状态(需要重启动)
|
启用
|
自动检查网站的证书,以便在将其作为有效的证书接受前查看其是否已被吊销。
|
|
安全
|
检查下载的程序的签名
|
启用
|
自动验证并显示所下载程序的标识。
|
|
安全
|
不将加密的页面存盘
|
启用
|
禁用将安全信息保存在 Temporary Internet Files 文件夹中。
|
|
安全
|
关闭浏览器时清空 Internet 临时文件夹
|
启用
|
关闭浏览器时,自动清除 Internet 临时文件夹。
|
表1-2
这些更改减少了网页中的功能、基于 Web 的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序。
当启用 Internet Explorer 增强的安全配置时:
Windows Update
网站被添加到受信任的站点区域。这将允许您继续获得操作系统的重要更新。
Windows
错误报告站点被添加到受信任的站点区域。这将允许您报告操作系统所遇到的问题,并搜索修补程序。
几个本地机站点(例如 [url]http://localhost[/url]、[url]https://localhost[/url]、hcp://system)被添加到本地 Intranet 区域。这将允许应用程序和代码在本地工作以便您完成一般管理任务。
对于受信任的站点区域,隐私首选项的平台 (P3P) 级别将设置为中。如果要为非 Internet 区域的任何其他区域更改P3P 级别,请转至控制面板中“Internet 选项”中的“隐私”选项卡,然后单击“导入”应用自定义隐私策略。
4、管理 Internet Explorer 增强的安全配置
Internet Explorer
增强的安全配置旨在减少服务器对安全隐患的暴露程度。要确保您从增强的安全配置获得最大的益处,请考虑以下浏览器管理建议:
n
默认情况下,所有 Internet 和 Intranet 站点都被指派到 Internet 区域。如果您信任某个 Internet 或 Intranet 站点并需要其可用,请将 Internet 站点添加到受信任的站点区域,将 Intranet 站点添加到本地 Intranet 区域。
n
如果您要在 Internet 上运行基于浏览器的客户端应用程序,则应将作为该应用程序宿主的网页添加到受信任的站点区域。
n
如果您要在受保护且安全的本地 Intranet 上运行基于浏览器的客户端应用程序,则应将作为该应用程序宿主的网页添加至本地 Intranet 站点区域。
n
将内部站点和本地服务器添加到本地 Intranet 区域可以确保您能够从您的服务器访问并运行应用程序。
n
作为安装过程的一部分,使用 unattend.txt 将 Intranet 站点和 UNC 服务器添加到本地 Intranet 区域包含列表。详细信息,请参阅 Windows 产品光盘 Deploy.cab 中的 Readme 文件。
n
使用客户端计算机下载驱动程序、服务包等,并避免在服务器上进行任何浏览。
n
如果使用磁盘映像在服务器上安装操作系统,请将您信任的 Intranet 站点和 UNC 服务器添加到本地 Intranet 区域,并将您信任的 Internet 添加到基本映像上受信任的站点区域。然后,您可以更改与不同的服务器类型和需求相对的映像的列表。
5、将站点添加至受信任的站点区域
当服务器上启用
Internet Explorer
增强的安全配置之后,所有
Internet
站点的安全设置都设置为
“
高
”
。如果您信任某个网页并且需要它可用,则可在
Internet Explorer
中将该网页添加到受信任的站点区域。如图
1-3
所示。
图
1-3
1)
定位到要添加的站点。
n
如果已经在查看要添加的站点,请继续执行第 2 步。
n
如果您知道要添加站点的 URL,请打开 Internet Explorer,在地址栏中键入该站点的 URL,然后等待该站点加载。
2)
在
“
文件
”
菜单上,单击
“
将此站点添加到
”
,然后单击
“
受信任的站点区域
”
。
3)
在
“
受信任的站点
”
对话框中,单击
“
添加
”
将站点移动到列表中,然后单击
“
关闭
”
。
4)
刷新该网页以便从新的区域查看此站点。
5)
检查浏览器的状态栏以确认此站点在
“
受信任的站点区域
”
中。
6、删除Internet Explorer增强的安全配置
Internet Explorer
增强的安全配置,往往会给用户在访问各个站点的时候带来很多不方便,因为每个需要防卫的网站在默认情况下都需要经过允许才可以正常被使用。对于个人电脑而言,有点太麻烦,其实针对个人用户只要将安全级别设置为“中”即可。
1)
如果用户需要降低Internet Explorer增强的安全配置的安全级别可以按照以下步骤进行。
2)
右击桌面上的Internet Explorer的快捷方式,选择“安全”选项卡。如图1-4所示。
1-4
1)
在上图中,单击“自定义级别(C)……”。
2)
在“重置为”下来菜单中选择“安全级别-中”,并单击“重置”按钮。
3)
最后单击“确定”按钮,关闭相关窗口即可。
另外用户还可以通过“添加或删除程序”中的“添加/删除Windows组件”,并反选“Internet Explorer增强的安全配置”,然后单击下一步将其卸载也可。
本文转自xubenxin 51CTO博客,原文链接:
http://blog.51cto.com/windows/82970
,如需转载请自行联系原作者
