Internet Explorer 增强的安全配置
Internet Explorer 增强的安全配置使您的服务器和 Microsoft Internet Explorer 处于这样一种配置之中: 它能减少服务器对那些可能通过 Web 内容和应用程序脚本产生的潜在攻击的暴露程度。因此,某些网站可能不能按预期显示或执行。
详细信息,请参阅以下内容:
Internet Explorer 安全区域
启用 Internet Explorer 增强的安全配置时如何进行浏览
Internet Explorer 增强的安全配置的效果
Internet Explorer 增强的安全配置和终端服务器
Internet Explorer 用户体验中 Internet Explorer 增强的安全配置的效果
管理 Internet Explorer 增强的安全配置
将站点添加至受信任的站点区域
将站点添加至本地 Intranet 区域
为特定用户应用 Internet Explorer 增强的安全配置
应用 Windows 2000 的默认 Internet Explorer 安全设置
在服务器上手动增强 Internet Explorer 安全设置
浏览器安全性最佳操作
--------------------------------------------------------------------------------
Internet Explorer 安全区域
在 Internet Explorer 中,您可以配置多个内置安全区域的安全设置: Internet 区域、本地 Intranet 区域、受信任的站点区域以及受限制的站点区域。Internet Explorer 增强的安全配置按如下所述指派这些区域的安全级别:
对于 Internet 区域,安全级别将设置为“高”。
对于受信任的站点区域,安全级别将设置为“中”,这将允许浏览许多 Internet 站点。
对于本地 Intranet 区域,安全级别设置为“中低”,这将允许您的用户凭据(名称和密码)自动传递到需要它们的站点和应用程序。
对于受限制的站点区域,安全级别将设置为“高”。
默认情况下,所有 Internet 和 Intranet 站点都被指派到 Internet 区域。Intranet 站点不是本地 Intranet 区域的一部分,除非您明确地将其添加到该区域。
返回页首
--------------------------------------------------------------------------------
启用 Internet Explorer 增强的安全配置时如何进行浏览
增强的安全配置提高了服务器上的安全级别,不过也可能以如下方式影响 Internet 浏览:
因为已禁用 ActiveX 控件和脚本,所以 Internet 站点在 Internet Explorer 中可能无法正常显示,并且使用 Internet 的程序可能无法正常运行。如果您信任某个 Internet 站点并且需要其可用,则可在 Internet Explorer 中将该站点添加到受信任的站点区域。如果您尝试浏览某个 Internet 站点,该站点使用脚本或 Active X 控件,那么 Internet Explorer 将提示您考虑将站点添加至受信任的站点区域。仅当您完全确信
该站点值得信赖,并且待添加的 URL 真实正确时,才能够将该站点添加至受信任的站点区域。详细信息,请参阅将站
点添加至受信任的站点区域。
对 Intranet 站点的访问、通过本地 Intranet 运行的应用程序以及其他网络文件共享可能都将受到限制。如果您信任某个 Intranet 站点或共享,并需要其可用,您可以将其添加到本地 Intranet 区域。详细信息,请参阅将站点添加至本地 Intranet 区域。
返回页首
--------------------------------------------------------------------------------
Internet Explorer 增强的安全配置的效果
Internet Explorer 增强的安全配置可调整现有安全区域的安全级别。下表描述了每个每个区域如何受到影响。
区域 安全级别 结果
Internet 区域 高 此区域的安全设置与受限制的站点区域的设置相同。默认情况下,所有 Internet 和 Intranet 站点都将被指派到该区域。网页可能不能在 Internet Explorer 中按预期显示,而需要使用浏览器的应用程序可能不能正确运行,因为对于 HTML 内容,脚本、Microsoft ActiveX 控件、Microsoft 虚拟机 (Microsoft VM) 以及文件下载都已被禁用。如果您信任某个 Internet 站点并且需要其可用,则可在 Internet Explorer 中将该站点添加到受信任的站点区域。详细信息,请参阅将站点添加至受信任的站点区域。对脚本、可执行文件以及在通用命名约定 (UNC) 共享上的其他文件的访问受到限制,除非已将共享明确添加到本地 Intranet 区域。详细信息,请参阅将站点添加至本地 Intranet 区域。
本地 Intranet 区域 中低 增强的安全配置导致的一个结果是,当访问 Intranet 站点时,您可能会重复收到要求输入凭据(您的用户名和密码)的提示。过去,Internet Explorer 自动将您的凭据传递给 Intranet 站点。增强的安全配置禁用 Intranet 站点的自动检测。如果您要将凭据自动传递给特定的 Intranet 站点,请将这些站点添加到本地 Intranet 区域。详细信息,请参阅将站点添加至本地 Intranet 区域。
*请勿将 Internet 站点添加到本地 Intranet 区域,因为一旦添加,则当您的凭据被要求时会被自动传递到站点。
受信任的站点区域 中 该区域适用于您信任其内容的 Internet 站点。详细信息,请参阅将站点添加至受信任的站点区域。
受限制的站点区域 高 此区域包括您不信任的站点,例如当您尝试从中下载或运行文件时,可能会损坏您的计算机的那些站点。
增强的安全配置也能调整 Internet Explorer 扩展性和安全设置,从而进一步减少对将来可能的安全威胁的暴露程度。可在“控制面板”中的“Internet 选项”中的“高级”选项卡上到这些设置。下表描述了所影响的设置:
功能 项 新设置 结果
浏览 显示增强的安全配置对话框 启用 显示一个对话框,通知您 Internet 站点何时尝试使用脚本
或 ActiveX 控件。
浏览 启用浏览器扩展 停用 禁用您安装的、要与 Internet Explorer 一起使用的功能,这些功能可能是由 Microsoft 以外的公司创建的。
浏览 启用即需安装 (Internet Explorer) 停用 禁用即需安装 Internet Explorer 组件(如果某网页需要)。
浏览 启用即需安装(其他) 停用 禁用即需安装 Web 组件(如果某网页需要)。
Microsoft VM 启用虚拟机的 JIT 编译器(需要重启动) 停用 禁用 Microsoft VM 编译器。
多媒体 不在媒体栏显示联机内容 启用 在 Internet Explorer 媒体栏中禁用媒体内容播放。
多媒体 播放网页中的声音 停用 禁用音乐和其他声音。
多媒体 播放网页中的动画 停用 禁用动画。
多媒体 播放网页中的视频 停用 禁用视频剪辑。
安全 检查服务器证书吊销状态(需要重启动) 启用 自动检查网站的证书,以便在将其作为有效的证书接受前查看其是否已被吊销。
安全 检查下载的程序的签名 启用 自动验证并显示所下载程序的标识。
安全 不将加密的页面存盘 启用 禁用将安全信息保存在 Temporary Internet Files 文件夹中。
安全 关闭浏览器时清空 Internet 临时文件夹 启用 关闭浏览器时,自动清除 Internet 临时文件夹。
这些更改减少了网页中的功能、基于 Web 的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序。
有关使用本地 Intranet 或受信任的站点区域的包含列表,请参阅管理 Internet Explorer 增强的安全配置。
当启用 Internet Explorer 增强的安全配置时:
Windows Update 网站被添加到受信任的站点区域。这将允许您继续获得操作系统的重要更新。
Windows 错误报告站点被添加到受信任的站点区域。这将允许您报告操作系统所遇到的问题,并搜索修补程序。
几个本地机站点(例如 localhost、localhost、hcp://system)被添加到本地 Intranet 区域。这将允许应用程序和代码在本地工作以便您完成一般管理任务。
对于受信任的站点区域,隐私首选项的平台 (P3P) 级别将设置为中。如果要为非 Internet 区域的任何其他区域更改 P3P 级别,请转至控制面板中“Internet 选项”中的“隐私”选项卡,然后单击“导入”应用自定义隐私策略。有关隐私策略的示例位于 Microsoft MSDN Library 站点 (msdn.microsoft/workshop/security/privacy/overview/privacyimportxml.asp)。
Internet Explorer 增强的安全配置和终端服务器
根据安装类型的不同,增强的安全配置将应用到不同的用户帐户。下表描述了用户是如何被影响的。
安装类型 增强的安全配置适用于
Administrators? Power Users? Limited Users? Restricted Users?
升级操作系统 是 是 否 否
无人参与安装
internet explorer脚本错误操作系统 是 是 否 否
手动安装终端服务 是 是 是** 是**
** 在手动“终端服务”安装期间,系统将提示您禁用用户的 Internet Explorer 增强的安全配置。这就使得用户在运行终端服务器会话时不受限制。
当启用了终端服务时,为了获得更好的体验,您应该从“Users”组的成员中删除增强的安全配置。这些用户在服务器上只有很少的特权,因此,如果他们成为攻击的受害者,也只存在较低级别的风险。有关应用增强的安全配置的详细信息,请参阅为特定用户应用 Internet Explorer 增强的安全配置。
Internet Explorer 用户体验中 Internet Explorer 增强的安全配置的效果
下表描述 Internet Explorer 增强的安全配置如何使用 Internet Explorer 影响每位用户的体验。
任务 是否可由下列角完成
Administrators? Power Users? Limited Users? Restricted Users?
打开/关闭 Internet Explorer 增强的安全配置 是 否 否 否
在 Internet Explorer 中调整特定区域的安全级别 是 是 否 否
将站点添加至受信任的站点区域 是 是 是 是
将站点添加至本地 Intranet 区域 是 是 是 是
其他所有 Internet Explorer 任务均可由所有用户组完成,除非服务器管理员选择进一步限制用户访问权。
返回页首
--------------------------------------------------------------------------------
管理 Internet Explorer 增强的安全配置
Internet Explorer 增强的安全配置旨在减少服务器对安全隐患的暴露程度。要确保您从增强的安全配置获得最大的益处,请考虑以下浏览器管理建议:
默认情况下,所有 Internet 和 Intranet 站点都被指派到 Internet 区域。如果您信任某个 Internet 或 Intranet 站点并需要其可用,请将 Internet 站点添加到受信任的站点区域,将 Intranet 站点添加到本地 Intranet 区域。有关每种区域安全级别的详细信息,请参阅 Internet Explorer 增强的安全配置的效果。
如果您要在 Internet 上运行基于浏览器的客户端应用程序,则应将作为该应用程序宿主的网页添加到受信任的站点区域。详细信息,请参阅将站点添加至受信任的站点区域。
如果您要在受保护且安全的本地 Intranet 上运行基于浏览器的客户端应用程序,则应将作为该应用程序宿主的网页添加至本地 Intranet 站点区域。详细信息,请参阅将站点添加至本地 Intranet 区域。
将内部站点和本地服务器添加到本地 Intranet 区域可以确保您能够从您的服务器访问并运行应用程序。
作为安装过程的一部分,使用 将 Intranet 站点和 UNC 服务器添加到本地 Intranet 区域包含列表。详细信息,请参阅 Windows 产品光盘 Deploy.cab 中的 Readme 文件。
使用客户端计算机下载驱动程序、服务包等
,并避免在服务器上进行任何浏览。
如果使用磁盘映像在服务器上安装操作系统,请将您信任的 Intranet 站点和 UNC 服务器添加到本地 Intranet 区域,并将您信任的 Internet 添加到基本映像上受信任的站点区域。然后,您可以更改与不同的服务器类型和需求相对的映像的列表。
将站点添加至受信任的站点区域
当服务器上启用 Internet Explorer 增强的安全配置之后,所有 Internet 站点的安全设置都设置为“高”。如果您信任某个网页并且需要它可用,则可在 Internet Explorer 中将该网页添加到受信任的站点区域。
定位到要添加的站点。
如果已经在查看要添加的站点,请继续执行第 2 步。
如果您知道要添加站点的 URL,请打开 Internet Explorer,在地址栏中键入该站点的 URL,然后等待该站点加载。
在“文件”菜单上,单击“将此站点添加到”,然后单击“受信任的站点区域”。
在“受信任的站点”对话框中,单击“添加”将站点移动到列表中,然后单击“关闭”。
刷新该网页以便从新的区域查看此站点。
检查浏览器的状态栏以确认此站点在“受信任的站点区域”中。
注意
当 Internet 站点尝试使用脚本或 ActiveX 控件时,将显示一个对话框来通知您。您可以通过该对话框直接将 Internet 站点添加至受信任的站点区域。如果您已禁用该对话框,那么可以在 Internet Explorer 中重新启用它。在“工具”菜单上,单击“Internet 选项”。在“高级”选项卡上,选择“显示增强的安全配置对话框”。
网页在一个时刻只能属于一个区域—不能将一个页面既添加到受信任的站点区域中,又添加到本地 Intranet 区域中。
当您将某个网页添加到受信任的站点区域中时,实际上添加了该网页的域。因此,也就添加了该域内的所有网页。例如,如果您选择将 www.microsoft/windowsxp/expertzone/ 添加到受信任的站点区域中,实际上添加的是 www.microsoft。那么,如果您要查看“Windows 帮助和支持”站点,就必须单独添加 support.microsoft,因为“Windows 帮助和支持”站点是一个单独的域。
对于受信任的站点区域,Internet Explorer 包括两种不同的站点列表。一个列表在增强的安全配置启用后开始生效,而另一个单独的列表在增强的安全配置被禁用后开始使用。将网页添加到受信任的站点区域时,您仅仅将其添加到当前正在使用的列表中。
可使用通配符添加给定域的所有子域。例如,可在该列表中添加“*.microsoft”,这样就同时添加了“www.microsoft”和“support.microsoft”。
许多 Internet 站点使用多个域来存放他们的内容。您可能需要在受信任的站点
区域添加多个域,才能获得一个站点的全部功能。
在安装期间,您可以使用 中的特定设置,同时将多个站点添加到受信任的站点区域。详细信息,请参阅 Windows 产品光盘 Deploy.cab 中的 Readme 文件。您也可以使用组策略添加和管理多个站点。详细信息,请参阅 Microsoft Windows Server 2003 部署工具包。
将站点添加至本地 Intranet 区域
当启用 Internet Explorer 增强的安全配置之后,所有 Intranet 站点的安全设置都设置为“高”。因此,每次当您访问未添加到本地 Intranet 区域的 Intranet 站点时,系统都会提示您输入凭据(您的用户名和密码)。如果您经常性使用 Intranet 站点,并且知道那些站点值得信任,则可在 Internet Explorer 中将其添加到本地 Intranet 区域。
定位到要添加的站点。
如果已经在查看要添加的站点,请继续执行第 2 步。
如果您知道要添加站点的 URL,请打开 Internet Explorer,在地址栏中键入该站点的 URL,然后等待该站点加载。
在“文件”菜单上,单击“将此站点添加到”,然后单击“本地 Intranet 区域”。
在“本地 Intranet”对话框中,单击“添加”将站点移到列表中,然后单击“关闭”。
刷新该网页以便从新的区域查看此站点。
检查浏览器的状态栏以确认此站点在“本地 Intranet 区域”中。
注意
请勿将 Internet 站点添加到本地 Intranet 区域,因为一旦添加,则当您的凭据被要求时会被自动传递到站点。
网页在一个时刻只能属于一个区域—不能将一个页面既添加到受信任的站点区域中,又添加到本地 Intranet 区域中。
增强的安全配置还限制对脚本、可执行文件及其他可能不安全文件在 UNC 路径上的访问,除非已将其
明确添加到本地 Intranet 区域。例如,如果您想访问 \\server\,那么您必须将 \\server 添加到本地 Intranet 区域。
当您将某个网页添加到本地 Intranet 区域中时,实际上添加了该网页的域。因此,也就添加了该域内的所有网页。例如,如果您选择将“YourIntranetServer/SubWeb”添加至本地 Intranet 区域,实际上添加的是“YourIntranetServer”。
对于本地 Intranet 区域,Internet Explorer 包括两种不同的站点列表。一个列表在增强的安全配置启用后开始生效,而另一个单独的列表在增强的安全配置被禁用后开始使用。将网页添加到本地 Intranet 区域时,您仅仅将其添加到当前正在使用的列表中。
在安装期间,您可以使用 中的特定设置,同时将多个站点添加到本地 Intranet 区域,请参阅 Windows 产品光盘 Deploy.cab 中的 Readme 文件。您也可以使用组策略添加和管理多个站点。详细信息,请参阅 Microsoft Wind
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论