IE增强的安全配置精
IντερνετEξπλορερ增强的安全配置改变了浏览体验
默认情况下,Windows Server 2003 启用了 Internet Explorer 增强的安全配置。在启动 Microsoft Internet Explorer 时,将收到下面的消息:
当前在您的服务器上启用了 Microsoft Internet Explorer 的增强的安全配置。此增强的安全级别降低了来自基于 Web 的不安全内容攻击的风险,但同时也可能会使网站不能显示正确的内容,并且不能访问网络资源。
Internet Explorer 增强的安全配置为服务器和 Microsoft Internet Explorer 建立了一种配置,可以减少服务器遭受潜在的、可通过 Web 内容和应用程序脚本进行的攻击的可能性。因此,某些网站可能无法正常显示或执行操作。



本文介绍 Windows Server 2003 中 Internet Explorer 增强的安全配置的效果。
回到顶端
更多信息
Internet Explorer 增强的安全配置可建立一些安全设置,以定义用户浏览 Internet 和 Intranet 网站的方式。这些设置还减少了服务器遭受来自可能存在安全风险的网站的攻击的可能性。



此增强级别的安全性可能使网站无法在 Internet Explorer 中正常显示,并可能限制对网络资源(如统一命名约定 (UNC 共享文件夹中的文件)的访问。如果希望查看的网站需要已禁用的 Internet Explorer 功能,则可以将该网站添加到“本地 Intranet”或“受信任的站点”区域的包含列表中。
回到顶端
Internet Explorer 安全区域
在 Internet Explorer 中,可以为数个内置的安全区域配置安全设置:“Internet”区域、“本地 I
ntranet”区域、“受信任的站点”区域和“受限制的站点”区域。Internet Explorer 增强的安全配置按如下方式向这些区域分配安全级别:
∙对于“Internet”区域,将安全级别设置为“高”。
∙对于“受信任的站点”区域,将安全级别设置为“中”。此级别允许浏览许多 Internet 站点。
∙对于“本地 Intranet”区域,将安全级别设置为“中低”。此级别允许将用户凭据(名称和密码)自动传递到需要它们的站点和应用程序。
∙对于“受限制的站点”区域,将安全级别设置为“高”。
∙默认情况下,将所有 Internet 和 Intranet 站点都指定到“Internet”区域。除非将 Intranet 站点明确添加到“本地 Intranet”区域,否则这些站点不属于该区域。
回到顶端
如何在启用 Internet Explorer 增强的安全配置的情况下进行浏览
Internet Explorer 增强的安全配置提高了服务器的安全级别。但是,它还可能以下面几种方式影响 Internet 浏览:
∙由于禁用了 ActiveX 控件和脚本,因此 Internet 站点可能无法在 Internet Explorer 中按预期方式显示,并且使用 Internet 的应用程序可能无法正常工作。如果信任某个 Internet 站点并需要其完全正常工作,则可以将该站点添加到 Internet Explorer 中的“受信任的站点”区域。



如果试图查看使用脚本或 ActiveX 控件的 Internet 站点,会收到下面的消息:
下面列出的网站内容被 Internet Explorer 增强的安全配置堵塞。



如果您信任此网站,您可以通过把此站点添加到信任的站点区域中来降低它的安全设置。如果您知道此网站在您的本地 Intranet 上,则参照帮助中的如何在本地 Intranet 上添加站点的说明。
Microsoft 建议,仅当您完全确信某站点可以信赖并且 URL 正确时,才可以将其添加到“受信任的站点”区域。



注意:将网站添加到“受信任的站点”区域会对包括 Internet Explorer 在内的所有应用程序降低来自该网站的所有内容的安全设置级别。



有关如何将网站添加到“受信任的站点”区域的更多信息,请参阅本文中的“将站点添加到‘受信任的站点’区域”一节。
∙可能限制对 Intranet 站点、在本地 Intranet 中运行的基于 Web 的应用程序以及共享网络资源上其他文件的访问。如果您信任某个 Intranet 站点或共享文件夹并且需要其正常工作,可以将它添加到“本地 Intranet”区域。



有关如何操作的更多信息,请参阅本文中的“INTERNET EXPLORER 无法打开将站点添加到‘本地 Intranet’区域”一节。
回到顶端
Internet Explorer 增强的安全配置的效果
Internet Explorer 增强的安全配置对现有安全区域的安全级别进行调整。下表描述每个区域如何受影响:
区域
安全级别
结果
Internet”区域
Internet”区域与受限制的站点区域具有相同的安全设置。默认情况下,将所有 Internet Intranet 站点指定到此区域。



网页可能无法在 Internet Explorer 中按预期方式显示,并且需要浏览器的应用程序可能无法正常工作,原因是脚本、ActiveX 控件、用于 HTML 内容的 Microsoft 虚拟机 (Microsoft VM 和文件下载已经被禁用。如果您信任某个 Internet 站点并需要其正常工作,可将该站点添加到 Internet Explorer 受信任的站点区域。



有关如何操作的更多信息,请参阅本文中的将站点添加到受信任的站点区域一节。
本地 Intranet”区域
中低
除非将统一命名约定 (UNC 共享文件夹明确添加到本地 Intranet”区域,否则会限制对该共享文件夹上的脚本、可执行文件和其他文件的访问。



有关更多信息,请参阅本文中的将站点添加到本地 Intranet’区域一节。



访问 Intranet 站点时,由于使用了增强的安全配置,系统可能反复提示您输入凭据(用户名和密码)。在过去,Internet Explorer 会自动将凭据传递到 Intranet 站点。增强的安全配置禁用自动检测 Intranet 站点的功能。如果希望将凭据自动传递到某些 Intranet 站点,请将这些站点添加到本地 Intranet”区域。



有关如何操作的更多信息,请参阅本文中的将站点添加到本地 Intranet’区域一节。



不要将 Internet 站点添加到本地 Intranet”区域,否则会在请求您的凭据时自动将其传递到该 Internet 站点。
受信任的站点区域
此区域用于信任其内容的 Internet 站点。



有关更多信息,请参阅本文中的将站点添加到受信任的站点区域一节。
受限制的站点区域
此区域包含您不信任的站点,例如在您试图从中下载或运行文件时可能破坏您的计算机或数据的站点。
Internet Explorer 增强的安全配置还调整 Internet Explorer 的可扩展性和安全设置,以减少未来可能出现的安全威胁。这些设置位于“控制面板”中“Internet 选项”的“高级”选项卡上。下表描述了这些设置:
功能
条目
新设置
结果
浏览
显示“增强的安全配置”对话框。
在 Internet 站点试图使用脚本或 ActiveX 控件时,显示对话框进行通知。
浏览
启用浏览器扩展。
禁用所安装以便与 Internet Explorer 一起使用的、由 Microsoft 之外的公司创建的功能。
浏览
启用“按需安装”功能 (Internet Explorer。
禁止在网页需要时按需安装 Internet Explorer 组件。
浏览
启用“按需安装”功能(其他)。
禁止在网页需要时按需安装 Web 组件。
Microsoft VM
启用虚拟机的实时 (JIT 编译器(需要重新启动)。
禁用 Microsoft VM 编译器。
多媒体
不在媒体栏中显示联机内容。
禁止在 Internet Explorer 媒体栏中播放媒体内容。
多媒体
播放网页中的声音。
禁用音乐和其他声音。
多媒体
播放网页中的动画。
禁用动画。
多媒体
播放网页中的视频。
禁用视频剪辑。
安全
检查服务器证书吊销(需要重新启动)。
在将网站的证书视为有效前,对其进行自动检查,以查看是否已吊销该证书。
安全
检查所下载程序的签名。
自动验证并显示所下载程序的标识。
安全
不将加密的页面存入硬盘。
禁止在 Temporary Internet Files 文件夹中保存受保护的信息。
安全
关闭浏览器时清空 Temporary Internet Files 文件夹。
在关闭浏览器时自动清除 Temporary Internet Files 文件夹。
这些更改会减少网页、基于 Web 的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序中的功能。



有关使用“本地 Intranet”或“受信任的站点”区域的包含列表的更多信息,请参阅本文中的“管理 Internet Explorer 增强的安全配置”一节。



当启用 Internet Explorer 增强的安全配置时,将配置下列附加设置:
∙将 Windows Update 网站添加到“受信任的站点”区域。这允许您继续接收操作系统的重要更新。
∙将 Windows 错误报告站点添加到“受信任的站点”区域。这允许您报告使用操作系统时所遇到的问题并搜索修补程序。
∙将数个本地计算机站点(如 localhost、localhost 和 hcp://system)添加到“本地 Intranet”区域。这允许应用程序和代码在本地运行,以便您可以完成常见的管理任务。
∙对于“受信任的站点”区域,将“P3P (Platform for Privacy Preferences”级别设置为“中”。如果希望对“Internet”区域之外的任何区域更改 P3P 级别,请单击“控制面板”中“Internet 选项”的“隐私”选项卡,然后单击“导入”以应用自定义隐私策略。对于其他隐私策略示例,请访问下面的 Microsoft MSDN Library 网站:
msdn2.microsoft/en-us/library/ms537344.aspx
Internet Explorer 增强的安全配置和终端服务
增强的安全配置根据安装类型的不同而适用于不同的用户帐户。下表描述用户如何受影响:
安装类型
增强的安全配置适用于
管理员?
超级用户?
有限用户?
受限用户?
升级操作系统
无人参与模式安装操作系统
手动安装终端服务
**
**
**在手动安装终端服务的过程中,系统将提示您为用户禁用“Internet Explorer 增强的安全配置”。这允许用户不受限制地运行终端服务会话。



要在启用终端服务时获得更好的体验,最好从用户组的成员中删除增强的安全配置。这些用户在服务器上具有较少的权限,因此他们在遭受攻击时只会带来较低级别的风险。有关应用增强的安全配置的更多信息,请参阅本文中的“将 Internet Explorer 增强的安全配置应用到特定用户”一节。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。