Часто задаваемые вопросы о конфигурации расширенной безопасности (ESC) в Интернете Обозреватель
Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено путем обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в разделе Часто задаваемые вопросы о прекращении поддержки программы для настольных компьютеров Internet Explorer 11.
Конфигурация усиленной безопасности Обозреватель Интернета
Конфигурация расширенной безопасности Интернета Обозреватель (ESC) устанавливает параметры безопасности, определяющие, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также снижают уязвимость серверов для веб-сайтов, которые могут представлять угрозу безопасности. Этот процесс также называется IEHarden. Дополнительные сведения см. в разделе Internet Обозреватель: конфигурация усиленной безопасности.
Исходная версия продукта: Интернет-Обозреватель
Исходный номер базы знаний: 4551931
Параметр по умолчанию для Internet Обозреватель ESC
Эта функция включена по умолчанию на серверах.
Последствия включения Internet Обозреватель ESC
Internet Обозреватель ESC настраивает параметры расширяемости и безопасности интернет-Обозреватель, чтобы снизить вероятность возможных угроз безопасности в будущем. Эти параметры находятся на вкладке Дополнительно в разделе Свойства браузерав панель управления. В следующей таблице описаны параметры.
Функция | Запись | Setting | Результат |
---|---|---|---|
Просмотра | Диалоговое окно Конфигурация усиленной безопасности. | Вкл. | Отображает диалоговое окно с уведомлением о попытке веб-сайта использовать скрипты или элементы ActiveX. |
Просмотра | Включите расширения браузера. | Выкл. | Отключает компоненты, установленные для использования вместе с интернет-Обозреватель, созданные компаниями, кроме Корпорации Майкрософт. |
Просмотра | Включите установку по запросу (интернет-Обозреватель). | Выкл. | Отключает установку компонентов интернет-Обозреватель по запросу, если это требуется для веб-страницы. |
Просмотра | Включите установку по запросу (другое). | Выкл. | Отключает установку веб-компонентов по запросу, если это требуется для веб-страницы. |
Виртуальная машина Майкрософт | JIT-компилятор для виртуальной машины, включенной (требуется перезагрузка). | Выкл. | Отключает компилятор виртуальной машины Майкрософт. |
Мультимедиа | Не отображайте веб-содержимое на панели мультимедиа. | Вкл. | Отключает воспроизведение содержимого мультимедиа в Интернете Обозреватель панели мультимедиа. |
Мультимедиа | Не отображайте веб-содержимое на панели мультимедиа. | Вкл. | Отключает воспроизведение содержимого мультимедиа в Интернете Обозреватель панели мультимедиа. |
Мультимедиа | Воспроизведение анимации на веб-страницах. | Выкл. | Отключает анимацию. |
Мультимедиа | Воспроизведение видео на веб-страницах. | Выкл. | Отключает видеоклипы. |
Безопасность | Проверьте отзыв сертификата сервера (требуется перезагрузка). | Вкл. | Автоматически проверяет сертификат веб-сайта, чтобы узнать, был ли отозван сертификат, прежде чем принять сертификат как действительный. |
Безопасность | Проверьте наличие подписей в скачанных программах. | Вкл. | Автоматически проверяет и отображает удостоверение скачиваемых программ. |
Безопасность | Не сохраняйте зашифрованные страницы на диск. | Вкл. | Отключает сохранение защищенной информации в папке Временные файлы Интернета. |
Безопасность | Пустая папка «Временные файлы Интернета» при закрытии браузера. | Вкл. | Автоматически очищает папку Временные файлы Интернета при закрытии браузера. |
Эти изменения снижают функциональность веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, использующих браузер для отображения справки, поддержки и общей помощи пользователям.
Отключение Обозреватель ESC в Интернете на серверах Windows
Чтобы отключить Интернет Обозреватель ESC, выполните следующие действия:
- Введите диспетчер сервера в поиске Windows, чтобы запустить приложение диспетчера сервера.
- Выберите Локальный сервер.
- Перейдите к свойству Конфигурация усиленной безопасности IE , выберите текущий параметр, чтобы открыть страницу свойств, нажмите кнопку Выкл . для нужных пользователей и нажмите кнопку ОК.
- Щелкните значок Обновить на панели инструментов диспетчер сервера, чтобы увидеть новые параметры, отраженные в диспетчере серверов.
Эта процедура показана в следующем видео:
Отключение Обозреватель ESC через Интернет с помощью скрипта
- Создайте файл IEHArden_V5.bat со следующим содержимым пакетного файла.
- Запустите файл bat либо в командной строке администратора, либо в рамках сценария входа с помощью процедуры, описанной в разделе Назначение сценариев входа пользователей.
Содержимое пакетного файла
ECHO OFF REM IEHarden Removal Project REM HasVersionInfo: Yes REM Author: Axelr REM Productname: Remove IE Enhanced Security REM Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2) REM IEHarden Removal Project End ECHO ON ::Related Article ::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server ::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991 :: Rem out if you like to Backup the registry keys ::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg" ::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg" REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\" /v "IsInstalled" /t REG_DWORD /d 0 /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\" /v "IsInstalled" /t REG_DWORD /d 0 /f ::x64 REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\" /v "IsInstalled" /t REG_DWORD /d 0 /f ::Disables IE Harden for user if set to 1 which is enabled REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f ::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios ::Rundll32 iesetup.dll,IEHardenLMSettings Rundll32 iesetup.dll,IEHardenUser Rundll32 iesetup.dll,IEHardenAdmin Rundll32 iesetup.dll,IEHardenMachineNow ::This apply to Windows 2003 Servers REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f ::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\" /f /va ::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\" /f /va :: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below :: 32-bit HKCU Keys REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f :: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default. :: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7 :: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f :: Removing Terminal Server Shadowing x86 32bit REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f :: Removing Terminal Server Shadowing Wow6432Node REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
Управление параметром IEHarden для пользователей с помощью параметров групповая политика (GPP)
Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра параметров групповая политика, выполните следующие действия.
- Откройте консоль GPMCM.msc и перейдите враздел Параметры>конфигурации> пользователяПараметры Windows.
- В области навигации щелкните правой кнопкой мыши объект Registry и выберите Создать>элемент реестра.
- В IEHarden Properties (Свойства IEHarden) укажите следующие параметры:
- Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- Имя значения: IEHarden
- Тип значения: REG_DWORD
- Значения: 0 или 000000000
- Выберите Применить и ОК , чтобы завершить настройку GPP.
Вы также можете проверка следующие подразделы реестра, если это значение не поможет устранить проблему. В большинстве случаев это необязательно.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Обычные пользователи не могут отключить функцию «Интернет Обозреватель усиленной безопасности»
Устаревшее и не поддерживаемое классическое приложение Internet Explorer 11 было окончательно отключено путем обновления Microsoft Edge в некоторых версиях Windows 10. Дополнительные сведения см. в разделе Часто задаваемые вопросы о прекращении поддержки программы для настольных компьютеров Internet Explorer 11.
В этой статье содержатся сведения об устранении неполадок, из-за которых невозможно отключить Интернет Обозреватель усиленной безопасности.
Исходная версия продукта: Интернет-Обозреватель
Исходный номер базы знаний: 933991
Симптомы
После настройки сервера терминалов под управлением Microsoft Windows Server 2003 или более поздней версии операционной системы стандартные пользователи не смогут отключить функцию настройки расширенной безопасности в Интернете Обозреватель. Когда стандартный пользователь очищает проверка Обозреватель конфигурации усиленной безопасности Интернета, поле проверка остается ясным, как ожидалось. Однако конфигурация усиленной безопасности в Интернете Обозреватель по-прежнему включена.
Скорее всего, эта проблема возникнет на сервере терминалов, настроенном на основе подготовленного образа (образ Sysprepped).
Чтобы устранить эту проблему, используйте один или несколько из следующих методов в соответствии с вашей ситуацией.
Решение 1. Перестроение сервера терминалов
Возможно, вам не удастся полностью удалить конфигурацию усиленной безопасности из Интернета Обозреватель, если сервер терминалов имеет следующие атрибуты:
- Сервер терминалов настроен для включения конфигурации повышенной безопасности для Обозреватель Интернета.
- Сервер терминалов находится в заблокированной среде.
В этом случае может потребоваться быстрее перестроить сервер терминалов. При перестроении используйте файл Unattend.txt вместе с программой установки Windows, чтобы отключить конфигурацию расширенной безопасности Интернета Обозреватель во время установки Windows.
Решение 2. Изменение параметров Обозреватель Интернета для учетных записей администратора
Для учетных записей администратора можно выполнить следующую команду, чтобы отключить Интернет Обозреватель конфигурации усиленной безопасности:
rundll32.exe setupapi.dll,InstallHinfSection IESoftenAdmin 128 %windir%\inf\IEHARDEN.INF
Эту команду необходимо выполнить с помощью учетной записи с учетными данными администратора. Чтобы изменения вступили в силу, необходимо также перезагрузить компьютер после выполнения этой команды.
Решение 3. Удаление записи реестра IEHarden для определенных учетных записей стандартных пользователей
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы отключить интернет-Обозреватель конфигурацию усиленной безопасности для определенных учетных записей пользователей, можно удалить lEHarden запись реестра из каждого профиля учетной записи стандартного пользователя. Чтобы удалить запись, выполните следующие действия.
- Войдите на сервер терминалов, используя учетные данные учетной записи стандартного пользователя.
- Нажмите кнопку Пуск, выберите Поиск, а затем найдите файл Regedit.exe.
- Щелкните правой кнопкой мыши regedit.exeи выберите Запуск от имени.
- Выберите Следующий пользователь, введите имя учетной записи с учетными данными администратора, а затем нажмите кнопку ОК.
- Найдите и выберите следующий подраздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap - В области сведений щелкните правой кнопкой мыши IEHarden, выберите Изменить, введите 0 (ноль) в поле Значение и нажмите кнопку ОК. Вы также можете удалить эту запись реестра.
- Найдите и выберите следующий подраздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings - В области сведений щелкните правой кнопкой мыши lEHardenlENoWarn, выберите Изменить, введите 0 (ноль) в поле Значение и нажмите кнопку ОК. Вы также можете удалить эту запись реестра.
- Закройте Редактор реестра, а затем запустите интернет-Обозреватель.
- В меню Сервис выберите Свойства браузера.
- Перейдите на вкладку Дополнительно , выберите Восстановить значения по умолчанию и нажмите кнопку ОК.
Решение 4. Создание профиля по умолчанию для учетных записей стандартных пользователей
Может быть среда, в которой выполняются одно или несколько из следующих условий:
- Вы хотите отключить Интернет Обозреватель конфигурации усиленной безопасности для всех пользователей.
- Публикация приложений используется для интернет-Обозреватель. В этом случае не доступна оболочка, в которую можно загрузить профиль пользователя. Таким образом .DEFAULT , подраздел реестра используется для сведений профиля пользователя.
- Вы используете сервер терминалов на основе Citrix, и локальный профиль не существует для пользователя или для пользователей. В этом случае система Citrix использует .DEFAULT подраздел реестра для сведений о профиле пользователя.
В этом сценарии выполните следующие действия.
- Создайте учетную запись пользователя с полными правами на рабочий стол Windows. Например, используйте учетную запись с учетными данными администратора.
- Войдите на сервер терминалов с помощью новой учетной записи, а затем отключите Интернет Обозреватель конфигурации усиленной безопасности с помощью элемента Добавление и удаление программ в панель управления.
- Выйдите из сервера терминалов.
- Скопируйте файл NTUser.dat из этого нового профиля учетной записи в папку Профиль пользователя по умолчанию на сервере терминалов.
Примечание. Это действие перезаписывает существующий файл NTUser.dat в папке Профиль пользователя по умолчанию. Поэтому перед выполнением этого действия может потребоваться создать резервную копию исходного файла NTUser.dat.
Ссылки
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Обратная связь
Были ли сведения на этой странице полезными?
Как отключить Конфигурацию усиленной безопасности Internet Explorer в Windows Server 2012
Простая инструкция по отключению настроек, которые делают Internet Explorer не очень удобным в тестовой или лабораторной среде. Когда Конфигурация усиленной безопасности Internet Explorer (IE ESC) активирована, пользователь постоянно видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE T1M32S
- Отключение Конфигурации усиленной безопасности Internet Explorer через «Проводник»
- Отключение Конфигурации усиленной безопасности Internet Explorer через PowerShell
Отключение усиленной безопасности через проводник
- На рабочем столе сервера в Windows Server 2012 найдите и запустите Server Manager.
- Выберите «Локальный сервер» (сервер, который в настоящий момент активен, и на котором нужно отключить Конфигурацию усиленной безопасности Internet Explorer):
- Справа в Server Manager, вы увидите Конфигурацию усиленной безопасности Internet Explorer (по умолчанию «Включено»):
- У вас есть два варианта отключения Конфигурации усиленной безопасности Internet Exporer: отключение конфигурации только для аккаунта Администратора, либо для всех остальных юзеров. Предпочтительный вариант при тестировании использовать аккаунт без прав администратора — и в этом случае отключить Конфигурацию только для данного пользователя. Использование локального аккаунта администратора будет источником дополнительной угрозы безопасности, к тому же часто не будет давать требуемого результата в тестах, когда администратор имеет разрешения, а обычный пользователь — нет.
- В примере ниже выбрано полное отключение Конфигурации усиленной безопасности Internet Explorer. Сделав выбор, нажмите ОК:
- Вернувшись в Server Manager, вы сперва увидите, что настройки совершенно не изменились. Только обновив Server Manager с помощью клавиши F5, вы увидите, что настройка поменялась на режим «Выключено»
- Готово. Откройте окно браузера IE и проверьте доступ к любому внутреннему сайту.
Отключение усиленной безопасности через PowerShell
Вставьте код ниже в текстовый документ с расширением ps1: Disable-IEESC.ps1. Это отключит Конфигурацию усиленной безопасности Internet Explorer и для пользователя, и для администратора
function Disable-IEESC < $AdminKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” $UserKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” Set-ItemProperty -Path $AdminKey -Name “IsInstalled” -Value 0 Set-ItemProperty -Path $UserKey -Name “IsInstalled” -Value 0 Stop-Process -Name Explorer Write-Host “IE Enhanced Security Configuration (ESC) has been disabled.” -ForegroundColor Green > Disable-IEESC
(Вам необходимо нажать Enter дважды после вставки скрипта если вы вставляете его непосредственно в окно PowerShell)
Если вы используете более новую версию Windows Server — воспользуйтесь вот этой инструкцией.
Ознакомиться с другими инструкциями по работе с Windows можно здесь. А чтобы попробовать услугу — кликните на кнопку ниже.
Как отключить расширенную защиту Internet Explorer в Windows Server
Конфигурация усиленной безопасности Internet Explorer (ESC) устанавливает параметры безопасности, которые определяют, как пользователи просматривают веб-сайты в Интернете и внутренней локальной сети. Эти настройки также снижают риск попасть на веб-сайты, которые могут представлять угрозу безопасности с точки зрения разработчиков Windows. По умолачнию стоит крайне жесткое ограничение на любые действий, что не приемлемо для нормальной рыботы большинства пользователей. Таким образом необходимо либо скачать другой браузер, например Google Chrome или Mozilla, либо отключить данную функцию.
Как выключить усиленную защиту Internet Explorer
Например, вместо Internet Explorer вы хотите скачать Google Chrome, но Internet Explorer не пускает Вас даже зайти в поисковик Google.
Нам нужно отключить расширенную защиту Internet Explorer. Заходим в Server Manager, нажимаем на Local Server, затем на IE Enhanced Security Configuration/Конфигурация усиленной безопасности Internet Explorer.
После нажатия на IE Enhanced Security Configuration/Конфигурация усиленной безопасности Internet Explorer откроется небольшое окно, где мы должны отключить защиту. Нажимаем на Off для администратора и пользователя, затем сохраняем нажав кнопку ОК.
Запускаем Internet Explorer и любой сайт должен открываться без каких либо предупреждении или ошибок.
Теперь мы можем спокойно пользоваться «Internet Explorer» и скачать необходимое ПО для дальнейшей работы на сервере!