什么是Internet Explorer 增強的安全配置?
簡單的說就是在你訪問一個未標記為信任的網站的時候給你彈出一個提示,如下圖:
640.png)
如果你認為這個網站是可信任的,就點擊“添加”按鈕,把它添加到信任區,這樣就可以訪問了,否則的話就不能訪問,
類似于防火墻,只是它主要是針對網址進行過慮,不在信任區的網址都無法訪問,從而有效的避免來自惡意網站的攻擊。
但有個前提條件,你得知道哪個網址是安全的才行,對于大多數人來說,哪里知道到底安不安全啊!
再說了,即使網址是安全的,也不能保證內容一定是安全的,萬一被黑了呢!
所以說個人感覺還是形同虛設,反而操作起來比較麻煩!
如何關閉Internet Explorer 增強的安全配置?
開始菜單》管理工具》服務器管理
640.png)
服務器管理首頁》配置IE ESC,在打開的對話框中選擇禁用,確定。
640.png)
OK,重新打開瀏覽器就可以了。
點擊“了解有關Internet Explorer 增強的安全配置的更多信息”可以看到以下官方內容:
Internet Explorer 增強的安全配置使服務器和 Microsoft Internet Explorer 處于這樣一種配置中: 減少服務器對那些可通過 Web 內容和應用程序腳本產生的潛在攻擊的暴露。因此,某些網站可能無法按預期顯示或執行。
有關詳細信息,請參閱以下內容:
在 Internet Explorer 中,可以配置下列幾個內置安全區域的安全設置: Internet 區域、本地 Intranet 區域、受信任站點區域和受限制的站點區域。Internet Explorer 增強的安全配置為這些區域分配的安全級別如下所示:
- 對于 Internet 區域,將安全級別設置為“高”。
- 對于受信任的站點區域,將安全級別設置為“中”,這將允許瀏覽許多 Internet 站點。
- 對于本地 Intranet 區域,將安全級別設置為“中低”,這將允許用戶憑據(名稱和密碼)自動傳遞到需要它們的站點和應用程序。
- 對于受限制的站點區域,將安全級別設置為“高”。
- 默認情況下,將所有 Internet 和 Intranet 站點都分配到 Internet 區域。如果未將 Intranet 站點顯式加入本地 Intranet 區域,則其不是此區域的一部分。
返回頁首
增強的安全配置提高服務器上的安全級別,但也可能以如下方式影響 Internet 瀏覽:
- 由于已禁用 ActiveX 控件和腳本,所以 Internet 站點可能在 Internet Explorer 中不能按要求顯示,并且使用 Internet 的應用程序可能不能正確運行。如果信任某個 Internet 站點并且需要讓其正常運行,則可在 Internet Explorer 中將該站點添加到受信任的站點區域。如果嘗試瀏覽某個使用腳本或 Active X 控件的 Internet 站點,則 Internet Explorer 將提示您考慮將該站點添加到受信任的站點區域。僅當您完全確信該站點可信,并且要添加的 URL 確實正確時,才應將其添加到受信任的站點區域。有關詳細信息,請參閱將站點添加到受信任的站點區域。
- 對 Intranet 站點、在本地 Intranet 上運行的基于 Web 的應用程序以及網絡共享上的其他文件的訪問可能受到限制。如果信任某個 Intranet 站點或共享,并需要讓其正常運行,則可將其添加到本地 Intranet 區域。有關詳細信息,請參閱將站點添加到本地 Intranet 區域。
返回頁首
Internet Explorer 增強的安全配置可調整現有安全區域的安全級別。下表描述如何影響每個區域。
|
| Internet 區域 | 高 | 該區域與受限制的站點區域具有相同的安全設置。所有 Internet 和 Intranet 站點默認情況下都分配到該區域。
由于腳本、Microsoft ActiveX 控件、用于 HTML 內容的 Microsoft 虛擬機(Microsoft VM)及文件下載被禁用,網頁可能不會按預期在 Internet Explorer 中顯示,以及需要使用瀏覽器的應用程序可能不能正常工作。如果您信任某個 Internet 站點并需要它發揮作用,您可以將該站點添加到 Internet Explorer 的受信任的站點區域中。有關詳細信息,請參閱將站點添加到受信任的站點區域。
|
| 本地 Intranet 區域 | 中低 | 訪問 Internet 站點時,系統可能反復要求您提供憑據(用戶名和密碼),這是增強的安全配置導致的結果。過去,Internet Explorer 自動將憑據傳遞給 Intranet 站點。增強的安全配置禁用 Intranet 站點的自動檢測。如果要將憑據自動傳遞給某些 Intranet 站點,請將這些站點添加到本地 Intranet 區域。有關詳細信息,請參閱將站點添加到本地 Intranet 區域。
請勿將 Internet 站點添加到本地 Intranet 區域,原因是請求添加站點后憑據會自動傳遞到站點。
|
| 受信任的站點區域 | 中 | 此區域用于信任其內容的 Internet 站點。有關詳細信息,請參閱將站點添加到受信任的站點區域。 |
| 受限制的站點區域 | 高 | 此區域包括您不信任的站點,如當您嘗試從其下載或運行文件時,可能會損壞計算機或數據的那些站點。 |
增強的安全配置還能調整 Internet Explorer 擴展性和安全設置,從而進一步減少將來暴露于安全威脅的可能性。可在“控制面板”的“Internet 選項”中的“高級”選項卡上找到這些設置。下表描述了受影響的設置。
|
| 啟用第三方瀏覽器擴展 | 關閉 | 禁用為了與 Internet Explorer 一起使用而安裝的功能,這些功能可能是由 Microsoft 之外的公司所創建。 |
| 在網頁中播放聲音 | 關閉 | 禁用音樂和其他聲音。 |
| 在網頁中播放動畫 | 關閉 | 禁用動畫。 |
| 檢查服務器證書吊銷 | 打開 | 自動檢查網站的證書以確定證書是否已吊銷。 |
| 請勿將加密的頁保存到磁盤 | 打開 | 禁用將安全信息保存到臨時 Internet 文件文件夾中。 |
| 關閉瀏覽器時清空臨時 Internet 文件文件夾 | 打開 | 當 IE 關閉時自動清除 Temporary Internet Files 文件夾。 |
| 在安全和非安全模式之間轉換時發出警告 | 打開 | 顯示瀏覽器從安全網站重定向到不安全網站的警告。 |
| 啟用內存保護有助于減輕聯機攻擊 | 關閉 | 啟用數據執行保護(DEP)有助于減輕聯機攻擊。 |
這些更改降低網頁、基于 Web 的應用程序、本地網絡資源以及使用瀏覽器顯示聯機幫助、支持和常規用戶協助的應用程序中的功能。
有關使用本地 Intranet 或受信任的站點區域的包含列表的詳細信息,請參閱管理 Internet Explorer 增強的安全配置。
啟用 Internet Explorer 增強的安全配置時:
- 將 Windows Update 網站添加到受信任的站點 區域。這將允許您繼續獲取操作系統的重要更新。
- 將 Windows 錯誤報告站點添加到受信任的站點區域。這將允許您報告操作系統所遇到的問題,并搜索修復程序。
- 將幾個本地計算機站點(例如 http://localhost、https://localhost、hcp://system)添加到本地 Intranet 區域。這將允許應用程序和代碼在本地工作以便完成一般管理任務。
- 對于受信任的站點區域,隱私首選項平臺(P3P)級別將設置為“中”。如果要更改非 Internet 區域的任何區域的 P3P 級別,請轉至“控制面板”的“Internet 選項”中的“隱私”選項卡,然后單擊“導入”以應用自定義隱私策略。有關隱私策略的示例,請轉至 Microsoft MSDN Library 網站(http://msdn.microsoft.com/workshop/security/privacy/overview/privacyimportxml.asp)。
下表描述 Internet Explorer 增強的安全配置如何使用 Internet Explorer 影響每位用戶的體驗。
|
| |
|---|
| 打開/關閉 Internet Explorer 增強的安全配置 | 是 | 否 | 否 | 否 |
| 在 Internet Explorer 中調整特殊區域的安全級別 | 是 | 是 | 否 | 否 |
| 將站點添加到受信任的站點區域 | 是 | 是 | 是 | 是 |
| 將站點添加到本地 Intranet 區域 | 是 | 是 | 是 | 是 |
其他所有 Internet Explorer 任務均可由所有用戶組完成,除非服務器管理員選擇進一步限制用戶訪問權限。
返回頁首
Internet Explorer 增強的安全配置旨在減少服務器暴露于安全威脅中的可能性。若要確保您從增強的安全配置獲取最大益處,請考慮采用以下瀏覽器管理建議:
- 默認情況下,將所有 Internet 和 Intranet 站點都分配到 Internet 區域。如果您信任某個 Internet 站點或 Intranet 站點并需要讓其正常運行,請將 Internet 站點添加到受信任的站點區域,并將 Intranet 站點添加到本地 Intranet 區域。有關每個區域的安全級別的詳細信息,請參閱 Internet Explorer 增強的安全配置的效果。
- 如果要在 Internet 上運行基于瀏覽器的客戶端應用程序,則應將承載該應用程序的網頁添加到受信任的站點區域。有關詳細信息,請參閱將站點添加到受信任的站點區域。
- 如果要在受保護且安全的本地 Intranet 上運行基于瀏覽器的客戶端應用程序,則應將承載該應用程序的網頁添加到本地 Intranet 站點區域。有關詳細信息,請參閱將站點添加到本地 Intranet 區域。
- 將內部站點和本地服務器添加到本地 Intranet 區域可以確保您能夠從服務器訪問和運行應用程序。
- 使用 unattend.xml 將 Intranet 站點和 UNC 服務器添加到本地 Intranet 區域包含列表作為安裝過程的一部分。
- 使用客戶端計算機下載驅動程序、service pack 等,并避免在服務器上進行任何瀏覽。
- 如果使用磁盤映像在服務器上安裝操作系統,請將信任的 Intranet 站點和 UNC 服務器添加到本地 Intranet 區域,并將信任的 Internet 站點添加到基本映像上受信任的站點區域。然后,您可以更改與各個服務器類型和需求相關的映像列表。
- 如果 Microsoft Terminal Services 已安裝在一個啟用 IE ESC 的計算機上,則 Terminal Services 安裝將自動禁用 IE ESC。可以使用服務器管理器重新啟用它。
- 在手動安裝 Terminal Services 期間,將提示您為用戶禁用 Internet Explorer 增強的安全配置。這允許用戶不受限的運行終端服務器會話。
- 從安裝 Internet Explorer 6 或更新版本的 Windows Server 2003 升級到 Windows Server 2008 時,將自動應用與 IE ESC 關聯的新默認設置。
在服務器上啟用 Internet Explorer 增強的安全配置之后,所有 Internet 站點的安全設置都設置為“高”。如果您信任某個網頁,并需要其它正常運行,則可在 Internet Explorer 中將其添加到受信任的站點區域。
- 導航到要添加的站點。
- 如果已在查看要添加的站點,則繼續執行步驟 2。
- 如果知道要添加的站點的 URL,請打開 Internet Explorer,在地址欄中鍵入該站點的 URL,然后等待加載該站點。
- 在“文件”菜單上,單擊“將此站點添加到”,然后單擊“受信任的站點區域”。
- 在“受信任的站點”對話框中,單擊“添加”將站點移動到列表中,再單擊“關閉”。
- 刷新頁面以便從其新的區域查看站點。
- 檢查瀏覽器的狀態欄以確認此站點位于“受信任的站點區域”中。
注意
- 網頁一次只能是一個區域的一部分—不能將一個頁面既添加到受信任的站點區域中,又添加到本地 Intranet 區域中。
- 將某個網頁添加到受信任的站點區域中時,實際上添加的是該網頁的域。因此,也就添加了該域內的所有網頁。例如,如果您將 http://www.microsoft.com/windowsxp/expertzone/ 添加到受信任的站點區域中,實際上添加的是 http://www.microsoft.com。那么,如果要查看 Windows 幫助和支持站點,就必須單獨添加 http://support.microsoft.com,原因是 Windows 幫助和支持站點是一個獨立的域。
- 對于受信任的站點區域,Internet Explorer 維護兩種不同的站點列表。一個列表在啟用增強的安全配置時生效,而另一個單獨的列表在禁用增強的安全配置時生效。將網頁添加到受信任的站點區域時,僅將其添加到當前正在使用的列表中。
- 可使用通配符添加給定域的所有子域。例如,可在該列表中添加 *.microsoft.com,此操作同時添加 www.microsoft.com 和 support.microsoft.com。
- 許多 Internet 站點使用多個域以承載其內容。可能需要在受信任的站點區域中添加多個域,才能獲得一個站點的全部功能。
- 安裝期間,可以使用 unattend.xml 中的某些設置一次將多個站點添加到受信任的站點區域。
啟用 Internet Explorer 增強的安全配置時,所有 Intranet 站點的安全設置都設置為“高”。因此,每次訪問未添加到本地 Intranet 區域的 Intranet 站點時,系統都會提示您輸入憑據(用戶名和密碼)。如果您經常性使用 Intranet 站點,并且知道那些站點可信,則可在 Internet Explorer 中將其添加到本地 Intranet 區域。
- 導航到要添加的站點。
- 如果已在查看要添加的站點,則繼續執行步驟 2。
- 如果知道要添加的站點的 URL,請打開 Internet Explorer,在地址欄中鍵入該站點的 URL,然后等待加載該站點。
- 在“文件”菜單上,單擊“將此站點添加到”,然后單擊“本地 Intranet 區域”。
- 在“本地 Intranet”對話框中,單擊“添加”將站點移到列表中,再單擊“關閉”。
- 刷新頁面以便從其新的區域查看站點。
- 檢查瀏覽器的狀態欄以確認該站點位于“本地 Intranet 區域”中。
注意
- 請勿將 Internet 站點添加到本地 Intranet 區域,原因是一旦添加,則在請求時自動將憑據傳遞到該站點。
- 網頁一次只能是一個區域的一部分—不能將一個頁面既添加到受信任的站點區域中,又添加到本地 Intranet 區域中。
- 將某個網頁添加到本地 Intranet 區域中時,實際上添加的是該頁面的域。因此,也就添加了該域內的所有頁面。例如,如果將 http://YourIntranetServer/SubWeb 添加到本地 Intranet 區域,實際上添加的是 http://YourIntranetServer。
- 對于本地 Intranet 區域,Internet Explorer 維護兩種不同的站點列表。一個列表在啟用增強的安全配置時生效,而另一個單獨的列表在禁用增強的安全配置時生效。將網頁添加到本地 Intranet 區域時,僅將其添加到當前正在使用的列表中。
- 安裝期間,可以使用 unattend.xml 中的某些設置一次將多個站點添加到“本地 Intranet 區域”。
使用 Internet Explorer 增強的安全配置,可以在服務器上控制允許某些用戶組訪問 Internet Explorer 的級別。
為所有用戶啟用 IE ESC
- 關閉所有 Internet Explorer 的實例。
- 單擊“開始”,指向“管理工具”,然后單擊“服務器管理器”。
- 如果出現“用戶帳戶控制”對話框,單擊“繼續”。
- 在“安全摘要”下,單擊“配置 IE ESC”。
- 在“管理員”下,單擊“啟用(推薦)”。
- 在“用戶”下,單擊“啟用(推薦)”。
- 單擊“確定”。
- 若要禁用 IE ESC,請單擊“管理員”和 “用戶”的“禁用”,然后單擊“確定”。
注意
- 當將 Internet Explorer 增強的安全配置應用到 Administrators 組時,這些設置就會應用到管理員和超級用戶。 當將 Internet Explorer 增強的安全配置應用到 Users 組時,這些設置應用到受限用戶。
- 有關 Internet Explorer 安全區域的最新信息,請轉到 Microsoft MSDN Library 網站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)。
如果在您所處的環境中不使用 Internet Explorer 增強的安全配置,則可通過使用“控制面板”中的“Internet 選項”手動提升服務器上的安全設置,從而輕松增強 Internet Explorer 的安全性。
- 打開 Internet Explorer。
- 在“工具”菜單上,單擊“Internet 選項”。
- 在“安全”選項卡上,選擇要調整的 Web 內容區域: Internet、本地 Intranet、受信任的站點或受限制的站點。
- 在該區域的安全級別下,單擊“默認級別”以使用該區域的默認安全級別,或單擊“自定義級別”,然后選擇所需的設置。
注意
- 對于受限制的站點,請單擊“自定義級別”,然后在“重置為”列表中單擊某個級別。
- 有關 Internet Explorer 安全區域的最新信息,請轉到 Microsoft MSDN Library 網站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)。
使用服務器進行 Internet 瀏覽并不符合最佳安全操作,因為 Internet 瀏覽會增加服務器遭受潛在安全攻擊的可能性。不論使用的是哪種瀏覽器,都應對在服務器上進行瀏覽加以限制。
減少服務器遭受來自基于 Web 的惡意內容的潛在攻擊的步驟:
- 請勿使用服務器瀏覽一般 Web 內容。
- 使用客戶端計算機下載驅動程序、service pack 等。
- 請勿查看無法確定是否安全的站點。
- 請使用受限制的用戶帳戶而不是管理員帳戶進行一般的 Web 瀏覽。
- 請使用組策略來防止非授權用戶對瀏覽器安全設置進行不適當的更改。
該文章在 2018/9/8 9:34:23 編輯過
400 186 1886
