概述

Internet Explorer 增強(qiáng)的安全配置能夠?qū)δ姆?wù)器和 Internet Explorer 進(jìn)行配置，該配置可降低服務(wù)器暴露在通過 Web 內(nèi)容和應(yīng)用程序腳本產(chǎn)生的潛在攻擊之下的可能性。因此，一些網(wǎng)站可能無法正常顯示或無法正常執(zhí)行。

本主題包含下列信息：

• Internet Explorer 安全區(qū)域
• 啟用 Internet Explorer 增強(qiáng)的安全配置時如何進(jìn)行瀏覽
• Internet Explorer 增強(qiáng)的安全配置的影響
  • Internet Explorer 增強(qiáng)的安全配置和終端服務(wù)
  • Internet Explorer 增強(qiáng)的安全配置對 Internet Explorer 用戶體驗的影響
• 管理 Internet Explorer 增強(qiáng)的安全配置
  • 將站點添加到受信任的站點區(qū)域
  • 將站點添加到本地 Intranet 區(qū)域
  • 將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到特定用戶
  • 在服務(wù)器上手動增強(qiáng) Internet Explorer 安全設(shè)置
  • 從以前的版本升級
• 瀏覽器安全最佳實踐

Internet Explorer 安全區(qū)域

在 Internet Explorer 中，可以為其中兩個內(nèi)置的安全區(qū)域“本地 Intranet”區(qū)域和“受信任的站點”區(qū)域配置安全設(shè)置。無法更改 Internet 區(qū)域和“受限制的站點”區(qū)域的安全設(shè)置。

備注
若要更改安全設(shè)置，必須以管理員模式打開 Internet Explorer，即使您已經(jīng)以本地管理員的身份登錄也是如此。若要以管理員模式打開 Internet Explorer，請右鍵單擊 Internet Explorer，然后單擊“以管理員身份運行”。

Internet Explorer 增強(qiáng)的安全配置按照如下方式為這些區(qū)域分配安全級別：

• 對于 Internet 區(qū)域，安全級別設(shè)置為“高”。
• 對于“受信任的站點”區(qū)域，安全級別設(shè)置為“中”，這允許瀏覽很多 Internet 站點。
• 對于“本地 Intranet”區(qū)域，安全級別設(shè)置為“中低”，這允許將您的用戶憑據(jù)（用戶名和密碼）自動發(fā)送給需要它們的站點和應(yīng)用程序。
• 對于“受限制的站點”區(qū)域，安全級別設(shè)置為“高”。
• 默認(rèn)情況下，所有 Internet 和 Intranet 站點均分配到“Internet”區(qū)域。Intranet 站點不屬于“本地 Intranet”區(qū)域，除非將它們明確添加到此區(qū)域中。

啟用 Internet Explorer 增強(qiáng)的安全配置時如何進(jìn)行瀏覽

增強(qiáng)的安全配置提高了您服務(wù)器上的安全級別，但它也會以下列方式影響 Internet 瀏覽：

• 由于 ActiveX 控件和腳本被禁用，因此 Internet 站點可能無法在 Internet Explorer 中正常顯示，使用 Internet 的應(yīng)用程序也可能無法正常工作。如果您信任某個 Internet 站點并且需要它正常工作，則可以將該站點添加到 Internet Explorer 的“受信任的站點”區(qū)域。如果您嘗試瀏覽使用腳本或 ActiveX 控件的 Internet 站點，則 Internet Explorer 將提示您考慮將該站點添加到“受信任的站點”區(qū)域。僅當(dāng)您完全確認(rèn)站點值得信任并且要添加的 URL 確實正確時，才能將該站點添加到“受信任的站點”區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點添加到受信任的站點區(qū)域。
• 對 Intranet 站點的訪問、在本地 Intranet 上運行的基于 Web 的應(yīng)用程序以及網(wǎng)絡(luò)共享上的其他文件都可能受限制。如果您信任某個 Intranet 站點或共享并且需要它正常工作，則可以將其添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點添加到本地 Intranet 區(qū)域。

Internet Explorer 增強(qiáng)的安全配置的影響

Internet Explorer 增強(qiáng)的安全配置調(diào)整現(xiàn)有安全區(qū)域的安全級別。下表介紹每個區(qū)域如何受到影響。

增強(qiáng)的安全配置還調(diào)整 Internet Explorer 擴(kuò)展性和安全設(shè)置，以便進(jìn)一步降低暴露在未來可能的安全威脅之下的可能性。這些設(shè)置位于 Internet Explorer 中“Internet 選項”對話框的“高級”選項卡上。下表描述了受影響的設(shè)置。

這些更改會減少網(wǎng)頁、基于 Web 的應(yīng)用程序、本地網(wǎng)絡(luò)資源和使用瀏覽器顯示幫助、支持及常規(guī)用戶協(xié)助的應(yīng)用程序中的功能。

有關(guān)使用“本地 Intranet”或“受信任的站點”區(qū)域的包含列表的詳細(xì)信息，請參閱“管理 Internet Explorer 增強(qiáng)的安全配置”。

Internet Explorer 增強(qiáng)的安全配置已啟用時：

• 將 Microsoft Update 網(wǎng)站添加到“受信任的站點”區(qū)域。這允許您繼續(xù)獲得有關(guān)您操作系統(tǒng)的重要更新。
• 將 Windows 錯誤報告站點添加到“受信任的站點”區(qū)域。這允許您報告操作系統(tǒng)遇到的問題并搜索解決方案。
• 將多個本地計算機(jī)站點（如 http://localhost、https://localhost 和 hcp://system）添加到“本地 Intranet”區(qū)域。這允許應(yīng)用程序和代碼在本地工作，以便完成常用的管理任務(wù)。
• 對于“受信任的站點”區(qū)域，將隱私首選項平臺 (P3P) 級別設(shè)置為“中”。如果您想更改除 Internet 區(qū)域之外的任何區(qū)域的 P3P 級別，請轉(zhuǎn)到“Internet 選項”對話框的“隱私”選項卡，單擊“導(dǎo)入”以應(yīng)用自定義隱私策略。有關(guān)隱私策略的示例，請參閱“如何創(chuàng)建自定義隱私導(dǎo)入文件”(http://go.microsoft.com/fwlink/?LinkId=12939)（可能為英文網(wǎng)頁）。

Internet Explorer 增強(qiáng)的安全配置和終端服務(wù)

根據(jù)安裝類型，將增強(qiáng)的安全配置應(yīng)用于不同的用戶帳戶。下表描述了影響用戶的方式。

備注
在進(jìn)行終端服務(wù)的手動安裝期間，系統(tǒng)將提示您禁用用戶的 Internet Explorer 增強(qiáng)的安全配置。這允許用戶毫無限制的運行終端服務(wù)器會話。

為了在啟用終端服務(wù)時獲得更好的體驗，應(yīng)該從“用戶”組的成員中刪除“增強(qiáng)的安全配置”。這些用戶對服務(wù)器的權(quán)限較少，因此受到攻擊時他們的風(fēng)險級別比較低。有關(guān)應(yīng)用增強(qiáng)的安全配置的詳細(xì)信息，請參閱將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到特定用戶。

Internet Explorer 增強(qiáng)的安全配置對 Internet Explorer 用戶體驗的影響

下表描述 Internet Explorer 增強(qiáng)的安全配置如何影響每個用戶使用 Internet Explorer 的體驗。

任務(wù)	可以由管理員完成	可以由超級用戶完成	可以由受限用戶完成	可以由受限制的用戶完成
啟用或禁用 Internet Explorer 增強(qiáng)的安全配置	是	否	否	否
調(diào)整 Internet Explorer 中特殊區(qū)域的安全級別	是 備注 只能更改“本地 Intranet”區(qū)域和“受信任的站點”區(qū)域的安全設(shè)置。	是，在運行 Windows Server2003 的計算機(jī)上 否，在運行 Windows Server2008 的計算機(jī)上	否	否
將站點添加到“受信任的站點”區(qū)域	是	是	是	是
將站點添加到“本地 Intranet”區(qū)域	是	是	是	是

所有其他 Internet Explorer 任務(wù)都可以由所有用戶組完成，除非您選擇進(jìn)一步限制用戶訪問權(quán)限。

管理 Internet Explorer 增強(qiáng)的安全配置

Internet Explorer 增強(qiáng)的安全配置設(shè)計用于減少服務(wù)器暴露在安全威脅之下的可能性。為了確保盡可能地獲益于增強(qiáng)的安全配置，請考慮以下瀏覽器管理建議：

• 默認(rèn)情況下，所有 Internet 和 Intranet 站點均分配到“Internet”區(qū)域。如果您信任某個 Internet 或 Intranet 站點并且需要該站點正常工作，請將 Internet 站點添加到“受信任的站點”區(qū)域，將 Intranet 站點添加到“本地 Intranet”區(qū)域。有關(guān)每個區(qū)域的安全級別的詳細(xì)信息，請參閱Internet Explorer 增強(qiáng)的安全配置的影響。
• 如果您想在 Internet 上運行基于瀏覽器的客戶端應(yīng)用程序，則應(yīng)該將該應(yīng)用程序所在的網(wǎng)頁添加到“受信任的站點”區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點添加到受信任的站點區(qū)域。
• 如果您想在受保護(hù)且安全的本地 Intranet 上運行基于瀏覽器的客戶端應(yīng)用程序，則應(yīng)該將該應(yīng)用程序所在的網(wǎng)頁添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點添加到本地 Intranet 區(qū)域。
• 將內(nèi)部站點和本地服務(wù)器添加到“本地 Intranet”區(qū)域可確保您可以訪問、運行服務(wù)器中的應(yīng)用程序。
• 作為安裝過程的一部分，使用 unattend.txt 將 Intranet 站點和 UNC 服務(wù)器添加到“本地 Intranet”區(qū)域包含列表。有關(guān)詳細(xì)信息，請參閱 Windows Server2003 產(chǎn)品 CD 上 Deploy.cab 中的自述文件。
• 使用客戶端計算機(jī)下載驅(qū)動程序、Service Pack 以及其他更新。避免從服務(wù)器進(jìn)行任何瀏覽。
• 如果使用磁盤映像在服務(wù)器上安裝操作系統(tǒng)，請在基本映像上將信任的 Intranet 站點和 UNC 服務(wù)器添加到“本地 Intranet”區(qū)域，將信任的 Internet 站點添加到“受信任的站點”區(qū)域。然后可以根據(jù)不同的服務(wù)器類型和需求更改映像上的列表。

將站點添加到受信任的站點區(qū)域

在服務(wù)器上啟用 Internet Explorer 增強(qiáng)的安全配置時，所有 Internet 站點的安全設(shè)置都設(shè)置為“高”。如果您信任某個網(wǎng)頁并且需要它正常工作，則可以將該網(wǎng)頁添加到 Internet Explorer 的“受信任的站點”區(qū)域。

1. 導(dǎo)航到要添加的站點。
2. 在狀態(tài)欄上，雙擊安全區(qū)域名稱（如 Internet）以打開“Internet 安全”對話框。
3. 單擊“受信任的站點”，然后單擊“站點”。
4. 在“受信任的站點”對話框中，單擊“添加”以將站點添加到列表中，然后單擊“關(guān)閉”。
5. 刷新頁面以從其新區(qū)域查看該站點。
6. 檢查瀏覽器的狀態(tài)欄，以確認(rèn)該站點位于“受信任的站點”區(qū)域。

注意

• 如果 Internet 站點嘗試使用腳本或 ActiveX 控件，則會出現(xiàn)一個對話框提示您將此 Internet 站點添加到“受信任的站點”區(qū)域。如果您禁用了該對話框，則可以在 Internet Explorer 中重新啟用。在“工具”菜單上，單擊“Internet 選項”。在“高級”選項卡上，選擇“顯示增強(qiáng)的安全配置對話框”。
• 網(wǎng)頁在一個時刻只能屬于一個區(qū)域。不能將一個頁面既添加到“受信任的站點”區(qū)域，又添加到“本地 Intranet”區(qū)域。
• 將網(wǎng)頁添加到“受信任的站點”區(qū)域時，實際上添加的是該網(wǎng)頁的域。因此，也添加該域中的所有頁面。例如，如果將 http://www.microsoft.com/windows/ 添加到“受信任的站點”區(qū)域，則實際上添加的是 http://www.microsoft.com。如果您想之后查看幫助和支持站點，則必須單獨添加 http://support.microsoft.com，因為幫助和支持站點是一個單獨的域。
• Internet Explorer 為“受信任的站點”區(qū)域維護(hù)兩個不同的站點列表。一個列表在啟用增強(qiáng)的安全配置時生效，另一個列表在禁用增強(qiáng)的安全配置時生效。將網(wǎng)頁添加到“受信任的站點”區(qū)域時，只是將該站點添加到當(dāng)前生效的列表中。
• 可以使用通配符添加給定域的所有子域。例如，可以將 *.microsoft.com 添加到列表，這意味著添加了 www.microsoft.com 和 support.microsoft.com。
• 很多 Internet 站點都使用多個域來承載其內(nèi)容。您可能必須將多個域添加到“受信任的站點”區(qū)域，才能擁有某個站點的全部功能。
• 安裝期間，您可以使用 unattend.txt 中的某些設(shè)置一次將多個站點添加到“受信任的站點”區(qū)域。有關(guān)詳細(xì)信息，請參閱 Windows Server2003 產(chǎn)品 CD 上 Deploy.cab 中的自述文件。還可以使用組策略添加和管理多個站點。有關(guān)詳細(xì)信息，請參閱 Microsoft Windows Server2003 部署工具包 (http://go.microsoft.com/fwlink/?LinkID=4298)。

將站點添加到本地 Intranet 區(qū)域

啟用 Internet Explorer 增強(qiáng)的安全配置時，所有 Intranet 站點的安全設(shè)置都設(shè)置為“高”。因此，每次訪問尚未添加到“本地 Intranet”區(qū)域的 Intranet 站點時系統(tǒng)都將提示您提供憑據(jù)（用戶名和密碼）。如果經(jīng)常使用 Intranet 站點并且知道這些站點值得信任，則可以將它們添加到 Internet Explorer 的“本地 Intranet”區(qū)域。

1. 導(dǎo)航到要添加的本地 Intranet 站點。
2. 在狀態(tài)欄上，雙擊安全區(qū)域名稱（如 Internet）以打開“Internet 安全”對話框。
3. 單擊“本地 Intranet”，然后單擊“站點”。
4. 在“本地 Intranet”對話框中，單擊“添加”以將站點添加到列表中，然后單擊“關(guān)閉”。
5. 刷新頁面以從其新區(qū)域查看該站點。
6. 檢查瀏覽器的狀態(tài)欄，以確認(rèn)該站點位于“本地 Intranet”區(qū)域。

注意

• 不要將 Internet 站點添加到“本地 Intranet”區(qū)域，因為這樣會將您的憑據(jù)自動發(fā)送給請求的站點。
• 網(wǎng)頁在一個時刻只能屬于一個區(qū)域。不能將一個頁面既添加到“受信任的站點”區(qū)域，又添加到“本地 Intranet”區(qū)域。
• 增強(qiáng)的安全配置還限制訪問 UNC 路徑上的腳本、可執(zhí)行文件以及其他可能不安全的文件，除非明確將該路徑添加到“本地 Intranet”區(qū)域。例如，如果想訪問 \\server\share\setup.exe，則必須將 \\server 添加到“本地 Intranet”區(qū)域。
• 將網(wǎng)頁添加到“受信任的站點”區(qū)域時，實際上添加的是該網(wǎng)頁的域。因此，也添加該域中的所有頁面。例如，如果將 http://www.microsoft.com/windows/ 添加到“受信任的站點”區(qū)域，則實際上添加的是 http://www.microsoft.com。如果您想之后查看幫助和支持站點，則必須單獨添加 http://support.microsoft.com，因為幫助和支持站點是一個單獨的域。
• Internet Explorer 為“本地 Intranet”區(qū)域維護(hù)兩個不同的站點列表。一個列表在啟用增強(qiáng)的安全配置時生效，另一個列表在禁用增強(qiáng)的安全配置時生效。將網(wǎng)站添加到“本地 Intranet”區(qū)域時，只是將該站點添加到當(dāng)前生效的列表中。
• 安裝期間，您可以使用 unattend.txt 中的某些設(shè)置一次將很多站點添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息，請參閱 Windows Server2003 產(chǎn)品 CD 上 Deploy.cab 中的自述文件。還可以使用組策略添加和管理多個站點。有關(guān)詳細(xì)信息，請參閱 Microsoft Windows Server2003 部署工具包。 (http://go.microsoft.com/fwlink/?LinkID=4298)。

將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到特定用戶

使用 Internet Explorer 增強(qiáng)的安全配置，可以控制允許對服務(wù)器上某些用戶組進(jìn)行 Internet Explorer 訪問的級別。對于 Windows Server2003 和 Windows Server2008，將增強(qiáng)的安全配置應(yīng)用到特定用戶的步驟是不同的。

使用運行 Windows Server2003 的計算機(jī)將增強(qiáng)的安全配置應(yīng)用到特定用戶的步驟

1. 使用是本地 Administrators 組成員的用戶帳戶登錄計算機(jī)。

2. 單擊「開始」，然后單擊“控制面板”。

3. 單擊“添加或刪除程序”，然后單擊“添加/刪除 Windows 組件”。

4. 選中“Internet Explorer 增強(qiáng)的安全配置”復(fù)選框，然后單擊“詳細(xì)信息”。

5. 選擇要應(yīng)用增強(qiáng)的安全配置的用戶組（“Administrators 組”或“所有其他用戶組”），然后單擊“確定”。

6. 單擊“下一步”，然后單擊“完成”。

7. 重新啟動 Internet Explorer 以應(yīng)用增強(qiáng)的安全配置。

使用運行 Windows Server2008 的計算機(jī)將增強(qiáng)的安全配置應(yīng)用到特定用戶的步驟

1. 使用是本地 Administrators 組成員的用戶帳戶登錄計算機(jī)。

2. 單擊「開始」，指向“管理工具”，然后單擊“服務(wù)器管理器”。

3. 如果出現(xiàn)“用戶帳戶控制”對話框，請確認(rèn)所顯示的是您要執(zhí)行的操作，然后單擊“繼續(xù)”。

4. 在“安全信息”下，單擊“配置 IE ESC”。

   備注
   服務(wù)器管理器在它上次關(guān)閉時所使用的同一窗口中打開。如果您看不到“安全信息”部分，請單擊控制臺樹中的“服務(wù)器管理器”。

    

5. 在 Administrators 下，根據(jù)所需的配置單擊“啟用(推薦)”或“禁用”。

6. 在“用戶”下，根據(jù)所需的配置單擊“啟用(推薦)”或“禁用”。

7. 單擊“確定”。

8. 重新啟動 Internet Explorer 以應(yīng)用增強(qiáng)的安全配置。

注意

• 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于 Administrators 組時，會將這些設(shè)置應(yīng)用于管理員。對于 Windows Server2003，當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于“所有其他用戶組”時，會將這些設(shè)置應(yīng)用于除了 Administrators 組之外的所有組。對于 Windows Server2008，當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于“用戶”時，會將這些設(shè)置應(yīng)用于除了 Administrators 組之外的所有組。
• 有關(guān) Internet Explorer 安全區(qū)域的詳細(xì)信息，請參閱“關(guān)于 URL 安全區(qū)域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)（可能為英文網(wǎng)頁）。
• 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于任何用戶組且 Internet Explorer 打開時，必須退出 Internet Explorer 并重新啟動才能使更改生效。

在服務(wù)器上手動應(yīng)用 Internet Explorer 安全設(shè)置

如果不在環(huán)境中使用 Internet Explorer 增強(qiáng)的安全配置，則可以使用 Internet Explorer 中的“Internet 選項”對話框在服務(wù)器上手動應(yīng)用安全設(shè)置。

手動應(yīng)用 Internet Explorer 安全設(shè)置的步驟

1. 打開 Internet Explorer。

2. 單擊“工具”，然后單擊“Internet 選項”。

3. 在“安全”選項卡上，選擇要調(diào)整的區(qū)域：“本地 Intranet”或“受信任的站點”。

   備注
   無法更改 Internet 區(qū)域和“受限制的站點”區(qū)域的安全級別。

    

4. 在“該區(qū)域的安全級別”下，單擊“默認(rèn)級別”以對該區(qū)域使用默認(rèn)的安全級別，或單擊“自定義級別”，然后選擇需要的設(shè)置。

5. 單擊“確定”關(guān)閉“Internet 選項”對話框。

注意

• 對于“受限制的站點”，單擊“自定義級別”，然后單擊“重置為”列表中的某個級別。
• 有關(guān) Internet Explorer 安全區(qū)域的詳細(xì)信息，請參閱“關(guān)于 URL 安全區(qū)域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)（可能為英文網(wǎng)頁）。

從以前版本的 Internet Explorer 升級

升級到更高版本的 Internet Explorer 時，保留以前版本的設(shè)置。如果 Internet Explorer 使用增強(qiáng)的安全配置并且升級到更高版本，則它將繼續(xù)使用增強(qiáng)的安全配置。如果 Internet Explorer 未使用增強(qiáng)的安全配置并升級到更高版本，則在升級期間它不會啟用該功能。

注意

• 在 Internet Explorer 升級期間始終保留瀏覽器自定義。如果 Internet Explorer 使用增強(qiáng)的安全配置并且進(jìn)行了配置更改，則 Internet Explorer 升級將保留該更改。
• 如果刪除某個使用增強(qiáng)的安全配置的 Internet Explorer 版本，則之前的版本將繼續(xù)使用增強(qiáng)的安全配置。當(dāng)刪除不使用增強(qiáng)的安全配置的 Internet Explorer 版本時也是這樣。與 Internet Explorer 升級一樣，在卸載方案中也將保留任何自定義。

瀏覽器安全最佳實踐

使用服務(wù)器進(jìn)行 Internet 瀏覽不符合聲音安全實踐，因為 Internet 瀏覽增加了服務(wù)器暴露在潛在安全攻擊之下的可能性。無論使用什么樣的瀏覽器，都應(yīng)該限制在服務(wù)器上進(jìn)行瀏覽。

若要降低通過基于 Web 的惡意內(nèi)容對服務(wù)器進(jìn)行潛在攻擊的風(fēng)險，請遵循以下原則：

• 不要使用服務(wù)器瀏覽常規(guī) Web 內(nèi)容。
• 使用客戶端計算機(jī)下載驅(qū)動程序、Service Pack 以及其他更新。
• 不要查看無法確認(rèn)是否安全的網(wǎng)站。
• 使用受限制的用戶帳戶而不是管理員帳戶進(jìn)行常規(guī) Web 瀏覽。
• 使用組策略防止未經(jīng)授權(quán)的用戶對瀏覽器安全設(shè)置進(jìn)行不適當(dāng)?shù)母摹?/li>

原文地址

查看更多相關(guān)文章