概述

Internet Explorer 增強的安全配置能夠對您的服務器和 Internet Explorer 進行配置，該配置可降低服務器暴露在通過 Web 內容和應用程序腳本產生的潛在攻擊之下的可能性。因此，一些網站可能無法正常顯示或無法正常執行。

本主題包含下列信息：

• Internet Explorer 安全區域
• 啟用 Internet Explorer 增強的安全配置時如何進行瀏覽
• Internet Explorer 增強的安全配置的影響
  • Internet Explorer 增強的安全配置和終端服務
  • Internet Explorer 增強的安全配置對 Internet Explorer 用戶體驗的影響
• 管理 Internet Explorer 增強的安全配置
  • 將站點添加到受信任的站點區域
  • 將站點添加到本地 Intranet 區域
  • 將 Internet Explorer 增強的安全配置應用到特定用戶
  • 在服務器上手動增強 Internet Explorer 安全設置
  • 從以前的版本升級
• 瀏覽器安全最佳實踐

Internet Explorer 安全區域

在 Internet Explorer 中，可以為其中兩個內置的安全區域“本地 Intranet”區域和“受信任的站點”區域配置安全設置。無法更改 Internet 區域和“受限制的站點”區域的安全設置。

備注
若要更改安全設置，必須以管理員模式打開 Internet Explorer，即使您已經以本地管理員的身份登錄也是如此。若要以管理員模式打開 Internet Explorer，請右鍵單擊 Internet Explorer，然后單擊“以管理員身份運行”。

Internet Explorer 增強的安全配置按照如下方式為這些區域分配安全級別：

• 對于 Internet 區域，安全級別設置為“高”。
• 對于“受信任的站點”區域，安全級別設置為“中”，這允許瀏覽很多 Internet 站點。
• 對于“本地 Intranet”區域，安全級別設置為“中低”，這允許將您的用戶憑據（用戶名和密碼）自動發送給需要它們的站點和應用程序。
• 對于“受限制的站點”區域，安全級別設置為“高”。
• 默認情況下，所有 Internet 和 Intranet 站點均分配到“Internet”區域。Intranet 站點不屬于“本地 Intranet”區域，除非將它們明確添加到此區域中。

啟用 Internet Explorer 增強的安全配置時如何進行瀏覽

增強的安全配置提高了您服務器上的安全級別，但它也會以下列方式影響 Internet 瀏覽：

• 由于 ActiveX 控件和腳本被禁用，因此 Internet 站點可能無法在 Internet Explorer 中正常顯示，使用 Internet 的應用程序也可能無法正常工作。如果您信任某個 Internet 站點并且需要它正常工作，則可以將該站點添加到 Internet Explorer 的“受信任的站點”區域。如果您嘗試瀏覽使用腳本或 ActiveX 控件的 Internet 站點，則 Internet Explorer 將提示您考慮將該站點添加到“受信任的站點”區域。僅當您完全確認站點值得信任并且要添加的 URL 確實正確時，才能將該站點添加到“受信任的站點”區域。有關詳細信息，請參閱將站點添加到受信任的站點區域。
• 對 Intranet 站點的訪問、在本地 Intranet 上運行的基于 Web 的應用程序以及網絡共享上的其他文件都可能受限制。如果您信任某個 Intranet 站點或共享并且需要它正常工作，則可以將其添加到“本地 Intranet”區域。有關詳細信息，請參閱將站點添加到本地 Intranet 區域。

Internet Explorer 增強的安全配置的影響

Internet Explorer 增強的安全配置調整現有安全區域的安全級別。下表介紹每個區域如何受到影響。

增強的安全配置還調整 Internet Explorer 擴展性和安全設置，以便進一步降低暴露在未來可能的安全威脅之下的可能性。這些設置位于 Internet Explorer 中“Internet 選項”對話框的“高級”選項卡上。下表描述了受影響的設置。

這些更改會減少網頁、基于 Web 的應用程序、本地網絡資源和使用瀏覽器顯示幫助、支持及常規用戶協助的應用程序中的功能。

有關使用“本地 Intranet”或“受信任的站點”區域的包含列表的詳細信息，請參閱“管理 Internet Explorer 增強的安全配置”。

Internet Explorer 增強的安全配置已啟用時：

• 將 Microsoft Update 網站添加到“受信任的站點”區域。這允許您繼續獲得有關您操作系統的重要更新。
• 將 Windows 錯誤報告站點添加到“受信任的站點”區域。這允許您報告操作系統遇到的問題并搜索解決方案。
• 將多個本地計算機站點（如 http://localhost、https://localhost 和 hcp://system）添加到“本地 Intranet”區域。這允許應用程序和代碼在本地工作，以便完成常用的管理任務。
• 對于“受信任的站點”區域，將隱私首選項平臺 (P3P) 級別設置為“中”。如果您想更改除 Internet 區域之外的任何區域的 P3P 級別，請轉到“Internet 選項”對話框的“隱私”選項卡，單擊“導入”以應用自定義隱私策略。有關隱私策略的示例，請參閱“如何創建自定義隱私導入文件”(http://go.microsoft.com/fwlink/?LinkId=12939)（可能為英文網頁）。

Internet Explorer 增強的安全配置和終端服務

根據安裝類型，將增強的安全配置應用于不同的用戶帳戶。下表描述了影響用戶的方式。

備注
在進行終端服務的手動安裝期間，系統將提示您禁用用戶的 Internet Explorer 增強的安全配置。這允許用戶毫無限制的運行終端服務器會話。

為了在啟用終端服務時獲得更好的體驗，應該從“用戶”組的成員中刪除“增強的安全配置”。這些用戶對服務器的權限較少，因此受到攻擊時他們的風險級別比較低。有關應用增強的安全配置的詳細信息，請參閱將 Internet Explorer 增強的安全配置應用到特定用戶。

Internet Explorer 增強的安全配置對 Internet Explorer 用戶體驗的影響

下表描述 Internet Explorer 增強的安全配置如何影響每個用戶使用 Internet Explorer 的體驗。

任務	可以由管理員完成	可以由超級用戶完成	可以由受限用戶完成	可以由受限制的用戶完成
啟用或禁用 Internet Explorer 增強的安全配置	是	否	否	否
調整 Internet Explorer 中特殊區域的安全級別	是 備注 只能更改“本地 Intranet”區域和“受信任的站點”區域的安全設置。	是，在運行 Windows Server2003 的計算機上 否，在運行 Windows Server2008 的計算機上	否	否
將站點添加到“受信任的站點”區域	是	是	是	是
將站點添加到“本地 Intranet”區域	是	是	是	是

所有其他 Internet Explorer 任務都可以由所有用戶組完成，除非您選擇進一步限制用戶訪問權限。

管理 Internet Explorer 增強的安全配置

Internet Explorer 增強的安全配置設計用于減少服務器暴露在安全威脅之下的可能性。為了確保盡可能地獲益于增強的安全配置，請考慮以下瀏覽器管理建議：

• 默認情況下，所有 Internet 和 Intranet 站點均分配到“Internet”區域。如果您信任某個 Internet 或 Intranet 站點并且需要該站點正常工作，請將 Internet 站點添加到“受信任的站點”區域，將 Intranet 站點添加到“本地 Intranet”區域。有關每個區域的安全級別的詳細信息，請參閱Internet Explorer 增強的安全配置的影響。
• 如果您想在 Internet 上運行基于瀏覽器的客戶端應用程序，則應該將該應用程序所在的網頁添加到“受信任的站點”區域。有關詳細信息，請參閱將站點添加到受信任的站點區域。
• 如果您想在受保護且安全的本地 Intranet 上運行基于瀏覽器的客戶端應用程序，則應該將該應用程序所在的網頁添加到“本地 Intranet”區域。有關詳細信息，請參閱將站點添加到本地 Intranet 區域。
• 將內部站點和本地服務器添加到“本地 Intranet”區域可確保您可以訪問、運行服務器中的應用程序。
• 作為安裝過程的一部分，使用 unattend.txt 將 Intranet 站點和 UNC 服務器添加到“本地 Intranet”區域包含列表。有關詳細信息，請參閱 Windows Server2003 產品 CD 上 Deploy.cab 中的自述文件。
• 使用客戶端計算機下載驅動程序、Service Pack 以及其他更新。避免從服務器進行任何瀏覽。
• 如果使用磁盤映像在服務器上安裝操作系統，請在基本映像上將信任的 Intranet 站點和 UNC 服務器添加到“本地 Intranet”區域，將信任的 Internet 站點添加到“受信任的站點”區域。然后可以根據不同的服務器類型和需求更改映像上的列表。

將站點添加到受信任的站點區域

在服務器上啟用 Internet Explorer 增強的安全配置時，所有 Internet 站點的安全設置都設置為“高”。如果您信任某個網頁并且需要它正常工作，則可以將該網頁添加到 Internet Explorer 的“受信任的站點”區域。

1. 導航到要添加的站點。
2. 在狀態欄上，雙擊安全區域名稱（如 Internet）以打開“Internet 安全”對話框。
3. 單擊“受信任的站點”，然后單擊“站點”。
4. 在“受信任的站點”對話框中，單擊“添加”以將站點添加到列表中，然后單擊“關閉”。
5. 刷新頁面以從其新區域查看該站點。
6. 檢查瀏覽器的狀態欄，以確認該站點位于“受信任的站點”區域。

注意

• 如果 Internet 站點嘗試使用腳本或 ActiveX 控件，則會出現一個對話框提示您將此 Internet 站點添加到“受信任的站點”區域。如果您禁用了該對話框，則可以在 Internet Explorer 中重新啟用。在“工具”菜單上，單擊“Internet 選項”。在“高級”選項卡上，選擇“顯示增強的安全配置對話框”。
• 網頁在一個時刻只能屬于一個區域。不能將一個頁面既添加到“受信任的站點”區域，又添加到“本地 Intranet”區域。
• 將網頁添加到“受信任的站點”區域時，實際上添加的是該網頁的域。因此，也添加該域中的所有頁面。例如，如果將 http://www.microsoft.com/windows/ 添加到“受信任的站點”區域，則實際上添加的是 http://www.microsoft.com。如果您想之后查看幫助和支持站點，則必須單獨添加 http://support.microsoft.com，因為幫助和支持站點是一個單獨的域。
• Internet Explorer 為“受信任的站點”區域維護兩個不同的站點列表。一個列表在啟用增強的安全配置時生效，另一個列表在禁用增強的安全配置時生效。將網頁添加到“受信任的站點”區域時，只是將該站點添加到當前生效的列表中。
• 可以使用通配符添加給定域的所有子域。例如，可以將 *.microsoft.com 添加到列表，這意味著添加了 www.microsoft.com 和 support.microsoft.com。
• 很多 Internet 站點都使用多個域來承載其內容。您可能必須將多個域添加到“受信任的站點”區域，才能擁有某個站點的全部功能。
• 安裝期間，您可以使用 unattend.txt 中的某些設置一次將多個站點添加到“受信任的站點”區域。有關詳細信息，請參閱 Windows Server2003 產品 CD 上 Deploy.cab 中的自述文件。還可以使用組策略添加和管理多個站點。有關詳細信息，請參閱 Microsoft Windows Server2003 部署工具包 (http://go.microsoft.com/fwlink/?LinkID=4298)。

將站點添加到本地 Intranet 區域

啟用 Internet Explorer 增強的安全配置時，所有 Intranet 站點的安全設置都設置為“高”。因此，每次訪問尚未添加到“本地 Intranet”區域的 Intranet 站點時系統都將提示您提供憑據（用戶名和密碼）。如果經常使用 Intranet 站點并且知道這些站點值得信任，則可以將它們添加到 Internet Explorer 的“本地 Intranet”區域。

1. 導航到要添加的本地 Intranet 站點。
2. 在狀態欄上，雙擊安全區域名稱（如 Internet）以打開“Internet 安全”對話框。
3. 單擊“本地 Intranet”，然后單擊“站點”。
4. 在“本地 Intranet”對話框中，單擊“添加”以將站點添加到列表中，然后單擊“關閉”。
5. 刷新頁面以從其新區域查看該站點。
6. 檢查瀏覽器的狀態欄，以確認該站點位于“本地 Intranet”區域。

注意

• 不要將 Internet 站點添加到“本地 Intranet”區域，因為這樣會將您的憑據自動發送給請求的站點。
• 網頁在一個時刻只能屬于一個區域。不能將一個頁面既添加到“受信任的站點”區域，又添加到“本地 Intranet”區域。
• 增強的安全配置還限制訪問 UNC 路徑上的腳本、可執行文件以及其他可能不安全的文件，除非明確將該路徑添加到“本地 Intranet”區域。例如，如果想訪問 \\server\share\setup.exe，則必須將 \\server 添加到“本地 Intranet”區域。
• 將網頁添加到“受信任的站點”區域時，實際上添加的是該網頁的域。因此，也添加該域中的所有頁面。例如，如果將 http://www.microsoft.com/windows/ 添加到“受信任的站點”區域，則實際上添加的是 http://www.microsoft.com。如果您想之后查看幫助和支持站點，則必須單獨添加 http://support.microsoft.com，因為幫助和支持站點是一個單獨的域。
• Internet Explorer 為“本地 Intranet”區域維護兩個不同的站點列表。一個列表在啟用增強的安全配置時生效，另一個列表在禁用增強的安全配置時生效。將網站添加到“本地 Intranet”區域時，只是將該站點添加到當前生效的列表中。
• 安裝期間，您可以使用 unattend.txt 中的某些設置一次將很多站點添加到“本地 Intranet”區域。有關詳細信息，請參閱 Windows Server2003 產品 CD 上 Deploy.cab 中的自述文件。還可以使用組策略添加和管理多個站點。有關詳細信息，請參閱 Microsoft Windows Server2003 部署工具包。 (http://go.microsoft.com/fwlink/?LinkID=4298)。

將 Internet Explorer 增強的安全配置應用到特定用戶

使用 Internet Explorer 增強的安全配置，可以控制允許對服務器上某些用戶組進行 Internet Explorer 訪問的級別。對于 Windows Server2003 和 Windows Server2008，將增強的安全配置應用到特定用戶的步驟是不同的。

使用運行 Windows Server2003 的計算機將增強的安全配置應用到特定用戶的步驟

1. 使用是本地 Administrators 組成員的用戶帳戶登錄計算機。

2. 單擊「開始」，然后單擊“控制面板”。

3. 單擊“添加或刪除程序”，然后單擊“添加/刪除 Windows 組件”。

4. 選中“Internet Explorer 增強的安全配置”復選框，然后單擊“詳細信息”。

5. 選擇要應用增強的安全配置的用戶組（“Administrators 組”或“所有其他用戶組”），然后單擊“確定”。

6. 單擊“下一步”，然后單擊“完成”。

7. 重新啟動 Internet Explorer 以應用增強的安全配置。

使用運行 Windows Server2008 的計算機將增強的安全配置應用到特定用戶的步驟

1. 使用是本地 Administrators 組成員的用戶帳戶登錄計算機。

2. 單擊「開始」，指向“管理工具”，然后單擊“服務器管理器”。

3. 如果出現“用戶帳戶控制”對話框，請確認所顯示的是您要執行的操作，然后單擊“繼續”。

4. 在“安全信息”下，單擊“配置 IE ESC”。

   備注
   服務器管理器在它上次關閉時所使用的同一窗口中打開。如果您看不到“安全信息”部分，請單擊控制臺樹中的“服務器管理器”。

    

5. 在 Administrators 下，根據所需的配置單擊“啟用(推薦)”或“禁用”。

6. 在“用戶”下，根據所需的配置單擊“啟用(推薦)”或“禁用”。

7. 單擊“確定”。

8. 重新啟動 Internet Explorer 以應用增強的安全配置。

注意

• 當將 Internet Explorer 增強的安全配置應用于 Administrators 組時，會將這些設置應用于管理員。對于 Windows Server2003，當將 Internet Explorer 增強的安全配置應用于“所有其他用戶組”時，會將這些設置應用于除了 Administrators 組之外的所有組。對于 Windows Server2008，當將 Internet Explorer 增強的安全配置應用于“用戶”時，會將這些設置應用于除了 Administrators 組之外的所有組。
• 有關 Internet Explorer 安全區域的詳細信息，請參閱“關于 URL 安全區域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)（可能為英文網頁）。
• 當將 Internet Explorer 增強的安全配置應用于任何用戶組且 Internet Explorer 打開時，必須退出 Internet Explorer 并重新啟動才能使更改生效。

在服務器上手動應用 Internet Explorer 安全設置

如果不在環境中使用 Internet Explorer 增強的安全配置，則可以使用 Internet Explorer 中的“Internet 選項”對話框在服務器上手動應用安全設置。

手動應用 Internet Explorer 安全設置的步驟

1. 打開 Internet Explorer。

2. 單擊“工具”，然后單擊“Internet 選項”。

3. 在“安全”選項卡上，選擇要調整的區域：“本地 Intranet”或“受信任的站點”。

   備注
   無法更改 Internet 區域和“受限制的站點”區域的安全級別。

    

4. 在“該區域的安全級別”下，單擊“默認級別”以對該區域使用默認的安全級別，或單擊“自定義級別”，然后選擇需要的設置。

5. 單擊“確定”關閉“Internet 選項”對話框。

注意

• 對于“受限制的站點”，單擊“自定義級別”，然后單擊“重置為”列表中的某個級別。
• 有關 Internet Explorer 安全區域的詳細信息，請參閱“關于 URL 安全區域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)（可能為英文網頁）。

從以前版本的 Internet Explorer 升級

升級到更高版本的 Internet Explorer 時，保留以前版本的設置。如果 Internet Explorer 使用增強的安全配置并且升級到更高版本，則它將繼續使用增強的安全配置。如果 Internet Explorer 未使用增強的安全配置并升級到更高版本，則在升級期間它不會啟用該功能。

注意

• 在 Internet Explorer 升級期間始終保留瀏覽器自定義。如果 Internet Explorer 使用增強的安全配置并且進行了配置更改，則 Internet Explorer 升級將保留該更改。
• 如果刪除某個使用增強的安全配置的 Internet Explorer 版本，則之前的版本將繼續使用增強的安全配置。當刪除不使用增強的安全配置的 Internet Explorer 版本時也是這樣。與 Internet Explorer 升級一樣，在卸載方案中也將保留任何自定義。

瀏覽器安全最佳實踐

使用服務器進行 Internet 瀏覽不符合聲音安全實踐，因為 Internet 瀏覽增加了服務器暴露在潛在安全攻擊之下的可能性。無論使用什么樣的瀏覽器，都應該限制在服務器上進行瀏覽。

若要降低通過基于 Web 的惡意內容對服務器進行潛在攻擊的風險，請遵循以下原則：

• 不要使用服務器瀏覽常規 Web 內容。
• 使用客戶端計算機下載驅動程序、Service Pack 以及其他更新。
• 不要查看無法確認是否安全的網站。
• 使用受限制的用戶帳戶而不是管理員帳戶進行常規 Web 瀏覽。
• 使用組策略防止未經授權的用戶對瀏覽器安全設置進行不適當的更改。

原文地址

查看更多相關文章