IE增强的安全配置精.docx
- 文档编号:29593792
- 上传时间:2023-07-25
- 格式:DOCX
- 页数:17
- 大小:24.35KB
IE增强的安全配置精.docx
《IE增强的安全配置精.docx》由会员分享,可在线阅读,更多相关《IE增强的安全配置精.docx(17页珍藏版)》请在冰豆网上搜索。
IE增强的安全配置精
IντερνετEξπλορερ增强的安全配置改变了浏览体验
默认情况下,WindowsServer2003启用了InternetExplorer增强的安全配置。
在启动MicrosoftInternetExplorer时,将收到下面的消息:
当前在您的服务器上启用了MicrosoftInternetExplorer的增强的安全配置。
此增强的安全级别降低了来自基于Web的不安全内容攻击的风险,但同时也可能会使网站不能显示正确的内容,并且不能访问网络资源。
InternetExplorer增强的安全配置为服务器和MicrosoftInternetExplorer建立了一种配置,可以减少服务器遭受潜在的、可通过Web内容和应用程序脚本进行的攻击的可能性。
因此,某些网站可能无法正常显示或执行操作。
本文介绍WindowsServer2003中InternetExplorer增强的安全配置的效果。
回到顶端
更多信息
InternetExplorer增强的安全配置可建立一些安全设置,以定义用户浏览Internet和Intranet网站的方式。
这些设置还减少了服务器遭受来自可能存在安全风险的网站的攻击的可能性。
此增强级别的安全性可能使网站无法在InternetExplorer中正常显示,并可能限制对网络资源(如统一命名约定(UNC共享文件夹中的文件)的访问。
如果希望查看的网站需要已禁用的InternetExplorer功能,则可以将该网站添加到“本地Intranet”或“受信任的站点”区域的包含列表中。
回到顶端
InternetExplorer安全区域
在InternetExplorer中,可以为数个内置的安全区域配置安全设置:
“Internet”区域、“本地Intranet”区域、“受信任的站点”区域和“受限制的站点”区域。
InternetExplorer增强的安全配置按如下方式向这些区域分配安全级别:
∙对于“Internet”区域,将安全级别设置为“高”。
∙对于“受信任的站点”区域,将安全级别设置为“中”。
此级别允许浏览许多Internet站点。
∙对于“本地Intranet”区域,将安全级别设置为“中低”。
此级别允许将用户凭据(名称和密码)自动传递到需要它们的站点和应用程序。
∙对于“受限制的站点”区域,将安全级别设置为“高”。
∙默认情况下,将所有Internet和Intranet站点都指定到“Internet”区域。
除非将Intranet站点明确添加到“本地Intranet”区域,否则这些站点不属于该区域。
回到顶端
如何在启用InternetExplorer增强的安全配置的情况下进行浏览
InternetExplorer增强的安全配置提高了服务器的安全级别。
但是,它还可能以下面几种方式影响Internet浏览:
∙由于禁用了ActiveX控件和脚本,因此Internet站点可能无法在InternetExplorer中按预期方式显示,并且使用Internet的应用程序可能无法正常工作。
如果信任某个Internet站点并需要其完全正常工作,则可以将该站点添加到InternetExplorer中的“受信任的站点”区域。
如果试图查看使用脚本或ActiveX控件的Internet站点,会收到下面的消息:
下面列出的网站内容被InternetExplorer增强的安全配置堵塞。
如果您信任此网站,您可以通过把此站点添加到信任的站点区域中来降低它的安全设置。
如果您知道此网站在您的本地Intranet上,则参照帮助中的如何在本地Intranet上添加站点的说明。
Microsoft建议,仅当您完全确信某站点可以信赖并且URL正确时,才可以将其添加到“受信任的站点”区域。
注意:
将网站添加到“受信任的站点”区域会对包括InternetExplorer在内的所有应用程序降低来自该网站的所有内容的安全设置级别。
有关如何将网站添加到“受信任的站点”区域的更多信息,请参阅本文中的“将站点添加到‘受信任的站点’区域”一节。
∙可能限制对Intranet站点、在本地Intranet中运行的基于Web的应用程序以及共享网络资源上其他文件的访问。
如果您信任某个Intranet站点或共享文件夹并且需要其正常工作,可以将它添加到“本地Intranet”区域。
有关如何操作的更多信息,请参阅本文中的“将站点添加到‘本地Intranet’区域”一节。
回到顶端
InternetExplorer增强的安全配置的效果
InternetExplorer增强的安全配置对现有安全区域的安全级别进行调整。
下表描述每个区域如何受影响:
区域
安全级别
结果
“Internet”区域
高
“Internet”区域与“受限制的站点”区域具有相同的安全设置。
默认情况下,将所有Internet和Intranet站点指定到此区域。
网页可能无法在InternetExplorer中按预期方式显示,并且需要浏览器的应用程序可能无法正常工作,原因是脚本、ActiveX控件、用于HTML内容的Microsoft虚拟机(MicrosoftVM和文件下载已经被禁用。
如果您信任某个Internet站点并需要其正常工作,可将该站点添加到InternetExplorer中“受信任的站点”区域。
有关如何操作的更多信息,请参阅本文中的“将站点添加到‘受信任的站点’区域”一节。
“本地Intranet”区域
中低
除非将统一命名约定(UNC共享文件夹明确添加到“本地Intranet”区域,否则会限制对该共享文件夹上的脚本、可执行文件和其他文件的访问。
有关更多信息,请参阅本文中的“将站点添加到‘本地Intranet’区域”一节。
访问Intranet站点时,由于使用了增强的安全配置,系统可能反复提示您输入凭据(用户名和密码)。
在过去,InternetExplorer会自动将凭据传递到Intranet站点。
增强的安全配置禁用自动检测Intranet站点的功能。
如果希望将凭据自动传递到某些Intranet站点,请将这些站点添加到“本地Intranet”区域。
有关如何操作的更多信息,请参阅本文中的“将站点添加到‘本地Intranet’区域”一节。
不要将Internet站点添加到“本地Intranet”区域,否则会在请求您的凭据时自动将其传递到该Internet站点。
“受信任的站点”区域
中
此区域用于信任其内容的Internet站点。
有关更多信息,请参阅本文中的“将站点添加到‘受信任的站点’区域”一节。
“受限制的站点”区域
高
此区域包含您不信任的站点,例如在您试图从中下载或运行文件时可能破坏您的计算机或数据的站点。
InternetExplorer增强的安全配置还调整InternetExplorer的可扩展性和安全设置,以减少未来可能出现的安全威胁。
这些设置位于“控制面板”中“Internet选项”的“高级”选项卡上。
下表描述了这些设置:
功能
条目
新设置
结果
浏览
显示“增强的安全配置”对话框。
开
在Internet站点试图使用脚本或ActiveX控件时,显示对话框进行通知。
浏览
启用浏览器扩展。
关
禁用所安装以便与InternetExplorer一起使用的、由Microsoft之外的公司创建的功能。
浏览
启用“按需安装”功能(InternetExplorer。
关
禁止在网页需要时按需安装InternetExplorer组件。
浏览
启用“按需安装”功能(其他)。
关
禁止在网页需要时按需安装Web组件。
MicrosoftVM
启用虚拟机的实时(JIT编译器(需要重新启动)。
关
禁用MicrosoftVM编译器。
多媒体
不在媒体栏中显示联机内容。
开
禁止在InternetExplorer媒体栏中播放媒体内容。
多媒体
播放网页中的声音。
关
禁用音乐和其他声音。
多媒体
播放网页中的动画。
关
禁用动画。
多媒体
播放网页中的视频。
关
禁用视频剪辑。
安全
检查服务器证书吊销(需要重新启动)。
开
在将网站的证书视为有效前,对其进行自动检查,以查看是否已吊销该证书。
安全
检查所下载程序的签名。
开
自动验证并显示所下载程序的标识。
安全
不将加密的页面存入硬盘。
开
禁止在TemporaryInternetFiles文件夹中保存受保护的信息。
安全
关闭浏览器时清空TemporaryInternetFiles文件夹。
开
在关闭浏览器时自动清除TemporaryInternetFiles文件夹。
这些更改会减少网页、基于Web的应用程序、本地网络资源以及使用浏览器显示联机帮助、支持和常规用户协助的应用程序中的功能。
有关使用“本地Intranet”或“受信任的站点”区域的包含列表的更多信息,请参阅本文中的“管理InternetExplorer增强的安全配置”一节。
当启用InternetExplorer增强的安全配置时,将配置下列附加设置:
∙将WindowsUpdate网站添加到“受信任的站点”区域。
这允许您继续接收操作系统的重要更新。
∙将Windows错误报告站点添加到“受信任的站点”区域。
这允许您报告使用操作系统时所遇到的问题并搜索修补程序。
∙将数个本地计算机站点(如http:
//localhost、https:
//localhost和hcp:
//system)添加到“本地Intranet”区域。
这允许应用程序和代码在本地运行,以便您可以完成常见的管理任务。
∙对于“受信任的站点”区域,将“P3P(PlatformforPrivacyPreferences”级别设置为“中”。
如果希望对“Internet”区域之外的任何区域更改P3P级别,请单击“控制面板”中“Internet选项”的“隐私”选项卡,然后单击“导入”以应用自定义隐私策略。
对于其他隐私策略示例,请访问下面的MicrosoftMSDNLibrary网站:
InternetExplorer增强的安全配置和终端服务
增强的安全配置根据安装类型的不同而适用于不同的用户帐户。
下表描述用户如何受影响:
安装类型
增强的安全配置适用于
管理员?
超级用户?
有限用户?
受限用户?
升级操作系统
是
是
否
否
以“无人参与”模式安装操作系统
是
是
否
否
手动安装终端服务
是
是
是**
是**
**在手动安装终端服务的过程中,系统将提示您为用户禁用“InternetExplorer增强的安全配置”。
这允许用户不受限制地运行终端服务会话。
要在启用终端服务时获得更好的体验,最好从用户组的成员中删除增强的安全配置。
这些用户在服务器上具有较少的权限,因此他们在遭受攻击时只会带来较低级别的风险。
有关应用增强的安全配置的更多信息,请参阅本文中的“将InternetExplorer增强的安全配置应用到特定用户”一节。
InternetExplorer增强的安全配置对InternetExplorer用户体验的影响
下表描述InternetExplorer增强的安全配置如何影响每个用户使用InternetExplorer时的体验:
任务
是否可以由以下用户完成
管理员?
超级用户?
有限用户?
受限用户?
打开/关闭IντερνετEξπλορερ增强的安全配置
是
否
否
否
调整IντερνετEξπλορερ中特定区域的安全级别
是
是
否
否
将站点添加到受信任的站点区域
是
是
是
是
将站点添加到本地Iντρανετ区域
是
是
是
是
除非服务器管理员另外限制用户访问权限,否则其他所有InternetExplorer任务都可以由所有用户组完成。
回到顶端
管理InternetExplorer增强的安全配置
InternetExplorer增强的安全配置用于减少服务器遭受安全威胁的风险。
要确保从增强的安全配置中获得最大好处,请考虑下面这些浏览器管理建议:
∙默认情况下,将所有Internet和Intranet站点都指定到“Internet”区域。
如果信任某个Internet或Intranet站点并需要其正常工作,则将该Internet站点添加到“受信任的站点”区域;或者,如果它是Intranet站点,则将其添加到“本地Intranet”区域。
有关每个区域的安全级别的更多信息,请参阅本文中的“InternetExplorer增强的安全配置的效果”一节。
∙如果希望通过Internet运行基于浏览器的客户端应用程序,最好的做法是将承载该应用程序的网页添加到“受信任的站点”区域。
有关如何操作的更多信息,请参阅本文中的“将站点添加到“受信任的站点”区域”一节。
∙如果希望通过受保护的、安全的本地Intranet运行基于浏览器的客户端应用程序,最好的做法是将承载该应用程序的网页添加到“本地Intranet”区域。
有关如何操作的更多信息,请参阅本文中的“将站点添加到‘本地Intranet’区域”一节。
∙将内部站点和本地服务器添加到“本地Intranet”区域,以确保对应用程序具有访问权限并可以从您的服务器运行这些应用程序。
∙作为安装过程的一部分,请使用Unattend.txt将Intranet站点和UNC服务器添加到“本地Intranet”区域包含列表中。
有关如何操作的更多信息,请参阅Windows产品CD上Deploy.cab中的自述文件。
∙使用客户端计算机下载文件(如驱动程序和ServicePack),并避免在服务器上浏览。
∙如果使用磁盘映像在服务器上安装操作系统,则在基本映像中,将所信任的Intranet站点和UNC服务器添加到“本地Intranet”区域,并将所信任的Internet站点添加到“受信任的站点”区域。
然后即可相对于不同服务器类型和要求,更改映像列表。
将站点添加到受信任的站点区域
当您的服务器上启用了InternetExplorer增强的安全配置时,会将所有Internet站点的安全设置设为“高”。
如果您信任某个网页并需要其正常工作,则可将其添加到InternetExplorer中的“受信任的站点”区域。
为此,请按照下列步骤操作:
1.访问要添加的站点。
o如果已经在查看要添加的站点,请转到步骤2。
o如果知道要添加的站点的URL,请启动InternetExplorer,在“地址”栏中键入该站点的URL,然后等待加载此站点。
2.在“文件”菜单上,单击“将此站点添加至”,然后单击“受信任的站点区域”。
3.在“受信任的站点”对话框中,单击“添加”将该站点移入列表,然后单击“关闭”。
4.刷新页面以从其新区域中查看此站点。
5.检查浏览器的状态栏以确认此站点是否位于“受信任的站点”区域中。
注意
∙如果Internet站点试图使用脚本或ActiveX控件,则会出现对话框以便通知您。
可直接在此对话框中将该Internet站点添加到“受信任的站点”区域。
如果已禁用此对话框,可在InternetExplorer中重新启用它。
在“工具”菜单上,单击“Internet选项”。
在“高级”选项卡上,选择“显示增强的安全配置对话框”。
∙一个网页同时只能属于一个区域。
无法将一个页面同时添加到“受信任的站点”区域和“本地Intranet”区域。
∙在将网页添加到“受信任的站点”区域时,所添加的是该页的域。
因此,也就同时添加了该域中的所有页。
例如,如果将ηττπ:
//ωωω.μιχροσοφτ.χομ/ωινδοωσξπ/εξπερτζονε/ 添加到您的“受信任的站点”区域,同时还会添加。
如果要在随后查看Windows帮助和支持站点,则必须单独添加ηττπ:
//συππορτ.μιχροσοφτ.χομ,因为Windows帮助和支持站点位于单独的域中。
∙InternetExplorer维护着两个不同的“受信任的站点”区域的站点列表。
启用增强的安全配置时,其中一个列表将生效;禁用增强的安全配置时,另一个列表将生效。
将网页添加到“受信任的站点”区域时,只是将其添加到当前生效的列表中。
∙可以使用通配符来添加特定域的所有子域。
例如,可以将 *.μιχροσοφτ.χομ 添加到列表中。
这会添加 和。
∙许多Internet站点使用一个以上的域来承载其内容。
可能必须将多个域添加到“受信任的站点”区域,才能获得一个站点的全部功能。
∙在安装过程中,可使用Unattend.txt中的某些设置,一次性地将许多站点添加到“受信任的站点”区域。
有关如何操作的更多信息,请参阅Windows产品CD上Deploy.cab中的自述文件。
还可以使用“组策略”来添加和管理多个站点。
有关如何操作的更多信息,请参阅MicrosoftWindowsServer2003部署工具包。
将站点添加到“本地Intranet”区域
当启用了InternetExplorer增强的安全配置时,会将所有Intranet站点的安全设置设为“高”。
因此,每次访问尚未添加到“本地Intranet”区域的Intranet站点时,系统都会提示您输入凭据(用户名和密码)。
如果经常使用Intranet站点并且知道这些站点可靠,则可以将其添加到InternetExplorer中的“本地Intranet区域”。
为此,请按照下列步骤操作:
1.访问要添加的站点。
o如果已经在查看要添加的站点,请转到步骤2。
o如果知道要添加的站点的URL,请启动InternetExplorer,在“地址”栏中键入该站点的URL,然后等待加载此站点。
2.在“文件”菜单上,单击“将此站点添加至”,然后单击“本地Intranet区域”。
3.在“本地Intranet”对话框中,单击“添加”将此站点移入列表,然后单击“关闭”。
4.刷新页面以从其新区域中查看此站点。
5.检查浏览器的状态栏以确认站点是否位于“本地Intranet”区域中。
注意
∙不要将Internet站点添加到“本地Intranet”区域,否则会在请求凭据时将凭据自动传递到该Internet站点。
∙一个网页同时只能属于一个区域。
无法将一个页面同时添加到“受信任的站点”区域和“本地Intranet”区域。
∙除非将UNC路径明确添加到“本地Intranet”区域,否则增强的安全配置还会限制对该UNC路径上的脚本、可执行文件和其他可能不安全文件的访问。
例如,如果要访问\\server\share\setup.exe,则必须将 \\server 添加到“本地Intranet”区域。
∙在将网页添加到“本地Intranet”区域时,所添加的是该页的域。
因此,也就同时添加了该域中的所有页。
例如,如果将http:
//YourIntranetServer/SubWeb 添加到“本地Intranet”区域,则添加的是http:
//YourIntranetServer。
∙InternetExplorer维护着两个不同的“本地Intranet”区域的站点列表。
启用增强的安全配置时,其中一个列表将生效;禁用增强的安全配置时,另一个列表将生效。
将网页添加到“本地Intranet”区域时,只是将其添加到当前生效的列表中。
∙在安装过程中,可使用Unattend.txt中的某些设置,一次性地将许多站点添加到“本地Intranet”区域。
有关如何操作的更多信息,请参阅Windows产品CD上Deploy.cab中的自述文件。
还可以使用“组策略”来添加和管理多个站点。
有关更多信息,请参阅MιχροσοφτΩινδοωσ∑ερϖερ2003部署工具包。
将InternetExplorer增强的安全配置应用到特定用户
可以使用InternetExplorer增强的安全配置控制服务器上允许某些用户组具有的InternetExplorer访问级别。
为此,请按照下列步骤操作:
1.打开“控制面板”,单击“添加或删除程序”,然后单击“添加/删除Windows组件”。
2.选择“InternetExplorer增强的安全配置”,然后单击“详细信息”。
3.单击以选中要向其应用增强的安全配置的用户或组所对应的复选框:
“用于管理员组”和/或“用于所有其他组”,然后单击“确定”。
4.单击“下一步”,然后单击“完成”。
5.重新启动InternetExplorer以应用增强的安全设置。
注意
∙在将InternetExplorer增强的安全配置应用到管理员组时,这些设置将同时应用于管理员和超级用户。
在将InternetExplorer增强的安全配置应用于用户组时,这些设置将同时应用于有限用户和受限用户。
∙有关InternetExplorer安全区域的最新信息,请访问下面的MicrosoftMSDNLibrary网站:
应用Windows2000的默认InternetExplorer安全设置
如果在您的服务器上启用了InternetExplorer增强的安全配置,则可以使用由Windows2000使用的默认InternetExplorer安全设置。
为此,请按照下列步骤操作:
1.打开“控制面板”,单击“添加或删除程序”,然后单击“添加/删除Windows组件”。
2.选择“InternetExplorer增强的安全配置”,单击以清除选择,然后单击“确定”。
3.单击“下一步”,然后单击“完成”。
4.重新启动IντερνετEξπλορερ以应用这
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IE 增强 安全 配置