什么是Internet Explorer 增強(qiáng)的安全配置？

簡單的說就是在你訪問一個未標(biāo)記為信任的網(wǎng)站的時候給你彈出一個提示，如下圖：

如果你認(rèn)為這個網(wǎng)站是可信任的，就點(diǎn)擊“添加”按鈕，把它添加到信任區(qū)，這樣就可以訪問了，否則的話就不能訪問，

類似于防火墻，只是它主要是針對網(wǎng)址進(jìn)行過慮，不在信任區(qū)的網(wǎng)址都無法訪問，從而有效的避免來自惡意網(wǎng)站的攻擊。

但有個前提條件，你得知道哪個網(wǎng)址是安全的才行，對于大多數(shù)人來說，哪里知道到底安不安全啊！

再說了，即使網(wǎng)址是安全的，也不能保證內(nèi)容一定是安全的，萬一被黑了呢！

所以說個人感覺還是形同虛設(shè)，反而操作起來比較麻煩！

如何關(guān)閉Internet Explorer 增強(qiáng)的安全配置？

開始菜單》管理工具》服務(wù)器管理

服務(wù)器管理首頁》配置IE ESC，在打開的對話框中選擇禁用，確定。

OK，重新打開瀏覽器就可以了。

點(diǎn)擊“了解有關(guān)Internet Explorer 增強(qiáng)的安全配置的更多信息”可以看到以下官方內(nèi)容：

Internet Explorer 增強(qiáng)的安全配置使服務(wù)器和 Microsoft Internet Explorer 處于這樣一種配置中: 減少服務(wù)器對那些可通過 Web 內(nèi)容和應(yīng)用程序腳本產(chǎn)生的潛在攻擊的暴露。因此，某些網(wǎng)站可能無法按預(yù)期顯示或執(zhí)行。

有關(guān)詳細(xì)信息，請參閱以下內(nèi)容:

• Internet Explorer 安全區(qū)域
• 啟用 Internet Explorer 增強(qiáng)的安全配置時如何進(jìn)行瀏覽
• Internet Explorer 增強(qiáng)的安全配置的效果
  • 關(guān)于對 Internet Explorer 用戶體驗(yàn)的 Internet Explorer 增強(qiáng)的安全配置的效果
• 管理 Internet Explorer 增強(qiáng)的安全配置
  • 將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域
  • 將站點(diǎn)添加到本地 Intranet 區(qū)域
  • 將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到特定用戶
  • 在服務(wù)器上手動增強(qiáng) Internet Explorer 安全設(shè)置
• 瀏覽器安全 - 最佳操作

Internet Explorer 安全區(qū)域

在 Internet Explorer 中，可以配置下列幾個內(nèi)置安全區(qū)域的安全設(shè)置: Internet 區(qū)域、本地 Intranet 區(qū)域、受信任站點(diǎn)區(qū)域和受限制的站點(diǎn)區(qū)域。Internet Explorer 增強(qiáng)的安全配置為這些區(qū)域分配的安全級別如下所示:

• 對于 Internet 區(qū)域，將安全級別設(shè)置為“高”。
• 對于受信任的站點(diǎn)區(qū)域，將安全級別設(shè)置為“中”，這將允許瀏覽許多 Internet 站點(diǎn)。
• 對于本地 Intranet 區(qū)域，將安全級別設(shè)置為“中低”，這將允許用戶憑據(jù)(名稱和密碼)自動傳遞到需要它們的站點(diǎn)和應(yīng)用程序。
• 對于受限制的站點(diǎn)區(qū)域，將安全級別設(shè)置為“高”。
• 默認(rèn)情況下，將所有 Internet 和 Intranet 站點(diǎn)都分配到 Internet 區(qū)域。如果未將 Intranet 站點(diǎn)顯式加入本地 Intranet 區(qū)域，則其不是此區(qū)域的一部分。

返回頁首

啟用 Internet Explorer 增強(qiáng)的安全配置時如何進(jìn)行瀏覽

增強(qiáng)的安全配置提高服務(wù)器上的安全級別，但也可能以如下方式影響 Internet 瀏覽:

• 由于已禁用 ActiveX 控件和腳本，所以 Internet 站點(diǎn)可能在 Internet Explorer 中不能按要求顯示，并且使用 Internet 的應(yīng)用程序可能不能正確運(yùn)行。如果信任某個 Internet 站點(diǎn)并且需要讓其正常運(yùn)行，則可在 Internet Explorer 中將該站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。如果嘗試瀏覽某個使用腳本或 Active X 控件的 Internet 站點(diǎn)，則 Internet Explorer 將提示您考慮將該站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。僅當(dāng)您完全確信該站點(diǎn)可信，并且要添加的 URL 確實(shí)正確時，才應(yīng)將其添加到受信任的站點(diǎn)區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。
• 對 Intranet 站點(diǎn)、在本地 Intranet 上運(yùn)行的基于 Web 的應(yīng)用程序以及網(wǎng)絡(luò)共享上的其他文件的訪問可能受到限制。如果信任某個 Intranet 站點(diǎn)或共享，并需要讓其正常運(yùn)行，則可將其添加到本地 Intranet 區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。

返回頁首

Internet Explorer 增強(qiáng)的安全配置的效果

Internet Explorer 增強(qiáng)的安全配置可調(diào)整現(xiàn)有安全區(qū)域的安全級別。下表描述如何影響每個區(qū)域。

增強(qiáng)的安全配置還能調(diào)整 Internet Explorer 擴(kuò)展性和安全設(shè)置，從而進(jìn)一步減少將來暴露于安全威脅的可能性?？稍凇翱刂泼姘濉钡摹癐nternet 選項(xiàng)”中的“高級”選項(xiàng)卡上找到這些設(shè)置。下表描述了受影響的設(shè)置。

這些更改降低網(wǎng)頁、基于 Web 的應(yīng)用程序、本地網(wǎng)絡(luò)資源以及使用瀏覽器顯示聯(lián)機(jī)幫助、支持和常規(guī)用戶協(xié)助的應(yīng)用程序中的功能。

有關(guān)使用本地 Intranet 或受信任的站點(diǎn)區(qū)域的包含列表的詳細(xì)信息，請參閱管理 Internet Explorer 增強(qiáng)的安全配置。

啟用 Internet Explorer 增強(qiáng)的安全配置時:

• 將 Windows Update 網(wǎng)站添加到受信任的站點(diǎn) 區(qū)域。這將允許您繼續(xù)獲取操作系統(tǒng)的重要更新。
• 將 Windows 錯誤報(bào)告站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。這將允許您報(bào)告操作系統(tǒng)所遇到的問題，并搜索修復(fù)程序。
• 將幾個本地計(jì)算機(jī)站點(diǎn)(例如 http://localhost、https://localhost、hcp://system)添加到本地 Intranet 區(qū)域。這將允許應(yīng)用程序和代碼在本地工作以便完成一般管理任務(wù)。
• 對于受信任的站點(diǎn)區(qū)域，隱私首選項(xiàng)平臺(P3P)級別將設(shè)置為“中”。如果要更改非 Internet 區(qū)域的任何區(qū)域的 P3P 級別，請轉(zhuǎn)至“控制面板”的“Internet 選項(xiàng)”中的“隱私”選項(xiàng)卡，然后單擊“導(dǎo)入”以應(yīng)用自定義隱私策略。有關(guān)隱私策略的示例，請轉(zhuǎn)至 Microsoft MSDN Library 網(wǎng)站(http://msdn.microsoft.com/workshop/security/privacy/overview/privacyimportxml.asp)。

Internet Explorer 用戶體驗(yàn)中 Internet Explorer 增強(qiáng)的安全配置的效果

下表描述 Internet Explorer 增強(qiáng)的安全配置如何使用 Internet Explorer 影響每位用戶的體驗(yàn)。

其他所有 Internet Explorer 任務(wù)均可由所有用戶組完成，除非服務(wù)器管理員選擇進(jìn)一步限制用戶訪問權(quán)限。

返回頁首

管理 Internet Explorer 增強(qiáng)的安全配置

Internet Explorer 增強(qiáng)的安全配置旨在減少服務(wù)器暴露于安全威脅中的可能性。若要確保您從增強(qiáng)的安全配置獲取最大益處，請考慮采用以下瀏覽器管理建議:

• 默認(rèn)情況下，將所有 Internet 和 Intranet 站點(diǎn)都分配到 Internet 區(qū)域。如果您信任某個 Internet 站點(diǎn)或 Intranet 站點(diǎn)并需要讓其正常運(yùn)行，請將 Internet 站點(diǎn)添加到受信任的站點(diǎn)區(qū)域，并將 Intranet 站點(diǎn)添加到本地 Intranet 區(qū)域。有關(guān)每個區(qū)域的安全級別的詳細(xì)信息，請參閱 Internet Explorer 增強(qiáng)的安全配置的效果。
• 如果要在 Internet 上運(yùn)行基于瀏覽器的客戶端應(yīng)用程序，則應(yīng)將承載該應(yīng)用程序的網(wǎng)頁添加到受信任的站點(diǎn)區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。
• 如果要在受保護(hù)且安全的本地 Intranet 上運(yùn)行基于瀏覽器的客戶端應(yīng)用程序，則應(yīng)將承載該應(yīng)用程序的網(wǎng)頁添加到本地 Intranet 站點(diǎn)區(qū)域。有關(guān)詳細(xì)信息，請參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。
• 將內(nèi)部站點(diǎn)和本地服務(wù)器添加到本地 Intranet 區(qū)域可以確保您能夠從服務(wù)器訪問和運(yùn)行應(yīng)用程序。
• 使用 unattend.xml 將 Intranet 站點(diǎn)和 UNC 服務(wù)器添加到本地 Intranet 區(qū)域包含列表作為安裝過程的一部分。
• 使用客戶端計(jì)算機(jī)下載驅(qū)動程序、service pack 等，并避免在服務(wù)器上進(jìn)行任何瀏覽。
• 如果使用磁盤映像在服務(wù)器上安裝操作系統(tǒng)，請將信任的 Intranet 站點(diǎn)和 UNC 服務(wù)器添加到本地 Intranet 區(qū)域，并將信任的 Internet 站點(diǎn)添加到基本映像上受信任的站點(diǎn)區(qū)域。然后，您可以更改與各個服務(wù)器類型和需求相關(guān)的映像列表。
• 如果 Microsoft Terminal Services 已安裝在一個啟用 IE ESC 的計(jì)算機(jī)上，則 Terminal Services 安裝將自動禁用 IE ESC?？梢允褂梅?wù)器管理器重新啟用它。
• 在手動安裝 Terminal Services 期間，將提示您為用戶禁用 Internet Explorer 增強(qiáng)的安全配置。這允許用戶不受限的運(yùn)行終端服務(wù)器會話。
• 從安裝 Internet Explorer 6 或更新版本的 Windows Server 2003 升級到 Windows Server 2008 時，將自動應(yīng)用與 IE ESC 關(guān)聯(lián)的新默認(rèn)設(shè)置。

將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域

在服務(wù)器上啟用 Internet Explorer 增強(qiáng)的安全配置之后，所有 Internet 站點(diǎn)的安全設(shè)置都設(shè)置為“高”。如果您信任某個網(wǎng)頁，并需要其它正常運(yùn)行，則可在 Internet Explorer 中將其添加到受信任的站點(diǎn)區(qū)域。

1. 導(dǎo)航到要添加的站點(diǎn)。
   • 如果已在查看要添加的站點(diǎn)，則繼續(xù)執(zhí)行步驟 2。
   • 如果知道要添加的站點(diǎn)的 URL，請打開 Internet Explorer，在地址欄中鍵入該站點(diǎn)的 URL，然后等待加載該站點(diǎn)。
2. 在“文件”菜單上，單擊“將此站點(diǎn)添加到”，然后單擊“受信任的站點(diǎn)區(qū)域”。
3. 在“受信任的站點(diǎn)”對話框中，單擊“添加”將站點(diǎn)移動到列表中，再單擊“關(guān)閉”。
4. 刷新頁面以便從其新的區(qū)域查看站點(diǎn)。
5. 檢查瀏覽器的狀態(tài)欄以確認(rèn)此站點(diǎn)位于“受信任的站點(diǎn)區(qū)域”中。

注意

• 網(wǎng)頁一次只能是一個區(qū)域的一部分&mdash；不能將一個頁面既添加到受信任的站點(diǎn)區(qū)域中，又添加到本地 Intranet 區(qū)域中。
• 將某個網(wǎng)頁添加到受信任的站點(diǎn)區(qū)域中時，實(shí)際上添加的是該網(wǎng)頁的域。因此，也就添加了該域內(nèi)的所有網(wǎng)頁。例如，如果您將 http://www.microsoft.com/windowsxp/expertzone/ 添加到受信任的站點(diǎn)區(qū)域中，實(shí)際上添加的是 http://www.microsoft.com。那么，如果要查看 Windows 幫助和支持站點(diǎn)，就必須單獨(dú)添加 http://support.microsoft.com，原因是 Windows 幫助和支持站點(diǎn)是一個獨(dú)立的域。
• 對于受信任的站點(diǎn)區(qū)域，Internet Explorer 維護(hù)兩種不同的站點(diǎn)列表。一個列表在啟用增強(qiáng)的安全配置時生效，而另一個單獨(dú)的列表在禁用增強(qiáng)的安全配置時生效。將網(wǎng)頁添加到受信任的站點(diǎn)區(qū)域時，僅將其添加到當(dāng)前正在使用的列表中。
• 可使用通配符添加給定域的所有子域。例如，可在該列表中添加 *.microsoft.com，此操作同時添加 www.microsoft.com 和 support.microsoft.com。
• 許多 Internet 站點(diǎn)使用多個域以承載其內(nèi)容?？赡苄枰谑苄湃蔚恼军c(diǎn)區(qū)域中添加多個域，才能獲得一個站點(diǎn)的全部功能。
• 安裝期間，可以使用 unattend.xml 中的某些設(shè)置一次將多個站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。

將站點(diǎn)添加到本地 Intranet 區(qū)域

啟用 Internet Explorer 增強(qiáng)的安全配置時，所有 Intranet 站點(diǎn)的安全設(shè)置都設(shè)置為“高”。因此，每次訪問未添加到本地 Intranet 區(qū)域的 Intranet 站點(diǎn)時，系統(tǒng)都會提示您輸入憑據(jù)(用戶名和密碼)。如果您經(jīng)常性使用 Intranet 站點(diǎn)，并且知道那些站點(diǎn)可信，則可在 Internet Explorer 中將其添加到本地 Intranet 區(qū)域。

1. 導(dǎo)航到要添加的站點(diǎn)。
   • 如果已在查看要添加的站點(diǎn)，則繼續(xù)執(zhí)行步驟 2。
   • 如果知道要添加的站點(diǎn)的 URL，請打開 Internet Explorer，在地址欄中鍵入該站點(diǎn)的 URL，然后等待加載該站點(diǎn)。
2. 在“文件”菜單上，單擊“將此站點(diǎn)添加到”，然后單擊“本地 Intranet 區(qū)域”。
3. 在“本地 Intranet”對話框中，單擊“添加”將站點(diǎn)移到列表中，再單擊“關(guān)閉”。
4. 刷新頁面以便從其新的區(qū)域查看站點(diǎn)。
5. 檢查瀏覽器的狀態(tài)欄以確認(rèn)該站點(diǎn)位于“本地 Intranet 區(qū)域”中。

注意

• 請勿將 Internet 站點(diǎn)添加到本地 Intranet 區(qū)域，原因是一旦添加，則在請求時自動將憑據(jù)傳遞到該站點(diǎn)。
• 網(wǎng)頁一次只能是一個區(qū)域的一部分&mdash；不能將一個頁面既添加到受信任的站點(diǎn)區(qū)域中，又添加到本地 Intranet 區(qū)域中。
• 將某個網(wǎng)頁添加到本地 Intranet 區(qū)域中時，實(shí)際上添加的是該頁面的域。因此，也就添加了該域內(nèi)的所有頁面。例如，如果將 http://YourIntranetServer/SubWeb 添加到本地 Intranet 區(qū)域，實(shí)際上添加的是 http://YourIntranetServer。
• 對于本地 Intranet 區(qū)域，Internet Explorer 維護(hù)兩種不同的站點(diǎn)列表。一個列表在啟用增強(qiáng)的安全配置時生效，而另一個單獨(dú)的列表在禁用增強(qiáng)的安全配置時生效。將網(wǎng)頁添加到本地 Intranet 區(qū)域時，僅將其添加到當(dāng)前正在使用的列表中。
• 安裝期間，可以使用 unattend.xml 中的某些設(shè)置一次將多個站點(diǎn)添加到“本地 Intranet 區(qū)域”。

為特定用戶應(yīng)用 Internet Explorer 增強(qiáng)的安全配置

使用 Internet Explorer 增強(qiáng)的安全配置，可以在服務(wù)器上控制允許某些用戶組訪問 Internet Explorer 的級別。

為所有用戶啟用 IE ESC

1. 關(guān)閉所有 Internet Explorer 的實(shí)例。
2. 單擊“開始”，指向“管理工具”，然后單擊“服務(wù)器管理器”。
3. 如果出現(xiàn)“用戶帳戶控制”對話框，單擊“繼續(xù)”。
4. 在“安全摘要”下，單擊“配置 IE ESC”。
5. 在“管理員”下，單擊“啟用(推薦)”。
6. 在“用戶”下，單擊“啟用(推薦)”。
7. 單擊“確定”。
8. 若要禁用 IE ESC，請單擊“管理員”和 “用戶”的“禁用”，然后單擊“確定”。

注意

• 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到 Administrators 組時，這些設(shè)置就會應(yīng)用到管理員和超級用戶。 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到 Users 組時，這些設(shè)置應(yīng)用到受限用戶。
• 有關(guān) Internet Explorer 安全區(qū)域的最新信息，請轉(zhuǎn)到 Microsoft MSDN Library 網(wǎng)站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)。

在服務(wù)器上手動增強(qiáng) Internet Explorer 安全設(shè)置

如果在您所處的環(huán)境中不使用 Internet Explorer 增強(qiáng)的安全配置，則可通過使用“控制面板”中的“Internet 選項(xiàng)”手動提升服務(wù)器上的安全設(shè)置，從而輕松增強(qiáng) Internet Explorer 的安全性。

1. 打開 Internet Explorer。
2. 在“工具”菜單上，單擊“Internet 選項(xiàng)”。
3. 在“安全”選項(xiàng)卡上，選擇要調(diào)整的 Web 內(nèi)容區(qū)域: Internet、本地 Intranet、受信任的站點(diǎn)或受限制的站點(diǎn)。
4. 在該區(qū)域的安全級別下，單擊“默認(rèn)級別”以使用該區(qū)域的默認(rèn)安全級別，或單擊“自定義級別”，然后選擇所需的設(shè)置。

注意

• 對于受限制的站點(diǎn)，請單擊“自定義級別”，然后在“重置為”列表中單擊某個級別。
• 有關(guān) Internet Explorer 安全區(qū)域的最新信息，請轉(zhuǎn)到 Microsoft MSDN Library 網(wǎng)站 (http://msdn.microsoft.com/workshop/security/szone/overview/templates.asp)。

瀏覽器安全性—最佳操作

使用服務(wù)器進(jìn)行 Internet 瀏覽并不符合最佳安全操作，因?yàn)?Internet 瀏覽會增加服務(wù)器遭受潛在安全攻擊的可能性。不論使用的是哪種瀏覽器，都應(yīng)對在服務(wù)器上進(jìn)行瀏覽加以限制。

減少服務(wù)器遭受來自基于 Web 的惡意內(nèi)容的潛在攻擊的步驟:

• 請勿使用服務(wù)器瀏覽一般 Web 內(nèi)容。
• 使用客戶端計(jì)算機(jī)下載驅(qū)動程序、service pack 等。
• 請勿查看無法確定是否安全的站點(diǎn)。
• 請使用受限制的用戶帳戶而不是管理員帳戶進(jìn)行一般的 Web 瀏覽。
• 請使用組策略來防止非授權(quán)用戶對瀏覽器安全設(shè)置進(jìn)行不適當(dāng)?shù)母摹?/li>