Win2008 IE 增强的安全配置概述IE ESC

来源：互联网发布：神鸟数据咨询有限公司编辑：程序博客网时间：2024/06/10 09:32

Internet Explorer 增强的安全配置 (IE ESC) 采用一种方式配置您的服务器和 Microsoft Internet Explorer，从而降低服务器受 Web 内容和应用程序脚本潜在攻击的暴露程度。通过提高 Internet Explorer 安全区域上的默认安全级别并且更改默认设置来实现此功能。

启用或禁用 IE ESC

可以通过仅对本地 Administrators 组的成员或对登录计算机的所有用户使用服务器管理器来启用或禁用 IE ESC。

本地Administrators 组中的成员身份或同等身份是完成此过程的最低要求。查看有关使用适当帐户和组成员关系的详细信息，请访问http://go.microsoft.com/fwlink/?LinkId=83477（可能为英文链接）。

对登录到计算机的所有用户启用或禁用 IE ESC 的步骤

关闭 Internet Explorer 的所有实例。
打开服务器管理器。单击“开始”，指向“管理工具”，然后单击“服务器管理器”。
如果出现“用户账户控制”对话框，请确认所显示的是您想要执行的操作，然后单击“继续”。
在“安全摘要”下，单击“配置 IE ESC”。

若要启用 IE ESC，请执行以下操作，然后单击“确定”：
- 在 Administrators 下，单击“启用(推荐)”。
- 在“用户”下，单击“启用(推荐)”。

若要禁用 IE ESC，请在 Administrators 和“用户”下单击“禁用”，然后单击“确定”。

默认设置：

当禁用IE ESC后，可供选择的安全级别有：

注意

如果启用或禁用 IE ESC 时有一个 Internet Explorer 的实例打开，则您必须重新启动 Internet Explorer 才能将 IE ESC 更改激活。

注意

如果在已启用 IE ESC 的计算机上安装了终端服务，则会自动禁用 IE ESC，但可以通过使用服务器管理器使其重新启用。

IE ESC 的默认设置

当在 Windows Server® 2008 上启用 IE ESC 时，几个内置安全区域的安全级别将会发生更改。

安全区域

默认的安全级别

描述

Internet

高

默认情况下，所有网站都被分配到该区域。由于脚本、Microsoft ActiveX 控件和文件下载已经被禁用，因此，网页可能不会正常显示，需要 Web 浏览器的应用程序可能也不会正常工作。如果您信任某个 Internet 网站，您可以将该站点添加到可信站点中。

可信站点

中等

该区域用于您信任其内容的 Internet 站点。

本地 Intranet

中低

当在您组织的 Intranet 中访问网站时，可能会重复提示凭据，因为 IE ESC 禁用了 Intranet 网站的自动检测。若要将凭据自动传递给选定的 Intranet 站点，请将这些站点添加到本地 Intranet 区域中。此外，除非将共享文件夹添加到此区域中，否则访问共享文件夹中的脚本、可执行文件以及其他文件会受到限制。

警告

不要将 Internet 网站添加到本地 Intranet 区域中，因为请求时会将您的凭据自动传递到网站。

受限制的站点

高

该区域包含不受信任的站点，如恶意网站。

Internet Explorer 维护可信站点中两个不同的站点列表：一个是启用 IE ESC 时的列表，一个是禁用 IE ESC 时的列表。当向可信站点区域中添加网站时，只是将该站点添加到当前正在使用的列表中。

如果您尝试浏览使用脚本或 ActiveX 控件的网站，启用 IE ESC 的 Internet Explorer 将提示您考虑将站点添加到“可信站点”区域中。只有您完全相信该网站值得信任时，才应该将该网站添加到“可信站点”区域中。如果此提示被禁用，则可以通过在“Internet 选项”对话框的“高级”选项卡中选中“显示增强的安全配置对话框”复选框将其重新启用。有关向 Internet Explorer 安全区域中添加网站的详细信息，请参阅安全区域：添加和删除网站 (http://go.microsoft.com/fwlink/?LinkId=81287)（可能为中文网页）。

除了提高每个区域的默认安全级别之外，IE ESC 还调整 Internet 选项以便进一步降低对未来可能的安全威胁的暴露程度。这些设置位于“Internet 选项”对话框的“高级”选项卡上。下表描述启用 IE ESC 时发生更改的选项：

选项

特定于 IE ESC 的设置

描述

启用第三方浏览器扩展

禁用

禁用由公司（而非 Microsoft）创建的 Internet Explorer 加载项。

在网页中播放声音

禁用

禁用音乐和其他声音。

在网页中播放动画

禁用

禁用动画。

检查服务器证书吊销

启用

自动检查网站的证书，以确定该证书是否已经被吊销。

不要将加密的页面保存到磁盘

启用

禁止将加密信息保存在“Internet 临时文件”文件夹中。

关闭浏览器时，会清空“Internet 临时文件”文件夹

启用

关闭 Internet Explorer 时，会自动清除“Internet 临时文件”文件夹。

当在安全模式和非安全模式之间发生更改时发出警告

启用

当网站将浏览器从一个实施了安全功能 (https) 的网站重定向到另一个没有实施安全功能 (http) 的网站时，会显示警告。

当启用或禁用 IE ESC 时，Internet Explorer 主页的位置会发生更改。该更改确保打开主页，而不提示用户将其添加到可信站点安全区域。通过将主页更改到计算机上本地存储的 HTML 文件来执行该操作。如果您想在启用 IE ESC 时更改主页，则确保在进行更改之前，将该主页添加到“可信站点”区域中。下表列出了与每种方案关联的主页：

方案

IE ESC 主页

启用 IE ESC 并且用户是本地 Administrators 组的成员

res://iesetup.dll/HardAdmin.htm

禁用 IE ESC 并且用户帐户是本地 Administrators 组的成员

res://iesetup.dll/SoftAdmin.htm

启用 IE ESC 并且用户帐户不是本地 Administrators 组的成员

res://iesetup.dll/HardUser.htm

注意

如果通过使用 Internet Explorer 管理工具包自定义 Internet Explorer，则当启用或禁用 IE ESC 时，主页不会更改为表中列出的 IE ESC 主页之一。

当从在启用 IE ESC 的情况下安装 Internet Explorer 6 或更高版本的 Windows Server 2003 升级到 Windows Server 2008 时，会自动应用与 IE ESC 关联的新的 IE ESC 设置。

警告

这些更改会减少网页、基于 Web 的应用程序、本地网络资源和使用浏览器显示联机帮助、支持以及常规用户协助的应用程序中的功能。

最后，当启用 IE ESC 时，会将以下网站添加到相应的安全区域中：

将 Windows Update 和 Windows 错误报告网站添加到“可信站点”区域中。
将 http://localhost、https://localhost 和 hcp://system 添加到“本地 Intranet”区域中。