Internet Explorer 8 增强的安全配置
概述
Internet Explorer 增强的安全配置能够对您的服务器和 Internet Explorer 进行配置,该配置可降低服务器暴露在通过 Web 内容和应用程序脚本产生的潜在攻击之下的可能性。因此,一些网站可能无法正常显示或无法正常执行。
本主题包含下列信息:
- Internet Explorer 安全区域
- 启用 Internet Explorer 增强的安全配置时如何进行浏览
- Internet Explorer 增强的安全配置的影响
- Internet Explorer 增强的安全配置和终端服务
- Internet Explorer 增强的安全配置对 Internet Explorer 用户体验的影响
- 管理 Internet Explorer 增强的安全配置
- 将站点添加到受信任的站点区域
- 将站点添加到本地 Intranet 区域
- 将 Internet Explorer 增强的安全配置应用到特定用户
- 在服务器上手动增强 Internet Explorer 安全设置
- 从以前的版本升级
- 浏览器安全最佳实践
Internet Explorer 安全区域
在 Internet Explorer 中,可以为其中两个内置的安全区域“本地 Intranet”区域和“受信任的站点”区域配置安全设置。无法更改 Internet 区域和“受限制的站点”区域的安全设置。
| 若要更改安全设置,必须以管理员模式打开 Internet Explorer,即使您已经以本地管理员的身份登录也是如此。若要以管理员模式打开 Internet Explorer,请右键单击 Internet Explorer,然后单击“以管理员身份运行”。 |
Internet Explorer 增强的安全配置按照如下方式为这些区域分配安全级别:
- 对于 Internet 区域,安全级别设置为“高”。
- 对于“受信任的站点”区域,安全级别设置为“中”,这允许浏览很多 Internet 站点。
- 对于“本地 Intranet”区域,安全级别设置为“中低”,这允许将您的用户凭据(用户名和密码)自动发送给需要它们的站点和应用程序。
- 对于“受限制的站点”区域,安全级别设置为“高”。
- 默认情况下,所有 Internet 和 Intranet 站点均分配到“Internet”区域。Intranet 站点不属于“本地 Intranet”区域,除非将它们明确添加到此区域中。
启用 Internet Explorer 增强的安全配置时如何进行浏览
增强的安全配置提高了您服务器上的安全级别,但它也会以下列方式影响 Internet 浏览:
- 由于 ActiveX 控件和脚本被禁用,因此 Internet 站点可能无法在 Internet Explorer 中正常显示,使用 Internet 的应用程序也可能无法正常工作。如果您信任某个 Internet 站点并且需要它正常工作,则可以将该站点添加到 Internet Explorer 的“受信任的站点”区域。如果您尝试浏览使用脚本或 ActiveX 控件的 Internet 站点,则 Internet Explorer 将提示您考虑将该站点添加到“受信任的站点”区域。仅当您完全确认站点值得信任并且要添加的 URL 确实正确时,才能将该站点添加到“受信任的站点”区域。有关详细信息,请参阅将站点添加到受信任的站点区域。
- 对 Intranet 站点的访问、在本地 Intranet 上运行的基于 Web 的应用程序以及网络共享上的其他文件都可能受限制。如果您信任某个 Intranet 站点或共享并且需要它正常工作,则可以将其添加到“本地 Intranet”区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。
Internet Explorer 增强的安全配置的影响
Internet Explorer 增强的安全配置调整现有安全区域的安全级别。下表介绍每个区域如何受到影响。
| 区域 | 安全级别 | 结果 |
|---|---|---|
|
Internet |
高 |
该区域与“受限制的站点”区域的安全设置相同。默认情况下,所有 Internet 和 Intranet 站点均分配到该区域。由于脚本、ActiveX 控件和文件下载已被禁用,因此,网页可能无法在 Internet Explorer 中正常显示,而需要该浏览器的应用程序也可能无法正常工作。如果您信任某个 Internet 站点并且需要它正常工作,则可以将该站点添加到 Internet Explorer 的“受信任的站点”区域。有关详细信息,请参阅将站点添加到受信任的站点区域。对通用命名约定 (UNC) 共享上的脚本、可执行文件以及其他文件的访问受限制,除非将该共享明确添加到“本地 Intranet”区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。 |
|
本地 Intranet |
中低 |
由于增强的安全配置,访问 Intranet 站点时,可能会重复提示您提供凭据(用户名和密码)。增强的安全配置禁止对 Intranet 站点的自动检测。如果您希望将凭据自动发送给某些 Intranet 站点,则将这些站点添加到“本地 Intranet”区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。不要将 Internet 站点添加到“本地 Intranet”区域,因为这样会将您的凭据自动发送给请求的站点。 |
|
受信任的站点 |
中 |
该区域用于您信任其内容的 Internet 站点。有关详细信息,请参阅将站点添加到受信任的站点区域。 |
|
受限制的站点 |
高 |
该区域包含您不信任的站点,例如可能会损害您的计算机或数据的站点(如果尝试从这些站点中下载或运行文件)。 |
增强的安全配置还调整 Internet Explorer 扩展性和安全设置,以便进一步降低暴露在未来可能的安全威胁之下的可能性。这些设置位于 Internet Explorer 中“Internet 选项”对话框的“高级”选项卡上。下表描述了受影响的设置。
| 名称 | 默认设置 | 描述 |
|---|---|---|
|
启用第三方浏览器扩展 |
禁用 |
禁用安装用来与 Internet Explorer 一起使用的功能,这些功能可能是由 Microsoft 以外的其他公司创建的。 |
|
在网页中播放声音 |
禁用 |
禁用音乐和其他声音。 |
|
在网页中播放动画 |
禁用 |
禁用动画。 |
|
检查服务器证书吊销 |
启用 |
自动检查网站的证书,以查看该证书是否已被吊销,如果有效再接受该证书。 |
|
不要将加密的页面保存到磁盘 |
启用 |
禁止将安全信息保存在“Internet 临时文件”文件夹中。 |
|
关闭浏览器时,会清空“Internet 临时文件”文件夹 |
启用 |
关闭浏览器时,会自动清除“Internet 临时文件”文件夹。 |
|
当在安全模式和非安全模式之间发生更改时发出警告 |
启用 |
将浏览器从安全的网站重定向到不安全的网站时显示警告。 |
|
启用内存保护以帮助减少联机攻击 |
禁用 |
启用数据执行保护 (DEP) 以帮助减少联机攻击。该选项仅适用于 Windows Server2008。 |
这些更改会减少网页、基于 Web 的应用程序、本地网络资源和使用浏览器显示帮助、支持及常规用户协助的应用程序中的功能。
有关使用“本地 Intranet”或“受信任的站点”区域的包含列表的详细信息,请参阅“管理 Internet Explorer 增强的安全配置”。
Internet Explorer 增强的安全配置已启用时:
- 将 Microsoft Update 网站添加到“受信任的站点”区域。这允许您继续获得有关您操作系统的重要更新。
- 将 Windows 错误报告站点添加到“受信任的站点”区域。这允许您报告操作系统遇到的问题并搜索解决方案。
- 将多个本地计算机站点(如 http://localhost、https://localhost 和 hcp://system)添加到“本地 Intranet”区域。这允许应用程序和代码在本地工作,以便完成常用的管理任务。
- 对于“受信任的站点”区域,将隐私首选项平台 (P3P) 级别设置为“中”。如果您想更改除 Internet 区域之外的任何区域的 P3P 级别,请转到“Internet 选项”对话框的“隐私”选项卡,单击“导入”以应用自定义隐私策略。有关隐私策略的示例,请参阅“如何创建自定义隐私导入文件”(http://go.microsoft.com/fwlink/?LinkId=12939)(可能为英文网页)。
Internet Explorer 增强的安全配置和终端服务
根据安装类型,将增强的安全配置应用于不同的用户帐户。下表描述了影响用户的方式。
| 安装类型 | 增强的安全配置适用于管理员 | 增强的安全配置适用于超级用户 | 增强的安全配置适用于受限用户 | 增强的安全配置适用于受限制的用户 |
|---|---|---|---|---|
|
操作系统的升级 |
是 |
是 |
否 |
否 |
|
操作系统的无人参与安装 |
是 |
是 |
否 |
否 |
|
终端服务的手动安装 |
是 |
是 |
是 |
是 |
| 在进行终端服务的手动安装期间,系统将提示您禁用用户的 Internet Explorer 增强的安全配置。这允许用户毫无限制的运行终端服务器会话。 |
为了在启用终端服务时获得更好的体验,应该从“用户”组的成员中删除“增强的安全配置”。这些用户对服务器的权限较少,因此受到攻击时他们的风险级别比较低。有关应用增强的安全配置的详细信息,请参阅将 Internet Explorer 增强的安全配置应用到特定用户。
Internet Explorer 增强的安全配置对 Internet Explorer 用户体验的影响
下表描述 Internet Explorer 增强的安全配置如何影响每个用户使用 Internet Explorer 的体验。
| 任务 | 可以由管理员完成 | 可以由超级用户完成 | 可以由受限用户完成 | 可以由受限制的用户完成 | ||
|---|---|---|---|---|---|---|
|
启用或禁用 Internet Explorer 增强的安全配置 |
是 |
否 |
否 |
否 |
||
|
调整 Internet Explorer 中特殊区域的安全级别 |
是
|
是,在运行 Windows Server2003 的计算机上 否,在运行 Windows Server2008 的计算机上 |
否 |
否 |
||
|
将站点添加到“受信任的站点”区域 |
是 |
是 |
是 |
是 |
||
|
将站点添加到“本地 Intranet”区域 |
是 |
是 |
是 |
是 |
所有其他 Internet Explorer 任务都可以由所有用户组完成,除非您选择进一步限制用户访问权限。
管理 Internet Explorer 增强的安全配置
Internet Explorer 增强的安全配置设计用于减少服务器暴露在安全威胁之下的可能性。为了确保尽可能地获益于增强的安全配置,请考虑以下浏览器管理建议:
- 默认情况下,所有 Internet 和 Intranet 站点均分配到“Internet”区域。如果您信任某个 Internet 或 Intranet 站点并且需要该站点正常工作,请将 Internet 站点添加到“受信任的站点”区域,将 Intranet 站点添加到“本地 Intranet”区域。有关每个区域的安全级别的详细信息,请参阅Internet Explorer 增强的安全配置的影响。
- 如果您想在 Internet 上运行基于浏览器的客户端应用程序,则应该将该应用程序所在的网页添加到“受信任的站点”区域。有关详细信息,请参阅将站点添加到受信任的站点区域。
- 如果您想在受保护且安全的本地 Intranet 上运行基于浏览器的客户端应用程序,则应该将该应用程序所在的网页添加到“本地 Intranet”区域。有关详细信息,请参阅将站点添加到本地 Intranet 区域。
- 将内部站点和本地服务器添加到“本地 Intranet”区域可确保您可以访问、运行服务器中的应用程序。
- 作为安装过程的一部分,使用 unattend.txt 将 Intranet 站点和 UNC 服务器添加到“本地 Intranet”区域包含列表。有关详细信息,请参阅 Windows Server2003 产品 CD 上 Deploy.cab 中的自述文件。
- 使用客户端计算机下载驱动程序、Service Pack 以及其他更新。避免从服务器进行任何浏览。
- 如果使用磁盘映像在服务器上安装操作系统,请在基本映像上将信任的 Intranet 站点和 UNC 服务器添加到“本地 Intranet”区域,将信任的 Internet 站点添加到“受信任的站点”区域。然后可以根据不同的服务器类型和需求更改映像上的列表。
将站点添加到受信任的站点区域
在服务器上启用 Internet Explorer 增强的安全配置时,所有 Internet 站点的安全设置都设置为“高”。如果您信任某个网页并且需要它正常工作,则可以将该网页添加到 Internet Explorer 的“受信任的站点”区域。
- 导航到要添加的站点。
- 在状态栏上,双击安全区域名称(如 Internet)以打开“Internet 安全”对话框。
- 单击“受信任的站点”,然后单击“站点”。
- 在“受信任的站点”对话框中,单击“添加”以将站点添加到列表中,然后单击“关闭”。
- 刷新页面以从其新区域查看该站点。
- 检查浏览器的状态栏,以确认该站点位于“受信任的站点”区域。
注意
- 如果 Internet 站点尝试使用脚本或 ActiveX 控件,则会出现一个对话框提示您将此 Internet 站点添加到“受信任的站点”区域。如果您禁用了该对话框,则可以在 Internet Explorer 中重新启用。在“工具”菜单上,单击“Internet 选项”。在“高级”选项卡上,选择“显示增强的安全配置对话框”。
- 网页在一个时刻只能属于一个区域。不能将一个页面既添加到“受信任的站点”区域,又添加到“本地 Intranet”区域。
- 将网页添加到“受信任的站点”区域时,实际上添加的是该网页的域。因此,也添加该域中的所有页面。例如,如果将 http://www.microsoft.com/windows/ 添加到“受信任的站点”区域,则实际上添加的是 http://www.microsoft.com。如果您想之后查看帮助和支持站点,则必须单独添加 http://support.microsoft.com,因为帮助和支持站点是一个单独的域。
- Internet Explorer 为“受信任的站点”区域维护两个不同的站点列表。一个列表在启用增强的安全配置时生效,另一个列表在禁用增强的安全配置时生效。将网页添加到“受信任的站点”区域时,只是将该站点添加到当前生效的列表中。
- 可以使用通配符添加给定域的所有子域。例如,可以将 *.microsoft.com 添加到列表,这意味着添加了 www.microsoft.com 和 support.microsoft.com。
- 很多 Internet 站点都使用多个域来承载其内容。您可能必须将多个域添加到“受信任的站点”区域,才能拥有某个站点的全部功能。
- 安装期间,您可以使用 unattend.txt 中的某些设置一次将多个站点添加到“受信任的站点”区域。有关详细信息,请参阅 Windows Server2003 产品 CD 上 Deploy.cab 中的自述文件。还可以使用组策略添加和管理多个站点。有关详细信息,请参阅 Microsoft Windows Server2003 部署工具包 (http://go.microsoft.com/fwlink/?LinkID=4298)。
将站点添加到本地 Intranet 区域
启用 Internet Explorer 增强的安全配置时,所有 Intranet 站点的安全设置都设置为“高”。因此,每次访问尚未添加到“本地 Intranet”区域的 Intranet 站点时系统都将提示您提供凭据(用户名和密码)。如果经常使用 Intranet 站点并且知道这些站点值得信任,则可以将它们添加到 Internet Explorer 的“本地 Intranet”区域。
- 导航到要添加的本地 Intranet 站点。
- 在状态栏上,双击安全区域名称(如 Internet)以打开“Internet 安全”对话框。
- 单击“本地 Intranet”,然后单击“站点”。
- 在“本地 Intranet”对话框中,单击“添加”以将站点添加到列表中,然后单击“关闭”。
- 刷新页面以从其新区域查看该站点。
- 检查浏览器的状态栏,以确认该站点位于“本地 Intranet”区域。
注意
- 不要将 Internet 站点添加到“本地 Intranet”区域,因为这样会将您的凭据自动发送给请求的站点。
- 网页在一个时刻只能属于一个区域。不能将一个页面既添加到“受信任的站点”区域,又添加到“本地 Intranet”区域。
- 增强的安全配置还限制访问 UNC 路径上的脚本、可执行文件以及其他可能不安全的文件,除非明确将该路径添加到“本地 Intranet”区域。例如,如果想访问 \\server\share\setup.exe,则必须将 \\server 添加到“本地 Intranet”区域。
- 将网页添加到“受信任的站点”区域时,实际上添加的是该网页的域。因此,也添加该域中的所有页面。例如,如果将 http://www.microsoft.com/windows/ 添加到“受信任的站点”区域,则实际上添加的是 http://www.microsoft.com。如果您想之后查看帮助和支持站点,则必须单独添加 http://support.microsoft.com,因为帮助和支持站点是一个单独的域。
- Internet Explorer 为“本地 Intranet”区域维护两个不同的站点列表。一个列表在启用增强的安全配置时生效,另一个列表在禁用增强的安全配置时生效。将网站添加到“本地 Intranet”区域时,只是将该站点添加到当前生效的列表中。
- 安装期间,您可以使用 unattend.txt 中的某些设置一次将很多站点添加到“本地 Intranet”区域。有关详细信息,请参阅 Windows Server2003 产品 CD 上 Deploy.cab 中的自述文件。还可以使用组策略添加和管理多个站点。有关详细信息,请参阅 Microsoft Windows Server2003 部署工具包。 (http://go.microsoft.com/fwlink/?LinkID=4298)。
将 Internet Explorer 增强的安全配置应用到特定用户
使用 Internet Explorer 增强的安全配置,可以控制允许对服务器上某些用户组进行 Internet Explorer 访问的级别。对于 Windows Server2003 和 Windows Server2008,将增强的安全配置应用到特定用户的步骤是不同的。
使用运行 Windows Server2003 的计算机将增强的安全配置应用到特定用户的步骤
-
使用是本地 Administrators 组成员的用户帐户登录计算机。
-
单击「开始」,然后单击“控制面板”。
-
单击“添加或删除程序”,然后单击“添加/删除 Windows 组件”。
-
选中“Internet Explorer 增强的安全配置”复选框,然后单击“详细信息”。
-
选择要应用增强的安全配置的用户组(“Administrators 组”或“所有其他用户组”),然后单击“确定”。
-
单击“下一步”,然后单击“完成”。
-
重新启动 Internet Explorer 以应用增强的安全配置。
使用运行 Windows Server2008 的计算机将增强的安全配置应用到特定用户的步骤
-
使用是本地 Administrators 组成员的用户帐户登录计算机。
-
单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
-
如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
-
在“安全信息”下,单击“配置 IE ESC”。
备注
服务器管理器在它上次关闭时所使用的同一窗口中打开。如果您看不到“安全信息”部分,请单击控制台树中的“服务器管理器”。 -
在 Administrators 下,根据所需的配置单击“启用(推荐)”或“禁用”。
-
在“用户”下,根据所需的配置单击“启用(推荐)”或“禁用”。
-
单击“确定”。
-
重新启动 Internet Explorer 以应用增强的安全配置。
注意
- 当将 Internet Explorer 增强的安全配置应用于 Administrators 组时,会将这些设置应用于管理员。对于 Windows Server2003,当将 Internet Explorer 增强的安全配置应用于“所有其他用户组”时,会将这些设置应用于除了 Administrators 组之外的所有组。对于 Windows Server2008,当将 Internet Explorer 增强的安全配置应用于“用户”时,会将这些设置应用于除了 Administrators 组之外的所有组。
- 有关 Internet Explorer 安全区域的详细信息,请参阅“关于 URL 安全区域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)(可能为英文网页)。
- 当将 Internet Explorer 增强的安全配置应用于任何用户组且 Internet Explorer 打开时,必须退出 Internet Explorer 并重新启动才能使更改生效。
在服务器上手动应用 Internet Explorer 安全设置
如果不在环境中使用 Internet Explorer 增强的安全配置,则可以使用 Internet Explorer 中的“Internet 选项”对话框在服务器上手动应用安全设置。
手动应用 Internet Explorer 安全设置的步骤
-
打开 Internet Explorer。
-
单击“工具”,然后单击“Internet 选项”。
-
在“安全”选项卡上,选择要调整的区域:“本地 Intranet”或“受信任的站点”。
备注
无法更改 Internet 区域和“受限制的站点”区域的安全级别。 -
在“该区域的安全级别”下,单击“默认级别”以对该区域使用默认的安全级别,或单击“自定义级别”,然后选择需要的设置。
-
单击“确定”关闭“Internet 选项”对话框。
注意
- 对于“受限制的站点”,单击“自定义级别”,然后单击“重置为”列表中的某个级别。
- 有关 Internet Explorer 安全区域的详细信息,请参阅“关于 URL 安全区域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)(可能为英文网页)。
从以前版本的 Internet Explorer 升级
升级到更高版本的 Internet Explorer 时,保留以前版本的设置。如果 Internet Explorer 使用增强的安全配置并且升级到更高版本,则它将继续使用增强的安全配置。如果 Internet Explorer 未使用增强的安全配置并升级到更高版本,则在升级期间它不会启用该功能。
注意
- 在 Internet Explorer 升级期间始终保留浏览器自定义。如果 Internet Explorer 使用增强的安全配置并且进行了配置更改,则 Internet Explorer 升级将保留该更改。
- 如果删除某个使用增强的安全配置的 Internet Explorer 版本,则之前的版本将继续使用增强的安全配置。当删除不使用增强的安全配置的 Internet Explorer 版本时也是这样。与 Internet Explorer 升级一样,在卸载方案中也将保留任何自定义。
浏览器安全最佳实践
使用服务器进行 Internet 浏览不符合声音安全实践,因为 Internet 浏览增加了服务器暴露在潜在安全攻击之下的可能性。无论使用什么样的浏览器,都应该限制在服务器上进行浏览。
若要降低通过基于 Web 的恶意内容对服务器进行潜在攻击的风险,请遵循以下原则:
- 不要使用服务器浏览常规 Web 内容。
- 使用客户端计算机下载驱动程序、Service Pack 以及其他更新。
- 不要查看无法确认是否安全的网站。
- 使用受限制的用户帐户而不是管理员帐户进行常规 Web 浏览。
- 使用组策略防止未经授权的用户对浏览器安全设置进行不适当的更改。
原文地址
查看更多相关文章