Internet Explorer 8 增強(qiáng)的安全配置
概述
Internet Explorer 增強(qiáng)的安全配置能夠?qū)δ姆?wù)器和 Internet Explorer 進(jìn)行配置,該配置可降低服務(wù)器暴露在通過(guò) Web 內(nèi)容和應(yīng)用程序腳本產(chǎn)生的潛在攻擊之下的可能性。因此,一些網(wǎng)站可能無(wú)法正常顯示或無(wú)法正常執(zhí)行。
本主題包含下列信息:
- Internet Explorer 安全區(qū)域
- 啟用 Internet Explorer 增強(qiáng)的安全配置時(shí)如何進(jìn)行瀏覽
- Internet Explorer 增強(qiáng)的安全配置的影響
- 管理 Internet Explorer 增強(qiáng)的安全配置
- 瀏覽器安全最佳實(shí)踐
Internet Explorer 安全區(qū)域
在 Internet Explorer 中,可以為其中兩個(gè)內(nèi)置的安全區(qū)域“本地 Intranet”區(qū)域和“受信任的站點(diǎn)”區(qū)域配置安全設(shè)置。無(wú)法更改 Internet 區(qū)域和“受限制的站點(diǎn)”區(qū)域的安全設(shè)置。
.gif) 備注 |
|---|
| 若要更改安全設(shè)置,必須以管理員模式打開(kāi) Internet Explorer,即使您已經(jīng)以本地管理員的身份登錄也是如此。若要以管理員模式打開(kāi) Internet Explorer,請(qǐng)右鍵單擊 Internet Explorer,然后單擊“以管理員身份運(yùn)行”。 |
Internet Explorer 增強(qiáng)的安全配置按照如下方式為這些區(qū)域分配安全級(jí)別:
- 對(duì)于 Internet 區(qū)域,安全級(jí)別設(shè)置為“高”。
- 對(duì)于“受信任的站點(diǎn)”區(qū)域,安全級(jí)別設(shè)置為“中”,這允許瀏覽很多 Internet 站點(diǎn)。
- 對(duì)于“本地 Intranet”區(qū)域,安全級(jí)別設(shè)置為“中低”,這允許將您的用戶憑據(jù)(用戶名和密碼)自動(dòng)發(fā)送給需要它們的站點(diǎn)和應(yīng)用程序。
- 對(duì)于“受限制的站點(diǎn)”區(qū)域,安全級(jí)別設(shè)置為“高”。
- 默認(rèn)情況下,所有 Internet 和 Intranet 站點(diǎn)均分配到“Internet”區(qū)域。Intranet 站點(diǎn)不屬于“本地 Intranet”區(qū)域,除非將它們明確添加到此區(qū)域中。
啟用 Internet Explorer 增強(qiáng)的安全配置時(shí)如何進(jìn)行瀏覽
增強(qiáng)的安全配置提高了您服務(wù)器上的安全級(jí)別,但它也會(huì)以下列方式影響 Internet 瀏覽:
- 由于 ActiveX 控件和腳本被禁用,因此 Internet 站點(diǎn)可能無(wú)法在 Internet Explorer 中正常顯示,使用 Internet 的應(yīng)用程序也可能無(wú)法正常工作。如果您信任某個(gè) Internet 站點(diǎn)并且需要它正常工作,則可以將該站點(diǎn)添加到 Internet Explorer 的“受信任的站點(diǎn)”區(qū)域。如果您嘗試瀏覽使用腳本或 ActiveX 控件的 Internet 站點(diǎn),則 Internet Explorer 將提示您考慮將該站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域。僅當(dāng)您完全確認(rèn)站點(diǎn)值得信任并且要添加的 URL 確實(shí)正確時(shí),才能將該站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。
- 對(duì) Intranet 站點(diǎn)的訪問(wèn)、在本地 Intranet 上運(yùn)行的基于 Web 的應(yīng)用程序以及網(wǎng)絡(luò)共享上的其他文件都可能受限制。如果您信任某個(gè) Intranet 站點(diǎn)或共享并且需要它正常工作,則可以將其添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。
Internet Explorer 增強(qiáng)的安全配置的影響
Internet Explorer 增強(qiáng)的安全配置調(diào)整現(xiàn)有安全區(qū)域的安全級(jí)別。下表介紹每個(gè)區(qū)域如何受到影響。
| 區(qū)域 | 安全級(jí)別 | 結(jié)果 |
|---|---|---|
|
Internet |
高 |
該區(qū)域與“受限制的站點(diǎn)”區(qū)域的安全設(shè)置相同。默認(rèn)情況下,所有 Internet 和 Intranet 站點(diǎn)均分配到該區(qū)域。由于腳本、ActiveX 控件和文件下載已被禁用,因此,網(wǎng)頁(yè)可能無(wú)法在 Internet Explorer 中正常顯示,而需要該瀏覽器的應(yīng)用程序也可能無(wú)法正常工作。如果您信任某個(gè) Internet 站點(diǎn)并且需要它正常工作,則可以將該站點(diǎn)添加到 Internet Explorer 的“受信任的站點(diǎn)”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。對(duì)通用命名約定 (UNC) 共享上的腳本、可執(zhí)行文件以及其他文件的訪問(wèn)受限制,除非將該共享明確添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。 |
|
本地 Intranet |
中低 |
由于增強(qiáng)的安全配置,訪問(wèn) Intranet 站點(diǎn)時(shí),可能會(huì)重復(fù)提示您提供憑據(jù)(用戶名和密碼)。增強(qiáng)的安全配置禁止對(duì) Intranet 站點(diǎn)的自動(dòng)檢測(cè)。如果您希望將憑據(jù)自動(dòng)發(fā)送給某些 Intranet 站點(diǎn),則將這些站點(diǎn)添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。不要將 Internet 站點(diǎn)添加到“本地 Intranet”區(qū)域,因?yàn)檫@樣會(huì)將您的憑據(jù)自動(dòng)發(fā)送給請(qǐng)求的站點(diǎn)。 |
|
受信任的站點(diǎn) |
中 |
該區(qū)域用于您信任其內(nèi)容的 Internet 站點(diǎn)。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。 |
|
受限制的站點(diǎn) |
高 |
該區(qū)域包含您不信任的站點(diǎn),例如可能會(huì)損害您的計(jì)算機(jī)或數(shù)據(jù)的站點(diǎn)(如果嘗試從這些站點(diǎn)中下載或運(yùn)行文件)。 |
增強(qiáng)的安全配置還調(diào)整 Internet Explorer 擴(kuò)展性和安全設(shè)置,以便進(jìn)一步降低暴露在未來(lái)可能的安全威脅之下的可能性。這些設(shè)置位于 Internet Explorer 中“Internet 選項(xiàng)”對(duì)話框的“高級(jí)”選項(xiàng)卡上。下表描述了受影響的設(shè)置。
| 名稱 | 默認(rèn)設(shè)置 | 描述 |
|---|---|---|
|
啟用第三方瀏覽器擴(kuò)展 |
禁用 |
禁用安裝用來(lái)與 Internet Explorer 一起使用的功能,這些功能可能是由 Microsoft 以外的其他公司創(chuàng)建的。 |
|
在網(wǎng)頁(yè)中播放聲音 |
禁用 |
禁用音樂(lè)和其他聲音。 |
|
在網(wǎng)頁(yè)中播放動(dòng)畫(huà) |
禁用 |
禁用動(dòng)畫(huà)。 |
|
檢查服務(wù)器證書(shū)吊銷 |
啟用 |
自動(dòng)檢查網(wǎng)站的證書(shū),以查看該證書(shū)是否已被吊銷,如果有效再接受該證書(shū)。 |
|
不要將加密的頁(yè)面保存到磁盤(pán) |
啟用 |
禁止將安全信息保存在“Internet 臨時(shí)文件”文件夾中。 |
|
關(guān)閉瀏覽器時(shí),會(huì)清空“Internet 臨時(shí)文件”文件夾 |
啟用 |
關(guān)閉瀏覽器時(shí),會(huì)自動(dòng)清除“Internet 臨時(shí)文件”文件夾。 |
|
當(dāng)在安全模式和非安全模式之間發(fā)生更改時(shí)發(fā)出警告 |
啟用 |
將瀏覽器從安全的網(wǎng)站重定向到不安全的網(wǎng)站時(shí)顯示警告。 |
|
啟用內(nèi)存保護(hù)以幫助減少聯(lián)機(jī)攻擊 |
禁用 |
啟用數(shù)據(jù)執(zhí)行保護(hù) (DEP) 以幫助減少聯(lián)機(jī)攻擊。該選項(xiàng)僅適用于 Windows Server2008。 |
這些更改會(huì)減少網(wǎng)頁(yè)、基于 Web 的應(yīng)用程序、本地網(wǎng)絡(luò)資源和使用瀏覽器顯示幫助、支持及常規(guī)用戶協(xié)助的應(yīng)用程序中的功能。
有關(guān)使用“本地 Intranet”或“受信任的站點(diǎn)”區(qū)域的包含列表的詳細(xì)信息,請(qǐng)參閱“管理 Internet Explorer 增強(qiáng)的安全配置”。
Internet Explorer 增強(qiáng)的安全配置已啟用時(shí):
- 將 Microsoft Update 網(wǎng)站添加到“受信任的站點(diǎn)”區(qū)域。這允許您繼續(xù)獲得有關(guān)您操作系統(tǒng)的重要更新。
- 將 Windows 錯(cuò)誤報(bào)告站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域。這允許您報(bào)告操作系統(tǒng)遇到的問(wèn)題并搜索解決方案。
- 將多個(gè)本地計(jì)算機(jī)站點(diǎn)(如 http://localhost、https://localhost 和 hcp://system)添加到“本地 Intranet”區(qū)域。這允許應(yīng)用程序和代碼在本地工作,以便完成常用的管理任務(wù)。
- 對(duì)于“受信任的站點(diǎn)”區(qū)域,將隱私首選項(xiàng)平臺(tái) (P3P) 級(jí)別設(shè)置為“中”。如果您想更改除 Internet 區(qū)域之外的任何區(qū)域的 P3P 級(jí)別,請(qǐng)轉(zhuǎn)到“Internet 選項(xiàng)”對(duì)話框的“隱私”選項(xiàng)卡,單擊“導(dǎo)入”以應(yīng)用自定義隱私策略。有關(guān)隱私策略的示例,請(qǐng)參閱“如何創(chuàng)建自定義隱私導(dǎo)入文件”(http://go.microsoft.com/fwlink/?LinkId=12939)(可能為英文網(wǎng)頁(yè))。
Internet Explorer 增強(qiáng)的安全配置和終端服務(wù)
根據(jù)安裝類型,將增強(qiáng)的安全配置應(yīng)用于不同的用戶帳戶。下表描述了影響用戶的方式。
| 安裝類型 | 增強(qiáng)的安全配置適用于管理員 | 增強(qiáng)的安全配置適用于超級(jí)用戶 | 增強(qiáng)的安全配置適用于受限用戶 | 增強(qiáng)的安全配置適用于受限制的用戶 |
|---|---|---|---|---|
|
操作系統(tǒng)的升級(jí) |
是 |
是 |
否 |
否 |
|
操作系統(tǒng)的無(wú)人參與安裝 |
是 |
是 |
否 |
否 |
|
終端服務(wù)的手動(dòng)安裝 |
是 |
是 |
是 |
是 |
| 備注 |
|---|
| 在進(jìn)行終端服務(wù)的手動(dòng)安裝期間,系統(tǒng)將提示您禁用用戶的 Internet Explorer 增強(qiáng)的安全配置。這允許用戶毫無(wú)限制的運(yùn)行終端服務(wù)器會(huì)話。 |
為了在啟用終端服務(wù)時(shí)獲得更好的體驗(yàn),應(yīng)該從“用戶”組的成員中刪除“增強(qiáng)的安全配置”。這些用戶對(duì)服務(wù)器的權(quán)限較少,因此受到攻擊時(shí)他們的風(fēng)險(xiǎn)級(jí)別比較低。有關(guān)應(yīng)用增強(qiáng)的安全配置的詳細(xì)信息,請(qǐng)參閱將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到特定用戶。
Internet Explorer 增強(qiáng)的安全配置對(duì) Internet Explorer 用戶體驗(yàn)的影響
下表描述 Internet Explorer 增強(qiáng)的安全配置如何影響每個(gè)用戶使用 Internet Explorer 的體驗(yàn)。
| 任務(wù) | 可以由管理員完成 | 可以由超級(jí)用戶完成 | 可以由受限用戶完成 | 可以由受限制的用戶完成 | ||
|---|---|---|---|---|---|---|
|
啟用或禁用 Internet Explorer 增強(qiáng)的安全配置 |
是 |
否 |
否 |
否 |
||
|
調(diào)整 Internet Explorer 中特殊區(qū)域的安全級(jí)別 |
是
|
是,在運(yùn)行 Windows Server2003 的計(jì)算機(jī)上 否,在運(yùn)行 Windows Server2008 的計(jì)算機(jī)上 |
否 |
否 |
||
|
將站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域 |
是 |
是 |
是 |
是 |
||
|
將站點(diǎn)添加到“本地 Intranet”區(qū)域 |
是 |
是 |
是 |
是 |
所有其他 Internet Explorer 任務(wù)都可以由所有用戶組完成,除非您選擇進(jìn)一步限制用戶訪問(wèn)權(quán)限。
管理 Internet Explorer 增強(qiáng)的安全配置
Internet Explorer 增強(qiáng)的安全配置設(shè)計(jì)用于減少服務(wù)器暴露在安全威脅之下的可能性。為了確保盡可能地獲益于增強(qiáng)的安全配置,請(qǐng)考慮以下瀏覽器管理建議:
- 默認(rèn)情況下,所有 Internet 和 Intranet 站點(diǎn)均分配到“Internet”區(qū)域。如果您信任某個(gè) Internet 或 Intranet 站點(diǎn)并且需要該站點(diǎn)正常工作,請(qǐng)將 Internet 站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域,將 Intranet 站點(diǎn)添加到“本地 Intranet”區(qū)域。有關(guān)每個(gè)區(qū)域的安全級(jí)別的詳細(xì)信息,請(qǐng)參閱Internet Explorer 增強(qiáng)的安全配置的影響。
- 如果您想在 Internet 上運(yùn)行基于瀏覽器的客戶端應(yīng)用程序,則應(yīng)該將該應(yīng)用程序所在的網(wǎng)頁(yè)添加到“受信任的站點(diǎn)”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域。
- 如果您想在受保護(hù)且安全的本地 Intranet 上運(yùn)行基于瀏覽器的客戶端應(yīng)用程序,則應(yīng)該將該應(yīng)用程序所在的網(wǎng)頁(yè)添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱將站點(diǎn)添加到本地 Intranet 區(qū)域。
- 將內(nèi)部站點(diǎn)和本地服務(wù)器添加到“本地 Intranet”區(qū)域可確保您可以訪問(wèn)、運(yùn)行服務(wù)器中的應(yīng)用程序。
- 作為安裝過(guò)程的一部分,使用 unattend.txt 將 Intranet 站點(diǎn)和 UNC 服務(wù)器添加到“本地 Intranet”區(qū)域包含列表。有關(guān)詳細(xì)信息,請(qǐng)參閱 Windows Server2003 產(chǎn)品 CD 上 Deploy.cab 中的自述文件。
- 使用客戶端計(jì)算機(jī)下載驅(qū)動(dòng)程序、Service Pack 以及其他更新。避免從服務(wù)器進(jìn)行任何瀏覽。
- 如果使用磁盤(pán)映像在服務(wù)器上安裝操作系統(tǒng),請(qǐng)?jiān)诨居诚裆蠈⑿湃蔚?Intranet 站點(diǎn)和 UNC 服務(wù)器添加到“本地 Intranet”區(qū)域,將信任的 Internet 站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域。然后可以根據(jù)不同的服務(wù)器類型和需求更改映像上的列表。
將站點(diǎn)添加到受信任的站點(diǎn)區(qū)域
在服務(wù)器上啟用 Internet Explorer 增強(qiáng)的安全配置時(shí),所有 Internet 站點(diǎn)的安全設(shè)置都設(shè)置為“高”。如果您信任某個(gè)網(wǎng)頁(yè)并且需要它正常工作,則可以將該網(wǎng)頁(yè)添加到 Internet Explorer 的“受信任的站點(diǎn)”區(qū)域。
- 導(dǎo)航到要添加的站點(diǎn)。
- 在狀態(tài)欄上,雙擊安全區(qū)域名稱(如 Internet)以打開(kāi)“Internet 安全”對(duì)話框。
- 單擊“受信任的站點(diǎn)”,然后單擊“站點(diǎn)”。
- 在“受信任的站點(diǎn)”對(duì)話框中,單擊“添加”以將站點(diǎn)添加到列表中,然后單擊“關(guān)閉”。
- 刷新頁(yè)面以從其新區(qū)域查看該站點(diǎn)。
- 檢查瀏覽器的狀態(tài)欄,以確認(rèn)該站點(diǎn)位于“受信任的站點(diǎn)”區(qū)域。
注意
- 如果 Internet 站點(diǎn)嘗試使用腳本或 ActiveX 控件,則會(huì)出現(xiàn)一個(gè)對(duì)話框提示您將此 Internet 站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域。如果您禁用了該對(duì)話框,則可以在 Internet Explorer 中重新啟用。在“工具”菜單上,單擊“Internet 選項(xiàng)”。在“高級(jí)”選項(xiàng)卡上,選擇“顯示增強(qiáng)的安全配置對(duì)話框”。
- 網(wǎng)頁(yè)在一個(gè)時(shí)刻只能屬于一個(gè)區(qū)域。不能將一個(gè)頁(yè)面既添加到“受信任的站點(diǎn)”區(qū)域,又添加到“本地 Intranet”區(qū)域。
- 將網(wǎng)頁(yè)添加到“受信任的站點(diǎn)”區(qū)域時(shí),實(shí)際上添加的是該網(wǎng)頁(yè)的域。因此,也添加該域中的所有頁(yè)面。例如,如果將 http://www.microsoft.com/windows/ 添加到“受信任的站點(diǎn)”區(qū)域,則實(shí)際上添加的是 http://www.microsoft.com。如果您想之后查看幫助和支持站點(diǎn),則必須單獨(dú)添加 http://support.microsoft.com,因?yàn)閹椭椭С终军c(diǎn)是一個(gè)單獨(dú)的域。
- Internet Explorer 為“受信任的站點(diǎn)”區(qū)域維護(hù)兩個(gè)不同的站點(diǎn)列表。一個(gè)列表在啟用增強(qiáng)的安全配置時(shí)生效,另一個(gè)列表在禁用增強(qiáng)的安全配置時(shí)生效。將網(wǎng)頁(yè)添加到“受信任的站點(diǎn)”區(qū)域時(shí),只是將該站點(diǎn)添加到當(dāng)前生效的列表中。
- 可以使用通配符添加給定域的所有子域。例如,可以將 *.microsoft.com 添加到列表,這意味著添加了 www.microsoft.com 和 support.microsoft.com。
- 很多 Internet 站點(diǎn)都使用多個(gè)域來(lái)承載其內(nèi)容。您可能必須將多個(gè)域添加到“受信任的站點(diǎn)”區(qū)域,才能擁有某個(gè)站點(diǎn)的全部功能。
- 安裝期間,您可以使用 unattend.txt 中的某些設(shè)置一次將多個(gè)站點(diǎn)添加到“受信任的站點(diǎn)”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱 Windows Server2003 產(chǎn)品 CD 上 Deploy.cab 中的自述文件。還可以使用組策略添加和管理多個(gè)站點(diǎn)。有關(guān)詳細(xì)信息,請(qǐng)參閱 Microsoft Windows Server2003 部署工具包 (http://go.microsoft.com/fwlink/?LinkID=4298)。
將站點(diǎn)添加到本地 Intranet 區(qū)域
啟用 Internet Explorer 增強(qiáng)的安全配置時(shí),所有 Intranet 站點(diǎn)的安全設(shè)置都設(shè)置為“高”。因此,每次訪問(wèn)尚未添加到“本地 Intranet”區(qū)域的 Intranet 站點(diǎn)時(shí)系統(tǒng)都將提示您提供憑據(jù)(用戶名和密碼)。如果經(jīng)常使用 Intranet 站點(diǎn)并且知道這些站點(diǎn)值得信任,則可以將它們添加到 Internet Explorer 的“本地 Intranet”區(qū)域。
- 導(dǎo)航到要添加的本地 Intranet 站點(diǎn)。
- 在狀態(tài)欄上,雙擊安全區(qū)域名稱(如 Internet)以打開(kāi)“Internet 安全”對(duì)話框。
- 單擊“本地 Intranet”,然后單擊“站點(diǎn)”。
- 在“本地 Intranet”對(duì)話框中,單擊“添加”以將站點(diǎn)添加到列表中,然后單擊“關(guān)閉”。
- 刷新頁(yè)面以從其新區(qū)域查看該站點(diǎn)。
- 檢查瀏覽器的狀態(tài)欄,以確認(rèn)該站點(diǎn)位于“本地 Intranet”區(qū)域。
注意
- 不要將 Internet 站點(diǎn)添加到“本地 Intranet”區(qū)域,因?yàn)檫@樣會(huì)將您的憑據(jù)自動(dòng)發(fā)送給請(qǐng)求的站點(diǎn)。
- 網(wǎng)頁(yè)在一個(gè)時(shí)刻只能屬于一個(gè)區(qū)域。不能將一個(gè)頁(yè)面既添加到“受信任的站點(diǎn)”區(qū)域,又添加到“本地 Intranet”區(qū)域。
- 增強(qiáng)的安全配置還限制訪問(wèn) UNC 路徑上的腳本、可執(zhí)行文件以及其他可能不安全的文件,除非明確將該路徑添加到“本地 Intranet”區(qū)域。例如,如果想訪問(wèn) \\server\share\setup.exe,則必須將 \\server 添加到“本地 Intranet”區(qū)域。
- 將網(wǎng)頁(yè)添加到“受信任的站點(diǎn)”區(qū)域時(shí),實(shí)際上添加的是該網(wǎng)頁(yè)的域。因此,也添加該域中的所有頁(yè)面。例如,如果將 http://www.microsoft.com/windows/ 添加到“受信任的站點(diǎn)”區(qū)域,則實(shí)際上添加的是 http://www.microsoft.com。如果您想之后查看幫助和支持站點(diǎn),則必須單獨(dú)添加 http://support.microsoft.com,因?yàn)閹椭椭С终军c(diǎn)是一個(gè)單獨(dú)的域。
- Internet Explorer 為“本地 Intranet”區(qū)域維護(hù)兩個(gè)不同的站點(diǎn)列表。一個(gè)列表在啟用增強(qiáng)的安全配置時(shí)生效,另一個(gè)列表在禁用增強(qiáng)的安全配置時(shí)生效。將網(wǎng)站添加到“本地 Intranet”區(qū)域時(shí),只是將該站點(diǎn)添加到當(dāng)前生效的列表中。
- 安裝期間,您可以使用 unattend.txt 中的某些設(shè)置一次將很多站點(diǎn)添加到“本地 Intranet”區(qū)域。有關(guān)詳細(xì)信息,請(qǐng)參閱 Windows Server2003 產(chǎn)品 CD 上 Deploy.cab 中的自述文件。還可以使用組策略添加和管理多個(gè)站點(diǎn)。有關(guān)詳細(xì)信息,請(qǐng)參閱 Microsoft Windows Server2003 部署工具包。 (http://go.microsoft.com/fwlink/?LinkID=4298)。
將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用到特定用戶
使用 Internet Explorer 增強(qiáng)的安全配置,可以控制允許對(duì)服務(wù)器上某些用戶組進(jìn)行 Internet Explorer 訪問(wèn)的級(jí)別。對(duì)于 Windows Server2003 和 Windows Server2008,將增強(qiáng)的安全配置應(yīng)用到特定用戶的步驟是不同的。
使用運(yùn)行 Windows Server2003 的計(jì)算機(jī)將增強(qiáng)的安全配置應(yīng)用到特定用戶的步驟
-
使用是本地 Administrators 組成員的用戶帳戶登錄計(jì)算機(jī)。
-
單擊「開(kāi)始」,然后單擊“控制面板”。
-
單擊“添加或刪除程序”,然后單擊“添加/刪除 Windows 組件”。
-
選中“Internet Explorer 增強(qiáng)的安全配置”復(fù)選框,然后單擊“詳細(xì)信息”。
-
選擇要應(yīng)用增強(qiáng)的安全配置的用戶組(“Administrators 組”或“所有其他用戶組”),然后單擊“確定”。
-
單擊“下一步”,然后單擊“完成”。
-
重新啟動(dòng) Internet Explorer 以應(yīng)用增強(qiáng)的安全配置。
使用運(yùn)行 Windows Server2008 的計(jì)算機(jī)將增強(qiáng)的安全配置應(yīng)用到特定用戶的步驟
-
使用是本地 Administrators 組成員的用戶帳戶登錄計(jì)算機(jī)。
-
單擊「開(kāi)始」,指向“管理工具”,然后單擊“服務(wù)器管理器”。
-
如果出現(xiàn)“用戶帳戶控制”對(duì)話框,請(qǐng)確認(rèn)所顯示的是您要執(zhí)行的操作,然后單擊“繼續(xù)”。
-
在“安全信息”下,單擊“配置 IE ESC”。
備注服務(wù)器管理器在它上次關(guān)閉時(shí)所使用的同一窗口中打開(kāi)。如果您看不到“安全信息”部分,請(qǐng)單擊控制臺(tái)樹(shù)中的“服務(wù)器管理器”。 -
在 Administrators 下,根據(jù)所需的配置單擊“啟用(推薦)”或“禁用”。
-
在“用戶”下,根據(jù)所需的配置單擊“啟用(推薦)”或“禁用”。
-
單擊“確定”。
-
重新啟動(dòng) Internet Explorer 以應(yīng)用增強(qiáng)的安全配置。
注意
- 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于 Administrators 組時(shí),會(huì)將這些設(shè)置應(yīng)用于管理員。對(duì)于 Windows Server2003,當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于“所有其他用戶組”時(shí),會(huì)將這些設(shè)置應(yīng)用于除了 Administrators 組之外的所有組。對(duì)于 Windows Server2008,當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于“用戶”時(shí),會(huì)將這些設(shè)置應(yīng)用于除了 Administrators 組之外的所有組。
- 有關(guān) Internet Explorer 安全區(qū)域的詳細(xì)信息,請(qǐng)參閱“關(guān)于 URL 安全區(qū)域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)(可能為英文網(wǎng)頁(yè))。
- 當(dāng)將 Internet Explorer 增強(qiáng)的安全配置應(yīng)用于任何用戶組且 Internet Explorer 打開(kāi)時(shí),必須退出 Internet Explorer 并重新啟動(dòng)才能使更改生效。
在服務(wù)器上手動(dòng)應(yīng)用 Internet Explorer 安全設(shè)置
如果不在環(huán)境中使用 Internet Explorer 增強(qiáng)的安全配置,則可以使用 Internet Explorer 中的“Internet 選項(xiàng)”對(duì)話框在服務(wù)器上手動(dòng)應(yīng)用安全設(shè)置。
手動(dòng)應(yīng)用 Internet Explorer 安全設(shè)置的步驟
-
打開(kāi) Internet Explorer。
-
單擊“工具”,然后單擊“Internet 選項(xiàng)”。
-
在“安全”選項(xiàng)卡上,選擇要調(diào)整的區(qū)域:“本地 Intranet”或“受信任的站點(diǎn)”。
備注無(wú)法更改 Internet 區(qū)域和“受限制的站點(diǎn)”區(qū)域的安全級(jí)別。 -
在“該區(qū)域的安全級(jí)別”下,單擊“默認(rèn)級(jí)別”以對(duì)該區(qū)域使用默認(rèn)的安全級(jí)別,或單擊“自定義級(jí)別”,然后選擇需要的設(shè)置。
-
單擊“確定”關(guān)閉“Internet 選項(xiàng)”對(duì)話框。
注意
- 對(duì)于“受限制的站點(diǎn)”,單擊“自定義級(jí)別”,然后單擊“重置為”列表中的某個(gè)級(jí)別。
- 有關(guān) Internet Explorer 安全區(qū)域的詳細(xì)信息,請(qǐng)參閱“關(guān)于 URL 安全區(qū)域模板”(http://go.microsoft.com/fwlink/?LinkId=12658)(可能為英文網(wǎng)頁(yè))。
從以前版本的 Internet Explorer 升級(jí)
升級(jí)到更高版本的 Internet Explorer 時(shí),保留以前版本的設(shè)置。如果 Internet Explorer 使用增強(qiáng)的安全配置并且升級(jí)到更高版本,則它將繼續(xù)使用增強(qiáng)的安全配置。如果 Internet Explorer 未使用增強(qiáng)的安全配置并升級(jí)到更高版本,則在升級(jí)期間它不會(huì)啟用該功能。
注意
- 在 Internet Explorer 升級(jí)期間始終保留瀏覽器自定義。如果 Internet Explorer 使用增強(qiáng)的安全配置并且進(jìn)行了配置更改,則 Internet Explorer 升級(jí)將保留該更改。
- 如果刪除某個(gè)使用增強(qiáng)的安全配置的 Internet Explorer 版本,則之前的版本將繼續(xù)使用增強(qiáng)的安全配置。當(dāng)刪除不使用增強(qiáng)的安全配置的 Internet Explorer 版本時(shí)也是這樣。與 Internet Explorer 升級(jí)一樣,在卸載方案中也將保留任何自定義。
瀏覽器安全最佳實(shí)踐
使用服務(wù)器進(jìn)行 Internet 瀏覽不符合聲音安全實(shí)踐,因?yàn)?Internet 瀏覽增加了服務(wù)器暴露在潛在安全攻擊之下的可能性。無(wú)論使用什么樣的瀏覽器,都應(yīng)該限制在服務(wù)器上進(jìn)行瀏覽。
若要降低通過(guò)基于 Web 的惡意內(nèi)容對(duì)服務(wù)器進(jìn)行潛在攻擊的風(fēng)險(xiǎn),請(qǐng)遵循以下原則:
- 不要使用服務(wù)器瀏覽常規(guī) Web 內(nèi)容。
- 使用客戶端計(jì)算機(jī)下載驅(qū)動(dòng)程序、Service Pack 以及其他更新。
- 不要查看無(wú)法確認(rèn)是否安全的網(wǎng)站。
- 使用受限制的用戶帳戶而不是管理員帳戶進(jìn)行常規(guī) Web 瀏覽。
- 使用組策略防止未經(jīng)授權(quán)的用戶對(duì)瀏覽器安全設(shè)置進(jìn)行不適當(dāng)?shù)母摹?/li>
