| 文章编号 | : | 182569 |
| 最后修改 | : | 2005年9月20日 |
| 修订 | : | 12.5 |
(特此说明:转载文章)
重要说明:本文向您介绍如何在计算机上降低安全设置或关闭安全功能。您可以通过这些更改来变通解决特定的问题。我们建议您在进行更改之前,充分考虑在您的特定环境中实施这种替代方法可能带来的风险。如果实施该替代方法,请采取任何其他适当的附加措施来保护您的系统。
本页
概要
本文介绍 Internet Explorer 安全区域和隐私设置在注册表中的存储位置及管理方法。您可以使用“组策略”或 Microsoft Internet Explorer 管理工具包 (IEAK) 来设置安全区域和隐私设置。如果在基于 Microsoft Windows 2000 的计算机上使用“组策略”或 IEAK,则可能必须安装一些修复程序以设置安全区域和隐私设置。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
316116 (http://support.microsoft.com/kb/316116/) 无法在基于 Windows 2000 的计算机上管理 Internet Explorer 6 组策略
回到顶端更多信息
警告:此替代方法可能导致您的计算机或网络更易于受到恶意用户或恶意软件(如病毒)的攻击。我们不建议您采用这种替代方法,此信息仅供参考,您应自行决定是否实施此替代方法。使用此替代方法需要您自担风险。
注意:防病毒程序的设计目的是帮助保护您的计算机,使之不受病毒侵害。在禁用防病毒程序时,一定不要从您不信任的来源下载或打开文件,也不要访问不信任的网站或打开电子邮件附件。
有关计算机病毒的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
您也可以添加一个站点,并根据该站点的情况允许或禁止 Cookie,而不必考虑网站的隐私策略。这些注册表项存储在以下注册表项中:
注意:默认情况下,安全区域设置存储在 HKEY_CURRENT_USER 注册表项中。因为该项是为每个用户动态加载的,所以一个用户的设置不会影响另一个用户的设置。
如果在组策略中启用“安全区域:仅使用计算机设置”;或者 Security_HKLM_only DWORD 值存在,并在以下注册表项中的值为 1,则只使用本地计算机设置,并且所有用户都具有相同的安全设置:
如果未在组策略中启用“安全区域:仅使用计算机设置”;或者 Security_HKLM_only DWORD 值不存在或被设置为 0,则同时使用计算机设置和用户设置。不过,“Internet 选项”中只显示用户设置。例如,如果此 DWORD 值不存在或被设置为 0,将同时读取 HKEY_LOCAL_MACHINE 设置和 HKEY_CURRENT_USER 设置,但“Internet 选项”中只显示 HKEY_CURRENT_USER 设置。
注意:在启用 Security_HKLM_only 策略的情况下,Internet Explorer 将使用 HKLM 值,但 HKCU 值仍会显示在 Internet Explorer 界面内的区域设置中。这是设计使然,此时无法更改此功能。
Domains 项包含为更改其默认行为而添加的域和协议。在添加域的同时,还会为 Domains 项添加一个项。子域作为项出现在它们所属的域下面。列出域的每个项都包含一个 DWORD 值,其中含有受影响协议的值名称。DWORD 值与域添加到的安全区域的数值相同。
ProtocolDefaults 项指定用于特定协议(ftp、http、https)的默认安全区域。若要更改默认设置,可单击“安全”选项卡上的“添加站点”将协议添加到安全区域中,或者在 Domains 项下面添加一个 DWORD 值。DWORD 值的名称必须与协议名称匹配,而且不能包含任何冒号 (:) 或斜杠 (/)。
ProtocolDefaults 项还包含指定使用协议的默认安全区域的 DWORD 值。无法使用“安全”选项卡上的控件来更改这些值。如果特定 Web 站点没有在安全区域中,请使用该设置。
Ranges 项包含 TCP/IP 地址的范围。指定的每个 TCP/IP 范围出现在一个任意命名的项中。该项包含一个字符串值 (:Range),其中包含指定的 TCP/IP 范围。对于每个协议,都会添加一个 DWORD 值,它包含指定 IP 范围的安全区域的数值。
当 Urlmon.dll 文件使用 MapUrlToZone 公共函数将特定 URL 解析为安全区域时,它使用以下方法之一:
其中的每项都包含以下 DWORD 值,用于表示自定义“安全”选项卡上的相应设置。
注意:除非另外声明,否则每个 DWORD 值等于 0、1 或 3。通常,设置为 0 则将具体操作设置为允许;设置为 1 则导致出现提示;设置为 3 则禁止执行具体操作。
登录设置 (1A00) 可以使用以下任一值(十六进制):
软件频道权限 (1E05) 具有三个不同的值:高、低和中安全度。对应的值是:
每个安全区域都包含描述字符串值和显示名称字符串值。在“区域”框中单击某个区域时,这些值的文本将出现在“安全”选项卡上。还有一个“图标”字符串值,用于设置为每个区域显示的图标。除了“我的电脑”区域外,每个区域都包含 CurrentLevel、MinLevel 和 RecommendedLevel DWORD 值。MinLevel 值设置在出现警告消息前可以使用的最低设置;CurrentLevel 是区域的当前设置;RecomendedLevel 是区域的建议级别。
Minlevel、RecommendedLevel 和 CurrentLevel 值的含义如下:
启用或禁用的选项位于以下注册表项中:
注意:防病毒程序的设计目的是帮助保护您的计算机,使之不受病毒侵害。在禁用防病毒程序时,一定不要从您不信任的来源下载或打开文件,也不要访问不信任的网站或打开电子邮件附件。
有关计算机病毒的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
129972 (http://support.microsoft.com/kb/129972/)计算机病毒:说明、预防和恢复
Internet Explorer 6 中的隐私设置
Internet Explorer 6 中新增了一个“隐私”选项卡,使用户可以对 Cookie 有更多的控制。Internet 区域上有不同的隐私级别,它们与安全区域存储在注册表中的同一位置。您也可以添加一个站点,并根据该站点的情况允许或禁止 Cookie,而不必考虑网站的隐私策略。这些注册表项存储在以下注册表项中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
此项下面列出的是已添加为托管站点的域。这些域可使用以下两个 DWORD 值:
0x00000005 - 总是禁止
0x00000001 - 总是允许
0x00000001 - 总是允许
Internet Explorer 4.0 及更高版本
Internet Explorer 安全区域设置存储在以下注册表项下面:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
这些注册表项包含以下项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
| • | TemplatePolicies |
| • | ZoneMap |
| • | Zones |
如果在组策略中启用“安全区域:仅使用计算机设置”;或者 Security_HKLM_only DWORD 值存在,并在以下注册表项中的值为 1,则只使用本地计算机设置,并且所有用户都具有相同的安全设置:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
在启用 Security_HKLM_only 策略的情况下,Internet Explorer 将使用 HKLM 值,而 HKCU 值仍会显示在 Internet Explorer 中“安全”选项卡上的区域设置中。这是设计使然,没办法更改此功能。如果未在组策略中启用“安全区域:仅使用计算机设置”;或者 Security_HKLM_only DWORD 值不存在或被设置为 0,则同时使用计算机设置和用户设置。不过,“Internet 选项”中只显示用户设置。例如,如果此 DWORD 值不存在或被设置为 0,将同时读取 HKEY_LOCAL_MACHINE 设置和 HKEY_CURRENT_USER 设置,但“Internet 选项”中只显示 HKEY_CURRENT_USER 设置。
注意:在启用 Security_HKLM_only 策略的情况下,Internet Explorer 将使用 HKLM 值,但 HKCU 值仍会显示在 Internet Explorer 界面内的区域设置中。这是设计使然,此时无法更改此功能。
TemplatePolicies
TemplatePolicies 项决定默认安全区域级别(低、中低、中和高)的设置。可以更改默认设置中的安全级别设置。但是,不能添加其他的安全级别。项中包含的值决定了安全区域的设置。每项均包含一个描述字符串值和一个显示名称字符串值,它们决定了每个安全级别的安全选项卡上显示的文本。ZoneMap
ZoneMap 项包含以下项:| • | Domains |
| • | ProtocolDefaults |
| • | Ranges |
ProtocolDefaults 项指定用于特定协议(ftp、http、https)的默认安全区域。若要更改默认设置,可单击“安全”选项卡上的“添加站点”将协议添加到安全区域中,或者在 Domains 项下面添加一个 DWORD 值。DWORD 值的名称必须与协议名称匹配,而且不能包含任何冒号 (:) 或斜杠 (/)。
ProtocolDefaults 项还包含指定使用协议的默认安全区域的 DWORD 值。无法使用“安全”选项卡上的控件来更改这些值。如果特定 Web 站点没有在安全区域中,请使用该设置。
Ranges 项包含 TCP/IP 地址的范围。指定的每个 TCP/IP 范围出现在一个任意命名的项中。该项包含一个字符串值 (:Range),其中包含指定的 TCP/IP 范围。对于每个协议,都会添加一个 DWORD 值,它包含指定 IP 范围的安全区域的数值。
当 Urlmon.dll 文件使用 MapUrlToZone 公共函数将特定 URL 解析为安全区域时,它使用以下方法之一:
| • | 如果 URL 包含完全限定的域名 (FQDN),则处理 Domains 项。 在此方法中,精确的站点匹配取代随机匹配。 |
| • | 如果 URL 包含 IP 地址,则处理 Ranges 项。将 URL 的 IP 地址与 :Range 值进行比较,该值包含在 Ranges 项下面的每个任意命名的项中。 注意:由于任意命名的项按添加到注册表中的顺序进行处理,因此,此方法在找到精确匹配前可能会找到随机匹配。如果是这样的话,可能在另一个安全区域中执行 URL,而不是在其通常被分配到的那个安全区域中执行。 这种现象是设计使然。 |
Zones
Zones 项包含表示为计算机定义的每个安全区域的项。默认情况下,定义以下 5 个区域(编号从 0 到 4):值 设置 ------------------------------ 0 我的电脑 1 本地 Intranet 区域 2 受信任的站点区域 3 Internet 区域 4 受限制的站点区域注意:默认情况下,“我的电脑”不会出现在“安全”选项卡的“区域”框中。
其中的每项都包含以下 DWORD 值,用于表示自定义“安全”选项卡上的相应设置。
注意:除非另外声明,否则每个 DWORD 值等于 0、1 或 3。通常,设置为 0 则将具体操作设置为允许;设置为 1 则导致出现提示;设置为 3 则禁止执行具体操作。
值 设置
-----------------------------------------------------------------------
1001 下载已签名的 ActiveX 控件
1004 下载未签名的 ActiveX 控件
1200 运行 ActiveX 控件和插件
1201 对没有标记为安全的 ActiveX 控件进行初始化和脚本运行
1206 允许 Internet Explorer Webbrowser 控件的脚本
1400 活动脚本
1402 Java 小程序脚本
1405 对标记为可安全执行脚本的 ActiveX 控件执行脚本
1406 通过域访问数据资源
1407 允许通过脚本进行粘贴操作
1601 提交非加密表单数据
1604 字体下载
1605 运行 Java
1606 持续使用用户数据
1607 跨域浏览子框架
1608 允许 META REFRESH *
1609 显示混合内容 *
1800 桌面项目的安装
1802 拖放或复制和粘贴文件
1803 文件下载
1804 在 IFRAME 中加载程序和文件
1805 在 Web 视图中加载程序和文件
1806 加载应用程序和不安全文件
1807 保留 **
1808 保留 **
1809 使用弹出窗口阻止程序 **
1A00 登录
1A02 允许持续使用存储在计算机上的 Cookie
1A03 允许使用每个会话的 Cookie(未存储)
1A04 没有证书或只有一个证书时不提示选择客户证书 *
1A05 允许持续使用第三方 Cookie *
1A06 允许使用第三方会话 Cookie *
1A10 隐私设置 *
1C00 Java 权限
1E05 软件频道权限
1F00 保留 **
2000 二进制和脚本行为
2001 运行已用 Authenticode 签名的 .NET 组件
2004 运行未用 Authenticode 签名的 .NET 组件
2100 基于内容打开文件,而不是基于文件扩展名 **
2101 在低特权 Web 内容区域中的网站可以导航到此区域 **
2102 允许由脚本初始化的窗口,没有大小和位置限制 **
2200 文件下载自动提示 **
2201 ActiveX 控件自动提示 **
2300 允许网页为活动内容使用受限制的协议 **
{AEBA21FA-782A-4A90-978D-B72164C80120} 第一方 Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} 第三方 Cookie *
* 表示 Internet Explorer 6 或更高版本设置
** 表示 Windows XP Service Pack 2 或更高版本设置
关于 1200、1803、1A00、1A10、1E05 和 1C00 的说明
运行 ActiveX 控件和插件 (1200) 有一个额外设置(称作“管理员认可”)。在打开该设置时,DWORD 值是 00010000。打开该设置时,系统会检查以下注册表项中的认可控件的列表:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
文件下载 (1803) 没有提示设置,因为它要么是允许,要么是不允许。登录设置 (1A00) 可以使用以下任一值(十六进制):
值 设置 --------------------------------------------------------------- 0x00000000 自动使用当前用户名和密码登录 0x00010000 用户名和密码提示 0x00020000 只在 Intranet 区域自动登录 0x00030000 匿名登录隐私设置 (1A10) 由“隐私”选项卡滑块使用。DWORD 值为:
禁止所有 Cookie: 00000003
高: 00000001
中高: 00000001
中: 00000001
低: 00000001
接受所有 Cookie: 00000000
它还会根据滑块中的设置,相应地修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F} 和/或 {AEBA21Fa-782A-4A90-978D-B72164C80120} 中的值。高: 00000001
中高: 00000001
中: 00000001
低: 00000001
接受所有 Cookie: 00000000
软件频道权限 (1E05) 具有三个不同的值:高、低和中安全度。对应的值是:
高: 00010000
中: 00020000
低: 00030000
Java 权限设置 (1C00) 具有以下五个可能的值(二进制):
中: 00020000
低: 00030000
值 设置 ----------------------- 00 00 00 00 禁用 Java 00 00 01 00 安全度 - 高 00 00 02 00 安全度 - 中 00 00 03 00 安全度 - 低 00 00 80 00 自定义如果选择“自定义”,它使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB}(位于同一注册表位置)在二进制文件中存储自定义信息。
每个安全区域都包含描述字符串值和显示名称字符串值。在“区域”框中单击某个区域时,这些值的文本将出现在“安全”选项卡上。还有一个“图标”字符串值,用于设置为每个区域显示的图标。除了“我的电脑”区域外,每个区域都包含 CurrentLevel、MinLevel 和 RecommendedLevel DWORD 值。MinLevel 值设置在出现警告消息前可以使用的最低设置;CurrentLevel 是区域的当前设置;RecomendedLevel 是区域的建议级别。
Minlevel、RecommendedLevel 和 CurrentLevel 值的含义如下:
值(十六进制) 设置 ---------------------------------- 0x00010000 安全度 - 低 0x00010500 安全度 - 中低 0x00011000 安全度 -中 0x00012000 安全度 - 高Flags DWORD 值决定用户能否修改安全区域的属性。若要确定 Flags 值,请将相应设置的数目加在一起。可以使用以下 Flags 值(十进制):
值 设置 ------------------------------------------------------------------ 1 允许更改自定义设置 2 允许用户向该区域中添加网站 4 需要经过验证的网站(https 协议) 8 包括绕过代理服务器的网站 16 包括在其他区域中没有列出的网站 32 不在 Internet 属性中显示安全区域(“我的电脑”的默认设置) 64 显示“要求服务器验证”对话框 128 将通用命名连接 (UNC) 看作 Intranet 连接如果向 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 项中添加设置,则这些设置是相加的。如果向两个项中添加网站,则只能看到 HKEY_CURRENT_USER 中的那些网站。HKEY_LOCAL_MACHINE 项中的网站仍按照它们的设置执行,但无法看到它们,也不能对它们进行修改。由于网站只能在每个协议的一个安全区域中列出,这可能会造成混淆。
Internet Explorer 3.x
Internet Explorer 3.x 的安全设置分为两个部分:一部分用于更改选项,另一部分用于级别。启用或禁用的选项位于以下注册表项中:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
“安全”选项卡下面的具体选项如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
允许下载活动内容
字符串 - "Code Download"
值 - Yes(选中)或 No(不选中)
启用 ActiveX 控件和插件
二进制 - "Security_RunActiveXControls"
值 - Checked=hex:01,00,00,00 Unchecked=hex:00,00,00,00
运行 ActiveX 脚本
二进制 - "Security_RunScripts"
值 - Checked=hex:01,00,00,00 Unchecked=hex:00,00,00,00
启用 Java 程序
二进制 - "Security_RunJavaApplets"
值 - Checked=hex:01,00,00,00 Unchecked=hex:00,00,00,00
安全级别的设置位于以下注册表项中:
字符串 - "Code Download"
值 - Yes(选中)或 No(不选中)
启用 ActiveX 控件和插件
二进制 - "Security_RunActiveXControls"
值 - Checked=hex:01,00,00,00 Unchecked=hex:00,00,00,00
运行 ActiveX 脚本
二进制 - "Security_RunScripts"
值 - Checked=hex:01,00,00,00 Unchecked=hex:00,00,00,00
启用 Java 程序
二进制 - "Security_RunJavaApplets"
值 - Checked=hex:01,00,00,00 Unchecked=hex:00,00,00,00
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_USERS\.default\Software\Microsoft\Internet Explorer\Security
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security
注册表列表的选项如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_USERS\.default\Software\Microsoft\Internet Explorer\Security
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security
高
字符串 = "Trust Warning Level"
值 = "High"
字符串 = "Safety Warning Level"
值 = "FailInform"
中
字符串 = "Trust Warning Level"
值 = "Medium"
字符串 = "Safety Warning Level"
值 = "Query"
None
字符串 = "Trust Warning Level"
值 ="No Security"
字符串 = "Safety Warning Level"
值 ="SucceedSilent"
字符串 = "Trust Warning Level"
值 = "High"
字符串 = "Safety Warning Level"
值 = "FailInform"
中
字符串 = "Trust Warning Level"
值 = "Medium"
字符串 = "Safety Warning Level"
值 = "Query"
None
字符串 = "Trust Warning Level"
值 ="No Security"
字符串 = "Safety Warning Level"
值 ="SucceedSilent"
