引用網址:http://support.microsoft.com/kb/182569/zh-cnInternet Explorer 安全區域設置存儲在以下註冊表子項下麵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\In ...
引用網址:http://support.microsoft.com/kb/182569/zh-cn
Internet Explorer 安全區域設置存儲在以下註冊表子項下麵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
這些註冊表項包含以下項:
- TemplatePolicies
- ZoneMap
- Zones
註意:預設情況下,安全區域設置存儲在 HKEY_CURRENT_USER 註冊表項子樹中。因為該子樹是為每個用戶動態載入的,所以一個用戶的設置不會影響另一個用戶的設置。
如果在組策略中啟用了“安全區域:僅使用電腦設置”;或者 Security_HKLM_only DWORD 值存在,併在以下註冊表子項中的值為 1,則只使用本地電腦設置,並且所有用戶都具有相同的安全設置:
在啟用 Security_HKLM_only 策略的情況下,Internet Explorer 將使用 HKLM 值,而 HKCU 值仍會顯示在 Internet Explorer 中“安全”選項卡上的區域設置中。在 Internet Explorer 7 中,“Internet 選項”對話框的“安全”選項卡顯示以下消息,表示這些設置由系統管理員管理:
有些設置由系統管理員管理如果在組策略中啟用了“安全區域:僅使用電腦設置”;或者 Security_HKLM_only DWORD 值不存在或被設置為 0,則同時使用電腦設置和用戶設置。不過,“Internet 選項”中只顯示用戶設置。例如,當此 DWORD 值不存在或設置為 0 時,將同時讀取 HKEY_LOCAL_MACHINE 設置和 HKEY_CURRENT_USER 設置,但“Internet 選項”中僅顯示 HKEY_CURRENT_USER 設置。
TemplatePolicies
TemplatePolicies 項確定預設安全區域級別的設置。這些級別包括低、中低、中和高。可以更改預設設置中的安全級別設置。但是,不能添加更多安全級別。項中包含的值決定了安全區域的設置。每項均包含一個描述字元串值和一個顯示名稱字元串值,它們決定了每個安全級別的安全選項卡上顯示的文本。
ZoneMap
ZoneMap 項包含以下項:
- Domains
- EscDomains
- ProtocolDefaults
- Ranges
Domains 項包含為更改其預設行為而添加的域和協議。在添加域的同時,還會為 Domains 項添加一個項。子域作為項出現在它們所屬的域下麵。列出域的每個項都包含一個 DWORD 值,其中含有受影響協議的值名稱。DWORD 值與域添加到的安全區域的數值相同。
EscDomains 項與 Domains 項類似,只是 EscDomains 項適用於那些受增強的安全配置 (ESC) 影響的協議。ESC 是在 Microsoft Windows Server 2003 中引入的。
ProtocolDefaults 項指定用於特定協議(ftp、http、https)的預設安全區域。若要更改預設設置,可單擊“安全”選項卡上的“添加站點”將協議添加到安全區域中,或者在 Domains 項下麵添加一個 DWORD 值。DWORD 值的名稱必須與協議名稱匹配,而且不能包含任何冒號 (:) 或斜杠 (/)。
ProtocolDefaults 項還包含指定使用協議的預設安全區域的 DWORD 值。無法使用“安全”選項卡上的控制項來更改這些值。如果特定 Web 站點沒有在安全區域中,請使用該設置。
Ranges 項包含 TCP/IP 地址的範圍。指定的每個 TCP/IP 範圍出現在一個任意命名的項中。該項包含一個:Range 字元串值,其中包含指定的 TCP/IP 範圍。對於每個協議,都會添加一個 DWORD 值,它包含指定 IP 範圍的安全區域的數值。
當 Urlmon.dll 文件使用 MapUrlToZone 公共函數將特定 URL 解析為安全區域時,它使用以下方法之一:
- 如果 URL 包含完全限定的功能變數名稱 (FQDN),則處理 Domains 項。
在此方法中,精確的站點匹配取代隨機匹配。 - 如果 URL 包含 IP 地址,則處理 Ranges 項。將 URL 的 IP 地址與 :Range 值進行比較,該值包含在 Ranges 項下麵的任意命名的項中。
註意:由於任意命名的項按添加到註冊表中的順序進行處理,因此,此方法在找到精確匹配前可能會找到隨機匹配。如果此方法首先找到了一個隨機匹配,則可能在另一個安全區域中執行 URL,而不是在其通常被分配到的那個安全區域中執行。 這種現象是設計使然。
Zones
註意:為了提高安全性,從 Windows XP SP2 開始,“本地電腦區域”預設是鎖定的。 有關更多信息,請單擊下麵的文章編號,以查看 Microsoft 知識庫中相應的文章:
922704 (http://support.microsoft.com/kb/922704/ ) 有關 Microsoft Windows XP Service Pack 2 和 Microsoft Windows Server 2003 Service Pack 1 中“Internet Explorer 安全區域”的一些新組策略設置的信息有關更多信息,請訪問下麵的 Microsoft 網站:
http://technet.microsoft.com/zh-cn/library/cc782928(WS.10).aspx (http://technet.microsoft.com/zh-cn/library/cc782928(WS.10).aspx)Zones 項包含表示為電腦定義的每個安全區域的項。預設情況下,定義以下 5 個區域(編號從 0 到 4):
值 設置
------------------------------
0 我的電腦
1 本地 Intranet 區域
2 受信任的站點區域
3 Internet 區域
4 受限制的站點區域
註意:預設情況下,“我的電腦”不會出現在“安全”選項卡的“區域”框中。
其中的每項都包含以下 DWORD 值,用於表示自定義“安全”選項卡上的相應設置。
註意:除非另外聲明,否則每個 DWORD 值等於 0、1 或 3。通常,設置為 0 則將具體操作設置為允許;設置為 1 則導致出現提示;設置為 3 則禁止執行具體操作。
值 設置
----------------------------------------------------------------------------------
1001 ActiveX 控制項和插件:下載已簽署的 ActiveX 控制項
1004 ActiveX 控制項和插件:下載未簽署的 ActiveX 控制項
1200 ActiveX 控制項和插件:運行 ActiveX 控制項和插件
1201 ActiveX 控制項和插件:對沒有標記為可安全執行腳本的 ActiveX 控制項進行初始化和腳本運行
1206 其他:允許 Internet Explorer Web 瀏覽器控制項的腳本編寫 ^
1207 保留 #
1208 ActiveX 控制項和插件:允許以前未使用的 ActiveX 控制項在沒有提示的情況下運行 ^
1209 ActiveX 控制項和插件:允許腳本小程式
120A ActiveX 控制項和插件:ActiveX 控制項和插件:覆蓋每站點(基於域)ActiveX 限制
120B ActiveX 控制項和插件:覆蓋每站點(基於域)ActiveX 限制
1400 腳本編寫:活動腳本編寫
1402 腳本編寫:Java 小程式腳本編寫
1405 ActiveX 控制項和插件:對標記為可安全執行腳本的 ActiveX 控制項執行腳本
1406 其他:跨域訪問數據源 1407 腳本:允許編程剪貼板訪問
1408 保留 #
1601 其他:提交未加密的表單數據
1604 下載:字體下載
1605 運行 Java #
1606 其他:用戶數據持久性 ^
1607 其他:跨域瀏覽子框架
1608 其他:允許 META REFRESH * ^
1609 其他:顯示混合內容 *
160A 其他:在將文件上傳到伺服器時包括本地目錄路徑 ^
1800 其他:桌面項目的安裝
1802 其他:拖放或複製和粘貼文件
1803 下載:文件下載 ^
1804 其他:在 IFRAME 中啟動程式和文件
1805 在 Web 視圖中啟動程式和文件 #
1806 其他:啟動應用程式和不安全文件
1807 保留 ** #
1808 保留 ** #
1809 其他:使用彈出視窗阻止程式 ** ^
180A 保留 #
180B 保留 #
180C 保留 #
180D 保留 #
1A00 用戶身份驗證:登錄
1A02 允許電腦上存儲的持久 cookie #
1A03 允許每會話 cookie(未存儲) #
1A04 其他:沒有證書或只有一個證書時不提示進行客戶證書選擇 * ^
1A05 允許第三方持久 cookie *
1A06 允許第三方會話 cookie *
1A10 隱私設置 *
1C00 Java 許可權 #
1E05 其他:軟體頻道許可權
1F00 保留 ** #
2000 ActiveX 控制項和插件:二進位和腳本行為
2001 依賴 NET Framework 的組件:運行未用 Authenticode 簽名的組件
2004 依賴 NET Framework 的組件:運行未用 Authenticode 簽名的組件
2100 其他:基於內容打開文件,而不是基於文件擴展名 ** ^
2101 其他:在低特權 Web 內容區域中的網站可以導航到此區域 **
2102 其他:允許由腳本初始化的視窗,沒有大小和位置限制 ** ^
2103 腳本:允許通過腳本更新狀態欄 ^
2104 其他:允許網站打開沒有地址或狀態欄的視窗 ^
2105 腳本:允許網站使用腳本視窗提示信息 ^
2200 下載:文件下載自動提示 ** ^
2201 ActiveX 控制項和插件:ActiveX 控制項自動提示 ** ^
2300 其他:允許網頁為活動內容使用受限制的協議 **
2301 其他:使用釣魚網站篩選器 ^
2400 .NET Framework:XAML 瀏覽器應用程式
2401 .NET Framework:XPS 文檔
2402 .NET Framework:鬆散 XAML
2500 打開保護模式 [僅 Vista 設置] #
2600 啟用 .NET Framework 設置 ^
{AEBA21FA-782A-4A90-978D-B72164C80120} 第一方 Cookie *
{A8A88C49-5EB2-4990-A1A2-0876022C854F} 第三方 Cookie * *
表示 Internet Explorer 6 或更高版本設置 **
表示 Windows XP Service Pack 2 或更高版本設置 #
表示未在 Internet Explorer 7 的用戶界面中顯示的設置 ^
表示只有“已啟用”或“已禁用”兩個選項的設置
關於 1200、1A00、1A10、1E05、1C00 和 2000 的說明
以下兩個註冊表項影響是否可以在特定區域中運行 ActiveX 控制項:
- 1200 此註冊表項影響是否可以運行 ActiveX 控制項或插件。
- 2000 此註冊表項控制 ActiveX 控制項或插件的二進位行為和腳本行為。
關於 1A02、1A03、1A05 和 1A06 的說明
以下四個註冊表項僅當以下項存在時才生效:
- {AEBA21FA-782A-4A90-978D-B72164C80120} 第一方 Cookie *
- {A8A88C49-5EB2-4990-A1A2-0876022C854F} 第三方 Cookie *
註冊表項
- 1A02 允許在電腦上存儲的持久 cookie #
- 1A03 允許每會話 cookie(未存儲)#
- 1A05 允許第三方持久 cookie *
- 1A06 允許第三方會話 cookie *
這些註冊表項位於以下註冊表子項中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>在此註冊表子項中,<ZoneNumber> 是諸如 0(零)之類的區域。1200 註冊表項和 2000 註冊表項均包含一個名為管理員認可的設置。當啟用了此設置時,特定註冊表項的值會被設置為 00010000。當啟用管理員認可設置時,Windows 會檢查以下註冊表子項以查找認可的控制項列表:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls登錄設置 (1A00) 可以使用以下任一值(十六進位):
值 設置 ---------------------------------------------------------------
0x00000000 自動使用當前用戶名和密碼登錄
0x00010000 用戶名和密碼提示
0x00020000 只在 Intranet 區域自動登錄
0x00030000 匿名登錄
隱私設置 (1A10) 由“隱私”選項卡滑塊使用。DWORD 值如下:
禁止所有 Cookie: 00000003高: 00000001
中高: 00000001
中: 00000001
低: 00000001
接受所有 Cookie:00000000
它還會根據滑塊中的設置,修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F} 和/或 {AEBA21Fa-782A-4A90-978D-B72164C80120} 中的值。
軟體頻道許可權 (1E05) 具有三個不同的值:高、低和中安全度。對應的值是:
中: 00020000
低:00030000
Java 許可權設置 (1C00) 具有以下五個可能的值(二進位):
值 設置 ----------------------- 00 00 00 00 禁用 Java 00 00 01 00 安全度 - 高 00 00 02 00 安全度 - 中 00 00 03 00 安全度 - 低 00 00 80 00 自定義
如果選擇“自定義”,它使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB}(位於同一註冊表位置)在二進位文件中存儲自定義信息。
每個安全區域都包含描述字元串值和顯示名稱字元串值。在“區域”框中單擊某個區域時,這些值的文本將出現在“安全”選項卡上。還有一個“圖標”字元串值,用於設置為每個區域顯示的圖標。除了“我的電腦”區域外,每個區域都包含 CurrentLevel、MinLevel 和 RecommendedLevel DWORD 值。MinLevel 值設置在出現警告消息前可以使用的最低設置;CurrentLevel 是區域的當前設置;RecommendedLevel 是區域的建議級別。
Minlevel、RecommendedLevel 和 CurrentLevel 值的含義如下:
值(十六進位) 設置 ----------------------------------
0x00010000 安全度 - 低
0x00010500 安全度 - 中低
0x00011000 安全度 -中
0x00012000 安全度 - 高
Flags DWORD 值決定用戶能否修改安全區域的屬性。若要確定 Flags 值,請將相應設置的數目加在一起。可以使用以下 Flags 值(十進位):
值 設置 ------------------------------------------------------------------
1 允許更改自定義設置
2 允許用戶向該區域中添加網站
4 需要經過驗證的網站(https 協議)
8 包括繞過代理伺服器的網站
16 包括在其他區域中沒有列出的網站
32 不在 Internet 屬性中顯示安全區域(“我的電腦” 的預設設置)
64 顯示“要求伺服器驗證”對話框
128 將通用命名連接 (UNC) 看作 Intranet 連接
如果向 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子樹中添加設置,則這些設置是相加的。如果向兩個子樹中添加網站,則只能看到 HKEY_CURRENT_USER 中的那些網站。HKEY_LOCAL_MACHINE 子樹中的網站仍按照它們的設置執行。但是,它們是不可用的,也無法對其進行修改。由於網站只能在每個協議的一個安全區域中列出,這可能會造成混淆。
