Записи реестра зон безопасности Internet Explorer для расширенных пользователей

В этой статье описывается, как и где зоны безопасности и параметры конфиденциальности Internet Explorer хранятся и управляются в реестре. Вы можете использовать групповую политику или пакет администрирования Microsoft Internet Explorer (IEAK) для настройки зон безопасности и параметров конфиденциальности.

Исходная версия продукта: Internet Explorer 9, Internet Explorer 10
Исходный номер КБ: 182569

Параметры конфиденциальности

Internet Explorer 6 и более поздних версий добавил вкладку «Конфиденциальность», чтобы предоставить пользователям больше контроля над файлами cookie. Эта вкладка(выберите «Инструменты», а затем выберите параметры Интернета) обеспечивает гибкость при блокировке или в доступе к файлам cookie в зависимости от веб-сайта, с которым поступил файл cookie, или типа файла cookie. К типам файлов cookie относятся сторонние файлы cookie, сторонние файлы cookie и файлы cookie, которые не имеют компактной политики конфиденциальности. Эта вкладка также содержит параметры для управления запросами веб-сайтов для физических данных о расположении, возможностью блокировать всплывающие панели и возможность запускать панели инструментов и расширения при включенной функции просмотра InPrivate.

В зоне Интернета существуют разные уровни конфиденциальности, которые хранятся в реестре в одном месте с зонами безопасности.

Можно также добавить веб-сайт, чтобы включить или заблокировать файлы cookie на основе веб-сайта, независимо от политики конфиденциальности на веб-сайте. Эти ключи реестра хранятся в следующем поднайме реестра:

В этом подмайке перечислены домены, добавленные в качестве управляемого сайта. Эти домены могут иметь любой из следующих значений DWORD:

0x00000005 — всегда блокировать
0x00000001 — всегда разрешить

Параметры зоны безопасности

Для каждой зоны пользователи могут управлять обработкой internet Explorer более рискованных элементов, таких как ActiveX элементы управления, загрузки и сценарии. Параметры зон безопасности Internet Explorer хранятся в следующих подмайсах реестра:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Эти ключи реестра содержат следующие ключи:

По умолчанию параметры зон безопасности хранятся в HKEY_CURRENT_USER подtree реестра. Поскольку это подtree динамически загружается для каждого пользователя, параметры одного пользователя не влияют на параметры другого.

Если в групповой политике включены параметры безопасности «Зоны безопасности: использовать только параметры компьютера» или если значение DWORD присутствует и имеет значение 1 в следующем подсети реестра, используются только параметры локального компьютера и все пользователи имеют одинаковые параметры Security_HKLM_only безопасности:

Если политика Security_HKLM_only включена, значения HKLM будут использоваться Internet Explorer. Однако значения HKCU по-прежнему будут отображаться в параметрах зоны на вкладке «Безопасность» в Internet Explorer. В Internet Explorer 7 на вкладке «Безопасность» в диалоговом окне «Параметры браузера» отображается следующее сообщение о том, что параметры управляются **** **** системным администратором:

Некоторые параметры управляются системным администратором Если параметры «Зоны безопасности: использовать только параметры компьютера» не включены в групповой политике или если значение DWORD не существует или имеет значение Security_HKLM_only 0, параметры компьютера используются вместе с пользовательскими настройками. Однако в параметрах браузера отображаются только параметры пользователя. Например, если это значение DWORD не существует или имеет значение 0, параметры считыются вместе с настройками, но в параметрах браузера отображаются только HKEY_LOCAL_MACHINE HKEY_CURRENT_USER HKEY_CURRENT_USER параметры.

TemplatePolicies

Ключ TemplatePolicies определяет параметры уровней зоны безопасности по умолчанию. Это уровни Low, Medium Low, Medium и High. Параметры уровня безопасности можно изменить с параметров по умолчанию. Однако нельзя добавить дополнительные уровни безопасности. Ключи содержат значения, которые определяют параметр для зоны безопасности. Каждый ключ содержит строковое значение description и строковое значение отображаемое имя, определяя текст, который отображается на вкладке «Безопасность» для каждого уровня безопасности.

ZoneMap

Ключ ZoneMap содержит следующие ключи:

• Домены
• EscDomains
• ProtocolDefaults
• Диапазоны

Этот Domains ключ содержит домены и протоколы, добавленные для изменения поведения по умолчанию. При добавлении домена к ключу добавляется Domains ключ. Поддомены отображаются в качестве ключей в домене, в котором они находятся. Каждый ключ, в который перечисляются домены, содержит DWORD со значением имени затронутого протокола. Значение DWORD такое же, как и числовые значения зоны безопасности, в которой добавлен домен.

Этот ключ похож на ключ «Домены», за исключением того, что ключ применяется к протоколам, на которые влияет конфигурация усиленной безопасности EscDomains Internet Explorer EscDomains (IE ESC). IE ESC впервые представлен в Microsoft Windows Server 2003 и применяется только к серверным операционным системам.

Этот ключ указывает зону безопасности по умолчанию, используемую для определенного протокола ProtocolDefaults (ftp, http, https). Чтобы изменить параметр по умолчанию, можно добавить протокол в **** зону безопасности, выбрав «Добавить сайты» на вкладке «Безопасность», или добавить значение DWORD под ключом **** «Домены». Имя значения DWORD должно соответствовать имени протокола и не должно содержать двоеточия (:) или косую черту (/).

Этот ProtocolDefaults ключ также содержит значения DWORD, которые определяют зоны безопасности по умолчанию, в которых используется протокол. Изменить эти значения с помощью элементов управления на вкладке «Безопасность» нельзя. Этот параметр используется, когда определенный веб-сайт не находится в зоне безопасности.

Ключ Ranges содержит диапазоны TCP/IP-адресов. Каждый задамый диапазон TCP/IP отображается в произвольно именоваемом ключе. Этот ключ содержит :Range строку, содержаную указанный диапазон TCP/IP. Для каждого протокола добавляется значение DWORD, которое содержит числовые значения зоны безопасности для указанного диапазона IP-адресов.

Если Urlmon.dll использует обную функцию MapUrlToZone для разрешения определенного URL-адреса в зону безопасности, он использует один из следующих методов:

Если URL-адрес содержит полное доменное имя( FQDN), обрабатывается ключ domains.

В этом методе точное соответствие сайта переопределяет случайное совпадение.

Если URL-адрес содержит IP-адрес, Ranges ключ обрабатывается. IP-адрес URL-адреса сравнивается со значением, которое содержится в произвольно именуемом ключе :Range под Ranges ключом.

Так как произвольно именуемые ключи обрабатываются в том порядке, в который они были добавлены в реестр, этот метод может найти случайное совпадение перед поиском совпадения. Если этот метод сначала находит случайное совпадение, URL-адрес может выполняться в зоне безопасности, которая отличается от зоны, которой он обычно назначен. Такое поведение является особенностью данного продукта.

Ключ содержит ключи, которые представляют каждую зону Zones безопасности, которая определена для компьютера. По умолчанию определены следующие пять зон (с нулем от нуля до четырех):

По умолчанию «Мой компьютер» не появляется в поле «Зона» на вкладке «Безопасность», так как он заблокирован для повышения безопасности.

Каждый из этих ключей содержит следующие значения DWORD, которые представляют соответствующие параметры на настраиваемой вкладке «Безопасность».

Если не указано иное, каждое значение DWORD равно нулю, одному или трем. Обычно нулевое значение задает определенное действие как разрешенное, значение этого параметра приводит к от появления запроса, а значение 3 запрещает определенное действие.

Примечания о 1200, 1A00, 1A10, 1E05, 1C00 и 2000

Следующие две записи реестра влияют на то, можно ли запускать ActiveX в определенной зоне:

• 1. Эта запись реестра влияет на то, ActiveX или подключаемых модульных модульных элементов.
• 2000 Эта запись реестра управляет двоичным поведением и поведением скриптов для ActiveX элементов управления или подключаемых модульных модуль.

Примечания о 1A02, 1A03, 1A05 и 1A06

Следующие четыре записи реестра вступает в силу, только если присутствуют следующие ключи:

• 1A02 Разрешить постоянные файлы cookie, хранимые на компьютере #
• 1A03 Allow per-session cookies (not stored) #
• 1A05 Разрешить сторонние постоянные файлы cookie *
• 1A06 Разрешить сторонние файлы cookie сеанса *

Эти записи реестра находятся в следующем поднайме реестра:

В этом подмайке реестра это зона, например 0 (ноль). Каждая запись реестра и запись реестра содержат параметр с 1200 2000 именем «Утвержден администратором». Если этот параметр включен, для конкретной записи реестра устанавливается значение 00010000. Если параметр утвержден администратором, Windows проверяет следующий поднаправление реестра, чтобы найти список утвержденных элементов управления:

Параметры для работы с логотипом (1A00) могут иметь одно из следующих значений (hexadecimal):

Параметры конфиденциальности (1A10) используются ползунок вкладок «Конфиденциальность». Значения DWORD:

Блокировать все файлы cookie: 00000003
Высокая: 00000001
Средний максимум: 00000001
Средний: 00000001
Низкий: 00000001
Примите все файлы cookie: 00000000

В зависимости от параметров ползунка он также изменит значения в , , или оба этих параметра.

Параметр разрешений Java (1C00) имеет следующие пять возможных значений (двоичные):

Если выбран параметр Custom, для хранения настраиваемой информации в двоичном файле используется <7839da25-f5fe-11d0-883b-0080c726dcbb>(расположенный в том же расположении реестра).

Каждая зона безопасности содержит строку description и отображаемое имя. Текст этих значений отображается на вкладке «Безопасность» при выборе зоны в поле «Зона». Также существует строка значка, которая задает значок, который отображается для каждой зоны. За исключением зоны «Мой компьютер», каждая зона содержит CurrentLevel значение MinLevel RecommendedLevel DWORD и , . Значение задает самый низкий параметр, который можно использовать перед получением предупреждающих сообщений, является текущим параметром для зоны и является рекомендуемым уровнем для MinLevel CurrentLevel RecommendedLevel зоны.

Какие значения для Minlevel , RecommendedLevel и означает CurrentLevel следующее:

Значение DWORD определяет возможность пользователя изменять свойства Flags зоны безопасности. Чтобы определить Flags значение, добавьте вместе номера соответствующих параметров. Доступны следующие Flags значения (десятичная часть):

При добавлении параметров в подстроки E и подстроки эти параметры HKEY_LOCAL_MACHIN HKEY_CURRENT_USER являются дополнительными. При добавлении веб-сайтов в оба подtrees будут видны только те HKEY_CURRENT_USER веб-сайты, которые находятся в них. Веб-сайты в подtree по-прежнему применяются в соответствии HKEY_LOCAL_MACHINE с их настройками. Однако они недоступны, и их нельзя изменить. Эта ситуация может запутать, так как веб-сайт может быть указан только в одной зоне безопасности для каждого протокола.

Ссылки

Дополнительные сведения об изменениях функций в Microsoft Windows XP Пакет обновления 2 (SP2) см. на следующем веб-сайте Майкрософт:

Дополнительные сведения о зонах безопасности URL-адресов можно получить на следующем веб-сайте Майкрософт:

Дополнительные сведения об изменении параметров безопасности Internet Explorer можно найти на следующем веб-сайте Майкрософт:

Дополнительные сведения о блокировке зоны локального компьютера Internet Explorer можно получить на следующем веб-сайте Майкрософт:

Дополнительные сведения о значениях, связанных с действиями, которые могут быть предприняты в зоне безопасности URL-адресов, см. в подметок действий URL.

Добавление доменов в зоны безопасности internet explorer, при помощи групповой политики

Привет. Наверняка вы обращали внимание, что если вы запускаете bat скрипт из сетевой папки, то у вас выскакивает предупреждение безопасности.

Либо если вы заходите на какой-то сайт, например онлайн банк-клиент, то у этого сайта очень многие элементы заблокированы. Решить подобные проблемы можно, если добавить необходимые доменные имена ресурсов в определенные зоны безопасности в Internet Explorer. Как правило — это местная интрасеть, либо надежные сайты.

И если с добавлением единичных сайтов, для одного пользователя проблем нет, то в массовых случаях нужно что-то придумывать, что б не бегать по всем компьютерам.

Сегодня хочу показать вам как можно автоматически добавлять домены и сайты в зоны безопасности, при помощи групповых политик.

Покажу вам 2 способа.

Первый способ – воспользуемся административными шаблонами.

Для этого в редакторе групповых политик идем в User Settings – Administrative Templates – Windows Components – Internet Explorer – Internet Control Panel – Security Page. Тут нам нужен параметр Site to Zone Assignment List.

Включаем его, и задаем необходимые зоны. В поле Value name вписываем, например dc.test.loc или ]]> http://dc.test.loc ]]> , в зависимости от ваших нужд. Так же в Value можно задать IP адрес, или диапазон IP адресов. В поле Value – задаем цифровое значение, где 1 –Местная Интрасеть (Intranet Zone), 2 – Доверенные Сайты (Trusted Sites), 3 – Зона Интернета (Internet Zone) и 4 – Небезопасные Сайты (Restricted Sites).

После применения этой политики в свойствах зоны будут те домены, которые вы указали, но при этом пользователю самостоятельно будет запрещено редактировать эти зоны.

Если же вам нужно распространить зоны и при этом, дать пользователям возможность еще и самостоятельно добавлять необходимые им сайты, тогда нужно распространять их через реестр, а не через административные шаблоны.

Второй способ:

Для этого опять же идем в редактор групповой политики и идем по пути User Configuration – Preferences – Windows Settings – Registry. Тут добавляем новый элемент реестра.

Для области указываем HKEY_CURRENT_USER, для пути – Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\test.loc\dc Соотвественно тут я добавляю домен host.test.loc. Если нужно добавить целый домен, тогда добавляйте в конце строки просто \test.loc

В поле Value name указываем протокол (http, https и т.д.), если необходимо добавить все протоколы, тогда указываем *.

Value Type должен быть REG_DWORD.

В Value Data должна быть цифра. Цифры тут такие же, как и для зон при задании через административные шаблоны (1 –Местная Интрасеть (Intranet Zone), 2 – Доверенные Сайты (Trusted Sites), 3 – Зона Интернета (Internet Zone) и 4 – Небезопасные Сайты (Restricted Sites)).

Если вы хотите, чтобы для зоны стояла галка – Для всех сайтов зоны требуется проверка подлинности серверов (https), то нужно добавить следующую запись в реестр, так же для ветки пользователя (HKCU):

Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\

Value name – Flags

Value type – REG_DWORD

Value Data – 71 – для того, что бы галка стояла, и 67 – что бы была отключена.

Если вы хотите добавить диапазон IP адресов, тогда нужно добавлять 2 параметра.

SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local

Value name — :Range

Value type – REG_SZ

Value Data – 192.168.1.0-254

SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local

Value name — * (или нужный вам протокол)

Value type – REG_DWORD

Value Data – 1 (номер зоны)