Отключить конфигурацию усиленной безопасности IExplorer в Windows Server 2012

Когда включена Конфигурация усиленной безопасности Internet Explorer (IE ESC), пользователь видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE. Если вы готовы самостоятельно повысить уровень безопасности сервера, можете отключить эту функцию.

Способ 1: Выкл.через Проводник

1. Запустите Server Manager.

2. Выберите «Локальный сервер» (на котором нужно отключить Конфигурацию усиленной безопасности Internet Explorer):

3. Справа в Server Manager, вы увидите Конфигурацию усиленной безопасности Internet Explorer (по умолчанию «Включено»):

4. Кликните на «Включено», далее выберите какой вариант Конфигурации усиленной безопасности Internet Exporer Вам подходит: отключение конфигурации только для аккаунта Администратора, или отключение конфигурации для всех остальных пользователей. Использование локального аккаунта администратора является источником дополнительной угрозы безопасности, к тому же часто не даёт требуемого результата в тестах, когда администратор имеет разрешения, а обычный пользователь таковых не имеет. Поэтому предпочтительнее при тестировании использовать аккаунт без прав администратора — и в этом случае отключить Конфигурацию только для данного пользователя.

5. Ниже показано полное отключение Конфигурации усиленной безопасности Internet Explorer.
Сделав выбор, нажмите «ОК»:

6. Вернувшись в Server Manager, обновите его с помощью клавиши F5, после этого вы увидите, что настройка поменялась на режим «Отключено»

7. Готово. Откройте окно браузера Internet Explorer и проверьте доступ к любому внутреннему сайту.

Способ 2: PowerShell

Вставьте приведённый ниже код в текстовый документ с расширением ps1: Disable-IEESC.ps1. Это отключит Конфигурацию усиленной безопасности Internet Explorer и для пользователя, и для администратора:

Если вы вставляете скрипт непосредственно в окно PowerShell, нажмите Enter дважды после вставки. Запуск PowerShell от имени Администратора:

Как отключить конфигурацию усиленной безопасности Internet Explorer в Windows Server

В серверных операционных системах семейства Windows по умолчанию включена конфигурация усиленной безопасности Internet Explorer . Она защищает серверы от атак через веб-страницы, устанавливая настройки безопасности для браузера Internet Explorer .

Но данная конфигурация зачастую мешает в работе администратора сервера: не даёт установить другой браузер и блокирует веб-ресурсы. Расскажем, как отключить эту настройку на ОС Windows.

Подключитесь к серверу по RDP , а после откройте Диспетчер серверов/Server Manager через значок быстрого запуска или через меню Пуск .

В диспетчере серверов перейдите в пункт Локальный сервер/Local server .

Найдите пункт Конфигурация усиленной безопасности Internet Explorer/IE Enhanced Security Configuration и нажмите на Включено/On .

Появится окно с параметрами конфигурации, где надо переключить состояние настроек в Отключить/Off для администраторов и пользователей. После нажмите Ок .

Теперь нажмите F5 , чтобы обновились параметры локального сервера.

Проверьте, что конфигурация усиленной безопасности перешла в состояние Отключено/Off .

Готово! Теперь вы можете поставить свой любимый браузер.

Как отключить Конфигурацию усиленной безопасности Internet Explorer в Windows Server 2012

Виртуальный сервер на базе Windows

Это простая инструкция по отключению настроек, которые делают Internet Explorer не очень удобным в тестовой или лабораторной среде. Когда Конфигурация усиленной безопасности Internet Explorer (IE ESC) активирована, пользователь постоянно видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE.

Отключить эту функцию на рабочем сервере допустимо – но только если Вы точно осознаете какие риски повысятся в результате данных действий и готовы повысить уровень безопасности сервера самостоятельно альтернативными способами.

В этой статье мы рассмотрим следующие моменты:

1. Отключение Конфигурации усиленной безопасности Internet Explorer через «Проводник»
2. Отключение Конфигурации усиленной безопасности Internet Explorer через PowerShell

На рабочем столе сервера в Windows Server 2012 найдите и запустите Server Manager.

Выберите «Локальный сервер» (сервер, который в настоящий момент активен, и на котором нужно отключить Конфигурацию усиленной безопасности Internet Explorer):

Справа в Server Manager, вы увидите Конфигурацию усиленной безопасности Internet Explorer (по умолчанию «Включено»):

У вас есть два варианта отключения Конфигурации усиленной безопасности Internet Exporer: отключение конфигурации только для аккаунта Администратора, либо для всех остальных юзеров. Предпочтительный вариант при тестировании использовать аккаунт без прав администратора — и в этом случае отключить Конфигурацию только для данного пользователя. Использование локального аккаунта администратора будет источником дополнительной угрозы безопасности, к тому же часто не будет давать требуемого результата в тестах, когда администратор имеет разрешения, а обычный пользователь — нет.

В примере ниже выбрано полное отключение Конфигурации усиленной безопасности Internet Explorer. Сделав выбор, нажмите ОК:

Вернувшись в Server Manager, вы сперва увидите, что настройки совершенно не изменились. Только обновив Server Manager с помощью клавиши F5, вы увидите, что настройка поменялась на режим «Выключено»

Готово. Откройте окно браузера IE и проверьте доступ к любому внутреннему сайту.

Вставьте код ниже в текстовый документ с расширением ps1: Disable-IEESC.ps1. Это отключит Конфигурацию усиленной безопасности Internet Explorer и для пользователя, и для администратора

function Disable-IEESC < $AdminKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” $UserKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” Set-ItemProperty -Path $AdminKey -Name “IsInstalled” -Value 0 Set-ItemProperty -Path $UserKey -Name “IsInstalled” -Value 0 Stop-Process -Name Explorer Write-Host “IE Enhanced Security Configuration (ESC) has been disabled.” -ForegroundColor Green > Disable-IEESC

(Вам необходимо нажать Enter дважды после вставки скрипта если вы вставляете его непосредственно в окно PowerShell)

FaQ о конфигурации расширенной безопасности Internet Explorer (ESC)

Расширенная конфигурация безопасности Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) устанавливает параметры безопасности, определяя, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также уменьшают воздействие серверов на веб-сайты, которые могут представлять угрозу безопасности. Этот процесс также известен как IEHarden. Дополнительные сведения см. в сайте Internet Explorer: Enhanced Security Configuration.

Оригинальная версия продукта: Internet Explorer
Исходный номер КБ: 4551931

Параметр по умолчанию для ESC Internet Explorer

Эта функция включена по умолчанию на серверах.

Последствия включения ESC Internet Explorer

Esc Internet Explorer регулирует параметров экстензивности и безопасности Internet Explorer, чтобы снизить риск возможных угроз безопасности в будущем. Эти параметры находятся на вкладке Расширенные параметры Интернета в панели управления. В следующей таблице описываются параметры.

Возможность	Запись	Setting	Результат
Просмотр	Отображение диалогового окна Расширенной конфигурации безопасности.	Вкл.	Отображает диалоговое окно, чтобы уведомить вас, когда веб-сайт пытается использовать сценарии или ActiveX элементов управления.
Просмотр	Включить расширения браузера.	Выкл.	Отключает функции, установленные для использования вместе с Internet Explorer, созданные другими компаниями, кроме Microsoft.
Просмотр	Включить установку по требованию (Internet Explorer).	Выкл.	Отключает установку компонентов Internet Explorer по запросу, если это требуется веб-страницей.
Просмотр	Включить установку по требованию (Другое).	Выкл.	Отключает установку веб-компонентов по запросу, если это требуется веб-страницей.
Microsoft VM	Компилятор по времени (JIT) для включенной виртуальной машины (требуется перезапустить).	Выкл.	Отключает компилятор Microsoft VM.
Мультимедиа	Не отобразить контент в интернете в панели мультимедиа.	Вкл.	Отключает воспроизведение медиаконтента в панели мультимедиа Internet Explorer.
Мультимедиа	Не отобразить контент в интернете в панели мультимедиа.	Вкл.	Отключает воспроизведение медиаконтента в панели мультимедиа Internet Explorer.
Мультимедиа	Воспроизведения анимации на веб-сайтах.	Выкл.	Отключает анимацию.
Мультимедиа	Воспроизведения видео на веб-сайтах.	Выкл.	Отключает видеоклипы.
Безопасность	Проверка отзыва сертификата сервера (требуется перезапуск).	Вкл.	Автоматически проверяет сертификат веб-сайта, чтобы узнать, отозван ли сертификат, прежде чем принять сертификат действительным.
Безопасность	Проверьте, есть ли подписи в скачаемых программах.	Вкл.	Автоматически проверяет и отображает удостоверение программ, которые вы скачиваете.
Безопасность	Не сохраните зашифрованные страницы на диске.	Вкл.	Отключение сохранения защищенных сведений в папке Временные файлы Интернета.
Безопасность	Пустая временная папка «Файлы Интернета» при закрытии браузера.	Вкл.	Автоматически очищает папку Временные файлы Интернета при закрытии браузера.

Эти изменения уменьшают функциональные возможности веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, которые используют браузер для отображения онлайн-помощи, поддержки и общей помощи пользователям.

Отключение ESC Internet Explorer на серверах Windows

Чтобы отключить ESC Internet Explorer, выполните следующие действия:

Введите диспетчер сервера в поиске Windows, чтобы запустить приложение manager Server.

Выберите локальный сервер.

Перейдите к свойству Расширенной конфигурации безопасности IE, выберите текущий параметр, чтобы открыть страницу свойств, выберите кнопку Off для нужных пользователей и выберите ОК.

Чтобы увидеть новые параметры, отраженные в диспетчере сервера, выберите значок Обновления на панели инструментов Server Manager.

Следующее видео демонстрирует эту процедуру:

Отключение ESC Internet Explorer с помощью скрипта

Извлечение IEHArden_V5.bat из сжатого (.zip) файла, а затем запустите его по запросу административной команды или в рамках сценария входа с помощью процедуры, задокументированной в how to assign user logon scripts.

Содержимое пакетного файла

Управление параметром IEHarden для пользователей с помощью параметров групповой политики (GPP)

Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра предпочтений групповой политики, выполните следующие действия:

Откройте консоль GPMCM.msc, а затем перейдите к настройкам конфигурации пользователя > > Параметры Windows.

В области навигации щелкните правой кнопкой мыши объект Реестр и выберите элемент New > Registry Item.

В свойствах IEHarden укажите следующие параметры:

Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Имя значения: IEHarden

Тип значения: REG_DWORD

Данные значения: 0 или 00000000

Выберите Apply и OK для завершения этой конфигурации GPP.

Вы также можете проверить следующие подкайки реестра, если это значение не решает проблему. В большинстве случаев это необязательно.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
• HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer не работает после отключения ESC с помощью Server Manager

Чтобы устранить неполадки в этом сценарии, обратитесь к стандартным пользователям, которые не могут отключить функцию расширенной безопасности Internet Explorer на сервере терминала Windows Server 2003или более поздней версии. В принципе, возможно, вам придется включить или отключить ESC снова. Адресная ориентация реестра может быть самым простым способом решения этой проблемы.