- Отключить конфигурацию усиленной безопасности IExplorer в Windows Server 2016
- Способ 1: Выкл.через Проводник
- FAQ about Internet Explorer Enhanced Security Configuration (ESC)
- Internet Explorer Enhanced Security Configuration
- The default setting for Internet Explorer ESC
- The effects of enabling Internet Explorer ESC
- How to turn off Internet Explorer ESC on Windows servers
- How to disable Internet Explorer ESC by using a script
- Contents of the batch file
- How to manage the IEHarden Setting for users by using Group Policy Preferences (GPP)
- Internet Explorer doesn’t seem to work after you disable ESC by using Server Manager
- Записки IT специалиста
- Админу на заметку — 9. Как отключить конфигурацию усиленной безопасности Internet Explorer.
- Windows Server 2003
- Windows Server 2008 / 2008R2
- Windows Server 2012
- Disable Internet Explorer Enhanced Security Configuration in Windows Server 2019
- Conclusion
Отключить конфигурацию усиленной безопасности IExplorer в Windows Server 2016
Когда включена Конфигурация усиленной безопасности Internet Explorer (IE ESC), пользователь видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE. Если вы готовы самостоятельно повысить уровень безопасности сервера, можете отключить эту функцию.
Способ 1: Выкл.через Проводник
1. Запустите Диспетчер серверов.
2. Выберите «Локальный сервер» (на котором нужно отключить Конфигурацию усиленной безопасности Internet Explorer):
3. Справа в Диспетчере серверов, вы увидите Конфигурацию усиленной безопасности Internet Explorer (по умолчанию «Включено»):
4. Кликните на «Включено», далее выберите какой вариант Конфигурации усиленной безопасности Internet Exporer Вам подходит: отключение конфигурации только для аккаунта Администратора, или отключение конфигурации для всех остальных пользователей. Использование локального аккаунта администратора является источником дополнительной угрозы безопасности, к тому же часто не даёт требуемого результата в тестах, когда администратор имеет разрешения, а обычный пользователь таковых не имеет. Поэтому предпочтительнее при тестировании использовать аккаунт без прав администратора — и в этом случае отключить Конфигурацию только для данного пользователя. Ниже показано полное отключение Конфигурации усиленной безопасности Internet Explorer.
Сделав выбор, нажмите «ОК»:
5. Вернувшись в Диспетчер серверов, обновите его с помощью клавиши F5, после этого вы увидите, что настройка поменялась на режим «Отключено»
6. Готово. Откройте окно браузера Internet Explorer и проверьте доступ к любому внутреннему сайту.
Способ 2: PowerShell
Вставьте приведённый ниже код в текстовый документ с расширением ps1: Disable-IEESC.ps1. Это отключит Конфигурацию усиленной безопасности Internet Explorer и для пользователя, и для администратора:
Если вы вставляете скрипт непосредственно в окно PowerShell, нажмите Enter дважды после вставки. Запуск PowerShell от имени Администратора:
FAQ about Internet Explorer Enhanced Security Configuration (ESC)
Internet Explorer Enhanced Security Configuration
Internet Explorer Enhanced Security Configuration (ESC) establishes security settings that define how users browse the internet and intranet websites. These settings also reduce the exposure of servers to websites that might present a security risk. This process is also known as IEHarden. For more information, see Internet Explorer: Enhanced Security Configuration.
Original product version: В Internet Explorer
Original KB number: В 4551931
The default setting for Internet Explorer ESC
This feature is enabled by default on servers.
The effects of enabling Internet Explorer ESC
Internet Explorer ESC adjusts the Internet Explorer extensibility and security settings to reduce exposure to possible future security threats. These settings are on the Advanced tab of Internet Options in Control Panel. The following table describes the settings.
| Feature | Entry | Setting | Result |
|---|---|---|---|
| Browsing | Display Enhanced Security Configuration dialog box. | On | Displays a dialog box to notify you when an internet site tries to use scripting or ActiveX Controls. |
| Browsing | Enable Browser Extensions. | Off | Disables features that you installed for use together with Internet Explorer that are created by companies other than Microsoft. |
| Browsing | Enable Install on Demand (Internet Explorer). | Off | Disables installing Internet Explorer components on demand, if required by a webpage. |
| Browsing | Enable Install on Demand (Other). | Off | Disables installing web components on demand, if required by a webpage. |
| Microsoft VM | Just-in-time (JIT) compiler for virtual machine enabled (requires restart). | Off | Disables the Microsoft VM compiler. |
| Multimedia | Do not display online content in the media bar. | On | Disables playback of media content in the Internet Explorer media bar. |
| Multimedia | Do not display online content in the media bar. | On | Disables playback of media content in the Internet Explorer media bar. |
| Multimedia | Play animations in webpages. | Off | Disables animations. |
| Multimedia | Play videos in webpages. | Off | Disables video clips. |
| Security | Check for server certificate revocation (requires restart). | On | Automatically checks a website’s certificate to see whether the certificate has been revoked before accepting the certificate as valid. |
| Security | Check for signatures on downloaded programs. | On | Automatically verifies and displays the identity of programs that you download. |
| Security | Do not save encrypted pages to disk. | On | Disables saving secured information in your Temporary Internet Files folder. |
| Security | Empty Temporary Internet Files folder when browser is closed. | On | Automatically clears the Temporary Internet Files folder when you close the browser. |
These changes reduce the functionality in webpages, web-based applications, local network resources, and applications that use a browser to display online help, support, and general user assistance.
How to turn off Internet Explorer ESC on Windows servers
To turn off Internet Explorer ESC, follow these steps:
Enter Server Manager in Windows search to start Server manager application.
Select Local Server.
Navigate to the IE Enhanced Security Configuration property, select the current setting to open the property page, select the Off option button for the desired users, and then select OK.
Select the Refresh icon on the Server Manager toolbar to see the new settings reflected in the server manager.
The following video demonstrates this procedure:
How to disable Internet Explorer ESC by using a script
Extract IEHArden_V5.bat from the compressed (.zip) file, and then run it either at an administrative command prompt or as part of log-in script by using the procedure that is documented at How to assign user logon scripts.
Contents of the batch file
How to manage the IEHarden Setting for users by using Group Policy Preferences (GPP)
To change the IEHarden setting for users by using Group Policy Preferences Registry configuration, follow these steps:
Open the GPMCM.msc console, and then navigate to User Configuration > Preferences > Windows Settings.
In the navigation pane, right-click the Registry object, and then select New > Registry Item.
In IEHarden Properties, specify the following settings:
Location: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Value name: IEHarden
Value Type: REG_DWORD
Value data: 0 or 00000000
Select Apply and OK to complete this GPP configuration.
You may also want to check the following registry subkeys if this value does not resolve the problem. In most cases, this is not necessary.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Internet Explorer doesn’t seem to work after you disable ESC by using Server Manager
To troubleshoot this scenario, refer to Standard users can’t turn off Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server or a later version. Basically, you may have to enable or disable ESC again. Targeting the registry may be the easiest way to resolve this problem.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
- Главная
- Админу на заметку — 9. Как отключить конфигурацию усиленной безопасности Internet Explorer.
Админу на заметку — 9. Как отключить конфигурацию усиленной безопасности Internet Explorer.
Как показывает практика, многие администраторы не знают, как отключить конфигурацию усиленной безопасности Internet Explorer в серверных ОС семейства Windows, предпочитая установку альтернативных браузеров. Однако данное решение нельзя назвать оптимальным, так как, в отличие от IE, сторонние браузеры не позволяют централизованно управлять своими настройками, что представляет потенциальную угрозу безопасности. В тоже время конфигурация усиленной безопасности отключается очень просто.
Конфигурация усиленной безопасности Internet Explorer — вещь крайне специфичная, настолько специфичная, что пользоваться ею практически невозможно. Нет, идея безусловно хорошая, но вот реализация.
Данная настройка успешно затрудняет доступ даже к родному сайту компании, из-за чего попытка скачать патч, обновление или какой-либо компонент превращается в нетривиальную задачу с добавлением всего, чего только можно в зону доверенных узлов.
Неудивительно, что многие предпочитают первым делом поставить сторонний браузер. Но не спешите, данную настройку очень легко отключить.
Windows Server 2003
Открываем оснастку Установка и удаление программ, переходим в раздел Установка компонентов Windows и снимаем галочку с компоненты Конфигурация усиленной безопасности Internet Explorer.
Windows Server 2008 / 2008R2
Открываем Диспетчер сервера, переходим на самый верхний (одноименный) уровень дерева и справа находим ссылку Настроить конфигурацию усиленной безопасности Internet Explorer.
Данная ОС предлагает нам выбор: отключить настройку можно для Администраторов и/или Пользователей, что бывает полезно, если последние имеют доступ к серверу, например в терминальной сессии. Также следует помнить, что если вы хотите отключить конфигурацию усиленной безопасности Internet Explorer для пользователей сервера терминалов, то лучше это сделать прежде, чем будет поднята роль терминального сервера.
Windows Server 2012
Windows Server 2012Дизайн Диспетчера сервера в данной версии Windows Server претерпел значительные изменения. Теперь он называется Диспетчер серверов и позволяет управлять как локальным, так и удаленным сервером. Переходим в раздел Локальный сервер и в правой колонке находим ссылку Конфигурация усиленной безопасности Internet Explorer. Дальше все точно также как и в предыдущей версии ОС, мы можем отдельно задать настройки для Администраторов и Пользователей.
Теперь при запуске браузера он будет уведомлять вас, что Конфигурация усиленной безопасности Internet Explorer выключена и снабжать подробными инструкциями по ее включению.
При этом не стоит забывать, что сервера гораздо более подвержены атакам из интернета и последствия таких атак могут иметь гораздо более тяжелые последствия, поэтому старайтесь ограничить использование интернета на серверах разумным минимумом и посещением только доверенных ресурсов.
Disable Internet Explorer Enhanced Security Configuration in Windows Server 2019
This quick blog will explain the steps involved in disabling the annoying “Internet Explorer Enhanced Security Configuration is Enabled” window which you receive after opening IE for the first time in a fresh set up of Windows Server 2019. It’s a security feature which is enabled by default in Windows Server 2019 and looks something like this:
Notice the URL it opens when we start IE: res://iesetup.dll/HardAdmin.htm
When we try accessing any website, an error will pop-up which says the Enhanced Security Config has blocked the website, giving us an option to add the website to IE’s Trusted Zone. You can’t even access https enabled websites which are more secure compared to http ones. It can get cumbersome to add a website to the trusted zone every time we open a new page.
W arning Note: Disabling this feature will open up your IE’s access to the internet. So do install anti-virus software before doing this. Also, you can enable this feature back after downloading any other preferable browser.
How can we disable this?
Go to Start menu and click on the box that says Server Manager. Kindly have a look at the below image for reference:
On the Server Manager’s dashboard, click on Local Server from the left side menu and then click on IE Enhanced Security Configuration option which is to the right of the window. Kindly check the below image for reference:
After you click on the term ‘on’, it should give you a window just like this:
As you can see, the security feature is enabled for both Administrators and Users alike. Click on ‘off’ for both to disable this feature and click on OK.
That’s it! Simple, right? Head over to IE and access any website now.
Notice the URL that it gives now res://iesetup.dll/SoftAdmin.htm
But that should not worry now because it’s just a notification telling you that the Enhanced Security Configuration feature has been disabled. Now you can access any website without adding them to the Trusted Zone.
Conclusion
Disabling this feature will make it easy for you to access websites using IE, however, one should be aware of the potential harm in accessing malicious websites without installing a good anti-virus program in the system first. You can also work on other browsers with this feature disabled as it only affects the way IE connects to the internet.
