Как отключить Конфигурацию усиленной безопасности Internet Explorer в Windows Server 2012

Виртуальный сервер на базе Windows

Это простая инструкция по отключению настроек, которые делают Internet Explorer не очень удобным в тестовой или лабораторной среде. Когда Конфигурация усиленной безопасности Internet Explorer (IE ESC) активирована, пользователь постоянно видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE.

Отключить эту функцию на рабочем сервере допустимо – но только если Вы точно осознаете какие риски повысятся в результате данных действий и готовы повысить уровень безопасности сервера самостоятельно альтернативными способами.

В этой статье мы рассмотрим следующие моменты:

1. Отключение Конфигурации усиленной безопасности Internet Explorer через «Проводник»
2. Отключение Конфигурации усиленной безопасности Internet Explorer через PowerShell

На рабочем столе сервера в Windows Server 2012 найдите и запустите Server Manager.

Выберите «Локальный сервер» (сервер, который в настоящий момент активен, и на котором нужно отключить Конфигурацию усиленной безопасности Internet Explorer):

Справа в Server Manager, вы увидите Конфигурацию усиленной безопасности Internet Explorer (по умолчанию «Включено»):

У вас есть два варианта отключения Конфигурации усиленной безопасности Internet Exporer: отключение конфигурации только для аккаунта Администратора, либо для всех остальных юзеров. Предпочтительный вариант при тестировании использовать аккаунт без прав администратора — и в этом случае отключить Конфигурацию только для данного пользователя. Использование локального аккаунта администратора будет источником дополнительной угрозы безопасности, к тому же часто не будет давать требуемого результата в тестах, когда администратор имеет разрешения, а обычный пользователь — нет.

В примере ниже выбрано полное отключение Конфигурации усиленной безопасности Internet Explorer. Сделав выбор, нажмите ОК:

Вернувшись в Server Manager, вы сперва увидите, что настройки совершенно не изменились. Только обновив Server Manager с помощью клавиши F5, вы увидите, что настройка поменялась на режим «Выключено»

Готово. Откройте окно браузера IE и проверьте доступ к любому внутреннему сайту.

Вставьте код ниже в текстовый документ с расширением ps1: Disable-IEESC.ps1. Это отключит Конфигурацию усиленной безопасности Internet Explorer и для пользователя, и для администратора

function Disable-IEESC < $AdminKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” $UserKey = “HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\” Set-ItemProperty -Path $AdminKey -Name “IsInstalled” -Value 0 Set-ItemProperty -Path $UserKey -Name “IsInstalled” -Value 0 Stop-Process -Name Explorer Write-Host “IE Enhanced Security Configuration (ESC) has been disabled.” -ForegroundColor Green > Disable-IEESC

(Вам необходимо нажать Enter дважды после вставки скрипта если вы вставляете его непосредственно в окно PowerShell)

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Админу на заметку — 9. Как отключить конфигурацию усиленной безопасности Internet Explorer.

Админу на заметку — 9. Как отключить конфигурацию усиленной безопасности Internet Explorer.

Как показывает практика, многие администраторы не знают, как отключить конфигурацию усиленной безопасности Internet Explorer в серверных ОС семейства Windows, предпочитая установку альтернативных браузеров. Однако данное решение нельзя назвать оптимальным, так как, в отличие от IE, сторонние браузеры не позволяют централизованно управлять своими настройками, что представляет потенциальную угрозу безопасности. В тоже время конфигурация усиленной безопасности отключается очень просто.

Конфигурация усиленной безопасности Internet Explorer — вещь крайне специфичная, настолько специфичная, что пользоваться ею практически невозможно. Нет, идея безусловно хорошая, но вот реализация.

Данная настройка успешно затрудняет доступ даже к родному сайту компании, из-за чего попытка скачать патч, обновление или какой-либо компонент превращается в нетривиальную задачу с добавлением всего, чего только можно в зону доверенных узлов.

Неудивительно, что многие предпочитают первым делом поставить сторонний браузер. Но не спешите, данную настройку очень легко отключить.

Windows Server 2003

Открываем оснастку Установка и удаление программ, переходим в раздел Установка компонентов Windows и снимаем галочку с компоненты Конфигурация усиленной безопасности Internet Explorer.

Windows Server 2008 / 2008R2

Открываем Диспетчер сервера, переходим на самый верхний (одноименный) уровень дерева и справа находим ссылку Настроить конфигурацию усиленной безопасности Internet Explorer.

Данная ОС предлагает нам выбор: отключить настройку можно для Администраторов и/или Пользователей, что бывает полезно, если последние имеют доступ к серверу, например в терминальной сессии. Также следует помнить, что если вы хотите отключить конфигурацию усиленной безопасности Internet Explorer для пользователей сервера терминалов, то лучше это сделать прежде, чем будет поднята роль терминального сервера.

Windows Server 2012

Дизайн Диспетчера сервера в данной версии Windows Server претерпел значительные изменения. Теперь он называется Диспетчер серверов и позволяет управлять как локальным, так и удаленным сервером. Переходим в раздел Локальный сервер и в правой колонке находим ссылку Конфигурация усиленной безопасности Internet Explorer. Дальше все точно также как и в предыдущей версии ОС, мы можем отдельно задать настройки для Администраторов и Пользователей.

Теперь при запуске браузера он будет уведомлять вас, что Конфигурация усиленной безопасности Internet Explorer выключена и снабжать подробными инструкциями по ее включению.

При этом не стоит забывать, что сервера гораздо более подвержены атакам из интернета и последствия таких атак могут иметь гораздо более тяжелые последствия, поэтому старайтесь ограничить использование интернета на серверах разумным минимумом и посещением только доверенных ресурсов.

FaQ о конфигурации расширенной безопасности Internet Explorer (ESC)

Расширенная конфигурация безопасности Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) устанавливает параметры безопасности, определяя, как пользователи просматривают веб-сайты Интернета и интрасети. Эти параметры также уменьшают воздействие серверов на веб-сайты, которые могут представлять угрозу безопасности. Этот процесс также известен как IEHarden. Дополнительные сведения см. в сайте Internet Explorer: Enhanced Security Configuration.

Оригинальная версия продукта: Internet Explorer
Исходный номер КБ: 4551931

Параметр по умолчанию для ESC Internet Explorer

Эта функция включена по умолчанию на серверах.

Последствия включения ESC Internet Explorer

Esc Internet Explorer регулирует параметров экстензивности и безопасности Internet Explorer, чтобы снизить риск возможных угроз безопасности в будущем. Эти параметры находятся на вкладке Расширенные параметры Интернета в панели управления. В следующей таблице описываются параметры.

Возможность	Запись	Setting	Результат
Просмотр	Отображение диалогового окна Расширенной конфигурации безопасности.	Вкл.	Отображает диалоговое окно, чтобы уведомить вас, когда веб-сайт пытается использовать сценарии или ActiveX элементов управления.
Просмотр	Включить расширения браузера.	Выкл.	Отключает функции, установленные для использования вместе с Internet Explorer, созданные другими компаниями, кроме Microsoft.
Просмотр	Включить установку по требованию (Internet Explorer).	Выкл.	Отключает установку компонентов Internet Explorer по запросу, если это требуется веб-страницей.
Просмотр	Включить установку по требованию (Другое).	Выкл.	Отключает установку веб-компонентов по запросу, если это требуется веб-страницей.
Microsoft VM	Компилятор по времени (JIT) для включенной виртуальной машины (требуется перезапустить).	Выкл.	Отключает компилятор Microsoft VM.
Мультимедиа	Не отобразить контент в интернете в панели мультимедиа.	Вкл.	Отключает воспроизведение медиаконтента в панели мультимедиа Internet Explorer.
Мультимедиа	Не отобразить контент в интернете в панели мультимедиа.	Вкл.	Отключает воспроизведение медиаконтента в панели мультимедиа Internet Explorer.
Мультимедиа	Воспроизведения анимации на веб-сайтах.	Выкл.	Отключает анимацию.
Мультимедиа	Воспроизведения видео на веб-сайтах.	Выкл.	Отключает видеоклипы.
Безопасность	Проверка отзыва сертификата сервера (требуется перезапуск).	Вкл.	Автоматически проверяет сертификат веб-сайта, чтобы узнать, отозван ли сертификат, прежде чем принять сертификат действительным.
Безопасность	Проверьте, есть ли подписи в скачаемых программах.	Вкл.	Автоматически проверяет и отображает удостоверение программ, которые вы скачиваете.
Безопасность	Не сохраните зашифрованные страницы на диске.	Вкл.	Отключение сохранения защищенных сведений в папке Временные файлы Интернета.
Безопасность	Пустая временная папка «Файлы Интернета» при закрытии браузера.	Вкл.	Автоматически очищает папку Временные файлы Интернета при закрытии браузера.

Эти изменения уменьшают функциональные возможности веб-страниц, веб-приложений, локальных сетевых ресурсов и приложений, которые используют браузер для отображения онлайн-помощи, поддержки и общей помощи пользователям.

Отключение ESC Internet Explorer на серверах Windows

Чтобы отключить ESC Internet Explorer, выполните следующие действия:

Введите диспетчер сервера в поиске Windows, чтобы запустить приложение manager Server.

Выберите локальный сервер.

Перейдите к свойству Расширенной конфигурации безопасности IE, выберите текущий параметр, чтобы открыть страницу свойств, выберите кнопку Off для нужных пользователей и выберите ОК.

Чтобы увидеть новые параметры, отраженные в диспетчере сервера, выберите значок Обновления на панели инструментов Server Manager.

Следующее видео демонстрирует эту процедуру:

Отключение ESC Internet Explorer с помощью скрипта

Извлечение IEHArden_V5.bat из сжатого (.zip) файла, а затем запустите его по запросу административной команды или в рамках сценария входа с помощью процедуры, задокументированной в how to assign user logon scripts.

Содержимое пакетного файла

Управление параметром IEHarden для пользователей с помощью параметров групповой политики (GPP)

Чтобы изменить параметр IEHarden для пользователей с помощью конфигурации реестра предпочтений групповой политики, выполните следующие действия:

Откройте консоль GPMCM.msc, а затем перейдите к настройкам конфигурации пользователя > > Параметры Windows.

В области навигации щелкните правой кнопкой мыши объект Реестр и выберите элемент New > Registry Item.

В свойствах IEHarden укажите следующие параметры:

Расположение: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Имя значения: IEHarden

Тип значения: REG_DWORD

Данные значения: 0 или 00000000

Выберите Apply и OK для завершения этой конфигурации GPP.

Вы также можете проверить следующие подкайки реестра, если это значение не решает проблему. В большинстве случаев это необязательно.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
• HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer не работает после отключения ESC с помощью Server Manager

Чтобы устранить неполадки в этом сценарии, обратитесь к стандартным пользователям, которые не могут отключить функцию расширенной безопасности Internet Explorer на сервере терминала Windows Server 2003или более поздней версии. В принципе, возможно, вам придется включить или отключить ESC снова. Адресная ориентация реестра может быть самым простым способом решения этой проблемы.