Häufig gestellte Fragen zur erweiterten Sicherheitskonfiguration von Internet Explorer (ESC)

Warnung

Die eingestellte, nicht mehr unterstützte Desktop-Anwendung Internet Explorer 11 wurde durch ein Microsoft Edge-Update in bestimmten Versionen von Windows 10 dauerhaft deaktiviert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der Desktop-App von Internet Explorer 11.

Erweiterte Sicherheitskonfiguration für Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) richtet Sicherheitseinstellungen ein, die definieren, wie Benutzer die Internet- und Intranetwebsites durchsuchen. Diese Einstellungen verringern auch die Gefährdung von Servern auf Websites, die möglicherweise ein Sicherheitsrisiko darstellen. Dieser Prozess wird auch als IEHarden bezeichnet. Weitere Informationen finden Sie unter Internet Explorer: Erweiterte Sicherheitskonfiguration.

Originalproduktversion: Internet Explorer
Ursprüngliche KB-Nummer: 4551931

Die Standardeinstellung für Internet Explorer ESC

Dieses Feature ist auf Servern standardmäßig aktiviert.

Die Auswirkungen der Aktivierung von Internet Explorer ESC

Internet Explorer ESC passt die Internet Explorer-Erweiterbarkeit und Sicherheitseinstellungen an, um die Gefährdung möglicher zukünftiger Sicherheitsbedrohungen zu verringern. Diese Einstellungen befinden sich auf der Registerkarte "Erweitert" der Internetoptionen in Systemsteuerung. In der folgenden Tabelle werden die Einstellungen beschrieben.

Funktion Eingabe Einstellung Ergebnis
Durchsuchen Dialogfeld "Erweiterte Sicherheitskonfiguration anzeigen". Ein Zeigt ein Dialogfeld an, das Sie benachrichtigt, wenn eine Internetwebsite versucht, Skripting oder ActiveX-Steuerelemente zu verwenden.
Durchsuchen Browsererweiterungen aktivieren. Aus Deaktiviert Features, die Sie zusammen mit Internet Explorer installiert haben, die von anderen Unternehmen als Microsoft erstellt werden.
Durchsuchen Installation bei Bedarf aktivieren (Internet Explorer). Aus Deaktiviert die Installation von Internet Explorer-Komponenten bei Bedarf bei Bedarf durch eine Webseite.
Durchsuchen Install on Demand (Other) aktivieren. Aus Deaktiviert die Installation von Webkomponenten bei Bedarf bei Bedarf durch eine Webseite.
Microsoft-VM Just-in-Time-Compiler (JIT) für aktivierte virtuelle Computer (erfordert Neustart). Aus Deaktiviert den Microsoft VM-Compiler.
Multimedia Zeigen Sie keine Onlineinhalte in der Medienleiste an. Ein Deaktiviert die Wiedergabe von Medieninhalten in der Internet Explorer-Medienleiste.
Multimedia Zeigen Sie keine Onlineinhalte in der Medienleiste an. Ein Deaktiviert die Wiedergabe von Medieninhalten in der Internet Explorer-Medienleiste.
Multimedia Wiedergeben von Animationen in Webseiten. Aus Deaktiviert Animationen.
Multimedia Wiedergeben von Videos auf Webseiten. Aus Deaktiviert Videoclips.
Sicherheit Überprüfen Sie auf den Sperrungsstatus des Serverzertifikats (erfordert einen Neustart). Ein Überprüft automatisch das Zertifikat einer Website, um festzustellen, ob das Zertifikat widerrufen wurde, bevor das Zertifikat als gültig akzeptiert wird.
Sicherheit Überprüfen Sie auf Signaturen für heruntergeladene Programme. Ein Überprüft automatisch und zeigt die Identität von Programmen an, die Sie herunterladen.
Sicherheit Speichern Sie verschlüsselte Seiten nicht auf dem Datenträger. Ein Deaktiviert das Speichern gesicherter Informationen im Ordner "Temporäre Internetdateien".
Sicherheit Ordner "Temporäre Internetdateien" leeren, wenn der Browser geschlossen wird. Ein Löscht automatisch den Ordner "Temporäre Internetdateien", wenn Sie den Browser schließen.

Diese Änderungen verringern die Funktionalität in Webseiten, webbasierten Anwendungen, lokalen Netzwerkressourcen und Anwendungen, die einen Browser verwenden, um Onlinehilfe, Support und allgemeine Benutzerunterstützung anzuzeigen.

So deaktivieren Sie Internet Explorer ESC auf Windows-Servern

Führen Sie die folgenden Schritte aus, um Internet Explorer ESC zu deaktivieren:

  1. Geben Sie Server-Manager in der Windows-Suche ein, um die Server-Manager-Anwendung zu starten.

  2. Wählen Sie "Lokaler Server" aus.

  3. Navigieren Sie zur IE Enhanced Security Configuration-Eigenschaft, wählen Sie die aktuelle Einstellung aus, um die Eigenschaftenseite zu öffnen, wählen Sie die Optionsschaltfläche "Aus" für die gewünschten Benutzer und dann "OK" aus.

    Internet Explorer ESC-Einstellung befindet sich im Server-Manager.

    Screenshot des IE-Fensters

  4. Wählen Sie auf der Symbolleiste Server-Manager das Symbol "Aktualisieren" aus, um die neuen Einstellungen im Server-Manager anzuzeigen.

    Screenshot der aktuellen ESC-Einstellung von Internet Explorer im Server-Manager.

Das folgende Video veranschaulicht dieses Verfahren:

Weitere Informationen finden Sie unter Verwalten des lokalen Servers und der Server-Manager Konsole.

So deaktivieren Sie Internet Explorer ESC mithilfe eines Skripts

  1. Erstellen Sie eine IEHArden_V5.bat Datei mit dem folgenden Batchdateiinhalt.

  2. Führen Sie die Bat-Datei entweder an einer Administrativen Eingabeaufforderung oder als Teil des Anmeldeskripts mithilfe der unter "Zuweisen von Benutzeranmeldeskripts" dokumentierten Prozedur aus.

Inhalt der Batchdatei

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

So verwalten Sie die IEHarden-Einstellung für Benutzer mithilfe von Gruppenrichtlinieneinstellungen (GPP)

Führen Sie die folgenden Schritte aus, um die IEHarden-Einstellung für Benutzer mithilfe der Registrierungskonfiguration für Gruppenrichtlinieneinstellungen zu ändern:

  1. Öffnen Sie die GPMCM.msc-Konsole, und navigieren Sie dann zu den Windows-Einstellungen für die Benutzerkonfiguration>>.

  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf das Registrierungsobjekt, und wählen Sie dann "Neues>Registrierungselement" aus.

    Screenshot zeigt die Schritte zum Erstellen einer neuen Registrierung.

  3. Geben Sie in den IEHarden-Eigenschaften die folgenden Einstellungen an:

    • Ort: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Wertname: IEHarden

    • Werttyp: REG_DWORD

    • Wertdaten: 0 oder 00000000

      Screenshot der Registrierungseinstellungen in IEHarden Eigenschaftenfenster.

  4. Wählen Sie "Übernehmen" und "OK" aus, um diese GPP-Konfiguration abzuschließen.

Notiz

Möglicherweise möchten Sie auch die folgenden Registrierungsunterschlüssel überprüfen, wenn dieser Wert das Problem nicht behebt. In den meisten Fällen ist dies nicht erforderlich.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer scheint nicht zu funktionieren, nachdem Sie ESC mithilfe von Server-Manager deaktiviert haben.

Informationen zur Problembehandlung in diesem Szenario finden Sie unter Standardbenutzern, die das Feature "Erweiterte Sicherheit" von Internet Explorer auf einem Windows Server 2003-basierten Terminalserver oder einer höheren Version nicht deaktivieren können. Grundsätzlich müssen Sie ESC möglicherweise erneut aktivieren oder deaktivieren. Die Adressierung der Registrierung ist möglicherweise die einfachste Möglichkeit, dieses Problem zu beheben.