FAQ sur la configuration de sécurité renforcée d’Internet Explorer (ESC)

Avertissement

L’application de bureau Internet Explorer 11, mise hors service et dont le support a pris fin, a été désactivée définitivement via une mise à jour Microsoft Edge sur certaines versions de Windows 10. Pour plus d’informations, consultez le forum aux questions sur la mise hors service de l’application de bureau Internet Explorer 11.

Configuration de sécurité renforcée d’Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) établit des paramètres de sécurité qui définissent la façon dont les utilisateurs parcourent les sites web Internet et intranet. Ces paramètres réduisent également l’exposition des serveurs aux sites web susceptibles de présenter un risque de sécurité. Ce processus est également appelé IEHarden. Pour plus d’informations, consultez Internet Explorer : Configuration de sécurité améliorée.

Version du produit d’origine : Internet Explorer
Numéro de base de connaissances d’origine : 4551931

Paramètre par défaut pour Internet Explorer ESC

Cette fonctionnalité est activée par défaut sur les serveurs.

Effets de l’activation d’Internet Explorer ESC

Internet Explorer ESC ajuste les paramètres d’extensibilité et de sécurité d’Internet Explorer pour réduire l’exposition aux éventuelles menaces de sécurité futures. Ces paramètres sont sous l’onglet Avancé des options Internet dans Panneau de configuration. Le tableau suivant décrit les paramètres.

Fonctionnalité Entrée Setting Result
Navigation Boîte de dialogue Afficher la configuration de sécurité améliorée. Activé Affiche une boîte de dialogue pour vous avertir lorsqu’un site Internet tente d’utiliser des scripts ou des contrôles ActiveX.
Navigation Activez les extensions de navigateur. Désactivé Désactive les fonctionnalités que vous avez installées pour une utilisation avec Internet Explorer créées par des entreprises autres que Microsoft.
Navigation Activer l’installation à la demande (Internet Explorer). Désactivé Désactive l’installation des composants Internet Explorer à la demande, si nécessaire par une page web.
Navigation Activer l’installation à la demande (autre). Désactivé Désactive l’installation des composants web à la demande, si nécessaire par une page web.
Machine virtuelle Microsoft Compilateur juste-à-temps (JIT) pour la machine virtuelle activée (nécessite un redémarrage). Désactivé Désactive le compilateur de machines virtuelles Microsoft.
Multimédia N’affichez pas de contenu en ligne dans la barre multimédia. Activé Désactive la lecture du contenu multimédia dans la barre multimédia d’Internet Explorer.
Multimédia N’affichez pas de contenu en ligne dans la barre multimédia. Activé Désactive la lecture du contenu multimédia dans la barre multimédia d’Internet Explorer.
Multimédia Lire les animations dans les pages web. Désactivé Désactive les animations.
Multimédia Lire des vidéos dans des pages web. Désactivé Désactive les clips vidéo.
Sécurité Recherchez la révocation des certificats de serveur (nécessite un redémarrage). Activé Vérifie automatiquement le certificat d’un site web pour déterminer si le certificat a été révoqué avant d’accepter le certificat comme valide.
Sécurité Recherchez les signatures sur les programmes téléchargés. Activé Vérifie et affiche automatiquement l’identité des programmes que vous téléchargez.
Sécurité N’enregistrez pas les pages chiffrées sur le disque. Activé Désactive l’enregistrement d’informations sécurisées dans votre dossier Fichiers Internet temporaires.
Sécurité Dossier Fichiers Internet temporaires vides lorsque le navigateur est fermé. Activé Efface automatiquement le dossier Fichiers Internet temporaires lorsque vous fermez le navigateur.

Ces modifications réduisent les fonctionnalités des pages web, des applications web, des ressources de réseau local et des applications qui utilisent un navigateur pour afficher l’aide en ligne, le support et l’assistance générale des utilisateurs.

Comment désactiver Internet Explorer ESC sur les serveurs Windows

Pour désactiver Internet Explorer ESC, procédez comme suit :

  1. Entrez Gestionnaire de serveur dans la recherche Windows pour démarrer l’application du gestionnaire de serveur.

  2. Sélectionnez Serveur local.

  3. Accédez à la propriété Configuration de sécurité renforcée d’Internet Explorer, sélectionnez le paramètre actuel pour ouvrir la page de propriétés, sélectionnez le bouton d’option Désactivé pour les utilisateurs souhaités, puis sélectionnez OK.

    Le paramètre échap d’Internet Explorer est activé dans le gestionnaire de serveurs.

    Capture d’écran de la fenêtre Configuration de sécurité renforcée d’Internet Explorer. L’option Off est sélectionnée.

  4. Sélectionnez l’icône Actualiser dans la barre d’outils Gestionnaire de serveur pour afficher les nouveaux paramètres reflétés dans le gestionnaire de serveurs.

    Capture d’écran du paramètre échap Internet Explorer actuel dans le gestionnaire de serveurs.

La vidéo suivante illustre cette procédure :

Pour plus d’informations, consultez Gérer le serveur local et la console Gestionnaire de serveur.

Comment désactiver Internet Explorer ESC à l’aide d’un script

  1. Créez un fichier IEHArden_V5.bat avec le contenu de fichier batch suivant.

  2. Exécutez le fichier bat à l’invite de commandes d’administration ou dans le cadre d’un script de connexion à l’aide de la procédure documentée à l’adresse How to assign user logon scripts.

Contenu du fichier batch

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Comment gérer le paramètre IEHarden pour les utilisateurs à l’aide des préférences de stratégie de groupe (GPP)

Pour modifier le paramètre IEHarden pour les utilisateurs à l’aide de la configuration du Registre des préférences de stratégie de groupe, procédez comme suit :

  1. Ouvrez la console GPMCM.msc, puis accédez aux paramètres Windows des préférences> de configuration>utilisateur.

  2. Dans le volet de navigation, cliquez avec le bouton droit sur l’objet Registre, puis sélectionnez Nouvel>élément de Registre.

    Capture d’écran montrant les étapes de création d’un registre.

  3. Dans propriétés IEHarden, spécifiez les paramètres suivants :

    • Emplacement : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nom de la valeur : IEHarden

    • Type de valeur : REG_DWORD

    • Données de valeur : 0 ou 00000000

      Capture d’écran des paramètres de Registre dans IEHarden Fenêtre Propriétés.

  4. Sélectionnez Appliquer et OK pour terminer cette configuration GPP.

Note

Vous pouvez également vérifier les sous-clés de Registre suivantes si cette valeur ne résout pas le problème. Dans la plupart des cas, cela n’est pas nécessaire.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer ne semble pas fonctionner après avoir désactivé échap à l’aide de Gestionnaire de serveur

Pour résoudre ce scénario, reportez-vous aux utilisateurs Standard ne peuvent pas désactiver la fonctionnalité sécurité renforcée d’Internet Explorer sur un serveur terminal Windows Server 2003 ou une version ultérieure. En fait, vous devrez peut-être réactiver ou désactiver échap. Le ciblage du Registre peut être le moyen le plus simple de résoudre ce problème.