Domande frequenti su Internet Explorer Enhanced Security Configuration (ESC)

  • Domande frequenti

Avviso

L'applicazione desktop Internet Explorer 11, ritirata e fuori supporto, è stata disabilitata in modo permanente tramite un aggiornamento di Microsoft Edge su alcune versioni di Windows 10. Per altre informazioni, vedere Domande frequenti sul ritiro delle app desktop di Internet Explorer 11.

Configurazione sicurezza avanzata di Internet Explorer

Internet Explorer Enhanced Security Configuration (ESC) stabilisce le impostazioni di sicurezza che definiscono il modo in cui gli utenti esplorano i siti Web Internet e Intranet. Queste impostazioni riducono anche l'esposizione dei server ai siti Web che potrebbero presentare un rischio per la sicurezza. Questo processo è noto anche come IEHarden. Per altre informazioni, vedere Internet Explorer: Configurazione della sicurezza avanzata.

Versione originale del prodotto: Internet Explorer
Numero KB originale: 4551931

Impostazione predefinita per Internet Explorer ESC

Questa funzionalità è abilitata per impostazione predefinita nei server.

Effetti dell'abilitazione di Internet Explorer ESC

Internet Explorer ESC regola le impostazioni di estendibilità e sicurezza di Internet Explorer per ridurre l'esposizione alle possibili minacce alla sicurezza future. Queste impostazioni si trovano nella scheda Avanzate di Opzioni Internet in Pannello di controllo. Nella tabella seguente vengono descritte le impostazioni.

Funzionalità Movimento Impostazione Risultato
Esplorazione Consente di visualizzare la finestra di dialogo Configurazione sicurezza avanzata. Attivato Visualizza una finestra di dialogo per notificare quando un sito Internet tenta di usare script o controlli ActiveX.
Esplorazione Abilitare le estensioni del browser. Disattivato Disabilita le funzionalità installate per l'uso insieme a Internet Explorer create da aziende diverse da Microsoft.
Esplorazione Abilitare Installa su richiesta (Internet Explorer). Disattivato Disabilita l'installazione di componenti di Internet Explorer su richiesta, se richiesto da una pagina Web.
Esplorazione Abilitare Installa su richiesta (altro). Disattivato Disabilita l'installazione di componenti Web su richiesta, se richiesto da una pagina Web.
Macchina virtuale Microsoft Compilatore JIT (Just-In-Time) per la macchina virtuale abilitata (richiede il riavvio). Disattivato Disabilita il compilatore di macchine virtuali Microsoft.
Contenuti multimediali Non visualizzare il contenuto online nella barra multimediale. Attivato Disabilita la riproduzione di contenuti multimediali nella barra multimediale di Internet Explorer.
Contenuti multimediali Non visualizzare il contenuto online nella barra multimediale. Attivato Disabilita la riproduzione di contenuti multimediali nella barra multimediale di Internet Explorer.
Contenuti multimediali Riprodurre animazioni nelle pagine Web. Disattivato Disabilita le animazioni.
Contenuti multimediali Riprodurre video nelle pagine Web. Disattivato Disabilita le clip video.
Sicurezza Verificare la presenza di revoche di certificati server (richiede il riavvio). Attivato Controlla automaticamente il certificato di un sito Web per verificare se il certificato è stato revocato prima di accettare il certificato come valido.
Sicurezza Verificare la presenza di firme nei programmi scaricati. Attivato Verifica e visualizza automaticamente l'identità dei programmi scaricati.
Sicurezza Non salvare le pagine crittografate su disco. Attivato Disabilita il salvataggio delle informazioni protette nella cartella File Internet temporanei.
Sicurezza Cartella File Internet temporanei vuota quando il browser viene chiuso. Attivato Cancella automaticamente la cartella File Internet temporanei quando si chiude il browser.

Queste modifiche riducono le funzionalità nelle pagine Web, nelle applicazioni basate sul Web, nelle risorse di rete locali e nelle applicazioni che usano un browser per visualizzare la Guida online, il supporto e l'assistenza generale per gli utenti.

Come disattivare Internet Explorer ESC nei server Windows

Per disattivare Internet Explorer ESC, seguire questa procedura:

  1. Immettere Server Manager in Ricerca di Windows per avviare l'applicazione Server Manager.

  2. Selezionare Server locale.

  3. Passare alla proprietà Configurazione sicurezza avanzata IE, selezionare l'impostazione corrente per aprire la pagina delle proprietà, selezionare il pulsante Di opzione Disattivato per gli utenti desiderati e quindi selezionare OK.

    L'impostazione ESC di Internet Explorer è attivata in Server Manager.

    Screenshot della finestra Configurazione sicurezza avanzata di Internet Explorer. L'opzione Off è selezionata.

  4. Selezionare l'icona Aggiorna sulla barra degli strumenti di Server Manager per visualizzare le nuove impostazioni riflesse nella gestione server.

    Screenshot dell'impostazione ESC corrente di Internet Explorer in Server Manager.

Il video seguente illustra questa procedura:

Per altre informazioni, vedere Gestire il server locale e la console di Server Manager.

Come disabilitare Esc di Internet Explorer usando uno script

  1. Creare un file IEHArden_V5.bat con il contenuto del file batch seguente.

  2. Eseguire il file bat al prompt dei comandi amministrativo o come parte dello script di accesso usando la procedura descritta in Come assegnare script di accesso utente.

Contenuto del file batch

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

Come gestire l'impostazione IEHarden per gli utenti usando Le preferenze di Criteri di gruppo (GPP)

Per modificare l'impostazione IEHarden per gli utenti usando la configurazione del Registro di sistema Preferenze di Criteri di gruppo, seguire questa procedura:

  1. Aprire la console GPMCM.msc e quindi passare a Preferenze di configurazione>utente Impostazioni> di Windows.

  2. Nel riquadro di spostamento fare clic con il pulsante destro del mouse sull'oggetto Registro di sistema e quindi scegliere Nuovo>elemento del Registro di sistema.

    Screenshot che mostra i passaggi per creare un nuovo Registro di sistema.

  3. In Proprietà IEHarden specificare le impostazioni seguenti:

    • Posizione: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • Nome valore: IEHarden

    • Tipo valore: REG_DWORD

    • Dati valore: 0 o 00000000

      Screenshot delle impostazioni del Registro di sistema in IEHarden Finestra Proprietà.

  4. Selezionare Applica e OK per completare questa configurazione GPP.

Nota

È anche possibile controllare le seguenti sottochiavi del Registro di sistema se questo valore non risolve il problema. Nella maggior parte dei casi, questo non è necessario.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorer non sembra funzionare dopo aver disabilitato ESC usando Server Manager

Per risolvere questo scenario, fare riferimento a Utenti Standard non possono disattivare la funzionalità sicurezza avanzata di Internet Explorer in un server terminal basato su Windows Server 2003 o una versione successiva. In pratica, potrebbe essere necessario abilitare o disabilitare di nuovo ESC. La destinazione del Registro di sistema può essere il modo più semplice per risolvere questo problema.