拡張セキュリティInternet Explorer (ESC) に関する FAQ

Internet Explorer拡張セキュリティ構成

Internet Explorer拡張セキュリティ構成 (ESC) は、ユーザーがインターネットおよびイントラネット Web サイトを参照する方法を定義するセキュリティ設定を確立します。 また、これらの設定により、セキュリティ リスクが生じかねない Web サイトへのサーバーの露出も軽減されます。 このプロセスは IEHarden とも呼ばれる。 詳細については 、「Internet Explorer: 拡張セキュリティ構成」を参照してください

元の製品バージョン:   Internet Explorer
元の KB 番号:   4551931

ESC の既定Internet Explorer設定

この機能は、サーバー上で既定で有効になっています。

ESC を有効にInternet Explorer効果

Internet Explorer ESC は、将来のセキュリティInternet Explorer影響を軽減するために、機能拡張とセキュリティ設定を調整します。 これらの設定は、コントロール パネル の [ インターネット オプション] の [詳細設定 ] タブにあります。 次の表では、設定について説明します。

機能 エントリ 設定 結果
ブラウズ [拡張セキュリティ構成] ダイアログ ボックスを表示します。 オン インターネット サイトがスクリプトまたはコントロールを使用しようとするときに通知するダイアログ ボックスをActiveXします。
ブラウズ ブラウザー拡張機能を有効にする。 オフ Microsoft 以外の企業によって作成されたInternet Explorerと共に使用するためにインストールした機能を無効にします。
ブラウズ [オンデマンドインストール] を有効にする (Internet Explorer)。 オフ Web ページで必要Internet Explorer場合は、必要に応じてコンポーネントのインストールを無効にします。
ブラウズ [オンデマンドインストール] を有効にする (その他)。 オフ Web ページで必要に応じて、必要に応じて Web コンポーネントのインストールを無効にします。
Microsoft VM 仮想マシンの Just-in-time (JIT) コンパイラが有効 (再起動が必要)。 オフ Microsoft VM コンパイラを無効にします。
マルチメディア メディア バーにオンライン コンテンツを表示しない。 オン メディア バーでメディア コンテンツの再生Internet Explorer無効にします。
マルチメディア メディア バーにオンライン コンテンツを表示しない。 オン メディア バーでメディア コンテンツの再生Internet Explorer無効にします。
マルチメディア Web ページでアニメーションを再生します。 オフ アニメーションを無効にします。
マルチメディア Web ページでビデオを再生します。 オフ ビデオ クリップを無効にします。
セキュリティ サーバー証明書の失効を確認します (再起動が必要です)。 オン 証明書を有効として受け入れる前に、Web サイトの証明書を自動的にチェックして、証明書が失効したかどうかを確認します。
セキュリティ ダウンロードしたプログラムの署名を確認します。 オン ダウンロードしたプログラムの ID を自動的に確認して表示します。
セキュリティ 暗号化されたページをディスクに保存しない。 オン 一時インターネット ファイル フォルダーにセキュリティで保護された情報を保存する機能を無効にします。
セキュリティ ブラウザーを閉じたときに、インターネット一時ファイル フォルダーを空にします。 オン ブラウザーを閉じると、[インターネット一時ファイル] フォルダーが自動的にクリアされます。

これらの変更により、Web ページ、Web ベースのアプリケーション、ローカル ネットワーク リソース、およびブラウザーを使用してオンライン ヘルプ、サポート、および一般的なユーザー支援を表示するアプリケーションの機能が低下します。

Windows サーバーで ESC をInternet Explorerする方法

ESC をオフInternet Explorer、次の手順を実行します。

  1. Windows 検索 に「Server Manager」 と入力して、サーバー マネージャー アプリケーションを起動します。

  2. [ローカル サーバー] を選択します

  3. IE 拡張セキュリティ構成 プロパティ に移動し、現在の設定を選択してプロパティ ページを開き、目的のユーザーの [ オフ ] オプション ボタンを選択し 、[OK] を選択します

    Internet Explorerマネージャーの ESC 設定を変更する

    [オフ] オプションのスクリーンショットを選択する

  4. [サーバー マネージャー ] ツールバー の [更新] アイコンを選択して、サーバー マネージャーに反映される新しい設定を確認します。

    サーバー マネージャー Internet Explorer ESC の現在の設定を指定します。

次のビデオでは、この手順を示します。

詳細については 、「Manage the Local Server and the Server Manager Console」を参照してください

スクリプトを使用してInternet Explorer ESC を無効にする方法

  1. ファイルをダウンロードして保存IEHArden_V5.zip。

  2. 圧縮された (.zip) ファイルから IEHArden_V5.bat を抽出し、管理コマンド プロンプトまたはログイン スクリプトの一部として実行するには、「ユーザー ログオン スクリプトの割り当て方法」に記載されている手順を使用します。

バッチ ファイルの内容

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

グループ ポリシー基本設定 (GPP) を使用してユーザーの IEHarden 設定を管理する方法

グループ ポリシー基本設定レジストリ構成を使用してユーザーの IEHarden 設定を変更するには、次の手順を実行します。

  1. GPMCM.msc コンソールを開き、[ユーザー構成の基本設定] [Windows 設定] > > に移動します

  2. ナビゲーション ウィンドウで 、Registry オブジェクトを右クリックし、[新しいレジストリ アイテム] > を選択します

    新しいレジストリを作成する

  3. [IEHarden プロパティ] で、次の設定を指定します。

    • 場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

    • 値名: IEHarden

    • 値の種類: REG_DWORD

    • 値データ: 0 または 00000000

      レジストリ設定

  4. [適用 ] と [OK] を選択 して、この GPP 構成を完了します。

注意

また、この値で問題が解決しない場合は、次のレジストリ サブキーを確認できます。 ほとんどの場合、これは必要ありません。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  • HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Internet Explorerサーバー マネージャーを使用して ESC を無効にした後は動作しないようです

このシナリオのトラブルシューティングについては、「標準ユーザーが Windows Server 2003ベースのターミナル サーバーまたは以降のバージョンで Internet Explorer 拡張セキュリティ機能をオフにできない」を参照してください。 基本的には、ESC を再度有効または無効にする必要があります。 レジストリをターゲットに設定すると、この問題を解決する最も簡単な方法になる可能性があります。