Internet Explorer 安全區域註冊表項說明

引用網址：http://support.microsoft.com/kb/182569/zh-cn
Internet Explorer 安全區域設置存儲在如下注冊表子項下面：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

這些註冊表項包含如下項：

• TemplatePolicies
• ZoneMap
• Zones

注意：默認狀況下，安全區域設置存儲在 HKEY_CURRENT_USER 註冊表項子樹中。由於該子樹是爲每一個用戶動態加載的，因此一個用戶的設置不會影響另外一個用戶的設置。

若是在組策略中啓用了「安全區域：僅使用計算機設置」；或者 Security_HKLM_only DWORD 值存在，並在如下注冊表子項中的值爲 1，則只使用本地計算機設置，而且全部用戶都具備相同的安全設置：

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

在啓用 Security_HKLM_only 策略的狀況下，Internet Explorer 將使用 HKLM 值，而 HKCU 值仍會顯示在 Internet Explorer 中「安全」選項卡上的區域設置中。在 Internet Explorer 7 中，「Internet 選項」對話框的「安全」選項卡顯示如下消息，表示這些設置由系統管理員管理：

有些設置由系統管理員管理

若是在組策略中啓用了「安全區域：僅使用計算機設置」；或者 Security_HKLM_only DWORD 值不存在或被設置爲 0，則同時使用計算機設置和用戶設置。不過，「Internet 選項」中只顯示用戶設置。例如，當此 DWORD 值不存在或設置爲 0 時，將同時讀取 HKEY_LOCAL_MACHINE 設置和 HKEY_CURRENT_USER 設置，但「Internet 選項」中僅顯示 HKEY_CURRENT_USER 設置。

TemplatePolicies

TemplatePolicies 項肯定默認安全區域級別的設置。這些級別包括低、中低、中和高。能夠更改默認設置中的安全級別設置。可是，不能添加更多安全級別。項中包含的值決定了安全區域的設置。每項均包含一個描述字符串值和一個顯示名稱字符串值，它們決定了每一個安全級別的安全選項卡上顯示的文本。

ZoneMap

ZoneMap 項包含如下項：

• Domains
• EscDomains
• ProtocolDefaults
• Ranges

Domains 項包含爲更改其默認行爲而添加的域和協議。在添加域的同時，還會爲 Domains 項添加一個項。子域做爲項出如今它們所屬的域下面。列出域的每一個項都包含一個 DWORD 值，其中含有受影響協議的值名稱。DWORD 值與域添加到的安全區域的數值相同。

EscDomains 項與 Domains 項相似，只是 EscDomains 項適用於那些受加強的安全配置 (ESC) 影響的協議。ESC 是在 Microsoft Windows Server 2003 中引入的。

ProtocolDefaults 項指定用於特定協議（ftp、http、https）的默認安全區域。若要更改默認設置，可單擊「安全」選項卡上的「添加站點」將協議添加到安全區域中，或者在 Domains 項下面添加一個 DWORD 值。DWORD 值的名稱必須與協議名稱匹配，並且不能包含任何冒號 (:) 或斜槓 (/)。

ProtocolDefaults 項還包含指定使用協議的默認安全區域的 DWORD 值。沒法使用「安全」選項卡上的控件來更改這些值。若是特定 Web 站點沒有在安全區域中，請使用該設置。

Ranges 項包含 TCP/IP 地址的範圍。指定的每一個 TCP/IP 範圍出如今一個任意命名的項中。該項包含一個:Range 字符串值，其中包含指定的 TCP/IP 範圍。對於每一個協議，都會添加一個 DWORD 值，它包含指定 IP 範圍的安全區域的數值。

當 Urlmon.dll 文件使用 MapUrlToZone 公共函數將特定 URL 解析爲安全區域時，它使用如下方法之一：

• 若是 URL 包含徹底限定的域名 (FQDN)，則處理 Domains 項。
  
  在此方法中，精確的站點匹配取代隨機匹配。
• 若是 URL 包含 IP 地址，則處理 Ranges 項。將 URL 的 IP 地址與 :Range 值進行比較，該值包含在 Ranges 項下面的任意命名的項中。
  
  注意：因爲任意命名的項按添加到註冊表中的順序進行處理，所以，此方法在找到精確匹配前可能會找到隨機匹配。若是此方法首先找到了一個隨機匹配，則可能在另外一個安全區域中執行 URL，而不是在其一般被分配到的那個安全區域中執行。 這種現象是設計使然。

Zones

注意：爲了提升安全性，從 Windows XP SP2 開始，「本地計算機區域」默認是鎖定的。 有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：

922704  (http://support.microsoft.com/kb/922704/ ) 有關 Microsoft Windows XP Service Pack 2 和 Microsoft Windows Server 2003 Service Pack 1 中「Internet Explorer 安全區域」的一些新組策略設置的信息

有關更多信息，請訪問下面的 Microsoft 網站：

http://technet.microsoft.com/zh-cn/library/cc782928(WS.10).aspx (http://technet.microsoft.com/zh-cn/library/cc782928(WS.10).aspx)

Zones 項包含表示爲計算機定義的每一個安全區域的項。默認狀況下，定義如下 5 個區域（編號從 0 到 4）：

值 設置 
------------------------------ 
0 個人電腦 
1 本地 Intranet 區域 
2 受信任的站點區域 
3 Internet 區域 
4 受限制的站點區域

注意：默認狀況下，「個人電腦」不會出如今「安全」選項卡的「區域」框中。

其中的每項都包含如下 DWORD 值，用於表示自定義「安全」選項卡上的相應設置。

注意：除非另外聲明，不然每一個 DWORD 值等於 0、1 或 3。一般，設置爲 0 則將具體操做設置爲容許；設置爲 1 則致使出現提示；設置爲 3 則禁止執行具體操做。

值 設置 
---------------------------------------------------------------------------------- 
1001 ActiveX 控件和插件：下載已簽署的 ActiveX 控件 
1004 ActiveX 控件和插件：下載未簽署的 ActiveX 控件 
1200 ActiveX 控件和插件：運行 ActiveX 控件和插件 
1201 ActiveX 控件和插件：對沒有標記爲可安全執行腳本的 ActiveX 控件進行初始化和腳本運行 
1206 其餘：容許 Internet Explorer Web 瀏覽器控件的腳本編寫 ^ 
1207 保留 # 
1208 ActiveX 控件和插件：容許之前未使用的 ActiveX 控件在沒有提示的狀況下運行 ^ 
1209 ActiveX 控件和插件：容許腳本小程序 
120A ActiveX 控件和插件：ActiveX 控件和插件：覆蓋每站點（基於域）ActiveX 限制 
120B ActiveX 控件和插件：覆蓋每站點（基於域）ActiveX 限制 
1400 腳本編寫：活動腳本編寫 
1402 腳本編寫：Java 小程序腳本編寫 
1405 ActiveX 控件和插件：對標記爲可安全執行腳本的 ActiveX 控件執行腳本 
1406 其餘：跨域訪問數據源 1407 腳本：容許編程剪貼板訪問 
1408 保留 # 
1601 其餘：提交未加密的表單數據 
1604 下載：字體下載 
1605 運行 Java # 
1606 其餘：用戶數據持久性 ^ 
1607 其餘：跨域瀏覽子框架 
1608 其餘：容許 META REFRESH * ^ 
1609 其餘：顯示混合內容 * 
160A 其餘：在將文件上載到服務器時包括本地目錄路徑 ^ 
1800 其餘：桌面項目的安裝 
1802 其餘：拖放或複製和粘貼文件 
1803 下載：文件下載 ^ 
1804 其餘：在 IFRAME 中啓動程序和文件 
1805 在 Web 視圖中啓動程序和文件 # 
1806 其餘：啓動應用程序和不安全文件 
1807 保留 ** # 
1808 保留 ** # 
1809 其餘：使用彈出窗口阻止程序 ** ^ 
180A 保留 # 
180B 保留 # 
180C 保留 # 
180D 保留 # 
1A00 用戶身份驗證：登陸 
1A02 容許計算機上存儲的持久 cookie # 
1A03 容許每會話 cookie（未存儲） # 
1A04 其餘：沒有證書或只有一個證書時不提示進行客戶證書選擇 * ^ 
1A05 容許第三方持久 cookie * 
1A06 容許第三方會話 cookie * 
1A10 隱私設置 * 
1C00 Java 權限 # 
1E05 其餘：軟件頻道權限 
1F00 保留 ** # 
2000 ActiveX 控件和插件：二進制和腳本行爲 
2001 依賴 NET Framework 的組件：運行未用 Authenticode 簽名的組件 
2004 依賴 NET Framework 的組件：運行未用 Authenticode 簽名的組件 
2100 其餘：基於內容打開文件，而不是基於文件擴展名 ** ^ 
2101 其餘：在低特權 Web 內容區域中的網站能夠導航到此區域 ** 
2102 其餘：容許由腳本初始化的窗口，沒有大小和位置限制 ** ^ 
2103 腳本：容許經過腳本更新狀態欄 ^ 
2104 其餘：容許網站打開沒有地址或狀態欄的窗口 ^ 
2105 腳本：容許網站使用腳本窗口提示信息 ^ 
2200 下載：文件下載自動提示 ** ^ 
2201 ActiveX 控件和插件：ActiveX 控件自動提示 ** ^ 
2300 其餘：容許網頁爲活動內容使用受限制的協議 ** 
2301 其餘：使用釣魚網站篩選器 ^ 
2400 .NET Framework：XAML 瀏覽器應用程序 
2401 .NET Framework：XPS 文檔 
2402 .NET Framework：鬆散 XAML 
2500 打開保護模式 [僅 Vista 設置] # 
2600 啓用 .NET Framework 設置 ^ 

{AEBA21FA-782A-4A90-978D-B72164C80120} 第一方 Cookie * 
{A8A88C49-5EB2-4990-A1A2-0876022C854F} 第三方 Cookie * * 
表示 Internet Explorer 6 或更高版本設置 ** 
表示 Windows XP Service Pack 2 或更高版本設置 # 
表示未在 Internet Explorer 7 的用戶界面中顯示的設置 ^ 
表示只有「已啓用」或「已禁用」兩個選項的設置

關於 1200、1A00、1A十、1E0五、1C00 和 2000 的說明

如下兩個註冊表項影響是否能夠在特定區域中運行 ActiveX 控件：

• 1200 此註冊表項影響是否能夠運行 ActiveX 控件或插件。
• 2000 此註冊表項控制 ActiveX 控件或插件的二進制行爲和腳本行爲。

關於 1A0二、1A0三、1A05 和 1A06 的說明

如下四個註冊表項僅當如下項存在時才生效：

• {AEBA21FA-782A-4A90-978D-B72164C80120} 第一方 Cookie *
• {A8A88C49-5EB2-4990-A1A2-0876022C854F} 第三方 Cookie *

註冊表項

• 1A02 容許在計算機上存儲的持久 cookie #
• 1A03 容許每會話 cookie（未存儲）#
• 1A05 容許第三方持久 cookie *
• 1A06 容許第三方會話 cookie *

這些註冊表項位於如下注冊表子項中：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

在此註冊表子項中，<ZoneNumber> 是諸如 0（零）之類的區域。1200 註冊表項和 2000 註冊表項均包含一個名爲管理員承認的設置。當啓用了此設置時，特定註冊表項的值會被設置爲 00010000。當啓用管理員承認設置時，Windows 會檢查如下注冊表子項以查找承認的控件列表：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

登陸設置 (1A00) 可使用如下任一值（十六進制）：

值 設置 --------------------------------------------------------------- 
0x00000000 自動使用當前用戶名和密碼登陸 
0x00010000 用戶名和密碼提示 
0x00020000 只在 Intranet 區域自動登陸 
0x00030000 匿名登陸

隱私設置 (1A10) 由「隱私」選項卡滑塊使用。DWORD 值以下：

禁止全部 Cookie： 00000003
高： 00000001
中高： 00000001
中： 00000001
低： 00000001
接受全部 Cookie：00000000

它還會根據滑塊中的設置，修改 {A8A88C49-5EB2-4990-A1A2-0876022C854F} 和/或 {AEBA21Fa-782A-4A90-978D-B72164C80120} 中的值。
軟件頻道權限 (1E05) 具備三個不一樣的值：高、低和中安全度。對應的值是：

高： 00010000
中： 00020000
低：00030000

Java 權限設置 (1C00) 具備如下五個可能的值（二進制）：

值 設置 ----------------------- 00 00 00 00 禁用 Java 00 00 01 00 安全度 - 高 00 00 02 00 安全度 - 中 00 00 03 00 安全度 - 低 00 00 80 00 自定義

若是選擇「自定義」，它使用 {7839DA25-F5FE-11D0-883B-0080C726DCBB}（位於同一註冊表位置）在二進制文件中存儲自定義信息。

每一個安全區域都包含描述字符串值和顯示名稱字符串值。在「區域」框中單擊某個區域時，這些值的文本將出如今「安全」選項卡上。還有一個「圖標」字符串值，用於設置爲每一個區域顯示的圖標。除了「個人電腦」區域外，每一個區域都包含 CurrentLevel、MinLevel 和 RecommendedLevel DWORD 值。MinLevel 值設置在出現警告消息前可使用的最低設置；CurrentLevel 是區域的當前設置；RecommendedLevel 是區域的建議級別。

Minlevel、RecommendedLevel 和 CurrentLevel 值的含義以下：

值（十六進制） 設置 ---------------------------------- 
0x00010000 安全度 - 低 
0x00010500 安全度 - 中低 
0x00011000 安全度 -中 
0x00012000 安全度 - 高

Flags DWORD 值決定用戶可否修改安全區域的屬性。若要肯定 Flags 值，請將相應設置的數目加在一塊兒。可使用如下 Flags 值（十進制）：

值 設置 ------------------------------------------------------------------ 
1 容許更改自定義設置 
2 容許用戶向該區域中添加網站 
4 須要通過驗證的網站（https 協議） 
8 包括繞過代理服務器的網站 
16 包括在其餘區域中沒有列出的網站 
32 不在 Internet 屬性中顯示安全區域（「個人電腦」 的默認設置） 
64 顯示「要求服務器驗證」對話框 
128 將通用命名鏈接 (UNC) 看做 Intranet 鏈接

若是向 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER 子樹中添加設置，則這些設置是相加的。若是向兩個子樹中添加網站，則只能看到 HKEY_CURRENT_USER 中的那些網站。HKEY_LOCAL_MACHINE 子樹中的網站仍按照它們的設置執行。可是，它們是不可用的，也沒法對其進行修改。因爲網站只能在每一個協議的一個安全區域中列出，這可能會形成混淆。