在 Windows Server 上禁用 IE 增强安全性的 2 种最佳方法

在本文中，我将向您展示如何在 Windows Server 上禁用 IE 增强安全性。某些软件程序要在 Windows Server 上正常工作，需要关闭 Internet Explorer 的增强安全性。

Internet Explorer 增强的安全配置 (IE ESC) 建立定义用户如何浏览 Internet 和 Intranet 网站的安全设置。这些设置还可以减少服务器对可能存在安全风险的网站的暴露。

Internet Explorer 增强的安全配置将您的服务器和 Internet Explorer 置于一种配置中，以减少服务器遭受可能通过 Web 内容和应用程序脚本发生的潜在攻击的风险。因此，某些网站可能无法按预期显示或运行。

是否应该关闭 IE 增强安全配置？

从安全角度来看，不建议在 Windows 服务器上禁用 IE 增强安全性，因为它会降低安全性并可能使服务器遭受攻击。但是，当启用 IE 增强安全性时，它会阻止网站在 Internet Explorer 中正确显示，并可能限制对网络资源的访问，例如通用命名约定 (UNC) 共享文件夹中的文件。

注意：Microsoft 现已停用 Internet Explorer。您必须改用 Microsoft Edge 以获得更好的体验和增强的安全性。查看有关在 Windows Server 上卸载 IE 的指南。

IE 增强安全配置阻止的内容

启用 IE ESC 后，当您在 Internet Explorer 上访问网站时，您会看到一个弹出窗口。 Internet Explorer 增强的安全配置正在阻止来自下列网站的内容。系统会要求您将每个新 URL 添加到 IE 受信任站点区域。

要绕过 IE 增强安全配置错误，您需要选中“网站内容被阻止时继续提示”复选框。只有这样您才能正常浏览该网站。

启用增强安全性后，您可以将网站添加到本地 Intranet 或可信站点区域中的包含列表中进行查看正确无任何问题。如果您的组织不允许您关闭 IE 增强的安全性，这是一个解决方法。

在 Windows Server 上禁用 IE 增强安全性

要禁用 Internet Explorer 的增强安全性，请按照以下步骤操作：

1. 在 Windows 服务器上启动服务器管理器。
2. 在左侧，选择本地服务器。
3. 在右侧，选择 IE 增强安全配置。
4. 选择“关闭”单选按钮可为用户和管理员禁用增强的安全性。
5. 选择服务器管理器工具栏上的刷新图标可查看服务器管理器中反映的新设置。

上述过程适用于以下 Windows Server 操作系统：

• Windows 服务器 2012
• Windows Server 2012 R2
• Windows 服务器 2016

您可以为管理员和用户关闭 IE ESC。

在 Windows 服务器上使用脚本禁用 IE ESC

如果要在多个 Windows 服务器上禁用 IE 增强安全性，可以运行以下 VB 脚本。该脚本由 Microsoft 提供，适用于大多数 Windows Server 操作系统。

执行以下步骤以通过脚本禁用 Internet Explorer 增强的安全配置：

1. 使用以下批处理文件内容创建 IEHArden_V5.bat 文件。
2. 在管理命令提示符处或通过登录脚本运行 bat 文件。

ECHO OFF
REM  IEHarden Removal Project
REM  HasVersionInfo: Yes
REM  Author: Axelr
REM  Productname: Remove IE Enhanced Security
REM  Comments: Helps remove the IE Enhanced Security Component of Windows 2003 and 2008(including R2)
REM  IEHarden Removal Project End
ECHO ON
::Related Article
::933991 Standard users cannot turn off the Internet Explorer Enhanced Security feature on a Windows Server 2003-based terminal server
::http://support.microsoft.com/default.aspx?scid=kb;EN-US;933991
:: Rem out if you like to Backup the registry keys
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A7-37EF-4b3f-8CFC-4F3A74704073.reg"
::REG EXPORT "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" "%TEMP%.HKEY_LOCAL_MACHINE.SOFTWARE.Microsoft.Active Setup.Installed Components.A509B1A8-37EF-4b3f-8CFC-4F3A74704073.reg"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::x64
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /v "IsInstalled" /t REG_DWORD /d 0 /f
::Disables IE Harden for user if set to 1 which is enabled
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
REG ADD "HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /t REG_DWORD /d 0 /f
::Removing line below as it is not needed for Windows 2003 scenarios. You may need to enable it for Windows 2008 scenarios
::Rundll32 iesetup.dll,IEHardenLMSettings
Rundll32 iesetup.dll,IEHardenUser
Rundll32 iesetup.dll,IEHardenAdmin
Rundll32 iesetup.dll,IEHardenMachineNow
::This apply to Windows 2003 Servers
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /f /va
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /f /va
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenadmin" /t REG_DWORD /d 0 /f
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents" /v "iehardenuser" /t REG_DWORD /d 0 /f
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" /f /va
::REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}" /f /va
:: Optional to remove warning on first IE Run and set home page to blank. remove the :: from lines below
:: 32-bit HKCU Keys
REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t REG_SZ /d "about:blank" /f
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "about:blank" /f
:: This will disable a warning the user may get regarding Protected Mode being disable for intranet, which is the default.
:: See article http://social.technet.microsoft.com/Forums/lv-LV/winserverTS/thread/34719084-5bdb-4590-9ebf-e190e8784ec7
:: Intranet Protected mode is disable. Warning should not appear and this key will disable the warning
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "NoProtectedModeBanner" /t REG_DWORD /d 1 /f
:: Removing Terminal Server Shadowing x86 32bit
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f
:: Removing Terminal Server Shadowing Wow6432Node
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v "IEHarden" /f

阅读下一步

• 如何使用 SCCM 部署 Internet Explorer 11
• 如何使用组策略禁用 Internet Explorer 11
• 如何将站点添加到 Internet Explorer 限制区域
• 使用 Intune 禁用 Internet Explorer 的完整指南
• 如何通过 GPO 设置 Internet Explorer 主页