Когда включена Конфигурация усиленной безопасности Internet Explorer (IE ESC), пользователь видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE. Если вы готовы самостоятельно повысить уровень безопасности сервера, можете отключить эту функцию.
Способ 1: Выкл.через Проводник
1. Запустите Server Manager.
2. Выберите «Локальный сервер» (на котором нужно отключить Конфигурацию усиленной безопасности Internet Explorer):
3. Справа в Server Manager, вы увидите Конфигурацию усиленной безопасности Internet Explorer (по умолчанию «Включено»):
4. Кликните на «Включено», далее выберите какой вариант Конфигурации усиленной безопасности Internet Exporer Вам подходит: отключение конфигурации только для аккаунта Администратора, или отключение конфигурации для всех остальных пользователей. Использование локального аккаунта администратора является источником дополнительной угрозы безопасности, к тому же часто не даёт требуемого результата в тестах, когда администратор имеет разрешения, а обычный пользователь таковых не имеет. Поэтому предпочтительнее при тестировании использовать аккаунт без прав администратора — и в этом случае отключить Конфигурацию только для данного пользователя.
5. Ниже показано полное отключение Конфигурации усиленной безопасности Internet Explorer.
Сделав выбор, нажмите «ОК»:
6. Вернувшись в Server Manager, обновите его с помощью клавиши F5, после этого вы увидите, что настройка поменялась на режим «Отключено»
7. Готово. Откройте окно браузера Internet Explorer и проверьте доступ к любому внутреннему сайту.
Способ 2: PowerShell
Вставьте приведённый ниже код в текстовый документ с расширением ps1: Disable-IEESC.ps1. Это отключит Конфигурацию усиленной безопасности Internet Explorer и для пользователя, и для администратора:
function Disable-IEESC {
$AdminKey = "HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}"
$UserKey = "HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}"
Set-ItemProperty -Path $AdminKey -Name "IsInstalled" -Value 0
Set-ItemProperty -Path $UserKey -Name "IsInstalled" -Value 0
Stop-Process -Name Explorer
Write-Host "IE Enhanced Security Configuration (ESC) has been disabled." -ForegroundColor Green
}
Disable-IEESCЕсли вы вставляете скрипт непосредственно в окно PowerShell, нажмите Enter дважды после вставки. Запуск PowerShell от имени Администратора:
Готово!
Отключаем конфигурацию усиленной безопасности Internet Explorer
Конфигурация усиленной безопасности Internet Explorer используется для уменьшения уязвимости перед возможными атаками с помощью содержимого веб-страниц и представляет из себя набор настроек, ограничивающий доступ к содержимому веб-сайтов, кроме находящихся в зоне интрасети (внутренняя сеть) или входящих в список доверенных узлов. В Windows Server конфигурация усиленной безопасности IE используется по умолчанию.
Конфигурация усиленной безопасности IE повышает уровень защищенности сервера, однако она влияет на работу в Интернет не лучшим образом. Каждый раз при просмотре узла, не входяшего в доверенную зону, появляется сообщение об ошибке, что крайне неудобно. Кроме того, некоторые страницы могут открыться с ошибками или вообще не открыться.
В некоторых ситуациях, например при работе в тестовой среде, конфигурацию усиленной безопасности IE можно отключить. Делается это следующим образом.
Windows Server 2003
Идем в меню Start-Control Panel-Add or Remove Programs-Add/Remove Windows Components и снимаем галку с соответствующего пункта.
Windows Server 2008
Открываем Server Manager и находим в нем пункт Configure IE ESC.
Выбираем, для кого мы хотим отключить конфигурацию усиленной безопасности — только для администраторов или для всех пользователей компьютера, и затем жмем ОК.
Windows Server 2012
Также открываем Server Manager, переходим на вкладку Local Server и находим пункт IE Enchanced Security Configuration.
Дальше все так же, выбираем пользователей и жмем ОК.
Конфигурация усиленной безопасности Internet Explorer (IE ESC) активирована в Windows Server 2012 R2 по умолчанию. Пользователь постоянно видит всплывающие окна с просьбой добавить каждый новый URL в доверенную область IE.
Данная статья поможет вам отключить эту функцию на рабочем сервере под управлением Windows Server 2012 R2. Рассмотрим два простых способа отключения:
Отключение Конфигурации усиленной безопасности Internet Explorer через интерфейс Windows Server
Для наглядной демонстрации наши инженеры записали gif, как отключить конфигурацию усиленной безопасности Internet Explorer
- Запустите «Диспетчер серверов»
- Перейдите во вкладку «Локальный Сервер»
- Найдите строчку «Конфигурация усиленной безопасности Internet Explorer» и нажмите на статус, по умолчанию статус «Включено»
- У вас есть два варианта отключения Конфигурации усиленной безопасности Internet Exporer:
- отключение конфигурации только для аккаунта Администратора
- для всех пользователей
Рекомендуем использовать аккаунт без прав администратора — и отключить Конфигурацию только для данного пользователя. Использование локального аккаунта администратора может стать источником дополнительных угроз безопасности при отключённом режиме конфигурации усиленной безопасности.
Отключение Конфигурации усиленной безопасности Internet Explorer через PowerShell
Откройте PowerShell и вставьте следующий скрипт, после исполнения данного скрипта конфигурация усиленной безопасности IE отключится.
function Disable-IEESC { $AdminKey = “HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}” $UserKey = “HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}” Set-ItemProperty -Path $AdminKey -Name “IsInstalled” -Value 0 Set-ItemProperty -Path $UserKey -Name “IsInstalled” -Value 0 Stop-Process -Name Explorer Write-Host “IE Enhanced Security Configuration (ESC) has been disabled.” -ForegroundColor Green } Disable-IEESC
Так бывает, что для выполнения каких-либо задач нужно воспользоваться браузером Internet Explorer, но в серверных версиях операционной системы Microsoft Windows его функционал сильно ограничен безопасностью.
Будем разбираться как это исправить.
На панели задач кликаем по значку “Диспетчер серверов”.
В открывшемся окне, в левой части, кликаем по “Локальный сервер”, а в основной части окна, по ссылке “Включено” напротив “Конфигурация усиленной безопасности Internet Explorer”.
В новом окне отключаем параметр для администраторов и пользователей. Кликаем по кнопке ОК. Окно закроется.
В предыдущем окне, спустя несколько секунд, параметр изменится на “Отключено”. Возможно потребуется обновить содержимое окна.
Операцию по включению параметра следует проделать в обратной последовательности.
Альтернативный путь решения — использовать PowerShell
Открываем окно PowerShell
Вставляем в него скрипт (клик правой кнопкой мыши в окне).
function Disable-IEESC {
$AdminKey = “HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}”
$UserKey = “HKLM:SOFTWAREMicrosoftActive SetupInstalled Components{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}”
Set-ItemProperty -Path $AdminKey -Name “IsInstalled” -Value 0
Set-ItemProperty -Path $UserKey -Name “IsInstalled” -Value 0
Stop-Process -Name Explorer
Write-Host “IE Enhanced Security Configuration (ESC) has been disabled.” -ForegroundColor Green }
Disable-IEESC
Исполняем его нажатием по клавише Enter (иногда требуется двойное нажатие).
Internet Explorer теперь работает в обычном режиме.
Аverage rating : 5
Оценок: 2
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
700
300
Всем привет!
Сейчас на 2012 сервере разворачиваю Remoteapp для того что бы пользователи на Alt Linux (simple linux) могу запускать некоторые приложения которые могут работать только под windows. К сожалению я так и не смог решить задачу по запуску такого приложение кое является наш внутренний документооборот требования для запуска которого нужно след:
- Internet iexplorer 11
- Net Framework 4.7.2
Вся проблема в том, что Framework я поставил, а вот с iexplorer тут проблема, под wine стабильно работает только IE8 все остальные версии нет(((( для того что бы посмотреть поддерживаемые версии iexplorer под wine стоит обратится к официальному сайту разработчиков где это все четко указанно — ссылка
Раскинул мозгами как это сделать, потому как в конторе большое вол-во народу сидит с этим документооборот оно затормозит мою интеграцию Linux в организации.
Поэтому решил поднять терминальный сервер и пускай они сидят, а заодно потрогаю что это за зверь такой Remoteapp
И вот в процессе установки windows server 2012 первое что меня встречает это надоедливая ошибка: Конфигурация усиленной безопасности Internet Explorer включена
и текст сообщения
На данном сервере включена конфигурация усиленной безопасности браузера Internet Explorer. Она настраивает несколько определяющих параметров для обзора Интернета и веб-сайтов интрасети. Также она уменьшает уязвимость сервера и угрозу безопасности со стороны веб-сайтов. Полный список параметров безопасности данной конфигурации размещен в разделе Влияние конфигурации усиленной безопасности браузера Internet Explorer.
Данный усиленный уровень безопасности может помешать правильному отображению веб-сайтов в браузере Internet Explorer и ограничить доступ к таким сетевым ресурсам, как папки общего доступа с UNC-именем. Если планируется обзор веб-сайта, для которого необходимо отключить функциональные возможности браузера Internet Explorer, то его можно добавить в списки включения в зоны местной интрасети или надежных сайтов. Дополнительные сведения см. в разделе Управление конфигурацией усиленной безопасности браузера Internet Explorer.
И после ввода любого адреса у вас будет вылетать сообщение которое будет предупреждать о том что данный адрес не входит в группу доверенных сайтов и будет предлагать их добавить. Это усиленная конфигурация применима для таких систем как:
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
Данное сообщение, а точнее надоедливая конфигурация отключается так:
- Запускаем Диспетчер серверов (рис1)
- Выбираем в меню Локальный сервер (рис2)
- Проматываем скролл в правый угол (рис3)
- и кликает на против меню Конфигурация усиленной безопасности internet explorer (рис4)
- Отключаем все и проверяем!
теперь при использовании internet explorer у Вас не будет выскакивать постоянно сообщение о ненадежных узлах и сайтах.
nibbl
Я отец двух сыновей, ITишник, предприниматель и просто человек который любит делиться полезной информацией с другими людьми на такие темы как: Windows, Unix, Linux, Web, SEO и многое другое!
This article explains how to disable the Internet Explorer Enhanced Security Configuration (IE ESC) in Windows Server 8 Beta/Windows Server 2012 and what options you have to improve security if you have to use a web browser on a server.
Contents
- Turn off Internet Explorer Enhanced Security Configuration
- Should you turn off IE Enhanced Security Configuration?
- Author
- Recent Posts
Kyle Beckman works as a systems administrator in Atlanta, GA supporting Office 365 in higher education. He has 17+ years of systems administration experience.
Internet Explorer Enhanced Security Configuration is enabled
One of the downsides of dealing with a new version of Windows Server is figuring out where things have moved in the new release. In Windows Server 2008 R2, disabling IE ESC was fairly straightforward in the Server Manager. Disabling it in the latest Microsoft Server OS is still performed in the Server Manager. However, the redesign of the Server Manager in Windows Server 2012 has made it a little trickier to find.
Turn off Internet Explorer Enhanced Security Configuration
- Start by running the Server Manager from either the Start Screen or the Desktop.
Server Manager in Windows Server 2012
- In the Server Manager Dashboard, click on Local Server on the left side.
Server Manager Dashboard
- In the Server Properties for the Local Server, you’ll see the option for IE Enhanced Security Configuration. Click ‘On’ to change the option.
Windows Server 2012 IE Enhanced Security Configuration
- At this point, you’ll be prompted with the options to turn off Internet Explorer Enhanced Security Configuration for Administrators and/or Users. After selecting your option, click OK.
Disable Internet Explorer Enhanced Security Configuration for Administrators or Users
- Click the Refresh button at the top of the Server Manager and the IE Enhanced Security Configuration should now show as ‘Off.’
Disable Internet Explorer Enhanced Security Configuration is off
Should you turn off IE Enhanced Security Configuration?
Now that you know how to disable Internet Explorer Enhanced Security Configuration in Windows Server 8 Beta/Windows Server 2012, should you? Let’s start off by discussing the purpose of the IE ESC. Microsoft’s reasoning behind locking down IE with this feature is to reduce your server’s exposure to malicious web sites. Ok… security… I can get behind that. We all want our servers to be secure, right?
But have you ever tried to visit a web site from IE on a Windows Server with IE ESC enabled? It’s an effort in futility. As Michael mentioned in his article on disabling IE ESC in Windows Server 2008 R2, you potentially have to click dozens of times just to get one or two pages to come up. Honestly, this is malware-like behavior because it essentially prevents software from working properly.
So, what we need to do is balance security and usability so that we’re keeping the attack surface as small as possible while keeping the server from being completely unusable. Starting with Test and Development boxes, I don’t see any reason why you couldn’t disable IE ESC if it is necessary in your environment.
For Production servers, the story is going to be a little different depending on how you’re using your server, your organization’s security needs, an your organization’s security policies. As a best practice, you really shouldn’t be using a web browser on a server. Ideally, Microsoft would give us a way to uninstall IE completely without completely losing the GUI by running Server Core.
So what are your options? For non-Administrators, disabling IE ESC is probably fairly safe if the users will need access to a web browser. The most common scenario for this is if you’re running Remote Desktop Services (RDS), formerly Terminal Services. As a second option, you could always run an alternate web browser for the standard users, but you’re still not reducing the attack surface of your server since that web browser will still need to be patched and will have its own set of security vulnerabilities. As a third option, you can consider implementing AppLocker in your RDS environment to stop malicious software from running.
Subscribe to 4sysops newsletter!
What about Administrators? A systems administrator that knows what he/she is doing won’t knowingly go to a malicious site, right? While that sounds plausible, consider that there are zero-day exploits out there for IE (and other browsers) that could allow an attacker to run malicious code through the web browser without you ever knowing it. You can check out details on recent vulnerabilities by checking out Zero Day Initiative’s Pwn2Own site.