TechNet
Knihovna TechNet

Nastavení řízení funkcí aplikace Internet Explorer v zásadách skupiny

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v aktualizaci Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v systému Windows XP Service Pack 2.

K čemu slouží nastavení řízení funkcí aplikace Internet Explorer v zásadách skupiny?

Aktualizace Windows XP Service Pack 2 obsahuje nové klíče a hodnoty registru pro funkce zabezpečení aplikace Internet Explorer označované jako řízení funkcí. Uvedené funkce zabezpečení byly začleněny do aktualizace Windows Server 2003 Service Pack 1. Konkrétní chování nastavení registru řízení funkcí je popsáno pro každou funkci zabezpečení v této části.

Upravený soubor Inetres.adm obsahuje nastavení řízení funkcí ve formě zásad. Pomocí objektů zásad skupiny (GPO) mohou správci spravovat zásady řízení funkcí. Po instalaci aplikace Internet Explorer je nastavení výchozích předvoleb pro řízení funkcí registrováno v počítači v podregistru HKEY_LOCAL_MACHINE. V zásadách skupiny je může správce nastavit ve složce HKEY_LOCAL_MACHINE (Computer Configuration) nebo HKEY_CURRENT_USER (User Configuration).

Koho se tato funkce týká?

Správci zásad skupiny mohou jednotně konfigurovat nastavení řízení funkcí aplikace Internet Explorer pro počítače a uživatele, které spravují.

Jaké stávající funkce se změnily v aktualizaci Windows Server 2003 Service Pack 1?

Nastavení zásad skupiny pro aplikaci Internet Explorer

Podrobný popis

Nové zásady řízení funkcí jsou:

 • Bezpečnostní omezení vlastností binárních dat
 • Omezení zabezpečení protokolu MK
 • Zabezpečení uzamčení zóny místního počítače
 • Konzistentní práce s rozšířeními MIME
 • Analýza rozšíření MIME
 • Ochrana objektů v mezipaměti
 • Omezení otevírání oken pomocí skriptů
 • Ochrana před zvýšením úrovně zóny
 • Informační panel
 • Omezit instalaci prvků ActiveX
 • Omezit stahování souborů
 • Správa doplňků
 • Uzamčení síťového protokolu

Zásady místního počítače pro řízení funkcí jsou umístěny v konzole pro správu zásad skupiny ve složce \Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Aplikace Internet Explorer\Funkce zabezpečení.

Aktuální zásady uživatele pro řízení funkcí jsou umístěny ve složce \Konfigurace uživatele\Šablony pro správu\Součásti systému Windows\Aplikace Internet Explorer\Funkce zabezpečení.

Zásadu funkce je potřeba pro proces – například soubor IExplore.exe – povolit předtím, než budou použity individuální zásady nebo předvolby nastavení zabezpečení zóny. Další informace o chování klíčů řízení funkcí a jejich nastavení pro proces naleznete v částech vysvětlujících jednotlivé funkce a v části Použití nastavení registru řízení funkcí s nastavením zóny zabezpečení v aplikaci Internet Explorer. Další informace o konkrétním nastavení zabezpečení zóny naleznete v části Nastavení zabezpečení akcí adres URL a upřesňující nastavení zabezpečení aplikace Internet Explorer v zásadách skupiny.

Správci zásad skupiny mohou spravovat nové zásady pomocí nástroje Šablony pro správu, který je rozšířením Konzoly pro správu zásad skupiny. Při konfiguraci těchto zásad mohou správci povolit nebo zakázat funkci zabezpečení procesů prohlížečů (aplikací Internet Explorer a Průzkumník Windows), jimi definovaných procesů spustitelných souborů nebo všech procesů, které jsou hostiteli prvku WebOC.

Uživatelé nemohou zobrazit nastavení zásad nebo předvoleb řízení funkcí, kromě funkce Zabezpečení uzamčení zóny místního počítače, prostřednictvím uživatelského rozhraní aplikace Internet Explorer. Zásady řízení funkcí mohou být nastaveny pouze pomocí konzoly pro správu zásad skupiny a nastavení předvoleb funkce ovládání může být změněno pouze programově nebo úpravou registru.

Konfigurace zásad a předvoleb

Doporučeným nástrojem pro správu aplikace Internet Explorer v klientských počítačích v podnikové síti jsou zásady skupiny. Aplikace Internet Explorer podporuje správu zásad skupiny pro řízení funkcí, které jsou zahrnuty v aktualizacích Windows XP Service Pack 2 a Windows Server 2003 Service Pack 1, stejně jako nastavení stránky Zabezpečení nebo akce adres URL. Správci zásad skupiny mohou spravovat toto nastavení zásad pomocí nástroje Šablony pro správu, který je rozšířením Konzoly pro správu zásad skupiny.

Při zavádění nastavení zásad je doporučeno konfigurovat nastavení šablony zásad v jednom objektu zásad skupiny (GPO) a další související individuální nastavení zásad v samostatném objektu zásad skupiny. K použití individuálního nastavení v konkrétních klientských počítačích potom můžete použít funkce správy zásad skupiny (například prioritu, dědičnost nebo vynucení).

Uživatelé mohou zásady pouze číst, změnit je mohou správci nebo správa zásad skupiny. Nastavení předvoleb lze změnit programově, úpravou registru nebo pomocí aplikace Internet Explorer. (Poslední možnost platí v případě zabezpečení akcí adres URL a uzamčení zóny místního počítače.) Nastavení, které je spojeno se zásadami, má přednost před nastavením zadaným pomocí předvoleb aplikace Internet Explorer.

Sada Internet Explorer Administration Kit a nástroj Údržba aplikace Internet Explorer

U operačních systémů starších než Windows XP SP2 a Windows Server 2003 SP1 a předcházejících verzí aplikace Internet Explorer zůstává doporučeným nástrojem pro poskytovatele řešení a vývojáře aplikací, kteří přizpůsobují aplikaci Internet Explorer pro koncové uživatele, sada Internet Explorer Administration Kit (IEAK) 6 Service Pack 1. Podpora sady IEAK a proces sady IEAK a nástroje Údržba aplikace Internet Explorer se nemění pro verze aplikace Internet Explorer starší než aktualizace Windows XP Service Pack 2. Také se nemění proces použití sady IEAK a nástroje Údržba aplikace Internet Explorer pro nastavení předvoleb uživatelského nastavení v aplikaci Internet Explorer v aktualizaci Windows Server 2003 SP1 a ve starších verzích. To zahrnuje nové nastavení předvoleb aplikace Internet Explorer 6 v aktualizacích Windows XP Service Pack 2 a Windows Server 2003 SP1. Skutečné nastavení zásad zahrnutých v této funkci však může být spravováno pouze v zásadách skupiny. Další informace o sadě IEAK naleznete v tématu Microsoft Internet Explorer 6 Administration Kit Service Pack 1 (Sada Microsoft Internet Explorer 6 Administration Kit Service Pack 1) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=26002.

Sada IEAK může být používána stejným způsobem jako dříve ve všech verzích aplikace Internet Explorer starších než aktualizace Windows XP Service Pack 2 a zůstává nástrojem pro přizpůsobení značky v aktualizacích Windows XP Service Pack 2 a Windows Server 2003 SP1. Nástroj Údržba aplikace Internet Explorer a sadu IEAK je možné používat k nastavení uživatelských předvoleb, skutečné zásady by však měly být nastaveny pomocí konzoly Správa zásad skupiny.

Časté dotazy stávajících uživatelů sady IEAK

 

Otázka Odpověď

V současné době používám sadu IEAK s podnikovou licencí ke konfiguraci aplikace Internet Explorer ve stolních počítačích a v organizaci nepoužíváme službu Active Directory. Jak mohu nakonfigurovat aplikaci Internet Explorer, jestliže sada IEAK nespolupracuje se systémy Windows XP SP2 a Windows Server SP1?

I když nepoužíváte službu Active Directory, můžete nastavení nakonfigurovat pomocí zásad skupiny. Pomocí zásad skupiny můžete vytvořit místní objekt zásad skupiny (GPO) s vaším nastavením a potom jej nasadit. Jakmile jste nakonfigurovali objekt zásad skupiny pro aplikaci Internet Explorer, můžete jej nasadit pomocí standardních metod nasazení. Například můžete použít skripty pro spuštění nebo přihlašování, skripty serveru Systems Management Server, nebo můžete odesílat e-mailem odkazy uživatelům.

V současné době používám sadu IEAK s podnikovou licencí ke konfiguraci aplikace Internet Explorer ve stolních počítačích a v organizaci nepoužíváme službu Active Directory. Co se stane, jestliže budu stále používat balíček sady IEAK 6 SP1 v systému Windows XP SP2 nebo Windows Server 2003 SP1?

Jestliže nainstalujete balíček sady IEAK 6 SP1 do počítače se systémem Windows XP SP2 nebo Windows Server 2003 SP1, bude nastavení aplikace Internet Explorer 6 SP1 aktualizováno, ale nebude možné nakonfigurovat nastavení zabezpečení, protože sada IEAK 6 SP1 není k nasazení tohoto nastavení určena.

V současné době používám sadu IEAK s licencí pro poskytovatele služeb Internetu (ISP) k přidávání údajů do částí aplikace Internet Explorer a k nastavení připojení zákazníků. Budou balíčky sady IEAK 6 SP1 moci i nadále použít nastavení v systémech Windows XP SP2 a Windows Server 2003 SP1?

Nastavení přizpůsobení značky v balíčku sady IEAK 6 SP1 s licencí pro poskytovatele služeb Internetu (ISP) by mělo být použito správně.

Proč je tato změna důležitá?

Přidáním zásad řízení funkcí aplikace Internet Explorer do zásad skupiny mohou správci tyto skutečné zásady spravovat a vytvořit tak standardní nastavení zabezpečení pro všechny počítače, které konfigurují.

Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1?

Aplikace Internet Explorer v systému Windows Server 2003 SP1 přidává zásady do zásad skupiny, ale nemění způsob správy zásad. Vývojáři by si měli uvědomit, jak jednotlivé nastavení řízení funkcí ovlivní chování aplikací související se zabezpečením. Vlivy různých činností spojených se zabezpečením na vývoj aplikací jsou popsány v tomto dokumentu v konkrétních částech týkajících se jednotlivých funkcí.

Obsah vytvořený komunitou

Zobrazit:
© 2016 Microsoft