本文件已封存並已停止維護。

Internet Explorer 9 的群組原則

群組原則是控制 Microsoft® Windows® Internet Explorer® 9 設定的最佳安全管道。Internet Explorer 8 提供近 1,500 項群組原則設定,可以讓 IT 專業人員用於管理及控制網頁瀏覽器設定。例如,Internet Explorer 8 提供有可管理 [網際網路選項] 對話方塊上設定的存取、定義安全性區域,以及新增或移除安全性區域中的網站之群組原則設定。Internet Explorer 9 新增了新的群組原則設定,支援新的功能。

如需了解群組原則與 IT 專業人員可以用於管理群組原則的工具,請參閱使用群組原則工具管理瀏覽器設定。除此之外,白皮書《Group Policy for Beginners》(入門者的群組原則) 還提供教學課程,說明群組原則的概念與任務。

本主題列出除列出安全性與效能的群組原則設定之外,還包含和舊版瀏覽器間之相容性的群組原則設定。每一節皆會列出原則名稱及原則路徑 (相對於 [系統管理範本])。原則名稱本身即是原則用途的簡短說明。如需各項原則的詳細資訊,請參閱群組原則設定參照 - Windows Internet Explorer 9。您也可以參閱各原則設定之 [群組原則管理編輯器] 顯示的說明文字。

Internet Explorer 9 中新增的原則

為新增這些新的群組原則設定,Internet Explorer 9 會在正常安裝期間安裝系統管理範本 (ADMX 檔案)。這個檔案是 %WinDir%\PolicyDefinitions 中的 inetres.admx。Internet Explorer 9 也會安裝系統管理範本 (ADML 檔案) 的語言檔案。這個檔案就是 %WinDir%\PolicyDefinitions\LCID 中的 inetres.adml,其中 LCID 是指語言識別碼。

若要依據這些新設定,在網域中建立群組原則物件 (GPO),您可以執行下列其中一項:

表 1:Internet Explorer 9 新增的群組原則設定

 

原則名稱

原則路徑

防止刪除下載歷程記錄

Windows 元件\Internet Explorer\刪除瀏覽歷程記錄

停用附加元件的效能通知

Windows 元件\Internet Explorer

在 HTML5 媒體元件中啟用替代轉碼器

Windows 元件\Internet Explorer\網際網路控制台\進階設定\多媒體

允許 Internet Explorer 8 關機行為

Windows 元件\Internet Explorer

安裝 MD2 和 MD4 簽署技術所簽署的二進位檔案

Windows 元件\Internet Explorer\安全性功能\二進位行為安全性限制

自動啟用新安裝的附加元件

Windows 元件\Internet Explorer

關閉管理 SmartScreen 篩選工具

Windows 元件\Internet Explorer

避免在網址列中設定熱門搜尋結果

Windows 元件\Internet Explorer\網際網路設定\進階設定\搜尋

防止刪除 ActiveX 篩選及追蹤保護資料

Windows 元件\Internet Explorer\刪除瀏覽歷程記錄

只在網址列輸入一個單字,即可存取內部網路網站

Windows 元件\Internet Explorer\網際網路設定\進階設定\瀏覽

在網址列下方顯示索引標籤

Windows 元件\Internet Explorer\工具列

避免使用者略過 SmartScreen 篩選工具對於從網際網路上下載不常用之檔案時的應用程式評價警告

Windows 元件\Internet Explorer

停用瀏覽器地理位置

Windows 元件\Internet Explorer

關閉釘選網站的能力

Windows 元件\Internet Explorer

開啟 ActiveX 篩選

Windows 元件\Internet Explorer

追蹤保護閾值

Windows 元件\Internet Explorer\隱私權

關閉追蹤保護

Windows 元件\Internet Explorer\隱私權

使用 Quirks 模式的原則清單 (KB982063新增此原則至 Internet Explorer 8)

Windows 元件\Internet Explorer\相容性檢視

移轉 Internet Explorer 8 的原則

Internet Explorer 8 中有少量的群組原則在 Internet Explorer 9 中已有所變更。表 2-4 將列出這些變更。若要將 Internet Explorer 8 的群組原則物件 (GPO) 移轉到 Internet Explorer 9,您必須先檢視表 2-4 所列的設定,然後視需要加以更新。

除此之外,幾乎所有原則的文字都有所變更。例如,「通知列」一詞取代了「資訊列」一詞。但這些變更並不會影響您現有的 GPO。新文字會在更新本機上 PolicyDefinitions 資料夾或群組原則集中存放區中的 inetres.admx 與 inetres.adml 檔案之後自動出現。同樣地,先前位於 Windows 元件\Internet Explorer\InPrivate 資料夾下的設定,現已移往 Windows 元件\Internet Explorer\隱私權下。

表 2:重新命名群組原則設定

 

Internet Explorer 8

Internet Explorer 9

原則路徑

允許未使用外部媒體播放程式之網頁上的影片及動畫 (經由 dynsrc 屬性)

允許使用舊版媒體播放程式之網頁上的視訊及動畫

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\(所有區域)

根據內容而不是副檔名來開啟檔案

啟用 MIME 探查

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\(所有區域)

開啟網址的即時自動完成。

開啟即時自動完成

Windows 元件\Internet Explorer\網際網路設定\自動完成

表 3:在 Internet Explorer 8 與 Internet Explorer 9 中各自劃分成不同原則的原則

 

舊名

Internet Explorer 8

Internet Explorer 9

原則路徑

InPrivate 篩選閾值

InPrivate 篩選閾值

追蹤保護閾值

Windows 元件\Internet Explorer\隱私權

關閉 InPrivate 篩選

關閉 InPrivate 篩選

關閉追蹤保護

Windows 元件\Internet Explorer\隱私權

關閉管理 SmartScreen 篩選工具

關閉 Internet Explorer 8 的管理 SmartScreen 篩選工具

關閉 Internet Explorer 9 的管理 SmartScreen 篩選工具

Windows 元件\Internet Explorer

表 4:Internet Explorer 9 中已移除,但仍可在舊版中使用的原則

 

原則名稱

原則路徑

允許安裝桌面項目

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\(所有區域)

不收集 InPrivate 篩選資料

Windows 元件\Internet Explorer\隱私權

將功能表列移到瀏覽列上方

Windows 元件\Internet Explorer

防止刪除 InPrivate 篩選資料

Windows 元件\Internet Explorer\刪除瀏覽歷程記錄

防止顯示 Internet Explorer 搜尋方塊

Windows 元件\Internet Explorer

軟體頻道權限

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\(所有區域)

關閉畫面轉換

Windows 元件\Internet Explorer\網際網路控制台\進階設定\瀏覽

高安全性設定

Internet Explorer 9 的設定預設會兼顧安全性、隱私權及相容性。在您的環境中,或許需要根據組織的特殊需求而調整安全性設定。下列各節說明可以用於設定安全性設定的群組原則設定。

note備註
若要禁止使用者變更安全性設定,可以啟用「停用安全性網頁」這項群組原則設定。此原則設定位於下列資料夾:Windows 元件\Internet Explorer\網際網路控制台。

SmartScreen 篩選

啟用 SmartScreen® 篩選工具有助於避免使用者存取惡意網站,不僅使用者可以免於遭受網路釣魚的攻擊,也可避免其下載惡意軟體。設定名為「防止略過 [SmartScreen 篩選工具] 警告」的原則設定可以避免使用者規避 SmartScreen 警告。表 5 說明可以用於啟用及設定 SmartScreen 篩選工具的群組原則設定。

表 5:SmartScreen 篩選工具的群組原則設定

 

原則設定名稱

原則路徑

防止略過 [SmartScreen 篩選工具] 警告

Windows 元件\Internet Explorer

避免使用者略過 SmartScreen 篩選工具對於從網際網路上下載不常用之檔案時的應用程式評價警告

Windows 元件\Internet Explorer

關閉 Internet Explorer 9 的管理 SmartScreen 篩選工具

Windows 元件\Internet Explorer

使用 SmartScreen 篩選工具

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\網際網路區域

note備註
許多區域皆有「使用 SmartScreen 篩選工具」原則。所有原則皆位於相對路徑 Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\ 下,並可供下列區域使用:

  • Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\內部網路區域

  • 鎖定的網際網路區域

  • 鎖定的受限制的區域

  • 鎖定的信任區域

  • 受限制的網站區域

  • 信任的網站區域

第三方的附加元件

惡意或包含瑕疵的附加元件可能會造成瀏覽器的效能或安全性問題。表 6 說明設定之後,即可限制所能安裝或執行之附加元件的群組原則設定。

表 6:限制附加元件的群組原則設定

 

原則設定名稱

原則路徑

允許其他廠商瀏覽器延伸

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

附加元件清單

Windows 元件\Internet Explorer\安全性功能\附加元件管理

除非附加元件清單中特別允許,否則拒絕所有附加元件

Windows 元件\Internet Explorer\安全性功能\附加元件管理

所有處理程序

Windows 元件\Internet Explorer\安全性功能\附加元件管理

處理程序清單

Windows 元件\Internet Explorer\安全性功能\附加元件管理

不允許使用者啟用或停用附加元件

Windows 元件\Internet Explorer

停用附加元件的效能通知

Windows 元件\Internet Explorer

網站憑證

下表所列的群組原則設定,可以保護使用者不會被偽造的憑證或未經簽署的軟體所矇騙。

表 7:網站憑證的群組原則設定

 

原則設定名稱

原則路徑

防止略過憑證錯誤

Windows 元件\Internet Explorer\網際網路控制台

檢查伺服器憑證撤銷

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

檢查已下載程式的簽章

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

即使簽章無效也允許執行或安裝軟體

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

開啟警告憑證位址不符

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

HTTPS 演算法

表 8 列出可以用於控制所要啟用之 HTTPS 演算法的群組原則設定。

表 8:HTTPS 演算法的群組原則設定

 

原則設定名稱

原則路徑

關閉加密支援

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

網站到區域的指派

您可以藉由設定指派網站到區域清單,控制指定網站所要套用的安全性區域設定。表 9 說明可以用於設定此清單的群組原則設定。

表 9:網站到區域之指派的群組原則設定

 

原則設定名稱

原則路徑

指派網站到區域清單

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

區域設定

表 10 列出可以在 Internet Explorer 9 中用於設定安全性區域的群組原則設定。您可以為區域設定設定較高的安全性,藉此降低受到攻擊的可能性。

表 10:區域設定的群組原則設定

 

原則設定名稱

原則路徑名稱

Internet Explorer 程序

Windows 元件\Internet Explorer\安全性功能\本機電腦區域鎖定安全性

Internet Explorer 程序

Windows 元件\Internet Explorer\安全性功能\限制 ActiveX 安裝

下載已簽署的 ActiveX 控制項

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\網際網路區域

下載未簽署的 ActiveX 控制項

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\網際網路區域

如果沒有憑證或只有一個憑證時,不提示用戶端憑證選取

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\網際網路區域

執行使用 Authenticode 簽署的 .NET Framework 相依元件

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\網際網路區域

執行沒有使用 Authenticode 簽署的 .NET Framework 相依元件

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\網際網路區域

如果沒有憑證或只有一個憑證時,不提示用戶端憑證選取

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\鎖定的網際網路區域

執行使用 Authenticode 簽署的 .NET Framework 相依元件

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\鎖定的網際網路區域

執行沒有使用 Authenticode 簽署的 .NET Framework 相依元件

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\鎖定的網際網路區域

允許字型下載

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁\受限制的網站區域

鎖定的網際網路區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

網際網路區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

鎖定的內部網路區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

內部網路區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

鎖定的本機電腦區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

本機電腦區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

鎖定的受限制的網站區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

受限制的網站區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

鎖定的信任的網站區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

信任的網站區域範本

Windows 元件\Internet Explorer\網際網路控制台\安全性網頁

關閉 ActiveX 選擇加入提示

Windows 元件\Internet Explorer

僅使用 ActiveX 安裝程式服務安裝 ActiveX 控制項

Windows 元件\Internet Explorer

僅允許認可的網域使用 ActiveX 而不提示

Windows 元件\Internet Explorer\網際網路控制台\安全性\每個區域

阻止每一使用者安裝 ActiveX 控制項

Windows 元件\Internet Explorer

開啟 ActiveX 篩選

Windows 元件\Internet Explorer

效能設定

Internet Explorer 9 的設計即在提升效能,因此您可以根據環境的需要而自訂其效能。頻寬、網站效能及網路基礎結構都會影響效能。

除此之外,附加元件通常會由第三方提供,據了解大多可能會對效能造成潛在的影響。表 11 說明 Internet Explorer 9 中可以用於控制第三方附加元件的群組原則設定。

表 11:第三方附加元件的群組原則設定

 

原則設定名稱

原則路徑

允許其他廠商瀏覽器延伸

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

附加元件清單

Windows 元件\Internet Explorer\安全性功能\附加元件管理

除非附加元件清單中特別允許,否則拒絕所有附加元件

Windows 元件\Internet Explorer\安全性功能\附加元件管理

所有處理程序

Windows 元件\Internet Explorer\安全性功能\附加元件管理

處理程序清單

Windows 元件\Internet Explorer\安全性功能\附加元件管理

不允許使用者啟用或停用附加元件

Windows 元件\Internet Explorer

Internet Explorer 9 不提供可以停用硬體加速 (GPU 呈現) 的原則。如有必要,您可以使用群組原則喜好設定停用硬體加速。您可以在機碼 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 中設定登錄值 UseSWRender。如需群組原則喜好設定的詳細資訊,請參閱使用群組原則工具管理瀏覽器設定

相容性設定

您可以將 Internet Explorer 9 的行為盡量設定成接近舊版,藉以減少應用程式及網站相容性的問題,或是縮短使用者使用新功能時的學習時間。下列各節說明 Internet Explorer 8、Internet Explorer 7 及 Internet Explorer 6 的相容性設定。

部署 Microsoft Enterprise Desktop Virtualization (MED-V),是另一種為 Internet Explorer 9 設定相容性相關之群組原則設定的方法。其可以大規模地將執行 Windows XP Professional (含 Service Pack 3) 與 Internet Explorer 6 的虛擬機器 (VM),部署到執行 Windows 7 的電腦。如此一來,您即可在這些 VM 中安裝舊版的應用程式及設定舊版的網站,讓使用者可以繼續存取這些項目。使用者可以從 Windows 7 的 [開始] 功能表執行這些應用程式。如需 MED-V 的詳細資訊,請參閱 Microsoft TechNet 文章:Microsoft Enterprise Desktop Virtualization

Internet Explorer 8

表 12 列出可以提升 Internet Explorer 9 與 Internet Explorer 8 之相似度的群組原則設定。設定這些原則設定只可模擬 Internet Explorer 8 的執行方式,而無法完全相同。其目的在讓一時無法調適到新網頁瀏覽器的使用者,能夠使用其所熟悉的操作方式。

表 12:模擬 Internet Explorer 8 執行方式的群組原則設定

 

原則設定名稱

設定

原則路徑

隱藏狀態列

已停用

Windows 元件\Internet Explorer\工具列

隱藏命令列

已停用

Windows 元件\Internet Explorer\工具列

在網址列下方顯示索引標籤

已啟用

Windows 元件\Internet Explorer\工具列

關閉我的最愛列

已停用

Windows 元件\Internet Explorer

Internet Explorer 7

表 13 列出可以提升 Internet Explorer 9 與 Internet Explorer 7 之相似度的群組原則設定。設定這些原則設定只可模擬 Internet Explorer 7 的執行方式,而無法完全相同。表 14 說明可以將 Internet Explorer 9 功能設定成近似於 Internet Explorer 7 的群組原則設定。

表 13:模擬 Internet Explorer 7 執行方式的群組原則設定

 

原則設定名稱

設定

原則路徑

關閉連線調整

已啟用

Windows 元件\Internet Explorer\安全性功能

關閉自動損毀修復提示

已啟用

Windows 元件\Internet Explorer

關閉 [鍵盤瀏覽] 支援

已停用

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

關閉開發者工具

已啟用

Windows 元件\Internet Explorer\工具列

關閉 [InPrivate 瀏覽]

已啟用

Windows 元件\Internet Explorer\隱私權

關閉追蹤保護

已啟用

Windows 元件\Internet Explorer\隱私權

設定新索引標籤網頁的預設行為

加以啟用,並設為 "about:blank"

Windows 元件\Internet Explorer

關閉所有使用者安裝之提供者的建議

已啟用

Windows 元件\Internet Explorer

關閉快選功能表的啟動功能

已啟用

Windows 元件\Internet Explorer

開啟建議的網站

已啟用

Windows 元件\Internet Explorer (僅限使用者)

關閉背景同步處理摘要及網頁快訊

已啟用

Windows 元件\RSS 摘要

關閉新增和移除摘要及網頁快訊

已啟用

Windows 元件\RSS 摘要

關閉摘要及網頁快訊搜索

已啟用

Windows 元件\RSS 摘要

表 14:與 Internet Explorer 7 相容的群組原則設定

 

原則設定名稱

設定

原則路徑

關閉 [加速器]

已啟用

Windows 元件\Internet Explorer\加速器

關閉 COM 活動

已啟用

Windows 元件\Internet Explorer\加速器

開啟 Internet Explorer 7 標準模式

已啟用

Windows 元件\Internet Explorer\相容性檢視

Caution注意
Internet Explorer 9 提供可以讓您關閉 Internet Explorer 7 所不提供之安全性功能的群組原則設定。由於這些功能可能會造成相容性問題,因此 Microsoft 不建議使用。設定這些原則設定雖可提高相容性,但相對也會削弱安全性,增加受到攻擊的機會。對於無法使用 Internet Explorer 9 安全性的網站,可以考慮改用 MED-V。

Internet Explorer 6

表 15 列出可以提升 Internet Explorer 9 與 Internet Explorer 6 之相似度的群組原則設定。設定這些原則設定只可模擬 Internet Explorer 6 的執行方式,而無法完全相同。表 16 說明可以將 Internet Explorer 9 功能相容性設定成近似於 Internet Explorer 6 的群組原則設定。

表 15:模擬 Internet Explorer 6 執行方式的群組原則設定

 

原則設定名稱

設定

原則路徑

開啟每次出現指令碼錯誤時皆顯示通知

已停用

Windows 元件\Internet Explorer\網際網路設定\進階設定\瀏覽 (僅限使用者)

關閉平滑捲動

已停用

Windows 元件\Internet Explorer\網際網路設定\進階設定\瀏覽 (僅限使用者)

開啟自動偵測網際網路連線精靈

已停用

Windows 元件\Internet Explorer\網際網路控制台\進階設定\網際網路連線精靈設定 (僅限使用者)

將搜尋提供者的特定清單加入使用者的搜尋提供者清單

已停用

Windows 元件\Internet Explorer

依預設開啟功能表列

已啟用

Windows 元件\Internet Explorer

禁止「修復設定」功能

已停用

Windows 元件\Internet Explorer

關閉縮放網頁功能

已啟用

Windows 元件\Internet Explorer

防止執行 [第一次執行自訂] 設定

加以啟用,並設為 [1: 略過 [自訂設定],直接移到使用者的首頁]。

Windows 元件\Internet Explorer (僅限使用者)

防止顯示 Internet Explorer 搜尋方塊

已啟用

Windows 元件\Internet Explorer

關閉 [快速索引標籤] 功能

已啟用

Windows 元件\Internet Explorer

關閉索引標籤式瀏覽

已啟用

Windows 元件\Internet Explorer

防止參與客戶經驗改進計畫

已啟用

Windows 元件\Internet Explorer

[說明] 功能表:移除 [教學課程] 功能表選項

已啟用

Windows 元件\Internet Explorer\瀏覽器功能表 (僅限使用者)

關閉自動調整影像大小

已停用

Windows 元件\Internet Explorer\網際網路設定\進階設定\多媒體 (僅限使用者)

關閉工具列升級工具

已啟用

Windows 元件\Internet Explorer\工具列

表 16:與 Internet Explorer 6 相容的群組原則設定

 

原則設定名稱

設定

原則路徑

不允許重設 Internet Explorer 設定

已啟用

Windows 元件\Internet Explorer\網際網路控制台\進階分頁

在 mailto 連結使用 UTF-8

已啟用

Windows 元件\Internet Explorer\網際網路控制台

關閉以 UTF-8 傳送 URL (需要重新啟動)

已停用

Windows 元件\Internet Explorer\網際網路設定\URL 編碼 (僅限使用者)

自訂使用者代理字串

加以啟用,並設為 "MSIE6.0"。

Windows 元件\Internet Explorer

開啟相容性記錄

已停用

Windows 元件\Internet Explorer

防止設定從網址列搜尋

已啟用

Windows 元件\Internet Explorer\網際網路設定\進階設定\搜尋 (僅限使用者)

Caution注意
Internet Explorer 9 提供可以讓您關閉 Internet Explorer 6 所不提供之安全性功能的群組原則設定。由於這些功能可能會造成相容性問題,因此 Microsoft 不建議使用。設定這些原則設定雖可提高相容性,但相對也會削弱安全性,增加受到攻擊的機會。對於無法使用 Internet Explorer 9 安全性的網站,可以考慮改用 MED-V。

顯示: