Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Uzamčení síťového protokolu aplikace Internet Explorer

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v aktualizaci Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v systému Windows XP Service Pack 2.

K čemu slouží uzamčení síťových protokolů?

V aplikaci Internet Explorer je možné nakonfigurovat uzamčení obsahu HTML z určitých síťových protokolů i v dalších zónách vedle zóny místního počítače. Tato funkce umožňuje správci rozšířit stejná omezení jako u nastavení Uzamčení zóny místního počítače (které je popsáno v předchozí části tohoto dokumentu) na libovolný obsah libovolného protokolu v jakékoli zóně zabezpečení. Správce může například v aplikaci Internet Explorer nakonfigurovat uzamčení obsahu HTML, jehož hostitelem je protokol Shell:, pokud se nachází v zóně Internet. Vzhledem k tomu, že se nejběžnější použití protokolu Shell: vztahuje na místní obsah, a nikoli na obsah Internetu, může toto zmírnění snížit rozsah možností útoku pomocí prohlížeče, při němž jsou využity chyby protokolů používaných méně často než protokol HTTP.

Čeho se tato funkce týká?

Ve výchozím nastavení není funkce Uzamčení síťového protokolu povolena u žádné aplikace.

Tuto funkci by měli prostudovat všichni vývojáři aplikací. V organizacích, jejichž správci používají další omezení, mohou být ovlivněny hostitelské aplikace souborů HTML nad jinými protokoly než HTTP v aplikaci Internet Explorer. Vývojáři mohou své samostatné aplikace, které jsou hostiteli aplikace Internet Explorer, změnit tak, aby využívaly funkci Uzamčení síťového protokolu.

Vývojáři, kteří se rozhodnou pro použití funkce Uzamčení síťového protokolu, by své aplikace měli zaregistrovat, pokud chtějí využít výhody změn. U aplikací nepoužívajících toto zmírnění by měla být provedena nezávislá revize podpory libovolných protokolů.

Vývojáři softwaru, jejichž aplikace jsou hostitelem aplikace Internet Explorer, mohou tuto funkci použít po přidání názvu příslušného procesu do registru podle popisu, který je uveden v další části tohoto dokumentu. Společnost Microsoft může v budoucnu implementovat tuto funkci s výchozím omezením určitých méně běžně používaných protokolů a se zásadou odhlášení aplikací, nikoli s aktuální zásadou přihlášení aplikací. Aplikace, které jsou hostitelem aplikace Internet Explorer, by měly být testovány, zda fungují správně s povolenou funkcí Uzamčení síťového protokolu pro příslušný proces.

Správci sítě by měli zvážit možnost přidání nepoužívaných protokolů do seznamu omezených protokolů ve spravovaných stolních počítačích. Pokud správce sítě toto omezení povolí, mohou být některé soubory HTML tímto krokem ovlivněny.

Vývojáři webů, jejichž hostitelem je protokol HTTP, by omezeními jiných protokolů neměly být ovlivněni.

Tato přísnější omezení budou mít nejpravděpodobněji vliv na uživatele, pokud se správce sítě rozhodne omezit určité protokoly pro jejich počítač.

Jaké stávající funkce se změnily v aktualizaci Windows Server 2003 Service Pack 1?

Změny nastavení zabezpečení omezených protokolů

Podrobný popis

V aktualizaci Windows Server 2003 Service Pack 1 bude obsah HTML v aplikaci přihlášené k použití funkce Uzamčení síťového protokolu, který je dodáván pomocí jednoho z omezených protokolů, spuštěn na vyšší úrovni zabezpečení. Kdykoli se obsah omezeného protokolu pokusí použít omezenou funkci, například ovládací prvky ActiveX, zobrazí se v aplikaci Internet Explorer informační panel s následujícím textem (u jiných blokovaných akcí adres URL se daný text může lišit):

Aplikace Internet Explorer zablokovala na tomto webu použití ovládacího prvku ActiveX, který by mohl ohrozit zabezpečení. Tato stránka proto nemusí být zobrazena správně.

Klepnutím na informační panel může uživatel odebrat uzamčení z omezeného obsahu. Pokud nejsou změněny příslušné zásady v registru, platí změna nastavení provedená pomocí informačního panelu pouze pro danou relaci.

Nastavení zabezpečení, které je uzamčeno pro obsah dodávaný pomocí omezených protokolů, je shodné jako nastavení vynucené pro uzamčení zóny místního počítače, jež je popsáno v předchozí části tohoto dokumentu. V uvedené části si přesně prostudujte, které položky nastavení zabezpečení jsou vynuceny pro obsah dodávaný pomocí omezených protokolů.

Vypnutí funkce Omezené protokoly ve výchozím nastavení aplikace Internet Explorer a všech aplikací

Podrobný popis

Chování funkce Uzamčení síťového protokolu je řízeno na základě jednotlivých procesů novým nastavením řízení funkcí aplikace Internet Explorer. Vzhledem ke skutečnosti, že je tato funkce navržena jako další vrstva hloubkové obrany pro správce sítě, nejsou ve výchozím nastavení přihlášeny výchozí procesy aplikace Internet Explorer, tj. IExplore.exe a Explorer.exe. Pokud je správci sítě nebo vývojáři chtějí přihlásit k funkci Uzamčení síťového protokolu a použít u nich dané zmírnění, je třeba do některého z následujících umístění přidat hodnotu DWORD, přičemž název je název procesu a klíč je nastaven na hodnotu 1. Chcete-li vynutit odhlášení, nastavte klíč na hodnotu 0. Pokud se správce rozhodne vložit dané nastavení do podregistru Policies, je třeba místo hodnoty DWORD nastavit hodnotu REG_SZ.

  • HKEY_LOCAL_MACHINE\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN
  • HKEY_CURRENT_USER\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN

Jestliže je k vynucení zmírnění v režimu odhlášení použit zástupný znak, mohou se aplikace pokusit zabránit použití zmírnění pomocí aktivního odhlášení.

Chování zón v případě přihlášené aplikace

U přihlášeného procesu je chování funkce Uzamčení síťového protokolu řízeno také na základě jednotlivých zón novým nastavením zabezpečení aplikace Internet Explorer nebo akcí adres URL s názvem URLACTION_ALLOW_RESTRICTEDPROTOCOLS. Akce adres URL bude nastavena na následující hodnoty.

 

Zóna zabezpečení Výchozí chování pro omezené protokoly Příklad možností uživatele

Zóna Servery s omezeným přístupem

Zakázat

Ve výchozím nastavení není prvek ActiveX v zóně Servery s omezeným přístupem nikdy povolen, proto se v případě zjištění omezeného protokolu nezobrazí žádný informační panel. Informační panel se může zobrazit, jestliže akce adres URL již dříve povolená v zóně Servery s omezeným přístupem je nyní zakázána funkcí Uzamčení síťového protokolu. V tomto případě uživatel NEBUDE moci klepnout na informační panel a danou akci povolit.

Zóna Internetu

Prompt

Pokud správce uzamkne protokol file://, je omezen obsah HTML používající skripty pomocí protokolu file://, uživatelé jej však mohou povolit klepnutím na informační panel.

Zóna sítě intranet

Prompt

Pokud správce uzamkne protokol local://, je omezen obsah HTML používající jazyk Java pomocí protokolu local://, uživatelé jej však mohou povolit klepnutím na informační panel.

Zóna Důvěryhodné servery

Prompt

Pokud správce uzamkne protokol Shell://, je omezen obsah HTML používající vlastnosti binárních dat pomocí protokolu Shell://, uživatelé jej však mohou povolit klepnutím na informační panel.

Zóna místního počítače

Prompt

Jestliže je povoleno uzamčení místního počítače, nahradí toto nastavení možnosti určené nastavením funkce Uzamčení síťového protokolu.

Uzamčení protokolů v jednotlivých zónách

Seznam protokolů, které jsou omezeny, je definován v jednotlivých zónách samostatně, takže některé protokoly mohou být v některých zónách uzamčeny a v jiných zónách mohou být spuštěny bez omezení. Protokoly lze v dané zóně omezit zadáním názvu protokolu do seznamu omezených položek pro určitou zónu zabezpečení.

 

Zóna zabezpečení Umístění registru seznamu omezených protokolů pro jednotlivé zóny Nastavení zabezpečení použité u obsahu omezeného protokolu

Zóna Servery s omezeným přístupem

HKEY_LOCAL_MACHINE

-nebo-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\4

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\4

Zóna Internetu

HKEY_LOCAL_MACHINE

-nebo-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\3

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\3

Zóna sítě intranet

HKEY_LOCAL_MACHINE

-nebo-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\2

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\2

Zóna Důvěryhodné servery

HKEY_LOCAL_MACHINE

- nebo -

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\1

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\1

Zóna místního počítače

HKEY_LOCAL_MACHINE

-nebo-

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\0

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\0

Protokoly doporučené k uzamčení

Výchozí seznam omezených protokolů je prázdný. Správci sítě by měli do seznamu uzamčení přidat další protokoly, které nejsou v jejich organizacích pro určitou zónu potřebné. Správci sítě by měli zvážit omezení některých z následujících výchozích protokolů systému Windows ve spravovaných stolních počítačích a dalších protokolů, které v organizaci nejsou nutné k zobrazení stránek HTML s aktivním obsahem.

  • local://
  • file://
  • shell://
  • hcp://
  • ftp://

Proč je tato změna důležitá?

Tato změna zajišťuje obecnou hloubkovou obranu proti chybám zabezpečení v méně často používaných protokolech. Ovládací prvek ActiveX spuštěný pomocí protokolu local:// může být například považován za prvek zavedený v zóně místního počítače a může udělit zvýšenou úroveň oprávnění hostitelské stránce.

Co funguje jinak?

Pokud webová stránka dodávaná pomocí protokolu, který je v dané zóně omezen, použije omezený obsah, například prvek ActiveX, zobrazí aplikace Internet Explorer informační panel popsaný v předchozí části dokumentu.

Jak tyto problémy vyřešit?

Jestliže je nutné u webové stránky spustit prvek ActiveX nebo skriptování pomocí protokolu, který by měl být v místní síti omezen, můžete správné zobrazení obsahu HTML ve spravovaných počítačích povolit přesunutím domény daného obsahu HTML do zóny důvěryhodných serverů. Jako dlouhodobé řešení můžete vyhledat způsoby přesunutí obsahu mimo omezený protokol nebo (pokud to není možné) můžete aktivní obsah úplně odebrat ze stránek omezeného protokolu provedením potřebných výpočtů na serveru pomocí skriptu na straně serveru, například technologie ASP (Active Server Page).

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 s aktualizací Service Pack 1?

Vzhledem ke skutečnosti, že je tato funkce ve výchozím nastavení vypnuta, nebude pravděpodobně nutné měnit obsah HTML, pokud není spuštěn pomocí protokolu, který byl správcem sítě v organizaci omezen.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft