Exportovat (0) Tisk
Rozbalit vše

Usnadnění týkající se nedůvěryhodných vydavatelů v aplikaci Internet Explorer

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v systému Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v systému Windows XP Service Pack 2.

Co funkce Usnadnění týkající se nedůvěryhodných vydavatelů provádí?

Tato funkce umožňuje uživateli blokovat všechen podepsaný obsah od daného vydavatele, aniž by se při tom uživateli zobrazovalo dialogové okno funkce Authenticode. Tím se zastaví instalace kódu od blokovaného vydavatele. Tato funkce rovněž blokuje instalaci kódu s neplatnými podpisy.

Koho se tato funkce týká?

Tato funkce se týká všech uživatelů, protože se zabývá instalací a spouštěním podepsaných aplikací.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 systému Windows Server 2003?

Zablokování vydavatele

Podrobný popis

Pomocí funkce Authenticode může uživatel zablokovat instalaci nebo spuštění obsahu od určitého vydavatele. Aby toho uživatel dosáhl, zaškrtne políčko Nikdy neinstalovat software od vydavatelenázev vydavatele v dialogovém okně funkce Authenticode. Je-li toto políčko zaškrtnuto, nezobrazí se uživateli nikdy výzva v případě, že se kód určený digitálním podpisem daného vydavatele pokusí nainstalovat do systému. Bude automaticky zablokován, aniž by se zobrazilo dialogové okno funkce Authenticode.

Proč je tato změna důležitá?

Tato funkce je navržena proto, aby pomáhala uživatelům blokovat ovládací prvky ActiveX a jiné podepsané formáty souborů opakovaně se nabízející na webu. Uživatelé neměli k dispozici žádný způsob, jak říci: „Nechci obsah od tohoto vydavatele. Tento dotaz již nechci zobrazit.“ Protože tuto funkci neměli k dispozici, mnozí uživatelé aplikaci nebo obsah raději nainstalovali, aby se zbavili neustále se opakujících výzev.

Co funguje jinak?

Dříve bylo možné zaškrtnout v dialogovém okně funkce Authenticode pouze políčko Vždy důvěřovat obsahu znázev vydavatele, což umožňovalo automaticky nainstalovat kód od určeného vydavatele bez zobrazení výzvy k potvrzení této akce uživatelem. Nyní může uživatel provést i opačnou akci a označit vydavatele za nedůvěryhodného. U důvěryhodného kódu by nemělo docházet k žádným potížím s kompatibilitou.

Jak lze tyto problémy vyřešit?

Zablokování vydavatele doplňku můžete zrušit pomocí okna Spravovat doplňky v aplikaci Internet Explorer. Jestliže chcete zrušit zablokování vydavatele, abyste umožnili stažení konkrétního souboru, můžete vydavatele odebrat ze seznamu Nedůvěryhodní vydavatelé. Postupujte následovně: V nabídce Nástroje aplikace Internet Explorer klepněte na položku Možnosti Internetu, klepněte na kartu Obsah, klepněte na tlačítko Vydavatelé a odeberte jméno vydavatele ze seznamu Nedůvěryhodní vydavatelé.

Jaké stávající funkce se změnily v aktualizaci Service Pack 1 systému Windows Server 2003?

Blokování neplatných podpisů

Podrobný popis

Ve výchozím nastavení systém Windows blokuje instalaci podepsaného kódu, pokud má kód neplatný digitální podpis.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Má-li kód neplatný podpis, obvykle to znamená, že kód byl od doby podpisu změněn. Jestliže k tomu dojde, pokládá aplikace Internet Explorer kód za nepodepsaný, protože jej někdo mohl záměrně změnit. Aplikace Internet Explorer ve výchozím nastavení blokuje nepodepsané aplikace ActiveX, které přicházejí ze zóny Internet. Tato změna rozšiřuje tuto funkci tak, že platí pro každý kód s neplatným podpisem.

Co funguje jinak?

Ve výchozím nastavení nelze instalovat kód s neplatným podpisem.

Jak tyto problémy vyřešit?

Informace o tom, jak obnovit původní funkci a umožnit spouštění nepodepsaného kódu najdete v popisu nastavení RunInvalidSignatures v oddíle „Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 systému Windows Server 2003?“.

Jedna výzva pro jeden ovládací prvek na jednu stránku

Podrobný popis

Aplikace Internet Explorer zobrazuje výzvu uživateli jen jednou pro jeden ovládací prvek ActiveX na jednu stránku.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Tato změna pomáhá uživatele chránit před nekalými praktikami sociálního inženýrství spočívajícími v opakovaném dotazování uživatele na tentýž ovládací prvek. I když uživatelé výzvy opakovaně odmítají, nemohou se dostat ze smyčky a nakonec by ze zoufalství instalaci prvku mohli přijmout.

Co funguje jinak?

Uživatel uvidí jen jednu výzvu na jednu stránku pro jeden ovládací prvek.

Tři tečky umístěné do textu popisu aplikace a názvu vydavatele

Podrobný popis

Je-li text zadaný pro popis aplikace, název souboru nebo název vydavatele širší, než je šířka dialogového okna, aplikace Internet Explorer umístí do textu tři tečky. To pomáhá uživateli rozpoznat, že text je delší, ale není vidět.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Pro autory ovládacích prvků se tím snižuje možnost umísťovat do dialogového okna marketingový text a smlouvy EULA nebo používat jiné triky sociálního inženýrství k tomu, aby zahltili uživatele a přiměli ho k instalaci ovládacího prvku.

Co funguje jinak?

Pokud je text popisu aplikace, názvů souborů nebo názvů vydavatelů delší než šířka dialogového okna, bude obsahovat tři tečky. Žádné aplikace na webových stránkách není třeba upravovat.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Service Pack 1 systému Windows Server 2003?

 

Název nastavení Umístění Předchozí výchozí hodnota Výchozí hodnota Možné hodnoty

RunInvalidSignatures

HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer \Download

HKEY_LOCAL_MACHINE \Software\Microsoft \Internet Explorer \Download

Žádný

0

(Ovládací prvky s neplatnými podpisy budou blokovány bez ohledu na zónu.)

1

(Spuštění ovládacích prvků s neplatnými podpisy bude povoleno bez ohledu na zónu.)

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2014 Microsoft