Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Nastavení zabezpečení vlastností binárních dat aplikace Internet Explorer

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v aktualizaci Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v systému Windows XP Service Pack 2.

K čemu slouží nastavení zabezpečení vlastností binárních dat?

Aplikace Internet Explorer obsahuje dynamická binární data: komponenty, které shrnují konkrétní funkce prvků HTML, ke kterým jsou připojeny. Tyto vlastnosti binárních dat nejsou řízeny žádným nastavením zabezpečení aplikace Internet Explorer, což jim umožňuje pracovat na webových stránkách v zóně Servery s omezeným přístupem. Aktualizace Windows Server 2003 Service Pack 1 obsahuje nové nastavení zabezpečení aplikace Internet Explorer pro vlastnosti binárních dat. Ve výchozím nastavení zakazuje binární data v zóně Serverů s omezeným přístupem. V kombinaci s funkcí zabezpečení zajišťující uzamčení zóny místního počítače zároveň vyžaduje schválení správy pro spuštění vlastnosti binárních dat ve výchozím nastavení v zóně místního počítače. Toto nové nastavení zabezpečení vlastností binárních dat poskytuje obecné zmírnění potíží se zabezpečením binárních dat aplikace Internet Explorer.

Další informace o vlastnostech binárních dat (například o způsobu jejich fungování nebo implementace) naleznete v tématu Cutting Edge: Binary Behaviors in Internet Explorer 5.5 (Moderní technologie: Vlastnosti binárních dat v aplikaci Internet Explorer 5.5) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=21862. Vlastnosti binárních dat, které jsou definovány v jazyce C++ a zkompilovány, se liší od připojených vlastností a vlastností elementů definovaných ve skriptu.

Koho se tato funkce týká?

Vývojáři aplikací by si tuto funkci měli prostudovat a odpovídajícím způsobem naplánovat změny ve svých aplikacích, které používají funkce aplikace Internet Explorer v zóně Servery s omezeným přístupem a zóně Místní počítač. Například může být nutné upravit e-mailové aplikace, které vytváří e-maily ve formátu HTML v zóně Servery s omezeným přístupem.

Vliv na uživatele se projeví pouze u aplikací, které pomocí nového nastavení nezobrazují veškerý obsah HTML. Tyto aplikace upozorní uživatele, že bylo zablokováno zobrazení některých aktivních vlastností. Jestliže například aplikace Outlook Express zjistí tuto situaci, informuje uživatele, že omezila aktivní obsah e-mailu.

Jaké nové funkce byly přidány k této funkci v aktualizaci Windows Server 2003 Service Pack 1?

Nové nastavení zabezpečení aplikace Internet Explorer

Podrobný popis

Nové nastavení akce adres URL a vlastnosti binárních dat a skriptu jsou k dispozici v každé zóně zabezpečení aplikace Internet Explorer. Výchozí hodnota tohoto nastavení je povolení pro všechny zóny s výjimkou zóny Servery s omezeným přístupem a uzamčené zóny místního počítače. Výchozí hodnota nastavení pro zónu Servery s omezeným přístupem je Zakázat. V uzamčené zóně místního počítače je nastavena výchozí hodnota pro schválení správcem.

Proč je tato změna důležitá? Jaká nebezpečí pomáhá zmírňovat?

Nové nastavení pomáhá zmírňovat nebezpečí útoků, ve kterých byly zneužívány vlastnosti binárních dat, a umožňuje uživatelům kontrolovat použití vlastností binárních dat v jednotlivých zónách.

Co funguje jinak?

Jakékoli použití vlastností binárních dat pro zobrazení stránek HTML v zóně Servery s omezeným přístupem je zablokováno.

Jak tyto problémy vyřešit?

Jestliže chcete používat vlastnosti binárních dat v zóně Servery s omezeným přístupem, bude nutné do aplikace zavést vlastního správce zabezpečení. (Další informace naleznete v části Creating a Customized URL Security Manager (Vytvoření vlastního správce zabezpečení adres URL) dokumentu Introduction to URL Security Zones (Úvod do zón zabezpečení adres URL) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=21863.)

Po použití vlastností binárních dat akce adres URL prostřednictvím vlastního správce zabezpečení, bude akce adres URL předána ve formě řetězce příslušných vlastností binárních dat, které mohou být povoleny vlastním správcem zabezpečení potřebným pro kompatibilitu aplikace. Při provedení této akce adres URL probíhá následující proces:

  • Aplikace Internet Explorer volá vlastního správce zabezpečení (pokud je k dispozici) pomocí metody ProcessUrlAction s parametrem dwAction příznaku URLACTION_BEHAVIOR_RUN.
  • Parametr pContext odkazuje na operátor LPCWSTR, který obsahuje vlastnosti, na které byla zásada dotazována. Například #default#time.
  • Podle potřeby nastavíte parametr *pPolicy =URLPOLICY_ALLOW pro vlastnost SmartTag pomocí vlastního správce zabezpečení.

Pokud není vlastní správce zabezpečení k dispozici, představuje výchozí akce zákaz spouštění vlastností v zóně Servery s omezeným přístupem a zákaz spouštění většiny vlastností v zóně místního počítače.

Jestliže jste správcem počítače, můžete rozhodnout, které vlastnosti binárních dat v uzamčené zóně místního počítače povolíte. Pokud chcete určitou vlastnost v uzamčené zóně místního počítače povolit, můžete ji přidat na seznam správcem schválených vlastností tak, že nahradíte proměnné Obor názvů a Vlastnost podle potřeby prostředí:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedBehaviors

#% Obor_názvů %#% Vlastnost %=dword:00000001

Vlastnosti definované v tomto seznamu budou také používány ve všech ostatních zónách, u kterých je nastavení omezení vlastností binárních dat nakonfigurováno na hodnotu pro schválení správcem (65536).

Jaké stávající funkce se změnily v aktualizaci Windows Server 2003 Service Pack 1?

Žádné Toto je jediné nastavení pro vypnutí nebo zapnutí funkcí existujících vlastností binárních dat.

Jaké nastavení bylo přidáno nebo se změnilo v aktualizaci Service Pack 1 systému Windows Server 2003?

Nastavení vlastností binárních dat aplikace Internet Explorer

Název nastavení Umístění Předchozí výchozí hodnota Výchozí hodnota Možné hodnoty

*

HKEY LOCAL MACHINE [nebo Current User] \Software\Microsoft \Internet Explorer\Main \Feature Control \FEATURE_BEHAVIORS

Žádná

1

0 – Vypnuto

1 – Zapnuto

2000

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings\Zones [nebo Lockdown_Zones] \*\

Žádná

3 – Zakázáno (pro zónu Servery s omezeným přístupem)

65536 – Schválení správcem (pro uzamčenou zónu místního počítače)

0 – Povoleno (pro všechny ostatní zóny)

3 – Zakázáno

65536 – Schválení správcem

0 – Povoleno

notePoznámka
Znak * v předchozí tabulce znamená, že ve výchozím nastavení jsou pro toto nastavení řízení funkcí přihlášeny všechny procesy. Nastavení vlastností binárních dat může být upraveno pomocí zásad skupiny jako součást nastavení zón zabezpečení a hodnocení obsahu aplikace Internet Explorer.

Je nutné změnit kód, aby bylo možné používat aktualizaci Windows Server 2003 Service Pack 1?

Jestliže kód používá vlastnosti binárních dat v zóně Servery s omezeným přístupem, budete muset změnit kód zavedením vlastního správce zabezpečení pro danou aplikaci. Pokud kód používá vlastnosti binárních dat v zóně místního počítače, bude nutné buď implementovat vlastního správce zabezpečení a přidat příslušné vlastnosti do seznamu schválených vlastností, nebo pomocí značky webu zavést stránky do zóny s menším omezením. Další informace naleznete v části Creating a Customized URL Security Manager (Vytvoření vlastního správce zabezpečení adres URL) dokumentu Introduction to URL Security Zones (Úvod do zón zabezpečení adres URL) na webu společnosti Microsoft na adrese http://go.microsoft.com/fwlink/?LinkId=21863.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft