Exportovat (0) Tisk
Rozbalit vše
Expand Minimize

Uzamčení zóny místního počítače v aplikaci Internet Explorer

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v aktualizaci Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v systému Windows XP Service Pack 2.

K čemu slouží uzamčení zóny místního počítače v aplikaci Internet Explorer?

Jakmile aplikace Internet Explorer otevře webovou stránku, bude na stránku aplikovat omezení určující, co může stránka provádět, na základě zóny zabezpečení aplikace Internet Explorer platné pro tuto stránku. Existuje několik možných zón zabezpečení, každá s jinou sadou omezení. Zóna zabezpečení pro stránku je dána jejím umístěním. Například stránky, které jsou umístěny na Internetu, budou obvykle v zóně Internetu, která má přísnější omezení. Nemusí jim být povoleno provádět některé operace, například přístup na místní pevný disk. Stránky umístěné ve vaší podnikové síti by obvykle byly v zóně zabezpečení sítě intranet a měly by mírnější omezení. Omezení odpovídající většině těchto zón může uživatel přesně nakonfigurovat pomocí podnabídky Možnosti Internetu v nabídce Nástroje.

U verzí předcházejících aktualizaci Service Pack 2 systému Windows XP byl obsah místního systému souborů, mimo souborů uložených v mezipaměti aplikací Internet Explorer, pokládán za bezpečný a byl přiřazen do zóny zabezpečení místního počítače. Tato zóna zabezpečení obvykle umožňuje, aby byl její obsah spouštěn v aplikaci Internet Explorer s poměrně malým počtem omezení. Útočníci se však často pokoušejí využít výhod zóny místního počítače ke zvýšení svého oprávnění a poškodit počítač.

Mnoho nebezpečí zneužití využívajících zónu místního počítače bylo zmírněno dalšími změnami aplikace Internet Explorer v systému Windows XP s aktualizací SP2. Tyto změny byly zahrnuty do aplikace Internet Explorer v systému Windows Server 2003 Service Pack 1. Útočníci však stále mohou být schopni najít cesty ke zneužití zóny místního počítače. V současné době aplikace Internet Explorer dále chrání uživatele uzamčením zóny místního počítače ve výchozím nastavení. Místní soubory HTML, jejichž hostitelem jsou jiné aplikace, budou spuštěny s méně přísným nastavením zóny místního počítače použitým u předchozí verze aplikace Internet Explorer, pokud tyto aplikace nevyužívají uzamčení zóny místního počítače.

Správci budou moci k správě uzamčení zóny místního počítače používat zásady skupiny a snáze je aplikovat na skupiny počítačů.

Koho se tato funkce týká?

Tuto funkci by měli prostudovat všichni vývojáři aplikací. Bude pravděpodobně ovlivňovat aplikace, které jsou hostiteli místních souborů HTML v aplikaci Internet Explorer. Vývojáři samostatných aplikací, které jsou hostiteli aplikace Internet Explorer, mohou své aplikace změnit tak, aby využívaly funkci uzamčení zóny místního počítače.

Ve výchozím nastavení je uzamčení zóny místního počítače povoleno jen pro aplikaci Internet Explorer. Aby vývojáři mohli využívat výhody těchto změn, budou muset své aplikace registrovat. U aplikací nepoužívajících toto zmírnění by měla být provedena nezávislá revize z hlediska nositelů útoků na zónu místního počítače.

Vývojáři softwaru, jejichž aplikace jsou hostitelem aplikace Internet Explorer, mohou tuto funkci použít po přidání názvu příslušného procesu do registru podle popisu, který je uveden v další části tohoto dokumentu. V budoucnosti by společnost Microsoft chtěla implementovat tuto funkci raději pomocí „odhlášení“ než „přihlášení“. Aplikace, které jsou hostitelem aplikace Internet Explorer, by měly být testovány, aby bylo ověřeno, zda fungují správně s povolenou funkcí uzamčení zóny místního počítače pro příslušný proces.

Správci sítě by mohli mít místní skripty, které budou ovlivňovány těmito omezeními. Správci by měli prostudovat dostupná řešení pro možnost spouštění svých místních skriptů bez ohrožení bezpečnosti klientských počítačů svých uživatelů.

Vývojáři webů, jejichž hostitelem je zóna Internet nebo místní intranet, by změnou zóny místního počítače neměli být ovlivněni – s výjimkou načítání těchto souborů během vývoje z místního počítače.

Na uživatele mohou mít vliv aplikace, které nejsou kompatibilní s těmito přísnějšími pravidly.

Jaké stávající funkce se změnily v aktualizaci Service Pack 1 systému Windows Server 2003?

Změny nastavení zabezpečení zóny místního počítače

Podrobný popis

Zóna místního počítače nyní přináší více omezení než zóna Internetu. Pokaždé, když se obsah pokusí o jednu z následujících akcí v této zóně, objeví se v aplikaci Internet Explorer informační panel s tímto textem:

Z důvodu ochrany zabezpečení bylo souboru zakázáno zobrazení aktivního obsahu, který by mohl přistupovat k počítači. Klepněte sem pro další možnosti...

Klepnutím na informační panel může uživatel odebrat uzamčení z omezeného obsahu.

Nastavení zabezpečení, která řídí oprávnění přidělená obsahu spuštěnému v zóně místního počítače, se nazývají také akce adres URL. Je-li na určitý proces použito uzamčení zóny místního počítače, změní to chování akcí adres URL tak, že předchozí hodnota nastavení zóny místního počítače Povoleno se změní na Zakázáno. V důsledku toho se nebudou spouštět skripty ani ovládací prvky Active X. Změněné výchozí akce adres URL jsou:

  • URLACTION _SCRIPT_RUN
  • URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX
  • URLACTION_ACTIVEX_RUN
  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (nastaveno na Dotázat se, nikoli na Zakázáno)
  • URLACTION_CLIENT_CERT_PROMPT
  • URLACTION_BEHAVIOR_RUN
  • URLACTION_JAVA_PERMISSIONS
  • URLACTION_BEHAVIOR_RUN (nastaveno na Schválení správcem, nikoli na Zakázáno)
  • URLACTION_FEATURE_MIME_SNIFFING
  • URLACTION_FEATURE_WINDOWS_RESTRICTIONS
  • URLACTION_AUTOMATIC_DOWNLOAD_UI
  • URLACTION_AUTOMATIC_ACTIVEX_UI
notePoznámka
URLACTION_FEATURE_ZONE_ELEVATION je v zóně místního počítače nastaveno na Zakázáno s touto funkcí i bez ní.

Pro uzamčení zóny místního počítače jsou tato nastavení uložena pod samostatným klíčem registru:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

Výchozí nastavení akce adres URL zóny místního počítače se nachází pod touto položkou:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Proč je tato změna důležitá?

Tato změna pomáhá zabránit zvýšení oprávnění obsahu v počítači uživatele. Kód s takto zvýšeným oprávněním může spustit jakýkoliv kód prostřednictvím ovládacích prvků ActiveX nebo číst informace pomocí skriptu.

Co funguje jinak?

Používá-li webová stránka některý z výše uvedených omezených typů obsahu, zobrazí aplikace Internet Explorer informační panel, jak bylo výše popsáno.

Soubory HTML, jejichž hostitelem je protokol res: v místním počítači, se automaticky spustí s nastavením zabezpečení pro zónu Internetu. Další informace o tom, co tyto šablony umožňují, najdete v tématu Introduction to URL Security Zones (Úvod do zón zabezpečení URL) na webu MSDN na adrese http://go.microsoft.com/fwlink/?LinkId=26003.

Jak tyto problémy vyřešit?

Spuštění prvků Active X a skriptů na webových stránkách načtených z disku CD můžete vždy povolit klepnutím na tlačítko Ano, jsou-li uvedeny s následující zprávou:

Aktivní obsah může poškodit počítač nebo získat osobní informace. Opravdu chcete povolit spuštění aktivního obsahu z disku CD v tomto počítači?

Jestliže vaše webová stránka vyžaduje spuštění prvku ActiveX nebo skriptování, můžete do kódu HTML přidat komentář Značka webu (Mark of the Web). Tato funkce aplikace Internet Explorer umožňuje nucené přemístění souborů HTML do jiné zóny, než je zóna místního počítače, takže tyto soubory pak mohou spouštět kódy skriptů nebo prvků ActiveX na základě šablony zabezpečení, která by byla použita pro adresu URL identifikovanou v komentáři. Kdyby například zadaná adresa URL byla www.contoso.com a tato adresa URL se nacházela ve vašem seznamu důvěryhodných serverů, stránka by používala šablonu zabezpečení pro zónu důvěryhodných serverů. Toto nastavení je funkční v aplikaci Internet Explorer 4 a novějších verzích. Chcete-li do souboru HTML vložit komentář Značka webu (Mark of the Web), přidejte jeden z následujících komentářů:

<!-- saved from url= (0022)http://www.example.com -->

Tento komentář používejte, když vkládáte komentář Značka webu do stránky, jejíž doména je identifikována. Adresu http://www.example.com nahraďte adresou URL internetové nebo intranetové domény, jež je hostitelem stránky. Před adresu URL zadejte délku adresy URL použité pro Značku webu uzavřenou do závorek, například(0022).

Chcete-li, aby na vaši webovou stránku bylo vždy pohlíženo, jako by byla součástí zóny Internetu, můžete použít následující Značku webu.

<!-- saved from url=(0014)about:internet -->

Tento komentář používejte, když potřebujete Značku webu vkládat genericky. Část about:internet umístí stránku do zóny Internetu.

Počínaje systémy Windows Server 2003 Service Pack 1 a Windows XP Service Pack 2 lze tento komentář HTML rovněž použít se soubory MHT označovanými jako vícedílné soubory HTML nebo soubory XML. Značka webu nebude respektována u souborů MHT nebo XML v dřívějších verzích aplikace Internet Explorer.

Jinou možností je vytvořit samostatnou aplikaci, která je hostitelem obsahu HTML v prvku Internet Explorer Web Object Control (WebOC). Obsah HTML potom již není vázán stejnými pravidly, jaká platí pro spouštění obsahu v aplikaci Internet Explorer. Když je obsah HTML spuštěn v jiném procesu, může mít plná práva, tak jak jsou pro tento proces definována vývojářem nebo zásadami zóny.

Snadno to provedete tak, že uložíte svůj obsah jako soubor s příponou HTA (aplikace HTML) a pokusíte se tento soubor znovu spustit v zóně místního počítače. Hostitelem souboru HTA je odlišný proces, soubor tedy není tímto zmírněním ovlivněn. Soubory HTA však jsou spuštěny s plnými oprávněními, proto byste u nich neměli povolit kód, který není důvěryhodný pro spuštění tímto způsobem.

Je nutné změnit kód, aby bylo možné pracovat se systémem Windows Server 2003 Service Pack 1?

Vývojáři by měli testovat své aplikace a umožnit uzamčení, aby mohli nabízet zvýšené úrovně zabezpečení. Vývojáři samostatných aplikací by měli plánovat přijetí těchto změn v aplikacích, které jsou hostiteli aplikace Internet Explorer.

Vývojáři ovládacích prvků ActiveX, které dříve umožňovaly zvýšená oprávnění v zóně místního počítače, by neměli měnit ovládací prvky tak, aby dovolili zvýšená oprávnění v jiné zóně. Místo toho by tyto ovládací prvky měly být změněny tak, aby mohly být spuštěny jen z aplikace HTML (souboru HTA) nebo jako samostatná aplikace, která je spuštěna mimo uzamčenou zónu místního počítače.

Ve výchozím nastavení není uzamčení zóny místního počítače povoleno pro jiné procesy než procesy aplikace Internet Explorer. Aby vývojáři mohli využívat výhody těchto změn, budou muset své aplikace explicitně registrovat. Vývojáři aplikací nepoužívajících toto zmírnění by měli provést nezávislou revizi svých aplikací z hlediska nositelů útoků na zónu místního počítače. Chcete-li povolit uzamčení zóny místního počítače pro svou aplikaci, přejděte na následující klíč registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

Přidejte do tohoto klíče hodnotu REG_DWORD pojmenovanou pro vaši aplikaci (například MojeAplikace.exe) a nastavte ji na hodnotu 1. Jakékoliv jiné nastavení této hodnoty by zakázalo uzamčení zóny místního počítače pro tuto aplikaci.

Chcete-li řídit, zda se uzamčení zóny místního počítače bude používat u webových stránek spouštěných z disku CD, přejděte k následujícímu klíči a hodnotě registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

Nastavíte-li tuto hodnotu na 1, zakážete tuto funkci pro webové stránky spouštěné z disku CD v počítači uživatele.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft