Quando viene aperta una pagina Web in Internet Explorer, vengono applicate delle restrizioni sulle operazioni consentite per la pagina, in base all'area di protezione di Internet Explorer della pagina stessa. Le aree di protezione disponibili sono numerose, ciascuna con diversi gruppi di restrizioni. L'area di protezione di una pagina è determinata dalla relativa posizione. Le pagine situate in Internet, ad esempio, si trovano normalmente nell'area di protezione Internet più restrittiva. A queste pagine potrebbe non essere consentito eseguire alcune operazioni, ad esempio l'accesso al disco rigido locale. Le pagine situate nella rete aziendale si trovano in genere nell'area di protezione Intranet e sono vincolate da un numero minore di restrizioni. Le restrizioni associate alla maggior parte delle aree possono essere configurate dall'utente scegliendo Opzioni Internet dal menu Strumenti.

Nelle versioni precedenti a Windows XP Service Pack 2, il contenuto del file system locale, ad eccezione del contenuto memorizzato nella cache da Internet Explorer, è considerato sicuro e assegnato all'area di protezione Computer locale. Questa area di protezione consente in genere l'esecuzione del contenuto in Internet Explorer con restrizioni relativamente ridotte. Si verificano spesso, tuttavia, tentativi di utenti malintenzionati di approfittare dell'area Computer locale per aumentare i privilegi e compromettere la sicurezza del computer.

Molti degli exploit che sfruttano l'area Computer locale vengono risolti tramite altre modifiche implementate in Internet Explorer in Windows XP SP2. Tali modifiche sono state apportate anche nella versione di Internet Explorer di Windows Server 2003 Service Pack 1. Tuttavia, utenti malintenzionati potrebbero essere comunque in grado di sfruttare l'area Computer locale per scopi dannosi. Attualmente Internet Explorer offre un'ulteriore protezione tramite il blocco dell'area Computer locale, eseguito per impostazione predefinita. Il contenuto HTML locale presente in altre applicazioni viene eseguito in base alle impostazioni predefinite dell'area Computer locale precedenti meno restrittive a meno che nell'applicazione non venga utilizzata la funzionalità di blocco dell'area Computer locale.

Per gestire il blocco dell'area Computer locale e applicarlo più agevolmente a gruppi di computer, gli amministratori potranno utilizzare Criteri di gruppo.

Tutti gli sviluppatori di applicazioni dovrebbero conoscere questa funzionalità. L'impostazione riguarda le applicazioni che visualizzano file HTML locali in Internet Explorer. Gli sviluppatori di applicazioni autonome che utilizzano Internet Explorer potranno quindi modificare tali applicazioni in modo da utilizzare il blocco dell'area Computer locale.

Per impostazione predefinita, la funzionalità di blocco dell'area Computer locale è attivata solo per Internet Explorer. Per sfruttare i vantaggi di tali modifiche, è necessario che gli sviluppatori registrino le loro applicazioni. Gli sviluppatori che non utilizzano questa funzionalità dovranno realizzare in modo indipendente una soluzione per proteggere le proprie applicazioni dagli attacchi che sfruttano l'area Computer locale.

Gli sviluppatori di applicazioni software che utilizzano Internet Explorer dovrebbero servirsi di questa funzionalità aggiungendo il nome del proprio processo nel Registro di sistema, come descritto in questo documento. In futuro Microsoft potrebbe implementare questa funzionalità tramite un criterio di esclusione anziché di inclusione. È necessario testare le applicazioni che utilizzano Internet Explorer per assicurarsi che funzionino correttamente con il blocco dell'area Computer locale attivato per i processi dell'applicazione.

Gli amministratori di rete potrebbero rilevare che tali restrizioni influiscono su alcuni script locali, pertanto dovrebbero esaminare le soluzioni disponibili per attivare gli script locali senza compromettere la sicurezza dei computer client degli utenti.

Gli sviluppatori di siti Web situati in aree Internet o Intranet locali non dovrebbero risentire delle modifiche apportate all'area Computer locale, eccetto durante il caricamento di file dal computer locale durante lo sviluppo.

Gli utenti potrebbero invece rilevare che alcune applicazioni non sono compatibili con le restrizioni più rigide.

Modifiche alle impostazioni di protezione dell'area Computer locale

Descrizione dettagliata

All'area Computer locale sono applicate limitazioni più restrittive rispetto all'area Internet. Ogni volta che si verifica il tentativo da parte di un contenuto di eseguire una delle azioni riportate di seguito, la barra informazioni di Internet Explorer verrà visualizzata con il messaggio seguente:

Per facilitare la protezione, è stato impedito a questo file di visualizzare contenuto attivo che potrebbe accedere al computer. Fare clic qui per ulteriori opzioni.

L'utente può fare clic sulla barra informazioni per rimuovere il blocco dal contenuto con restrizioni.

Le impostazioni di protezione che controllano le autorizzazioni concesse al contenuto in esecuzione nell'area Computer locale sono note come azioni URL o URLAction. Quando il blocco dell'area Computer locale viene applicato a un processo specifico, il comportamento delle azioni URL viene modificato con la modifica dell'impostazione dell'area Computer locale da Attivato a Disattivato. Di conseguenza, script e controlli ActiveX non verranno eseguiti. Le azioni URL predefinite modificate sono:

• URLACTION _SCRIPT_RUN
  
• URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX
  
• URLACTION_ACTIVEX_RUN
  
• URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (su Chiedi conferma, non Disattivato)
  
• URLACTION_CLIENT_CERT_PROMPT
  
• URLACTION_BEHAVIOR_RUN
  
• URLACTION_JAVA_PERMISSIONS
  
• URLACTION_BEHAVIOR_RUN (su Autorizzazione amministratore, non Disattivato)
  
• URLACTION_FEATURE_MIME_SNIFFING
  
• URLACTION_FEATURE_WINDOWS_RESTRICTIONS
  
• URLACTION_AUTOMATIC_DOWNLOAD_UI
  
• URLACTION_AUTOMATIC_ACTIVEX_UI
  

Nota
URLACTION_FEATURE_ZONE_ELEVATION è impostata su Disattivato nell'area Computer locale con o senza questa funzionalità.

Per il blocco dell'area Computer locale, tali impostazioni vengono memorizzate in una chiave del Registro di sistema separata:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

Le impostazioni predefinite dell'azione URL dell'area Computer locale si trovano in:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Perché questa modifica è importante?

Questa modifica consente di impedire l'innalzamento dei privilegi da parte del contenuto presente sul computer dell'utente. Ottenendo privilegi più elevati, tali contenuti possono eseguire qualsiasi codice attraverso un controllo ActiveX o leggere informazioni con uno script.

Quali sono le differenze funzionali?

Se una pagina Web utilizza uno dei tipi di contenuto con restrizioni elencati in precedenza, in Internet Explorer viene visualizzata la barra informazioni, come illustrato in precedenza.

I file HTML che utilizzano il protocollo res: sul computer locale verranno eseguiti automaticamente secondo le impostazioni di protezione per l'area Internet. Per ulteriori informazioni sulle azioni consentite da questi modelli, vedere l'articolo introduttivo relativo alle aree di protezione URL nel sito Web MSDN all'indirizzo http://go.microsoft.com/fwlink/?LinkId=26003.

Come si possono risolvere questi problemi?

È possibile consentire sempre l'esecuzione di ActiveX e script in pagine Web avviate da CD facendo clic su Sì quando viene visualizzato il messaggio seguente:

Il contenuto attivo potrebbe danneggiare il computer o divulgare informazioni personali. Consentire ai CD l'esecuzione di contenuto attivo nel computer?

Se nella pagina Web è necessaria l'esecuzione di ActiveX o script, è possibile aggiungere un commento di identificazione dell'area Internet nel codice HTML. Questa funzionalità di Internet Explorer consente di eseguire forzatamente i file HTML in un'area diversa dall'area Computer locale in modo da poter eseguire lo script o il codice ActiveX secondo il modello di protezione applicato all'URL indicato nel commento. Se l'URL specificato, ad esempio, è www.contoso.com ed è presente nell'elenco di siti attendibili, per la pagina verrà utilizzato il modello di protezione applicato all'area dei siti attendibili. Tali impostazioni sono compatibili con Internet Explorer 4 e versioni successive. Per inserire un commento di identificazione dell'area Internet nel file HTML, aggiungere uno dei commenti seguenti:

<!-- saved from url=(0022)http://www.example.com -->

Utilizzare questo commento quando si desidera inserire un commento di identificazione dell'area Internet in una pagina dal dominio identificato, sostituendo http://www.example.com con l'URL del dominio Internet o Intranet che ospita la pagina. Anteporre all'URL utilizzato per il commento di identificazione la lunghezza dell'URL racchiusa tra parentesi, ad esempio (0022).

Se si desidera che la pagina Web venga sempre considerata parte dell'area Internet, è possibile utilizzare il commento seguente:

<!-- saved from url=(0014)about:internet -->

Utilizzare questo commento per inserire un commento di identificazione dell'area Internet generico. La parte about:internet del commento determina il posizionamento della pagina nell'area Internet.

A partire da Windows Server 2003 Service Pack 1 e Windows XP Service Pack 2, questo commento HTML può essere utilizzato anche in file mht, denominati file HTML multipart o file xml. Il commento non è invece supportato dai file mht o xml nelle versioni precedenti di Internet Explorer.

In alternativa, è possibile creare un'applicazione distinta che visualizzi il contenuto HTML nella finestra WebOC (Web Object Control) di Internet Explorer. Pertanto il contenuto HTML non risulta più legato alle stesse regole applicate al contenuto eseguito in Internet Explorer. Quando il contenuto HTML viene eseguito nell'altro processo, può disporre di diritti completi definiti dallo sviluppatore o utilizzare criteri di area del processo.

Un modo semplice di procedere è salvare il contenuto come file hta (applicazione HTML) e tentare di eseguirlo nuovamente nell'area Computer locale. I file hta si trovano in un processo diverso e pertanto non vengono influenzati dalla modifica. Tali file, tuttavia, vengono eseguiti con privilegi completi, di conseguenza non è consigliabile consentire l'esecuzione di codice non attendibile in questa modalità.

È consigliabile che gli sviluppatori testino le proprie applicazioni e attivino il blocco per offrire un livello di protezione superiore. Gli sviluppatori di applicazioni autonome dovrebbero pianificare l'introduzione di queste modifiche nelle applicazioni che utilizzano Internet Explorer.

Gli sviluppatori di controlli ActiveX che hanno concesso in precedenza privilegi elevati nell'area Computer locale non dovrebbero modificare tali controlli per concedere privilegi elevati in altre aree, bensì convertirli in modo che vengano eseguiti solo da un'applicazione HTML (file hta) o da un'applicazione autonoma eseguita fuori dal blocco dell'area Computer locale.

Per impostazione predefinita, il blocco dell'area Computer locale non è attivato per i processi non appartenenti a Internet Explorer ed è necessario registrare la propria applicazione per sfruttare questa modifica. Gli sviluppatori che non utilizzano questa funzionalità dovranno realizzare in modo indipendente una soluzione per proteggere le proprie applicazioni dagli attacchi che sfruttano l'area Computer locale. Per attivare il blocco dell'area Computer locale per l'applicazione in uso, individuare la chiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

Aggiungere un valore REG_DWORD alla chiave denominata in base all'applicazione, ad esempio Applicazione.exe, e impostarlo su 1. Qualsiasi altra impostazione comporta la disattivazione del blocco dell'area Computer locale per l'applicazione.

Per controllare se il blocco dell‘area Computer locale viene applicato alle pagine Web avviate da un CD, individuare la chiave del Registro di sistema seguente e il relativo valore:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

Impostare questo valore su 1 per disattivare questa funzionalità per le pagine Web avviate da un CD nel computer dell‘utente.