Exporteren (0) Afdrukken
Alles uitvouwen
Expand Minimize
Dit onderwerp heeft nog geen beoordeling - Dit onderwerp beoordelen

Vergrendeling van de lokale computerzone in Internet Explorer

noteOpmerking
Met het onderdeel Verbeterde beveiliging van Internet Explorer in Microsoft Windows Server 2003 (ook wel extra beveiliging van Microsoft Internet Explorer genoemd) wordt een server beter beschermd tegen aanvallen via webinhoud. Hiertoe worden in Internet Explorer strengere beveiligingsinstellingen gehanteerd voor scripts, ActiveX-onderdelen en het downloaden van bestanden voor bronnen die zich in de internetbeveiligingszone bevinden. Als gevolg hiervan zijn veel van de beveiligingsverbeteringen uit de laatste release van Internet Explorer niet meer zo duidelijk aanwezig in Windows Server 2003 Service Pack 1. De nieuwe Internet Explorer-systeembalk en pop-upblokkeringsfunctie worden pas gebruikt als de site zich in een zone bevindt waarin het uitvoeren van scripts volgens de beveiligingsinstellingen is toegestaan. Als u de verbeterde beveiligingsconfiguratie niet gebruikt op uw server, werken deze voorzieningen net als in Windows XP Service Pack 2.

Hoe werkt de vergrendeling van de lokale computerzone?

Wanneer in Internet Explorer een webpagina wordt geopend, worden beperkingen ingesteld voor bewerkingen die via de pagina kunnen worden uitgevoerd, op basis van de ingestelde beveiligingszone voor de pagina. Er zijn verschillende mogelijke beveiligingszones, elk met verschillende beperkingen. De beveiligingszone voor een pagina is afhankelijk van de locatie van de pagina. Voor pagina's op internet geldt bijvoorbeeld gewoonlijk de beveiligingszone Internet, met meer beperkingen. Met dergelijke pagina's mogen bepaalde bewerkingen mogelijk niet worden uitgevoerd. Zo kan bijvoorbeeld geen toegang worden verkregen tot de lokale vaste schijf. Pagina's op uw bedrijfsnetwerk bevinden zich normaliter in de beveiligingszone Intranet, waar minder beperkingen van kracht zijn. De precieze beperkingen voor het merendeel van deze zones kunnen door de gebruiker worden ingesteld via Internet-opties in het menu Extra.

Vóór Windows XP Service Pack 2 werd de inhoud van het lokale bestandssysteem, met uitzondering van de door Internet Explorer in de cache geplaatste inhoud, als veilig beschouwd en gold voor deze bestanden de beveiligingszone Lokale computer. Inhoud uit deze beveiligingszone mag gewoonlijk met relatief weinig beperkingen in Internet Explorer worden uitgevoerd. Kwaadwillenden proberen echter vaak misbruik te maken van de zone Lokale computer om zich extra machtigingen toe te eigenen en schade aan een computer toe te brengen.

Het risico op misbruik via de zone Lokale computer is sterk verkleind door andere wijzigingen in Internet Explorer in Windows XP SP2. Deze wijzigingen zijn verwerkt in Internet Explorer in Windows Server 2003 Service Pack 1. Het is echter nog steeds mogelijk dat mensen met kwade bedoelingen manieren vinden om misbruik te maken van de zone Lokale computer. Momenteel biedt Internet Explorer de gebruiker extra bescherming door de zone Lokale computer standaard te vergrendelen. Op lokale HTML-inhoud die in andere toepassingen wordt gebruikt, zijn de minder beperkende instellingen van de zone Lokale computer van toepassing die in de vorige versie van Internet Explorer werd gebruikt, tenzij voor die toepassing de zone Lokale computer is vergrendel.

Beheerders kunnen gebruikmaken van groepsbeleid om het vergrendelen van de zone Lokale computer te beheren en deze vergrendeling op eenvoudige wijze toe te passen op groepen computers.

Voor wie is deze voorziening van belang?

Alle ontwikkelaars van toepassingen moeten kennis nemen van deze voorziening. Deze wijziging heeft waarschijnlijk gevolgen voor toepassingen die als host fungeren voor lokale HTML-bestanden in Internet Explorer. Ontwikkelaars van zelfstandige toepassingen die als host fungeren voor Internet Explorer, wordt aangeraden hun toepassingen te wijzigen zodat de zone Lokale computer wordt vergrendeld.

Standaard is de vergrendeling van de zone Lokale computer alleen ingeschakeld voor Internet Explorer. Ontwikkelaars moeten hun toepassingen registreren om te kunnen profiteren van de wijzigingen. Ontwikkelaars van toepassingen waarin deze beveiliging niet wordt gebruikt, moeten hun toepassingen controleren op mogelijkheden voor misbruik van de zone Lokale computer.

Softwareontwikkelaars met toepassingen die als host fungeren voor Internet Explorer, moeten deze voorziening gebruiken door hun procesnaam aan het registerdocument toe te voegen zoals verderop in dit document wordt beschreven. Het kan zijn dat de Microsoft deze voorziening op termijn zo aanpast dat gebruikers deze via beleid moet uitschakelen in plaats van inschakelen. Voor toepassingen die als host fungeren voor Internet Explorer, moet worden gecontroleerd of ze goed functioneren als de zone Lokale computer voor het bijbehorende proces is vergrendeld.

Netwerkbeheerders maken mogelijk gebruik van lokale scripts waarvoor deze beperkingen gevolgen hebben. Beheerders die lokale scripts willen kunnen uitvoeren zonder dat de veiligheid van de desbetreffende clientcomputers in het geding komt, moeten zelf de beschikbare oplossingen inventariseren.

Ontwikkelaars van websites die zijn ondergebracht in de zone Internet of Intranet horen normaal gezien geen last te hebben van wijzigingen in de zone Lokale computer, behalve wanneer ze deze bestanden in de ontwikkelingsfase op de lokale computer laden.

Gebruikers kunnen gevolgen ondervinden als toepassingen niet compatibel zijn met deze strengere beperkingen.

Welke bestaande functionaliteit is gewijzigd in Windows Server 2003 Service Pack 1?

Wijzigingen in de beveiligingsinstellingen voor de zone Lokale computer

Gedetailleerde beschrijving

Voor de zone Lokale computer worden nu strengere criteria gebruikt dan voor de zone Internet. Telkens wanneer via de inhoud wordt geprobeerd een van deze acties in deze zone uit te voeren, verschijnt in Internet Explorer de volgende tekst op de informatiebalk:

Om de beveiliging van uw computer te verbeteren, heeft Internet Explorer dit bestand beperkt in het weergeven van actieve inhoud, die mogelijk toegang verschaft tot uw computer. Klik hier voor opties.

De gebruiker kan op de informatiebalk klikken om de vergrendeling te verwijderen voor de beperkte inhoud.

De beveiligingsinstellingen die bepalen welke rechten worden toegekend aan inhoud die in de zone Lokale computer wordt uitgevoerd, worden ook URL-acties genoemd. Wanneer de vergrendeling van de zone Lokale computer wordt toegepast op een bepaald proces, wordt voor URL-acties vanuit de voormalige zone Lokale computer de instelling gewijzigd van Ingeschakeld in Uitgeschakeld. Dit heeft tot gevolg dat scripts en Active X-besturingselementen niet worden uitgevoerd. De volgende URL-acties zijn gewijzigd:

  • URLACTION _SCRIPT_RUN
  • URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX
  • URLACTION_ACTIVEX_RUN
  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (gewijzigd in Vragen, niet Uitgeschakeld)
  • URLACTION_CLIENT_CERT_PROMPT
  • URLACTION_BEHAVIOR_RUN
  • URLACTION_JAVA_PERMISSIONS
  • URLACTION_BEHAVIOR_RUN (gewijzigd in Door de Administrator goedgekeurd, niet Uitgeschakeld)
  • URLACTION_FEATURE_MIME_SNIFFING
  • URLACTION_FEATURE_WINDOWS_RESTRICTIONS
  • URLACTION_AUTOMATIC_DOWNLOAD_UI
  • URLACTION_AUTOMATIC_ACTIVEX_UI
noteOpmerking
URLACTION_FEATURE_ZONE_ELEVATION is ingesteld op Uitgeschakeld in de zone Lokale computer met of zonder deze voorziening.

Voor de vergrendeling van de zone Lokale computer worden deze instellingen opgeslagen onder een afzonderlijke registersleutel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

De standaardinstellingen voor URL-acties in de zone Lokale computer zijn te vinden onder:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Wat is het belang van deze wijziging?

Door deze wijziging wordt mede voorkomen dat inhoud op de computer van een gebruiker wordt misbruikt om extra machtigingen te verkrijgen. Met code die over dergelijke extra machtigingen beschikt kan vervolgens elke willekeurige code worden uitgevoerd via een ActiveX-besturingselement of informatie worden gelezen met een script.

Wat werkt er anders?

Als op een webpagina een van de eerdergenoemde soorten beperkte inhoud wordt gebruikt, wordt de informatiebalk weergegeven in Internet Explorer, zoals eerder beschreven.

Op HTML-bestanden waarvoor de lokale computer als host fungeert (via het protocol res:), worden automatisch de beveiligingsinstellingen voor de zone Internet toegepast. Raadpleeg de inleiding tot URL-beveiligingszones op de website van MSDN op http://go.microsoft.com/fwlink/?LinkId=26003 voor meer informatie over de bewerkingen die deze sjablonen toestaan.

Hoe los ik dit op?

U kunt instellen dat Active X-besturingselementen en scripts altijd mogen worden uitgevoerd op webpagina's die vanaf een cd worden uitgevoerd door op 'Ja' te klikken wanneer het volgende bericht verschijnt:

Actieve inhoud kan problemen op de computer veroorzaken of persoonlijke gegevens openbaar maken. Weet u zeker dat u programma's op cd-roms actieve inhoud op uw computer wilt laten uitvoeren?

Als uw webpagina ActiveX-elementen of scripts moet uitvoeren, kunt u een zogenoemd Mark of the Web-commentaar opnemen in de HTML-code. Met deze voorziening van Internet Explorer kunnen de HTML-bestanden in een andere zone worden geplaatst dan de zone Lokale computer, zodat deze bestanden vervolgens het script of de ActiveX-code kunnen uitvoeren op basis van de beveiligingssjabloon die zou worden toegepast op de URL die in het commentaar is opgenomen. Als in het commentaar bijvoorbeeld de URL www.contoso.com is opgegeven en die URL in de lijst met vertrouwde sites voorkomt, wordt voor die pagina gebruikgemaakt van de beveiligingssjabloon voor de zone Vertrouwde websites. Deze instelling werkt in Internet Explorer 4 en hoger. Voeg een van de volgende commentaren toe aan uw HTML-bestand om een Mark of the Web-commentaar in te voegen:

<!-- saved from url= (0022)http://www.voorbeeld.com -->

Gebruik dit commentaar wanneer u een Mark of the Web-commentaar invoegt in een pagina waarvan het domein wordt aangegeven. Vervang hierbij http://www.voorbeeld.com door de URL van het internet- of intranetdomein waarin de pagina zich bevindt. Voeg tussen haakjes de lengte van de URL toe, bijvoorbeeld (0022).

Als u wilt dat uw webpagina altijd wordt behandeld alsof deze zich in de zone Internet bevindt, kunt u de volgende Mark of the Web-code gebruiken:

<!-- saved from url=(0014)about:internet -->

Gebruik dit commentaar wanneer u in algemene zin een Mark of the Web-commentaar wilt toevoegen. Door het gedeelte about:internet wordt de pagina in de zone Internet geplaatst.

Vanaf Windows Server 2003 Service Pack 1 en Windows XP Service Pack 2 kan dit HTML-commentaar ook worden gebruikt bij MHT-bestanden (Multipart HTML) of XML-bestanden. Mark of the Web wordt niet verwerkt voor MHT- of XML-bestanden in eerdere versies van Internet Explorer.

U kunt eventueel ook een afzonderlijke toepassing maken waarbij de HTML-inhoud zich bevindt in de WebOC (Web Object Control) van Internet Explorer. De HTML is dan niet meer gebonden aan de regels die van toepassing zijn op inhoud die in Internet Explorer wordt uitgevoerd. Wanneer de HTML-inhoud in het andere proces wordt uitgevoerd, kan deze inhoud over volledige rechten beschikken als dit zo is gedefinieerd door de ontwikkelaar of in het zonebeleid voor dat proces.

Een eenvoudige manier om dit te bewerkstelligen is door de inhoud op te slaan als een HTA-bestand (HTML-toepassing) en te proberen het bestand opnieuw uit te voeren in de zone Lokale computer. Het hosten van HTA-bestanden verloopt via een ander proces, zodat de beveiliging hiervoor geen gevolgen heeft. HTA-bestanden worden echter uitgevoerd met volledige rechten, dus code die u niet vertrouwt, kunt u beter niet op deze manier laten uitvoeren.

Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

Ontwikkelaars moeten hun toepassingen testen en de vergrendeling inschakelen om het extra beveiligingsniveau te kunnen aanbieden. Ontwikkelaars van zelfstandige toepassingen moeten deze wijzigingen opnemen in hun toepassingen die als host fungeren voor Internet Explorer.

Ontwikkelaars van ActiveX-besturingselementen waarbij eerder extra machtigingen waren toegestaan in de zone Lokale computer, moeten hun besturingselementen niet wijzigen om extra machtigingen toe te staan in een andere zone. In plaats daarvan moeten deze besturingselementen zodanig worden geconverteerd dat ze alleen kunnen worden uitgevoerd vanuit een HTML-toepassing (HTA-bestand) of een zelfstandige toepassing die buiten de vergrendeling van de zone Lokale computer wordt uitgevoerd.

Standaard is de vergrendeling van de zone Lokale computer alleen ingeschakeld voor Internet Explorer-processen. Ontwikkelaars moeten hun toepassingen expliciet registreren om te kunnen profiteren van de wijzigingen. Ontwikkelaars van toepassingen die deze beveiliging niet gebruiken, moeten hun toepassingen controleren op mogelijkheden voor misbruik van de zone Lokale computer. Als u de vergrendeling van de zone Lokale computer wilt inschakelen voor uw toepassing, gaat u naar de volgende registersleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

Voeg de waarde REG_DWORD toe aan de sleutel voor uw toepassing (bijvoorbeeld MijnToepassing.exe) en stel deze in op 1. Als deze waarde anders wordt ingesteld, wordt de vergrendeling van de zone Lokale computer uitgeschakeld voor de toepassing.

Met de volgende registersleutel en -waarde kunt u bepalen of de vergrendeling van de zone Lokale computer wordt toegepast op webpagina's die vanaf cd-rom wordt geladen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

Door deze waarde in te stellen op 1 kunt u deze functie uitschakelen voor webpagina's die vanaf cd-rom worden geladen op de computer van de gebruiker.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft. Alle rechten voorbehouden.