Exportar (0) Imprimir
Expandir Todos

Bloqueio do Protocolo de Rede do Internet Explorer

noteNota
O componente do Microsoft Windows Server 2003 Configuração de Segurança Avançada do Internet Explorer (também conhecido como reforço de protecção do Microsoft Internet Explorer) reduz a vulnerabilidade de um servidor a ataques de conteúdo Web através da aplicação de definições de segurança do Internet Explorer mais restritivas, que desactivam scripts, componentes ActiveX e transferências de ficheiros para recursos na zona de segurança Internet. Consequentemente, muitos dos melhoramentos de segurança incluídos na última versão do Internet Explorer só serão notados no Windows Server 2003 Service Pack 1. Por exemplo, as novas funções do Internet Explorer, Barra de Informações e Bloqueador de Janelas de Pop-up, só serão utilizadas se o site estiver numa zona cuja definição de segurança permite scripts. Se não estiver a utilizar a configuração de segurança avançada no servidor, estas funções agirão como no Windows XP Service Pack 2.

Qual a função do Bloqueio do Protocolo de Rede?

O Internet Explorer pode ser configurado para bloquear conteúdo HTML de determinados protocolos de rede em zonas adicionais, além da zona de Computador Local. Esta funcionalidade permite que um administrador expanda as mesmas restrições do Bloqueio de Zona de Computador Local (descritas anteriormente neste documento) para aplicação a qualquer conteúdo em qualquer protocolo arbitrário em qualquer zona de segurança. Por exemplo, um administrador pode configurar o Internet Explorer para bloquear conteúdo HTML alojado no protocolo Shell: se estiver na zona Internet. Uma vez que a utilização mais comum do protocolo Shell: é para conteúdo local, e não para conteúdo da Internet, esta atenuação pode reduzir a superfície de ataque do browser relativamente a possíveis vulnerabilidades em protocolos menos utilizados do que HTTP.

A quem se aplica esta função?

Por predefinição, o Bloqueio do Protocolo de Rede não está activado para nenhuma aplicação.

Todos os programadores de aplicações devem examinar esta funcionalidade. As aplicações anfitriãs de ficheiros HTML sobre protocolos diferentes de HTTP no Internet Explorer podem ser afectadas em organizações em que os administradores decidam aplicar restrições adicionais. Os programadores de aplicações autónomas anfitriãs do Internet Explorer podem querer modificar as aplicações para utilizar o Bloqueio do Protocolo de Rede.

Os programadores que decidam aderir ao Bloqueio do Protocolo de Rede devem registar as suas aplicações para tirar partido das alterações. As aplicações que não utilizem esta atenuação devem rever independentemente o respectivo suporte a protocolos arbitrários.

Os programadores de software que tenham aplicações anfitriãs do Internet Explorer podem utilizar esta funcionalidade adicionando o respectivo nome do processo ao registo, conforme é descrito posteriormente neste documento. De futuro, a Microsoft poderá implementar esta funcionalidade com determinados protocolos menos utilizados restringidos por predefinição e com uma política de cancelamento para aplicações, em vez da actual política de adesão para aplicações. As aplicações anfitriãs do Internet Explorer devem ser testadas para assegurar que funcionam correctamente com o Bloqueio do Protocolo de Rede activado para o respectivo processo.

Os Administradores de Rede devem considerar a adição de protocolos não utilizados à lista de protocolos restritos em computadores com o ambiente de trabalho gerido. Se o administrador de rede activar esta restrição, poderá haver ficheiros HTML afectados.

Os programadores de Web sites alojados no protocolo HTTP não devem ser afectados por restrições a outros protocolos.

Os utilizadores provavelmente serão mais afectados por estas restrições mais rigorosas se o Administrador de Rede optar por restringir determinados protocolos para o ambiente de trabalho.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Alterações às definições de segurança para protocolos restritos

Descrição detalhada

Com o Windows Server 2003 Service Pack 1, o conteúdo HTML numa aplicação aderente à função Bloqueio do Protocolo de Rede servida num dos protocolos restritos será restringido à execução num nível de segurança superior. Sempre que o conteúdo restrito do protocolo tentar utilizar uma funcionalidade restrita, como controlos ActiveX, a Barra de Informações aparecerá no Internet Explorer com o seguinte texto (o texto poderá ser diferente para outras acções bloqueadas do URL):

O Internet Explorer bloqueou este site para não utilizar um controlo ActiveX de um modo inseguro. Como consequência, esta página poderá não ser apresentada correctamente.

O utilizador pode clicar na Barra de Informação para remover o bloqueio do conteúdo restrito. A alteração na definição utilizando a Barra de Informações é apenas por sessão, a menos que as políticas estejam alteradas no registo.

As definições de segurança bloqueadas para o conteúdo em protocolos restritos são idênticas às definições aplicadas para o Bloqueio de Zona de Computador Local, descritas anteriormente neste documento. Consulte essa secção para rever exactamente as definições de segurança que são aplicadas para o conteúdo nos protocolos restritos.

A funcionalidade de protocolos restritos está inactiva por predefinição para o Internet Explorer e todas as aplicações

Descrição detalhada

O comportamento do Bloqueio do Protocolo de Rede é controlado por processo e por uma nova definição de Controlo de Funcionalidade do Internet Explorer. Uma vez que esta funcionalidade se destina a fornecer um nível adicional de segurança total para administradores de rede, os processos predefinidos do Internet Explorer, IExplore.exe e Explorer.exe não aderem por predefinição. Para aderir ao Bloqueio do Protocolo de Rede, os administradores de rede ou programadores devem adicionar um valor DWORD em qualquer uma das seguintes localizações em que o nome seja o nome do respectivo processo e o valor esteja definido como 1 para que a atenuação seja aplicada. Para forçar o cancelamento, defina o valor da chave como 0. Se o administrador decidir atribuir a definição ao ramo de registo das Políticas, defina um REG_SZ em vez de um DWORD.

  • HKEY_LOCAL_MACHINE\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN
  • HKEY_CURRENT_USER\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN

As aplicações podem querer não aderir proactivamente para impedir que a atenuação lhes seja aplicada quando é utilizado um carácter universal para forçar a atenuação para o modo de cancelamento.

Comportamento por zona quando a aplicação aderiu

Para um processo que tenha aderido, o comportamento do Bloqueio do Protocolo de Rede também é controlado por zona através de uma nova acção do URL ou definição de segurança do Internet Explorer designada como URLACTION_ALLOW_RESTRICTEDPROTOCOLS. Esta acção do URL será definida com os seguintes valores:

 

Zona de Segurança Comportamento predefinido para protocolos restritos Exemplo de situação do utilizador

Zona de Sites Restritos

Não permitir

Uma vez que nunca é permitido ActiveX na zona Sites Restritos por predefinição, a Barra de Informações não é apresentada quando é encontrado um protocolo restrito. A Barra de Informações poderá ser apresentada quando uma acção do URL que tenha sido permitida anteriormente na zona Sites Restritos não tenha agora permissão devido ao bloqueio do protocolo de rede. Neste caso, o utilizador NÃO conseguirá clicar na Barra de Informações para permitir a acção.

Zona Internet

Pedir

Se o administrador bloquear o protocolo file://, todo o HTML que efectue processamento de scripts sobre este protocolo é restringido, mas os utilizadores podem clicar na Barra de Informação para permitir a sua utilização.

Zona Intranet

Pedir

Se o administrador bloquear o protocolo local://, todo o HTML que utilize Java neste protocolo é restringido, mas os utilizadores podem clicar na Barra de Informações para permitir a sua utilização.

Zona de Sites Fidedignos

Pedir

Se o administrador bloquear o protocolo Shell://, todo o HTML que utilize Comportamentos Binários sobre este protocolo é restringido, mas os utilizadores podem clicar na Barra de Informação para permitir a sua utilização.

Zona de Computador Local

Pedir

Se o bloqueio do computador local estiver activado, as respectivas definições substituem aquelas que foram estabelecidas pelas definições do bloqueio do protocolo de rede.

Bloqueio de Protocolo por Zona

A lista de protocolos restritos é definida em separado para cada zona para permitir que alguns protocolos sejam bloqueados em algumas zonas mas sejam executados sem restrições noutras zonas. É possível restringir protocolos para uma determinada zona escrevendo o nome do protocolo na lista de restrição para uma determinada zona de segurança.

 

Zona de Segurança Localização no registo da lista de protocolos restritos para cada zona Definições de segurança aplicadas ao conteúdo do protocolo restrito

Zona de Sites Restritos

HKEY_LOCAL_MACHINE

-ou-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\4

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\4

Zona Internet

HKEY_LOCAL_MACHINE

- ou -

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\3

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\3

Zona Intranet

HKEY_LOCAL_MACHINE

- ou -

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\2

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\2

Zona de Sites Fidedignos

HKEY_LOCAL_MACHINE

- ou -

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\1

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\1

Zona de Computador Local

HKEY_LOCAL_MACHINE

- ou -

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\0

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\0

Protocolos a considerar para bloqueio

A lista predefinida de protocolos restritos está em branco. Os administradores de rede devem adicionar para bloqueio os protocolos adicionais que saibam que não são necessários para a empresa, para uma determinada zona. Os administradores de rede devem considerar restringir alguns dos seguintes protocolos de Windows predefinidos em computadores com o ambiente de trabalho gerido e outros protocolos desnecessários para composição de HTML com conteúdo activo na organização.

  • local://
  • file://
  • shell://
  • hcp://
  • ftp://

Porque é que esta alteração é importante?

Esta alteração fornece uma maior segurança total relativamente às vulnerabilidades em protocolos menos utilizados. Por exemplo, um controlo ActiveX em execução sob o protocolo local:// pode assumir que é carregado na zona de Computador Local e podem ser concedidos privilégios elevados à página anfitriã.

O que funciona de maneira diferente?

Se uma página Web servida num protocolo restrito para uma determinada zona utilizar algum conteúdo restrito, como ActiveX, o Internet Explorer apresentará a Barra de Informação, conforme é descrito anteriormente.

Como posso resolver estes problemas?

Se a página Web precisar de executar ActiveX ou scripts num protocolo que deva estar restringido para a intranet, poderá permitir que o HTML seja composto correctamente movendo o domínio desse HTML para a zona de sites fidedignos em computadores com o ambiente de trabalho gerido. Como solução a longo prazo, pode procurar formas de retirar o conteúdo do protocolo restrito ou, se isso não for possível, talvez possa remover completamente o conteúdo activo das páginas de protocolos restritos executando os cálculos necessários no servidor através de um script do lado do servidor, como uma Active Server Page.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Uma vez que esta funcionalidade está inactiva por predefinição, provavelmente não será necessário alterar o conteúdo HTML, a menos que seja executado sobre um protocolo restrito por um administrador de rede para a organização.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2014 Microsoft