Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Definições de Controlo de Funcionalidade do Internet Explorer na Política de Grupo

noteNota
O componente do Microsoft Windows Server 2003 Configuração de Segurança Avançada do Internet Explorer (também conhecido como reforço de protecção do Microsoft Internet Explorer) reduz a vulnerabilidade de um servidor a ataques de conteúdo Web através da aplicação de definições de segurança do Internet Explorer mais restritivas, que desactivam scripts, componentes ActiveX e transferências de ficheiros para recursos na zona de segurança Internet. Consequentemente, muitos dos melhoramentos de segurança incluídos na última versão do Internet Explorer só serão notados no Windows Server 2003 Service Pack 1. Por exemplo, as novas funções do Internet Explorer, Barra de Informações e Bloqueador de Janelas de Pop-up, só serão utilizadas se o site estiver numa zona cuja definição de segurança permite scripts. Se não estiver a utilizar a configuração de segurança avançada no servidor, estas funções agirão como no Windows XP Service Pack 2.

Qual a função das Definições de Controlo de Funcionalidade do Internet Explorer na Política de Grupo?

O Windows XP Service Pack 2 introduziu novas chaves e valores de registo para funcionalidades de segurança do Internet Explorer, designados como Controlos de Funcionalidade. Estas definições de segurança foram incorporadas no Windows Server 2003 Service Pack 1. O comportamento específico das definições de registo do controlo de funcionalidade é descrito com cada funcionalidade de segurança ao longo desta secção.

Um ficheiro Inetres.adm modificado contém as definições de controlo de funcionalidade como políticas. Os administradores podem gerir as políticas de controlo de funcionalidade utilizando GPO (Group Policy objects, objectos de Política de Grupo). Quando o Internet Explorer é instalado, as predefinições para estes controlos de funcionalidades são registadas no computador em HKEY_LOCAL_MACHINE. Na Política de Grupo, o Administrador pode defini-las e HKEY_LOCAL_MACHINE (Computer Configuration) ou HKEY_CURRENT_USER (User Configuration).

A quem se aplica esta função?

Os administradores da Política de Grupo podem configurar de maneira uniforme as definições de Controlo de Funcionalidade do Internet Explorer para os computadores e utilizadores por eles geridos.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Definições do Internet Explorer para Política de Grupo

Descrição detalhada

As novas políticas de controlo de funcionalidade são:

  • Restrições de Segurança de Comportamentos Binários
  • Restrições de Segurança de Protocolo MK
  • Segurança de Bloqueio de Zona de Computador Local
  • Manuseamento MIME Consistente
  • Funcionalidade de Segurança de Intercepção MIME
  • Protecção de Cache de Objecto
  • Restrições de Segurança de Janela de Script
  • Protecção contra Elevação de Zona
  • Barra de Informação
  • Restringir Instalação de ActiveX
  • Restringir Transferência de Ficheiros
  • Gestão de Suplementos
  • Bloqueio do Protocolo de Rede

Na Consola de Gestão de Políticas de Grupo, as políticas de computador local para Controlos de Funcionalidades estão em \Configuração do Computador\Modelos Administrativos\Componentes do Windows\Internet Explorer\Funcionalidades de Segurança.

As políticas de utilizador actuais para Controlos de Funcionalidades estão em \Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Internet Explorer\Funcionalidades de Segurança.

Para que as políticas ou preferências de definição de segurança individual das zonas sejam aplicadas, é necessário que a política para a funcionalidade seja activada para o processo (por exemplo, IExplore.exe). Para mais informações sobre o comportamento das chaves de Controlo de Funcionalidade e como defini-las para um processo, consulte a secção sobre cada funcionalidade e a secção Utilização pelo Internet Explorer de Definições de Registo de Controlo de Funcionalidade com Definições de Zona de Segurança. Para mais informações sobre definições de segurança específicas por zona, consulte Definições de Segurança Avançadas e Acção do URL do Internet Explorer na Política de Grupo.

Os administradores da Política de Grupo podem gerir estas novas políticas na extensão Modelos Administrativos da Consola de Gestão de Políticas de Grupo. Ao configurar estas políticas, o administrador pode activar ou desactivar a funcionalidade de segurança para processos de explorador (Internet Explorer e Explorador do Windows), para processos executáveis por eles definidos ou para todos os processos anfitriões do WebOC.

Os utilizadores não conseguem ver as políticas de controlo de funcionalidade ou as definições de preferências através da interface do utilizador do Internet Explorer, com excepção de Segurança de Bloqueio de Zona de Computador Local. As políticas de controlo de funcionalidade só podem ser definidas utilizando a Consola de Gestão de Políticas de Grupo e as definições de preferências de controlo de funcionalidade só podem ser alteradas programaticamente ou editando o registo.

Configurar políticas e preferências

A Política de Grupo é a ferramenta recomendada para a gestão do Internet Explorer para computadores cliente numa rede empresarial. O Internet Explorer suporta a gestão de Políticas de Grupo para os controlos de funcionalidades do IE incluídos no Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, bem como para as definições da página Segurança ou de acções do URL. Os administradores da Política de Grupo podem gerir estas definições de política na extensão Modelos Administrativos da Consola de Gestão de Políticas de Grupo.

Ao implementar definições de política, é aconselhável a configuração de definições de política modelo num GPO (Group Policy object, objecto de Política de Grupo), bem como a configuração de quaisquer definições de política individuais relacionadas num GPO separado. Em seguida, pode utilizar funcionalidades de gestão de Políticas de Grupo (por exemplo, precedência, herança ou aplicação) para aplicar definições individuais a computadores cliente específicos.

As políticas podem ser lidas pelos utilizadores mas só podem ser alteradas pela gestão de Políticas de Grupo ou por um administrador. As definições de preferências podem ser alteradas programaticamente editando o registo ou, no caso de acções do URL e Segurança de Bloqueio de Zona de Computador Local, utilizando o Internet Explorer. Note que as definições associadas a políticas terão precedência relativamente às definições especificadas utilizando preferências do Internet Explorer.

IEAK/IEM

Para sistemas operativos anteriores ao Windows XP SP2 e Windows Server 2003 SP1, e versões anteriores do Internet Explorer, o Internet Explorer Administration Kit (IEAK) 6 Service Pack 1 continua a ser a ferramenta recomendada para que os fornecedores de soluções e os programadores de aplicações personalizem o Internet Explorer para os respectivos utilizadores finais. O suporte do IEAK e o processo do IEAK/IEM não são alterados para as versões do Internet Explorer anteriores ao Windows XP Service Pack 2. Do mesmo modo, o processo não foi alterado para utilizar o IEAK/IEM para definir as preferências de definição do utilizador em versões do Internet Explorer anteriores ao Windows Server 2003 SP1, inclusive. Isso inclui as novas definições de preferências do Internet Explorer 6 no Windows XP Service Pack 2 e Windows Server 2003 SP1. No entanto, as verdadeiras definições de políticas incorporadas por esta funcionalidade só podem ser geridas na Política de Grupo. Para mais informações sobre o IEAK, consulte "Microsoft Internet Explorer 6 Administration Kit Service Pack 1" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=26002.

Em resumo, o IEAK continua a poder ser utilizado como anteriormente para todas as versões do Internet Explorer anteriores ao Windows XP Service Pack 2 e continua a ser a ferramenta recomendada para personalização no Windows XP Service Pack 2 e Windows Server 2003 SP1. O IEM/IEAK continua a poder ser utilizado para definir as preferências do utilizador, mas as políticas verdadeiras devem ser definidas utilizando a Consola de Gestão de Política.

Perguntas mais frequentes para os utilizadores existentes do IEAK

 

Pergunta Resposta

Estou a utilizar o IEAK com uma licença empresarial para configurar o Internet Explorer em computadores pessoais e não tenho o Active Directory na empresa. Como posso configurar o Internet Explorer se o IEAK não funciona com o Windows XP SP2 ou Windows Server 2003 SP1?

Mesmo não utilizando o Active Directory, continua a poder utilizar a Política de Grupo para configurar definições. Pode utilizar a Política de Grupo para criar um objecto de política de Grupo (GPO) local com as definições pretendidas e, em seguida, implementar esse GPO. Depois de configurar o GPO para o Internet Explorer, pode implementá-lo utilizando os métodos de implementação padrão. Por exemplo, pode utilizar scritps de arranque ou de início de sessão, scripts do Systems Management Server ou pode enviar hiperligações para os utilizadores por correio electrónico.

Estou a utilizar o IEAK com uma licença empresarial para configurar o Internet Explorer em computadores pessoais e não tenho o Active Directory na empresa. O que acontece se continuar a utilizar os pacotes do IEAK 6 SP1 com o Windows XP SP2 ou Windows Server 2003 SP1?

Se instalar um pacote do IEAK 6 SP1 num computador com o Windows XP SP2 ou Windows Server 2003 SP1, as definições do Internet Explorer 6 SP1 serão actualizadas, mas as definições de segurança não serão configuráveis, uma vez que o IEAK 6 SP1 não foi concebido para implementar essas definições.

Estou a utilizar o IEAK com uma licença de ISP (Internet service provider, fornecedor de serviços Internet) para personalizar partes do Internet Explorer e configurar ligações para os meus clientes ISP. Os meus pacotes do IEAK 6 SP1 continuarão a poder aplicar as definições no Windows XP SP2 e Windows Server 2003 SP1?

As definições de personalização na licença de ISP do pacote IEAK 6 SP1 devem ser aplicadas correctamente.

Porque é que esta alteração é importante?

Ao adicionar as políticas de Controlos de Funcionalidade do Internet Explorer à Política de Grupo, os administradores podem gerir estas políticas verdadeiras para estabelecer as definições de segurança padrão para todos os computadores que configurarem.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

O Internet Explorer no Windows Server 2003 SP1 adiciona políticas à Política de Grupo mas não altera o método de gestão das políticas. Os programadores devem estar cientes de como cada definição de controlo de funcionalidade afecta o comportamento relacionado com a segurança nas suas aplicações. Os efeitos dos diferentes comportamentos relacionados com segurança no desenvolvimento de aplicações são descritos neste documento, nas secções específicas para cada funcionalidade.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft