Exportar (0) Imprimir
Expandir Todos

Definição de Segurança de Comportamentos Binários do Internet Explorer

noteNota
O componente do Microsoft Windows Server 2003 Configuração de Segurança Avançada do Internet Explorer (também conhecido como reforço de protecção do Microsoft Internet Explorer) reduz a vulnerabilidade de um servidor a ataques de conteúdo Web através da aplicação de definições de segurança do Internet Explorer mais restritivas, que desactivam scripts, componentes ActiveX e transferências de ficheiros para recursos na zona de segurança Internet. Consequentemente, muitos dos melhoramentos de segurança incluídos na última versão do Internet Explorer só serão notados no Windows Server 2003 Service Pack 1. Por exemplo, as novas funções do Internet Explorer, Barra de Informação e Bloqueador de Janelas de Pop-up, só serão utilizadas se o site estiver numa zona cuja definição de segurança permite scripts. Se não estiver a utilizar a configuração de segurança avançada no servidor, estas funcionalidades irão funcionar como no Windows XP Service Pack 2.

Qual a função da definição de segurança de comportamentos binários?

O Internet Explorer contém comportamentos binários dinâmicos: componentes que encapsulam uma funcionalidade específica para os elementos HTML aos quais foram ligados. Estes comportamentos binários não são controlados por nenhuma definição de segurança do Internet Explorer que lhes permita trabalhar em páginas Web na zona Sites Restritos. No Windows Server 2003 Service Pack 1, existe uma nova definição de segurança do Internet Explorer para comportamentos binários. Por predefinição, esta nova definição desactiva os comportamentos binários na zona Sites Restritos. Em conjunto com a funcionalidade de segurança Bloqueio do Computador Local, também é necessária a aprovação administrativa para a execução de comportamentos binários na zona de Computador Local por predefinição. Esta nova definição de segurança de comportamentos binários proporciona uma atenuação geral das vulnerabilidades dos comportamentos binários do Internet Explorer.

Para mais informações sobre comportamentos binários como, por exemplo, como funcionam e como implementá-los, consulte "Cutting Edge: Binary Behaviors in Internet Explorer 5.5" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=21862. Tenha em atenção que os comportamentos binários, definidos em in C++ e compilados, são diferentes dos comportamentos anexados e comportamentos de elementos, que são definidos no script.

A quem se aplica esta função?

Os programadores de aplicações cujas aplicações utilizem a funcionalidade do Internet Explorer nas zonas Sites Restritos ou Computador Local devem examinar esta funcionalidade para planear a adopção de alterações nas respectivas aplicações. Por exemplo, poderá ser necessário modificar as aplicações de correio electrónico que processem correio electrónico em HTML na zona Sites Restritos.

Os utilizadores só podem ser afectados pelas aplicações que não processem totalmente conteúdo em HTML com esta nova definição. Normalmente, estas aplicações alertam o utilizador para o facto de a apresentação de algum comportamento activo ter sido bloqueada. Por exemplo, quando o Outlook Express se depara com esta situação, informa o utilizador da existência de conteúdo activo restrito no correio electrónico.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Nova definição de segurança do Internet Explorer

Descrição detalhada

Existe uma nova definição de acção do URL, Comportamentos Binários e em Script, em cada zona de segurança do Internet Explorer. O valor predefinido desta definição é Activar para todas as zonas excepto zona Sites Restritos e zona Bloqueada de Computador Local. Na zona Sites Restritos, o valor predefinido é Desactivar. Na zona Bloqueada de Computador Local, o valor predefinido é Aprovado pelo administrador.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Esta nova definição ajuda a atenuar os ataques em que estavam a ser utilizados comportamentos binários mal intencionados e permite que o utilizador controle a utilização de comportamentos binários por zona.

O que funciona de maneira diferente?

Qualquer utilização de comportamentos binários para composição de HTML a partir da zona Sites Restritos é bloqueada.

Como posso resolver estes problemas?

Para utilizar comportamentos binários a partir da zona Sites Restritos, uma aplicação terá de implementar um gestor de segurança personalizado. (Para mais informações, consulte "Creating a Customized URL Security Manager" em "Introduction to URL Security Zones" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=21863.)

Quando a acção do URL dos comportamentos binários é exercida a partir de um gestor de segurança personalizado, é transmitida numa representação em cadeia dos comportamentos binários específicos que podem ser activados por esse gestor de segurança personalizado conforme for necessário para a compatibilidade das aplicações. O seguinte processo ocorre quando esta acção do URL é exercida:

  • O Internet Explorer chama um gestor de segurança personalizado (se estiver disponível), utilizando o método ProcessUrlAction com um valor dwAction de URLACTION_BEHAVIOR_RUN..
  • O parâmetro pContext aponta para um valor LPCWSTR que contém o comportamento relativamente ao qual está a ser consultada uma política. Por exemplo, #default#time.
  • No gestor de segurança personalizado, defina *pPolicy =URLPOLICY_ALLOW para o comportamento EtiquetasInteligentes, conforme for apropriado.

Na ausência do gestor de segurança personalizado, a acção predefinida é não permitir a execução de comportamentos na zona Sites Restritos e não permitir a execução da maior parte dos comportamentos na zona de Computador Local.

Se é administrador do ambiente de trabalho, pode decidir quais os comportamentos binários a permitir na Zona Bloqueada de Computador Local. Para permitir um comportamento na zona Bloqueada de Computador Local, pode adicioná-lo à lista de comportamentos aprovados pelo administrador do seguinte modo, substituindo as variáveis de espaço de nomes e comportamento conforme for apropriado para o ambiente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedBehaviors

#% Espaço de nomes %#% Comportamento %=dword:00000001

Os comportamentos definidos nesta lista também serão utilizados para qualquer outra zona em que a definição de restrição de comportamento binário esteja configurada como “Permitidos pelo Administrador” (65536).

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Nenhuma. É uma definição destinada unicamente a activar ou desactivar a funcionalidade existente de comportamentos binários.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

Definições de Comportamentos Binários do Internet Explorer

Nome da definição Localização Valor predefinido anterior Valor predefinido Valores possíveis

*

HKEY LOCAL MACHINE [ou Current User] \Software\Microsoft \Internet Explorer\Main \Feature Control \FEATURE_BEHAVIORS

Nenhum

1

0 - Inactivo

1 - Activo

2000

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings\Zones [ou Lockdown_Zones] \*\

Nenhum

3 - Desactivado (para zona Sites Restritos)

65536 - Aprovado pelo administrador (para a zona Bloqueada de Computador Local)

0 - Activado (para todas as outras zonas)

3 - Desactivado

65536 - Aprovado pelo administrador

0 - Activado

noteNota
* é utilizado na tabela anterior para representar que todos os processos foram optados para esta definição de controlo de funcionalidade por predefinição. A definição de comportamentos binários também pode ser modificada através da Política de Grupo como parte da definição Zonas de Segurança e Classificações de Conteúdo do Internet Explorer.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Se o código utilizar comportamentos binários na zona Sites Restritos, terá de alterar o código implementando um gestor de segurança personalizado para a aplicação. Se o código utilizar comportamentos binários na zona de Computador Local, será necessário implementar um gestor de segurança personalizado, adicionar os comportamentos à lista de comportamentos aprovados ou utilizar Marca da Web para carregar as páginas em zonas menos restritas. Para mais informações, consulte a secção "Creating a Customized URL Security Manager" em "Introduction to URL Security Zones" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=21863.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2014 Microsoft