TechNet
Knihovna TechNet

Blokování zvýšení úrovně zóny v aplikaci Internet Explorer

notePoznámka
Součást Konfigurace rozšířeného zabezpečení aplikace Internet Explorer systému Microsoft Windows Server 2003 (označovaná také jako zesílení zabezpečení aplikace Microsoft Internet Explorer) zvyšuje odolnost serveru vůči útokům pomocí webového obsahu, protože umožňuje použít přísnější nastavení zabezpečení aplikace Internet Explorer, které zakazuje skripty, součásti ActiveX a stahování souborů ze zdrojů v zóně zabezpečení Internet. Z tohoto důvodu se řada vylepšení zabezpečení zahrnutých do nejnovější verze aplikace Internet Explorer neprojeví v aktualizaci Windows Server 2003 Service Pack 1 tak výrazně. Například nové funkce aplikace Internet Explorer, mezi které patří informační panel a blokování automaticky otevíraných oken, nebudou použity, pokud se server nenachází v zóně, jejíž nastavení zabezpečení povoluje skriptování. Jestliže na serveru nepoužíváte rozšířené nastavení zabezpečení, budou tyto funkce pracovat stejně jako v aktualizaci Windows XP Service Pack 2.

Jak funguje blokování zvýšení úrovně zóny?

Když otevřete v aplikaci Internet Explorer webovou stránku, omezí aplikace Internet Explorer akce, které může tato stránka provádět, podle toho, odkud tato webová stránka pochází: Internet, server místního intranetu, důvěryhodný server atd. Například stránky v Internetu mají přísnější bezpečnostní omezení, než stránky v místním intranetu uživatele. Webové stránky v počítači uživatele jsou v bezpečnostní zóně Místní počítač, kde se nachází nejmenší počet bezpečnostních omezení. Díky tomu se bezpečnostní zóna Místní počítač stává hlavním cílem uživatelů se zlými úmysly. Blokování zvýšení úrovně zóny znesnadňuje spuštění kódu v této zóně. Kromě toho je zóna díky možnosti změny nastavení zabezpečení v Zabezpečení uzamčení zóny místního počítače méně zranitelná vůči uživatelům se zlými úmysly.

Koho se tato funkce týká?

Weboví vývojáři musí plánovat změny nebo postupy k nápravě při možném dopadu na jejich webové stránky.

Vývojáři aplikací by si tuto funkci měli prostudovat a odpovídajícím způsobem naplánovat změny ve svých aplikacích, které se spouštějí v zóně zabezpečení Místní počítač. Vzhledem k tomu, že tato funkce je ve výchozím nastavení povolena pouze pro procesy aplikace Internet Explorer, musí vývojáři své aplikace zaregistrovat, chtějí-li výhody těchto změn využít.

Na koncové uživatele mohou mít dopad servery, které nesplňují tato přísnější pravidla a nastavení.

Jaké nové funkce byly přidány k této funkci v aktualizaci Service Pack 1 pro systém Windows Server 2003?

Blokování zvýšení úrovně zóny

Podrobný popis

Aplikace Internet Explorer neumožňuje, aby byl celkový kontext zabezpečení kteréhokoli odkazu na stránce vyšší než kontext zabezpečení adresy URL kořenového adresáře. To znamená například, že stránka v zóně Internet nemůže navigovat na stránku v zóně Místní intranet. Tuto navigaci nemůže například zprostředkovat skript. Pro účely tohoto zeslabení je pořadí kontextu zabezpečení zón od kontextu nejvyššího po nejnižší zabezpečení takovýto: Zóna Servery s omezeným přístupem, zóna Internet, zóna Místní intranet, zóna Důvěryhodné servery a zóna Místní počítač.

Blokování zvýšení úrovně zóny také zakáže navigaci skriptu JavaScript v případě, že neexistuje žádný kontext zabezpečení.

Pokud uživatel klepne na odkaz, který způsobí, že se webová stránka pokusí přejít do vyšší zóny, bude navigace pro zónu Místní počítač zablokována, ale při pokusu o otevření stránky v zóně zabezpečení s vyšší úrovní kontextu zabezpečení se v aplikaci Internet Explorer zobrazí dialogové okno s dotazem podobným následující zprávě. Podle zóny zabezpečení, do které se webová stránka pokouší přejít, se změní část napsaná proloženým písmem.

  • Aktuální webová stránka se pokouší otevřít server ze seznamu důvěryhodných serverů. Chcete tuto akci povolit?

Výchozí akce v žádném případě nepovolí zvýšení zóny. Požadované zvýšení zóny musí výslovně povolit uživatel.

Proč je tato změna důležitá?

Zvýšení oprávnění je jedna z nejčastěji zneužívaných chyb zabezpečení aplikace Internet Explorer s hlavním cílem spustit nebezpečný kód v zóně Místní počítač. Blokování zvýšení úrovně zóny pomáhá snížit riziko mnoha útoků ve formě zvýšení oprávnění.

Co funguje jinak?

Navigace z jedné zóny do vyšší zóny je blokována. To znamená, že se nezobrazí webové stránky, které automaticky volají webové stránky s vyšším oprávněním.

Jak tyto problémy vyřešit?

Jestliže používáte důvěryhodnou webovou aplikaci, která je uvedenou změnou ovlivněna, protože přechází mezi různými zónami zabezpečení, aniž by docházelo k interakci uživatele, měli byste namapovat domény využívané danou webovou aplikací na zónu zabezpečení s nejnižším oprávněním nezbytným k provádění úloh, pro něž je aplikace určena.

Obsah vytvořený komunitou

Zobrazit:
© 2016 Microsoft