TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

Vergrendeling van netwerkprotocollen in Internet Explorer

noteOpmerking
Met het onderdeel Verbeterde beveiliging van Internet Explorer in Microsoft Windows Server 2003 (ook wel extra beveiliging van Microsoft Internet Explorer genoemd) wordt een server beter beschermd tegen aanvallen via webinhoud. Hiertoe worden in Internet Explorer strengere beveiligingsinstellingen gehanteerd voor scripts, ActiveX-onderdelen en het downloaden van bestanden voor bronnen die zich in de internetbeveiligingszone bevinden. Als gevolg hiervan zijn veel van de beveiligingsverbeteringen uit de laatste release van Internet Explorer niet meer zo duidelijk aanwezig in Windows Server 2003 Service Pack 1. De nieuwe Internet Explorer-systeembalk en pop-upblokkeringsfunctie worden pas gebruikt als de site zich in een zone bevindt waarin het uitvoeren van scripts volgens de beveiligingsinstellingen is toegestaan. Als u de verbeterde beveiligingsconfiguratie op uw server niet gebruikt, werken deze functies hetzelfde als in Windows XP Service Pack 2.

Wat doet Vergrendeling van netwerkprotocollen?

Internet Explorer kan zodanig worden geconfigureerd dat HTML-inhoud van bepaalde netwerkprotocollen in andere zones dan de zone Lokale computer wordt vergrendeld. Met deze functie kan een beheerder de beperkingen van de vergrendeling voor de zone Lokale computer (die eerder in dit document is beschreven) toepassen op elke inhoud van elk protocol in elke beveiligingszone. Een beheerder kan Internet Explorer bijvoorbeeld zodanig configureren dat HTML-inhoud op het protocol Shell: wordt vergrendeld als deze zich in de Internet-zone bevindt. Aangezien het protocol Shell: vooral wordt gebruikt voor lokale inhoud en niet voor internetinhoud, kan de browser zo worden beschermd tegen mogelijke zwakke plekken in protocollen die minder vaak worden gebruikt dan HTTP.

Op wie is deze functie van toepassing?

Standaard is Vergrendeling van netwerkprotocollen voor geen enkele toepassing ingeschakeld.

Alle toepassingsontwikkelaars moeten deze functie bekijken. Toepassingen die als host fungeren voor HTML-bestanden via niet-HTTP-protocollen in Internet Explorer, kunnen dit probleem tegenkomen in organisaties waar beheerders ervoor kiezen extra beperkingen toe te passen. Ontwikkelaars van zelfstandige toepassingen die als host fungeren voor Internet Explorer, doen er verstandig aan hun toepassingen zodanig aan te passen dat Vergrendeling van netwerkprotocollen wordt gebruikt.

Ontwikkelaars die kiezen voor Vergrendeling van netwerkprotocollen, moeten hun toepassingen registreren om te profiteren van de wijzigingen. Toepassingen die dit hulpmiddel niet gebruiken, moeten hun toepassingen afzonderlijk controleren op ondersteuning voor willekeurige protocollen.

Softwareontwikkelaars met toepassingen die als host fungeren voor Internet Explorer, kunnen deze functie gebruiken door hun procesnaam toe te voegen aan het register, zoals verderop in dit document wordt beschreven. Mogelijk implementeert Microsoft deze functie in de toekomst met bepaalde minder vaak gebruikte protocollen waarvoor standaard beperkingen gelden, en met een beleid voor toepassingen waarbij u actie moet ondernemen wanneer u deze optie niet wilt inschakelen in plaats van andersom (zoals nu het geval is). Toepassingen die als host fungeren voor Internet Explorer moeten worden getest om te controleren of ze correct werken als Vergrendeling van netwerkprotocollen is ingeschakeld voor hun proces.

Netwerkbeheerders moeten overwegen niet-gebruikte protocollen aan de lijst met beperkte protocollen toe te voegen op beheerde desktopcomputers. Als de netwerkbeheerder deze beperking inschakelt, kunnen bepaalde HTML-bestanden met dit probleem te maken krijgen.

Ontwikkelaars van websites waarvoor het HTTP-protocol als host fungeert, mogen niet worden beïnvloed door beperkingen op andere protocollen.

De kans dat deze strengere beperkingen van invloed zijn op gebruikers is het grootst als hun netwerkbeheerder ervoor heeft gekozen bepaalde protocollen voor hun desktopcomputer te beperken.

Welke bestaande functionaliteit is er gewijzigd in Windows Server 2003 Service Pack 1?

Wijzigingen aan beveiligingsinstellingen voor beperkte protocollen

Gedetailleerde beschrijving

Met Windows Server 2003 Service Pack 1 mag HTML-inhoud op een van de beperkte protocollen niet worden uitgevoerd op een hoger beveiligingsniveau in een toepassing die ervoor heeft gekozen de functie Vergrendeling van netwerkprotocollen te gebruiken. Elke keer dat de beperkte protocolinhoud probeert een beperkte functie te gebruiken, zoals ActiveX-besturingselementen, verschijnt op de informatiebalk in Internet Explorer de volgende tekst (de tekst voor andere geblokkeerde URL-acties kan verschillen):

Internet Explorer heeft deze site geblokkeerd voor het onveilig uitvoeren van een ActiveX-besturingselement. Hierdoor wordt de pagina mogelijk niet juist weergegeven.

De gebruiker kan op de informatiebalk klikken om de vergrendeling van de beperkte inhoud op te heffen. De instellingswijziging met de informatiebalk geldt alleen per sessie, tenzij het beleid in het register is gewijzigd.

De beveiligingsinstellingen die zijn vergrendeld voor de inhoud op de beperkte protocollen, komen overeen met de instellingen van de vergrendeling voor de zone Lokale computer, die eerder in dit document is beschreven. Raadpleeg dat gedeelte als u precies wilt weten welke beveiligingsinstellingen van kracht zijn voor de inhoud op de beperkte protocollen.

Functie Beperkte protocollen staat standaard UIT voor Internet Explorer en alle toepassingen

Gedetailleerde beschrijving

Het gedrag van de Vergrendeling van netwerkprotocollen wordt per proces beheerd door een nieuwe functiebeheerinstelling van Internet Explorer. Aangezien deze functie is ontworpen om een extra, intensieve verdedigingslaag in te bouwen voor netwerkbeheerders, worden de standaardprocessen van Internet Explorer-, IExplore.exe en Explorer.exe, niet standaard ingeschakeld. Als netwerkbeheerders of ontwikkelaars de Vergrendeling van netwerkprotocollen willen inschakelen, moeten ze een DWORD toevoegen op een van de volgende locaties, waarbij de naam de procesnaam is en de waarde wordt ingesteld op 1 om het hulpmiddel hierop toe te passen. Als u het hulpmiddel wilt uitschakelen, stelt u de waarde van de sleutel in op 0. Als de beheerder de instelling onder het component met beleidsregels plaatst, stelt u een REG_SZ in plaats van een DWORD in.

  • HKEY_LOCAL_MACHINE\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN
  • HKEY_CURRENT_USER\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN

Toepassingen willen het hulpmiddel mogelijk proactief uitschakelen om te voorkomen dat het op hen wordt toegepast wanneer een jokerteken wordt gebruikt om het hulpmiddel uit te schakelen.

Gedrag per zone wanneer een toepassing is ingeschakeld

Voor een ingeschakeld proces wordt het gedrag van de Vergrendeling van netwerkprotocollen ook per zone beheerd door een nieuwe Internet Explorer-beveiligingsinstelling of URL-actie met de naam URLACTION_ALLOW_RESTRICTEDPROTOCOLS. Voor deze URL-actie worden de volgende waarden ingesteld:

 

Beveiligingszone Standaardgedrag voor beperkte protocollen Voorbeeldsituatie voor gebruiker

De zone Websites met beperkte toegang

Niet toestaan

Aangezien ActiveX nooit standaard is toegestaan in de zone Websites met beperkte toegang, wordt de informatiebalk niet weergegeven als er een beperkte protocol wordt aangetroffen. De informatiebalk wordt wellicht weergegeven in het geval dat een URL-actie die was toegestaan in de zone Websites met beperkte toegang, nu niet wordt toegestaan onder Vergrendeling van netwerkprotocollen. De gebruiker kan in dit geval NIET op de informatiebalk klikken om de actie toe te staan.

Internet-zone

Prompt

Als de beheerder het file://- protocol vergrendelt, wordt HTML die scripts gebruikt via het file://-protocol beperkt maar kunnen gebruikers op de informatiebalk klikken om deze HTML toe te staan.

Intranet-zone

Prompt

Als de beheerder het local://- protocol vergrendelt, wordt HTML die Java gebruikt via het local://-protocol beperkt. Gebruikers kunnen echter op de informatiebalk klikken om deze HTML toe te staan.

De zone Vertrouwde websites

Prompt

Als de beheerder het Shell://- protocol vergrendelt, wordt HTML die gedrag van binaire elementen gebruikt via het Shell://-protocol beperkt maar kunnen gebruikers op de informatiebalk klikken om deze HTML toe te staan.

Zone Lokale computer

Prompt

Als de vergrendeling van de zone Lokale computer is ingeschakeld, worden de instellingen van Vergrendeling van netwerkprotocollen door deze instellingen vervangen.

Vergrendelen van protocol per zone

De lijst met protocollen die worden beperkt, wordt voor elke zone afzonderlijk gedefinieerd. Op die manier is het mogelijk bepaalde protocollen in sommige zones te vergrendelen maar in andere zones zonder beperkingen uit te voeren. Protocollen kunnen voor een bepaalde zone worden beperkt door de naam van het protocol te typen in de lijst met beperkte protocollen voor een bepaalde beveiligingszone.

 

Beveiligingszone Registerlocatie van de lijst met beperkte protocollen voor elke zone Beveiligingsinstellingen die van toepassing zijn op beperkte protocolinhoud

De zone Websites met beperkte toegang

HKEY_LOCAL_MACHINE

-of-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\4

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\4

Internet-zone

HKEY_LOCAL_MACHINE

-of-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\3

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\3

Intranet-zone

HKEY_LOCAL_MACHINE

-of-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\2

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\2

De zone Vertrouwde websites

HKEY_LOCAL_MACHINE

-of-

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\1

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\1

Zone Lokale computer

HKEY_LOCAL_MACHINE

- of -

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\0

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\0

Protocollen die u mogelijk wilt vergrendelen

De standaardlijst met beperkte protocollen is leeg. Netwerkbeheerders moeten extra protocollen vergrendelen waarvan ze weten dat deze niet nodig zijn voor een bepaalde zone in hun organisatie. Netwerkbeheerders moeten overwegen een aantal van de volgende standaard-Windows-protocollen op beheerde desktopcomputers te beperken, alsmede andere protocollen die niet nodig zijn voor het weergeven van HTML met actieve inhoud in de organisatie.

  • local://
  • file://
  • shell://
  • hcp://
  • ftp://

Waarom is deze wijziging belangrijk?

Deze wijziging biedt een algemene, intensieve beveiliging tegen risico's in minder vaak gebruikte protocollen. Een ActiveX-besturingselement dat wordt uitgevoerd onder het local://-protocol kan bijvoorbeeld aannemen dat het is geladen in de zone Lokale computer en het kan hogere rechten verlenen aan de pagina die als host fungeert.

Wat werkt er anders?

Als een webpagina onder een protocol dat wordt beperkt voor een bepaalde zone, beperkte inhoud gebruikt, zoals ActiveX, wordt in Internet Explorer de informatiebalk weergegeven, zoals eerder al is beschreven.

Hoe los ik deze problemen op?

Als uw webpagina ActiveX of scripts moet uitvoeren onder een protocol dat beperkt hoort te zijn voor uw intranet, kunt u toestaan dat de HTML correct wordt weergegeven door het domein voor die HTML te verplaatsen naar de zone Vertrouwde websites op de beheerde desktopcomputers. Als oplossing voor de lange termijn kunt u proberen de inhoud uit het beperkte protocol te verplaatsen of, als dat niet mogelijk is, de actieve inhoud volledig verwijderen van de beperkte protocolpagina's door de vereiste berekeningen op de server uit te voeren met een serverscript, bijvoorbeeld een Active Server-pagina.

Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?

Aangezien deze functie standaard is uitgeschakeld, hoeft u de HTML-inhoud waarschijnlijk niet te wijzigen, tenzij deze wordt uitgevoerd onder een protocol dat wordt beperkt door een netwerkbeheerder van uw organisatie.

Community-inhoud

Weergeven:
© 2016 Microsoft