Exporteren (0) Afdrukken
Alles uitvouwen

Beperking van beveiligingsrisico's van gebruik van BindToObject in Internet Explorer

noteOpmerking
Met het onderdeel Verbeterde beveiliging van Internet Explorer in Microsoft Windows Server 2003 (ook wel extra beveiliging van Microsoft Internet Explorer genoemd) wordt een server beter beschermd tegen aanvallen via webinhoud. Hiertoe worden in Internet Explorer strengere beveiligingsinstellingen gehanteerd voor scripts, ActiveX-onderdelen en het downloaden van bestanden voor bronnen die zich in de internetbeveiligingszone bevinden. Als gevolg hiervan zijn veel van de beveiligingsverbeteringen uit de laatste release van Internet Explorer niet meer zo duidelijk aanwezig in Windows Server 2003 Service Pack 1. De nieuwe Internet Explorer-systeembalk en pop-upblokkeringsfunctie worden pas gebruikt als de site zich in een zone bevindt waarin het uitvoeren van scripts volgens de beveiligingsinstellingen is toegestaan. Als u de verbeterde beveiligingsconfiguratie niet gebruikt op uw server, werken deze voorzieningen net als in Windows XP Service Pack 2.

Hoe worden de beveiligingsrisico's die zijn verbonden aan het gebruik van BindToObject beperkt?

In Windows Server 2003 met Service Pack 1 wordt het beveiligingsmodel van ActiveX toegepast in alle gevallen waarin URL-binding wordt gebruikt voor het instantiëren en initialiseren van een object. Het beveiligingsmodel van ActiveX maakt het mogelijk besturingselementen aan te merken als 'veilig voor het uitvoeren van scripts' en 'veilig voor initialisatie'. Daarnaast geeft het gebruikers de mogelijkheid ActiveX-besturingselementen per beveiligingszone te blokkeren of toe te staan, op basis van deze instellingen. Op die manier kan flexibeler worden omgegaan met actieve inhoud in Internet Explorer.

Op wie is deze functie van toepassing?

  • Webontwikkelaars en netwerkbeheerders moeten bij het plannen van wijzigingen of alternatieve oplossingen rekening houden met de gevolgen die deze nieuwe beperkingen kunnen hebben voor hun website.
  • Ontwikkelaars van toepassingen moeten rekening houden met deze nieuwe functie wanneer ze wijzigingen willen doorvoeren in hun toepassingen.
  • Gebruikers zouden iets van deze veranderingen kunnen merken bij het bezoeken van sites die aan deze strengere regels voldoen.

Welke nieuwe functionaliteit is er toegevoegd aan deze voorziening in Windows Server 2003 Service Pack 1?

Geen. De bestaande beveiligingsfunctionaliteit wordt uitgebreid.

Welke bestaande functionaliteit is in Windows Server 2003 Service Pack 1 gewijzigd?

Het beveiligingsmodel van ActiveX wordt toegepast op de initialisatie van URL-objecten.

Gedetailleerde beschrijving

De mogelijke zwakke plekken in de beveiliging van ActiveX kunnen het beste worden aangepakt door het beveiligingsbeleid op consistente wijze bij de bron van de URL-binding toe te passen: URLMON. Zo kan BindToObject worden gebruikt door een ActiveX-besturingselement in een HTML-pagina te declareren via de HTML-code <object> en het attribuut CODEBASE. Dezelfde functionaliteit wordt gebruikt door alle onderdelen waarvoor een URL moet worden herleid een gegevensstroom of object moet worden ontvangen. Het beveiligingsmodel van ActiveX wordt nu toegepast op alle objectinitialisaties die een URL als bron hebben.

Wat is het belang van deze wijziging?

In het geval van ActiveX-besturingselementen stelt het beveiligingsmodel van ActiveX ons in staat besturingselementen aan te merken als 'veilig voor het uitvoeren van scripts' en 'veilig voor initialisatie'. Daarnaast geeft het gebruikers de mogelijkheid ActiveX-besturingselementen per zone te blokkeren of toe te staan, op basis van deze instellingen. Bij eerdere versies van Windows werd deze beveiligingsstructuur niet in alle gevallen toegepast waarin sprake was van URL-binding. In plaats daarvan werd het controleren van de betrouwbaarheid en veiligheid van het besturingselement overgelaten aan de aanroepende programmacode, wat vaak tot beveiligingsproblemen leidde. Dit probleem wordt aan het licht gebracht door een aantal 'public exploits' die via Internet Explorer zwakke plekken in de aanroepende programmacode uitbuiten.

Wat werkt er anders?

Het beveiligingsmodel van ActiveX wordt toegepast op alle objectinitialisaties met een URL als bron en de label 'Veilig voor initialisatie' wordt toegepast op alle objecten. Deze maatregel is alleen van toepassing op gevallen waarin in Internet Explorer een URL wordt herleid, een instantie van een object wordt gegenereerd en het object wordt geïnitialiseerd met de gegevens die uit de URL zijn opgehaald.

Hoe los ik dit op?

Normaal gezien leidt deze werkwijze niet of nauwelijks tot compatibiliteitsproblemen. Voor toepassingen waarin een andere vorm van beveiligingsbeheer wordt toegepast, hoeft deze procedure niet te worden gebruikt. Raadpleeg de pagina over de beveiligingsaspecten van het gebruik van de API voor URL-beveiligingszones op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=21814 voor meer informatie over het al dan niet gebruiken van dit beveiligingsmodel.

U kunt ook bepalen of voor toepassingen deze procedure wordt gehanteerd door de functiesleutel FEATURE_SAFE_BINDTOOBJECT te gebruiken, zoals wordt beschreven in het onderwerp Registerinstellingen voor functiebesturingselementen gebruiken met beveiligingszone-instellingen in Internet Explorer.

Welke instellingen zijn in Windows Server 2003 Service Pack 1 toegevoegd of gewijzigd?

Het in de cache plaatsen van objecten in Internet Explorer

Naam instelling Locatie Vorige standaardwaarde Standaardwaarde Mogelijke waarden

IExplore.exe

Explorer.exe

WMPlayer.exe

HKEY_LOCAL_MACHINE (or Current User)\Software \Microsoft \Internet Explorer\Main \FeatureControl \FEATURE_SAFE_BINDTOOBJECT

Geen

1

0 - Uit

1 - Aan

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2015 Microsoft