Exporteren (0) Afdrukken
Alles uitvouwen

Beveiligingsinstelling voor gedrag van binaire elementen in Internet Explorer

noteOpmerking
Met het onderdeel Verbeterde beveiliging van Internet Explorer in Microsoft Windows Server 2003 (ook wel extra beveiliging van Microsoft Internet Explorer genoemd) wordt een server beter beschermd tegen aanvallen via webinhoud. Hiertoe worden in Internet Explorer strengere beveiligingsinstellingen gehanteerd voor scripts, ActiveX-onderdelen en het downloaden van bestanden voor bronnen die zich in de internetbeveiligingszone bevinden. Als gevolg hiervan zijn veel van de beveiligingsverbeteringen uit de laatste release van Internet Explorer niet meer zo duidelijk aanwezig in Windows Server 2003 Service Pack 1. De nieuwe Internet Explorer-systeembalk en pop-upblokkeringsfunctie worden pas gebruikt als de site zich in een zone bevindt waarin het uitvoeren van scripts volgens de beveiligingsinstellingen is toegestaan. Als u de verbeterde beveiligingsconfiguratie niet gebruikt op uw server, werken deze voorzieningen net als in Windows XP Service Pack 2.

Wat doet de beveiligingsinstelling voor gedrag van binaire elementen?

Internet Explorer bevat dynamisch gedrag van binaire elementen: onderdelen die specifieke functionaliteit insluiten voor HTML-elementen waaraan ze zijn gekoppeld. Dit gedrag van binaire elementen wordt niet beheerd door een Internet Explorer-beveiligingsinstelling, waardoor ze kunnen werken op pagina's in de zone Websites met beperkte toegang. Windows Server 2003 Service Pack 1 bevat een nieuwe Internet Explorer-beveiligingsinstelling voor gedrag van binaire elementen. Met deze nieuwe instelling wordt gedrag van binaire elementen in de zone Websites met beperkte toegang standaard uitgeschakeld. In combinatie met de functie voor het vergrendelen van de lokale computer is ook administratieve goedkeuring vereist voor gedrag van binaire elementen die standaard in de zone Lokale computer worden uitgevoerd. Deze nieuwe beveiligingsinstelling voor gedrag van binaire elementen biedt een algemene oplossing voor zwakke plekken in gedrag van binaire elementen in Internet Explorer.

Zie 'Cutting Edge: Binary Behaviors in Internet Explorer 5.5' op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=21862 voor meer informatie over gedrag van binaire elementen, bijvoorbeeld over de werking en implementatie hiervan. Let op: gedrag van binaire elementen, dat wordt gedefinieerd in C++ en gecompileerd, verschilt van gedrag van gekoppelde elementen en gedrag van elementen dat wordt gedefinieerd in scripts.

Op wie is deze functie van toepassing?

Toepassingsontwikkelaars van wie de toepassingen Internet Explorer-functionaliteit gebruiken in de zone Websites met beperkte toegang of Lokale computer, moeten deze functie bekijken om wijzigingen in hun toepassingen te plannen. E-mailtoepassingen die HTML-e-mail weergeven in de zone Websites met beperkte toegang, moeten bijvoorbeeld mogelijk worden aangepast.

Gebruikers ondervinden alleen invloed van toepassingen die HTML-inhoud niet volledig weergeven met deze nieuwe instelling. De gebruiker wordt normaal gesproken gewaarschuwd dat bepaald actief gedrag niet wordt weergegeven. Wanneer dit probleem bijvoorbeeld optreedt in Outlook Express, wordt aan de gebruiker gemeld dat de e-mail beperkte actieve inhoud bevat.

Welke nieuwe functionaliteit is er toegevoegd aan deze voorziening in Windows Server 2003 Service Pack 1?

Nieuwe beveiligingsinstelling voor Internet Explorer

Gedetailleerde beschrijving

Er is een nieuwe URL-actie-instelling, gedrag van binaire elementen en scripts, aanwezig in elke Internet Explorer-beveiligingszone. De standaardwaarde voor deze instelling is Inschakelen voor alle zones behalve de zone Websites met beperkte toegang en de vergrendelde zone Lokale computer. In de zone Websites met beperkte toegang is de standaardwaarde Uitschakelen. In de vergrendelde zone Lokale computer is de standaardwaarde Door de Administrator goedgekeurd.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Met deze nieuwe instelling kan de gebruiker aanvallen tegengaan waarbij gedrag van binaire elementen wordt gebruikt, en het gebruik van gedrag van binaire elementen per zone beheren.

Wat werkt er anders?

Elk gebruik van gedrag van binaire elementen voor het weergeven van HTML vanuit de zone Websites met beperkte toegang wordt geblokkeerd.

Hoe los ik deze problemen op?

Als u gedrag van binaire elementen wilt gebruiken vanuit de zone Websites met beperkte toegang, moet er in de toepassing een aangepast beveiligingsbeheer worden geïmplementeerd. (Zie 'Creating a Customized URL Security Manager' in 'Introduction to URL Security Zones' op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=21863 voor meer informatie.)

Wanneer de URL-actie voor gedrag van binaire elementen wordt gebruikt vanuit een aangepast beveiligingsbeheer, wordt de URL-actie doorgegeven in een tekenreeksweergave van de desbetreffende gedragingen van binaire elementen, die door dat aangepaste beveiligingsbeheer kan worden ingeschakeld als dit nodig is voor compatibiliteit met de toepassing. Het volgende proces wordt uitgevoerd wanneer deze URL-actie wordt gebruikt:

  • Internet Explorer roept een aangepast beveiligingsbeheer aan (indien beschikbaar) met de methode ProcessUrlAction met een dwAction van URLACTION_BEHAVIOR_RUN.
  • De parameter pContext wijst naar een LPCWSTR die het gedrag bevat waarvoor een query wordt uitgevoerd op een beleid. Voorbeeld: #default#time.
  • U stelt, indien gewenst, *pPolicy =URLPOLICY_ALLOW in voor uw SmartTag-gedrag vanuit uw aangepaste beveiligingsbeheer.

Bij afwezigheid van een aangepast beveiligingsbeheer wordt het uitvoeren van gedrag in de zone Websites met beperkte toegang en het meeste gedrag in de zone Lokale computer niet toegestaan.

Als u een desktopbeheerder bent, kunt u bepalen welk gedrag van binaire elementen u wilt toestaan in de vergrendelde zone Lokale computer. Als u een bepaald gedrag in de vergrendelde zone Lokale computer wilt inschakelen, kunt u dit als volgt toevoegen aan de lijst met gedrag dat door de beheerder is goedgekeurd, door de naamruimte en de gedragsvariabelen aan te passen aan uw omgeving:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedBehaviors

#% Naamruimte %#% Gedrag %=dword:00000001

Gedrag dat is gedefinieerd in deze lijst wordt ook gebruikt voor andere zones waarvoor de beperkingsinstelling voor gedrag van binaire elementen is geconfigureerd als 'door beheerder toegestaan' (65536).

Welke bestaande functionaliteit is in Windows Server 2003 Service Pack 1 gewijzigd?

Geen. Dit is enkel een instelling om de bestaande functionaliteit voor gedrag van binaire elementen in of uit te schakelen.

Welke instellingen zijn er toegevoegd of gewijzigd in Windows Server 2003 Service Pack 1?

Instellingen voor gedrag van binaire elementen in Internet Explorer

Naam instelling Locatie Vorige standaardwaarde Standaardwaarde Mogelijke waarden

*

HKEY LOCAL MACHINE [of Current User] \Software\Microsoft \Internet Explorer\Main \Feature Control \FEATURE_BEHAVIORS

Geen

1

0 - Uit

1 - Aan

2000

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings\Zones [of Lockdown_Zones] \*\

Geen

3 - Uitgeschakeld (voor de zone Websites met beperkte toegang)

65536 - Door de Administrator goedgekeurd (voor de vergrendelde zone Lokale computer)

0 - Ingeschakeld (voor alle andere zones)

3 - Uitgeschakeld

65536 - Door de Administrator goedgekeurd

0 - Ingeschakeld

noteOpmerking
* wordt in de vorige tabel gebruikt om alle processen aan te geven die standaard zijn ingeschakeld voor deze instelling voor functiebesturingselementen. De instelling voor gedrag van binaire elementen kan ook worden aangepast via Groepsbeleid als onderdeel van de Internet Explorer-beveiligingszones en de instelling Inhoudsrestricties.

Moet ik mijn programmacode wijzigen als ik Windows Server 2003 Service Pack 1 wil gebruiken?

Als uw code gedrag van binaire elementen gebruikt in de zone Websites met beperkte toegang, moet u de code wijzigen door een aangepast beveiligingsbeheer te implementeren voor uw toepassing. Als uw code berust op gedrag van binaire elementen in de zone Lokale computer, moet u een aangepast beveiligingbeheer implementeren en gedrag toevoegen aan de lijst met goedgekeurd gedrag, of een Mark of the Web gebruiken om uw pagina's in zones met minder beperkte toegang te laden. Zie het gedeelte 'Creating a Customized URL Security Manager' in 'Introduction to URL Security Zones' op de website van Microsoft op http://go.microsoft.com/fwlink/?LinkId=21863 voor meer informatie.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2015 Microsoft