Exportar (0) Imprimir
Expandir Todos

Bloqueio de Zona de Computador Local do Internet Explorer

noteNota
O componente do Microsoft Windows Server 2003 Configuração de Segurança Avançada do Internet Explorer (também conhecido como reforço de protecção do Microsoft Internet Explorer) reduz a vulnerabilidade de um servidor a ataques de conteúdo Web através da aplicação de definições de segurança do Internet Explorer mais restritivas, que desactivam scripts, componentes ActiveX e transferências de ficheiros para recursos na zona de segurança Internet. Consequentemente, muitos dos melhoramentos de segurança incluídos na última versão do Internet Explorer só serão notados no Windows Server 2003 Service Pack 1. Por exemplo, as novas funções do Internet Explorer, Barra de Informações e Bloqueador de Janelas de Pop-up, só serão utilizadas se o site estiver numa zona cuja definição de segurança permite scripts. Se não estiver a utilizar a configuração de segurança avançada no servidor, estas funções agirão como no Windows XP Service Pack 2.

Qual a função do Bloqueio de Zona de Computador Local?

Quando o Internet Explorer abre uma página Web, coloca restrições às capacidades dessa página com base na zona de segurança do Internet Explorer para a mesma. Existem várias zonas de segurança possíveis, cada uma com diferentes níveis de restrição. A zona de segurança para uma página é determinada pela respectiva localização. Por exemplo, as páginas localizadas na Internet normalmente estarão na zona de segurança Internet, mais restritiva. Talvez não lhes seja permitido executar algumas operações como, por exemplo, aceder à unidade de disco local. As páginas localizadas na rede empresarial normalmente estão na zona de segurança Intranet, com menos restrições. As restrições precisas associadas à maior parte destas zonas podem ser configuradas pelo utilizador através de Opções da Internet no menu Ferramentas.

Antes do Windows XP Service Pack 2, o conteúdo do sistema de ficheiros local, além do colocado na memória cache pelo Internet Explorer, era considerado seguro e estava atribuído à zona de segurança Computador Local. Esta zona de segurança normalmente permite a execução do conteúdo no Internet Explorer com relativamente poucas restrições. No entanto, os atacantes tentam frequentemente tirar partido da zona Computador Local para elevar privilégios e colocar em risco um computador.

Muitas das falhas de segurança que envolvem a zona Computador Local eram atenuadas por outras alterações ao Internet Explorer no Windows XP SP2. No Windows Server 2003 Service Pack 1, estas alterações foram incorporadas no Internet Explorer. No entanto, é possível que os atacantes ainda consigam identificar formas de tirar partido das falhas de segurança na zona de Computador Local. Actualmente, o Internet Explorer protege mais o utilizador bloqueando a zona Computador Local por predefinição. O HTML local alojado noutras aplicações será executado de acordo com as definições menos restritivas da zona Computador Local utilizadas na versão anterior do Internet Explorer, a menos que essa aplicação utilize o Bloqueio de Zona de Computador Local.

Os administradores poderão utilizar a Política de Grupo para gerir o Bloqueio de Zona de Computador Local e aplicá-lo mais facilmente a grupos de computadores.

A quem se aplica esta função?

Todos os programadores de aplicações devem examinar esta funcionalidade. É provável que as aplicações anfitriãs de ficheiros HTML local no Internet Explorer sejam afectadas. Os programadores de aplicações autónomas anfitriãs do Internet Explorer irão pretender a modificação das aplicações para utilizar o Bloqueio de Zona de Computador Local.

Por predefinição, o Bloqueio de Zona de Computador Local só está activado para o Internet Explorer. Os programadores terão de registar as suas aplicações para tirar partido das alterações. As aplicações que não utilizem esta atenuação devem rever de forma independente os respectivos vectores de ataque à zona Computador Local.

Os programadores de software que tenham aplicações anfitriãs do Internet Explorer devem utilizar esta funcionalidade adicionando o respectivo nome do processo ao registo, conforme é descrito posteriormente neste documento. No futuro, é possível que a Microsoft implemente esta funcionalidade utilizando uma política de "cancelamento" em vez de uma política de "adesão". As aplicações anfitriãs do Internet Explorer devem ser testadas para assegurar um correcto funcionamento com o Bloqueio de Zona de Computador Local activado para o respectivo processo.

Os Administradores de Rede podem ter scripts locais que serão afectados por estas restrições. Os administradores devem rever as soluções disponíveis para activar os respectivos scripts locais sem colocar em risco a segurança dos computadores cliente dos utilizadores.

Os programadores de Web sites hospedados nas zonas Internet ou Intranet Local não devem ser afectados pelas alterações na zona de Computador Local, excepto no carregamento desses ficheiros a partir do computador local durante a programação.

Os utilizadores podem ser afectados por aplicações incompatíveis com estas regras mais restritas.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Alterações às definições de segurança da zona de Computador Local

Descrição detalhada

A zona de Computador Local é agora mais restritiva do que a zona Internet. Sempre que o conteúdo tente efectuar uma das seguintes acções nesta zona, a Barra de Informações será apresentada no Internet Explorer com o seguinte texto:

Para ajudar a proteger a sua segurança, o Internet Explorer restringiu este ficheiro de mostrar conteúdo activo que pode aceder ao computador. Clique aqui para opções...

O utilizador pode clicar na Barra de Informação para remover o bloqueio do conteúdo restrito.

As definições de segurança que controlam os privilégios concedidos ao conteúdo em execução na zona Computador Local são conhecidas como acções do URL. Quando o Bloqueio de Zona de Computador Local é aplicado a um determinado processo, altera o comportamento das acções do URL da definição anterior de zona Computador Local de Activado para Desactivado. Consequentemente, os scripts e controlos Active X não serão executados. As acções do URL predefinidas alteradas são:

  • URLACTION _SCRIPT_RUN
  • URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX
  • URLACTION_ACTIVEX_RUN
  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY (para Aviso, não Desactivado)
  • URLACTION_CLIENT_CERT_PROMPT
  • URLACTION_BEHAVIOR_RUN
  • URLACTION_JAVA_PERMISSIONS
  • URLACTION_BEHAVIOR_RUN (to Aprovado pelo administrador, não Desactivado)
  • URLACTION_FEATURE_MIME_SNIFFING
  • URLACTION_FEATURE_WINDOWS_RESTRICTIONS
  • URLACTION_AUTOMATIC_DOWNLOAD_UI
  • URLACTION_AUTOMATIC_ACTIVEX_UI
noteNota
URLACTION_FEATURE_ZONE_ELEVATION é definido como Desactivado na zona de Computador Local com ou sem esta funcionalidade.

Para o Bloqueio de Zona de Computador Local, estas definições são armazenadas numa chave de registo separada:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

As predefinições da acção do URL da zona Computador Local encontram-se em:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Porque é que esta alteração é importante?

Esta alteração ajuda a impedir que o conteúdo do computador de um utilizador eleve privilégios. Em seguida, o código com esses privilégios elevados pode executar qualquer código através de um controlo ActiveX ou pode ler informações com um script.

O que funciona de maneira diferente?

Se uma página Web utilizar qualquer um dos tipos restritos de conteúdo listados anteriormente, o Internet Explorer apresenta a Barra de Informações, conforme é descrito anteriormente.

Os ficheiros HTML alojados no protocolo res: no computador local serão executados automaticamente de acordo com as definições de segurança para a zona Internet. Para mais informações sobre o que estes modelos permitem, consulte "Introduction to URL Security Zones" no Web site da MSDN em http://go.microsoft.com/fwlink/?LinkId=26003.

Como posso resolver estes problemas?

Pode permitir que os controlos Active X e os scripts sejam sempre executados nas páginas Web iniciadas a partir de um CD clicando em "Sim" quando for apresentada a seguinte mensagem:

O conteúdo activo poderá danificar o computador ou divulgar informações pessoais. Tem a certeza de que pretende permitir que CDs executem conteúdo activo no computador?

Se a página Web precisar de executar controlos ActiveX ou scripts, pode adicionar um comentário de marca da Web no código HTML. Esta funcionalidade do Internet Explorer permite que os ficheiros HTML sejam forçados para uma zona diferente da zona Computador Local para que, em seguida, possam executar o código com scripts ou controlos ActiveX com base no modelo de segurança aplicável ao URL identificado no comentário. Por exemplo, se o URL especificado fosse www.contoso.com e esse URL estivesse presente na lista de sites fidedignos, a página utilizaria o modelo de segurança para a zona Sites Fidedignos. Esta definição funciona no Internet Explorer 4 e posterior. Para inserir um comentário de marca da Web no ficheiro HTML, adicione um dos seguintes comentários:

<!-- saved from url= (0022)http://www.exemplo.com -->

Utilize este comentário quando estiver a inserir uma Marca da Web numa página cujo domínio esteja identificado, substituindo http://www.exemplo.com pelo URL do domínio da Internet ou da intranet em que a página está hospedada. Inclua o comprimento do URL utilizado para o comentário de Marca da Web entre parênteses e antes do URL, por exemplo (0022).

Se quiser que a página Web seja sempre considerada como se fizesse parte da zona Internet, pode utilizar o seguinte comentário de marca da Web:

<!-- saved from url=(0014)about:internet -->

Utilize este comentário quando tiver de inserir genericamente um comentário de marca da Web. A parte about:internet posicionará a página na zona Internet.

A começar pelo Windows Server 2003 Service Pack 1 e Windows XP Service Pack 2, este comentário HTML também pode ser utilizado com ficheiros .mht, conhecidos como ficheiros .xml ou HTML com várias partes. O comentário de marca da Web não será respeitado para ficheiros .mht ou .xml em versões anteriores do Internet Explorer.

Opcionalmente, pode criar uma aplicação separada que aloje o conteúdo HTML no Controlo de Objecto Web (WebOC) do Internet Explorer. Em seguida, o HTML deixa de estar vinculado às mesmas regras aplicáveis ao conteúdo executado no Internet Explorer. Quando o conteúdo HTML é executado no outro processo, pode ter todos os direitos, conforme definido pelo programador ou pela política de zona para esse processo.

Uma forma fácil de fazê-lo consiste em guardar o conteúdo como um ficheiro .hta (aplicação HTML) e tentar executar o ficheiro novamente na zona Computador Local. Um ficheiro .hta está hospedado num processo diferente e, por isso, não é afectado pela atenuação. No entanto, os ficheiros .hta são executados com todos os privilégios, pelo que não deve permitir que código não fidedigno seja executado desta forma.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Os programadores devem testar as aplicações e activar o bloqueio para proporcionar níveis de segurança avançados. Os programadores de aplicações autónomas devem planear a adopção destas alterações nas aplicações anfitriãs do Internet Explorer.

Os programadores de controlos ActiveX que tiverem permitido anteriormente privilégios elevados na zona Computador Local não devem alterar os controlos para permitir privilégios elevados noutra zona. Em vez disso, estes controlos devem ser convertidos para serem executados apenas a partir de uma aplicação HTML (ficheiro .hta) ou de uma aplicação autónoma executada fora do Bloqueio de Zona de Computador Local.

Por predefinição, o Bloqueio de Zona de Computador Local não está activado para processos externos ao Internet Explorer. Os programadores terão de registar explicitamente as suas aplicações para tirar partido das alterações. Os programadores de aplicações que não utilizem esta atenuação devem rever de forma independente os respectivos vectores de ataque à zona Computador Local. Para activar o Bloqueio de Zona de Computador Local para a sua aplicação, vá para a seguinte chave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

Adicione um valor REG_DWORD a esta chave nomeada para a sua aplicação (por exemplo, AMinhaAplicacao.exe) e defina-o como 1. Qualquer outra definição para este valor desactivará o Bloqueio de Zona de Computador Local para a aplicação.

Para controlar se o Bloqueio de Zona de Computador Local é aplicado a páginas Web iniciado a partir de um CD, vá para o seguinte valor e chave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

A definição deste valor como 1 desactiva esta funcionalidade para páginas Web iniciada a partir de um CD no computador do utilizador.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2015 Microsoft