荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: presses (云仔), 信区: WinNT
标 题: 白皮书(5)得到增强的浏览安全性
发信站: 荔园晨风BBS站 (Mon Aug 16 11:12:51 2004), 站内信件
第 5 部分:得到增强的浏览安全性
发布日期: 2004年08月02日
发布者 Starr Andersen,技术撰稿人, 和 Vincent Abella,技术编辑
本文档为 “ Windows XP Service Pack 2 功能变更 ” 的第 5 部分,详细介绍了
Windows XP Service Pack 2 针对更安全的 Web 浏览所包括的技术。这些技术与
Internet Explorer 的先前版本相比,具有更高的安全性。您可以通过 Microsof
t 下载中心获得本白皮书的其余部分,地址:http://go.microsoft.com/fwlink/?
LinkId=28022 [英文]。
这份预备性文档适用于面向 32 位版本的 Windows XP Professional 和 Windows?
XP Home Edition 的 Microsoft Windows XP Service Pack 2 (SP2) 的 Beta 版本
。它没有介绍该服务包的最终版本将要包括的所有修改。
本页内容
下载、附件和 Authenticode 增强
Internet Explorer 的加载项管理和崩溃检测
Internet Explorer 的二进制行为安全设置
Internet Explorer BindToObject Mitigation
Internet Explorer的信息栏
Internet Explorer 特性控制安全区域设置
组策略中的 Internet Explorer 特性控制设置
组策略中的 Internet Explorer UrlAction 设置
Internet Explorer 本地计算机区域锁定(Local Machine Zone Lockdown)
Internet Explorer MIME Handling Enforcement
Internet Explorer 对象缓存(Object Caching)
Internet Explorer Pop-up Blocker
Internet Explorer Untrusted Publishers Mitigations
Internet Explorer 窗口限制
Internet Explorer 区域提升阻止
下载、附件和 Authenticode 增强
下载、附件和 Authenticode 增强有何作用?
在 Windows XP Service Pack 2 中,在下载文件、邮件附件、执行外壳进程以及程
序安装时所出现的提示已经被修改,它们比 Windows XP Service Pack 1 中的提示
更加一致和清楚。此外,如果在 Internet Explorer 或 Outlook Express 中选择
了可执行文件,Windows XP 会显示可执行文件的发布者。
新的应用程序编程接口(API)允许应用程序的开发人员堆这个新的用户界面加以利
用。有关该 API 的更多信息,请参阅本文档先前部分中的 “ AES API 集成 ” 一
节。
本特性适用于哪些用户?
应用程序开发人员可以按照前文中 “ AES API 集成” 使用该 API,在 Windows
应用程序中调用新的 附件执行服务(Attachment Execution Service,AES)对话
框。
此外,应用程序开发人员还应该意识到,在下载或添加邮件附件时,需要检查可执
行文件的签名。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
Internet Explorer 文件下载提示
详细描述
在用户使用 Internet Explorer 下载文件时,出现的对话框发生了如下修改:
? 添加了一个文件句柄图标。
? 对话框底部添加了一个新的消息区域,根据所下载文件的类型所具有的风险高低
,区域中显示的信息也会存在些许的不同。
? 会检查所有下载的可执行文件的发布者信息。
在下载了一个可执行文件后,Internet Explorer 显示文件的发布者信息。Authen
ticode 对话框会向用户显示该信息,让用户决定是否运行此文件。
为什么此项修改是重要的?
此项修改有助于为用户下载文件和代码的体验带去一致性和透明度。如果在可执行
文件中找到签名,那么对发布者的检查能够提供至关重要的信息,并且为防止来自
可疑或未经确认的发布者的可执行文件损害系统的安全性提供了一条系统的途径。
工作方式有何不同?
如果可执行文件的发布者受到阻止,那么将不允许文件运行。
我应该如何解决这些问题?
可以使用 Internet Explorer 中的管理加载项 解除对某个发布者的阻止。
Outlook Express 电子邮件附件提示
详细描述
Outlook Express 电子邮件附件提示与文件下载使用相同的过程。将检查可执行文
件的发布者,发布者被阻止的可执行文件不允许运行。
为什么此项修改是重要的?
此项修改有助于为用户下载文件和代码的体验带去一致性和透明度。如果在可执行
文件中找到签名,那么对发布者的检查能够提供至关重要的信息,并且为防止来自
可疑或未经确认的发布者的可执行文件损害系统的安全性提供了一条系统的途径。
工作方式有何不同? 存在依赖性吗?
如果可执行文件的发布者受到阻止,那么将不允许文件运行。
我应该如何解决这些问题?
可以使用 Internet Explorer 中的管理加载项 解除对某个发布者的阻止。
加载项安装提示
详细描述
Internet Explorer 加载项安装提示增加了与上面两节所介绍信息相同的信息。这
使得用户可以准确了解到将在 Internet Explorer 中安装哪些加载项,并根据自身
情况做出正确决定。
为什么此项修改是重要的?
此项修改有助于为用户下载文件和代码的体验带去一致性和透明度。如果在加载项
中找到签名,那么对发布者的检查能够提供至关重要的信息,并且为防止来自可疑
或未经确认的发布者的加载项损害系统的安全性提供了一条系统途径。
工作方式有何不同? 存在依赖性吗?
如果加载项的发布者受到阻止,那么将不允许加载项被安装或运行。
我应该如何解决这些问题?
可以使用 Internet Explorer 中的管理加载项 解除对某个发布者的阻止。
为了安装带有无效签名的控件,可以使用如下操作步骤:
1.
在 Internet Explorer 中,在 工具 菜单上,点击 Internet 选项,然后点击 安
全性 选项卡。
2.
在区域对话框的 安全性 级别,点击 定制级别。
3.
点击 允许安装带有无效签名的 ActiveX 控件。
注意:如果签名无效,则不能相信发布者所宣称的一个可信身份。我们不建议用户
允许安装带有无效签名的 ActiveX 控件,因为这样会为计算机带来更大的危险。
Windows XP Service Pack 2 增加或修改了哪些设置?
现在,用户可以准确知道哪些加载项将要安装到 Internet Explorer 之中,并根据
情况做出决定。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
为了获得最佳体验,需要利用一个有效的证书对可执行文件进行签署。
返回页首
Internet Explorer 的加载项管理和崩溃检测
Internet Explorer 的加载项管理和崩溃检测有何作用?
这是 Internet Explorer 新增加的两个紧密相关的特性。
Internet Explorer 的加载项管理(Add-on Management)允许用户查看和控制能够
由 Internet Explorer 加载的加载项列表,并且提供了比以往更多的控制能力。此
外,它还可以显示某些先前无法显示而且很难检测到的加载项。
Internet Explorer 的加载项崩溃检测(Add-on Crash Detection)试图检测 Int
ernet Explorer 发生的与加载项有关的崩溃现象。在成功确定了加载项之后,会显
示相关信息。用户可以选择禁用加载项,以便诊断崩溃原因和提高 Internet Expl
orer 的整体稳定性。
本特性适用于哪些用户?
用户可以查看、启用和禁用 Internet Explorer 使用的加载项,以及识别可能与
Internet Explorer 的崩溃有关的加载项。管理员可以应用一个加载项列表,允许
、禁止或限制用户管理加载项的能力。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
Internet Explorer 加载项管理
详细描述
Internet Explorer 加载项管理允许用户查看和控制可以由 Internet Explorer 加
载的加载项列表,并且提供了比先前更多的控制能力。它还可以显示某些先前不会
载的加载项列表,并且提供了比先前更多的控制能力。它还可以显示某些先前不会
显示或者很难检测到的加载项。 用户可能并不需要这些加载项的功能,或者,在某
些情况下,会带来一定的安全风险。例如,用户可能无意中安装了一个会偷偷记录
网页操作并且向中央服务器发出报告的加载项。以前,需要专门的软件和高级技术
知识来发现和删除加载项。Internet Explorer 加载项管理为加载项的检测和禁用
提供了更加轻松的手段。
加载项包括:
? 浏览器帮助对象:
? ActiveX 控制
? 工具栏扩展
? 浏览器扩展
加载项可以使用多种方式通过各种位置安装,包括:
? 在查看 Web 页面时下载和安装。
? 由用户作为一个可执行程序安装。
? 作为操作系统的预安装组件。
? 作为操作系统预装的加载项。
管理加载项
用户可以单独启用和禁用每个加载项,并且查看 Internet Explorer 使用加载项的
频度信息。为了实现这一点,可以按照以下步骤打开 管理加载项。
1.
点击开始,然后点击 Internet Explorer。
2.
点击 工具,然后点击 管理加载项。
此外,您还可以使用以下步骤,通过控制面板打开 “管理加载项”(Manage Add-
ons):
1.
点击 开始,然后点击 控制面板。
2.
双击 Internet 选项。
3.
点击 程序 选项卡,然后点击 管理加载项。
“管理加载项” 提供了几个选项,允许您修改加载项配置。
可以使用 显示,控制加载项列表的显示方式。它拥有两个选项:
? Internet Explorer 当前加载的加载项。本选项列出了当前的 Internet Explor
er 进程中已经被实例化(或者说加载到内存中)的加载项,以及那些禁止实例化的
加载项。其中包括被 Web 页使用的 ActiveX 控件,而以前只能在当前进程中查看
这些控件。
? Internet Explorer 使用的加载项。本选项列出了被 Internet Explorer 引用的
所有加载项以及仍然被安装的加载项。
加载项列表显示了前文提到的所有已安装加载项类型。为了启用或禁用某个已安装
的组件,请点击列表中的加载项,然后点击 启用 或 禁用。
如果点击列表中的某个 ActiveX 控件,然后点击 更新 ActiveX, Windows 将在找
到原始控件的位置搜索更新。如果发现更新的版本,Internet Explorer 将试图安
装该更新。
加载项列表还包含了经过签署但是由于其发布者不受信任而阻止安装的加载项。如
果选择了这样的一个控件,用户可以通过点击 允许来解除阻止。在执行此操作时应
当小心谨慎,因为点击 允许 的操作会从“不受信任”列表中删除发布者。
“加载项被阻止” 状态栏图标
如果 Web 页试图实例化一个由于发布者不受信任而被禁用或阻止的 ActiveX 控件
,状态栏上便会出现一个 “加载项被阻止” 图标。可以双击该图标,打开 管理加
载项。在前 5 次出现状态栏图标时,还会同时出现一个气球提示。
加载项通知气球提示
如果 Web 页试图实例化一个被禁用的加载项,而且当前还没有显示任何 “加载项
被阻止” 状态栏图标,会出现一条消息,告知用户正在浏览的 Web 页面请求一个
被禁用的加载项。用户可以点击该消息,了解有关被阻止加载项的更多信息。
可以使用控制面板禁止显示该消息。该选项将在后文中进行介绍。
为什么此项修改是重要的?它有助于缓解哪些威胁?
Windows Error Reporting 数据表明,加载项是导致 Internet Explorer 出现稳定
性问题的首要原因。这些加载项会极大影响 Internet Explorer 的可靠性。这些加
载项还会带来安全风险,因为它们可能包含恶意的未知代码。
许多用户不知道计算机上安装有加载项。某些加载项在 Internet Explorer 启动时
进行加载,但是并不会被检测到,除非用户搜索注册表,否则没有办法检查问题是
否与某个加载项有关。即使他们怀疑问题来源于最近安装的软件,但是也很难隔离
出问题的根源,如果软件没有提供卸载选项,那么问题经常不可能得到解决。
Internet Explorer 加载项管理与加载项崩溃检测(Add-on Crash Detection)结
合在一起,通过识别和禁用存在问题的加载项,为用户赋予了提高系统安全性和稳
定性的能力。此外,我们还为管理员提供了一个强有力的管理工具,控制加载项在
组织中的使用。
工作方式有何不同?
加载项被禁用时的行为表现如何?
禁用某个加载项并不会将其从计算机中删除。而是仅仅阻止 Internet Explorer 实
例化对象和执行它的代码。我们不保证被禁用的加载项不会再次被调用,因为 Int
ernet Explorer 认为应该被禁用的加载项仍然可以被系统中的其它组件使用。具体
的行为表现视被禁用对象的类型不同而有所变化。
? 如果某个 ActiveX 控件被禁用,依赖于该控件的 Web 页面将无法正常工作。页
面的行为就如同从计算机上卸载了控件一样,而且会拒绝用户安装它。不会提示用
户升级已经被禁用的控件。
? 如果禁用了一个“浏览器助手对象”( Browser Helper Object),依靠该对象
工作的功能将无法使用,而且不会出现任何提示信息,告知该组件被禁用。
? 如果禁用了一个 “浏览器扩展”( Browser Extension),则不会向该扩展显示
工具栏按钮和菜单的入口点。就如同没有在 Internet Explorer 中安装该扩展一样
。
? 如果禁用了一个 “工具栏扩展”(Toolbar Extension),工具栏将不会在 Int
ernet Explorer 中出现。不会出现任何视觉信息,告知该工具栏被禁用。Interne
t Explorer 的表现就如同没有安装该工具栏一样。
禁用加载项的概念仅适用于Internet Explorer(Iexplore.exe)和 Windows Expl
orer(Explorer.exe)。目前,其它基于 Internet Explorer 组件的程序,例如
WebBrowser 控件,不会理会被禁用状态。
某些软件需要使用多个加载项才能正常工作,禁用其中任何一个加载项都会产生问
题。所以,在决定禁用一个或多个加载项时,应该务必小心谨慎。
卸载
如果用户禁用了一个非 ActiveX 加载项,然后卸载它,接着再重新安装该加载项,
那么加载项可能会处于禁用状态。这是因为不会通知 Internet Explorer 安装了某
个程序,而且不会检测程序状态发生的任何变化。但是,如果在没有安装该加载项
时启动了 Internet Explorer,那么它会检测到变化,并且自动清除禁用状态。
如果用户禁用了一个 ActiveX 控件,然后卸载该控件,那么在 Web 页下一次试图
使用该控件的时候,Internet Explorer 会检测到控件已经不存在,然后清除禁用
状态。但是,如果在试图实例化控件之前,使用一个可执行文件(与通过 Web 页下
载相对应)重新安装了 ActiveX 控件,那么控件会保持在被禁用状态。这是因为
Internet Explorer 不会检测状态变化。
我应该如何解决这些问题?
如果由于禁用某个加载项而导致功能失效,可以在 管理加载项 中启用该加载项来
恢复功能。Internet Explorer 必须重新启动,以便新设置生效,但是 ActiveX 控
件例外,对于它们,只需重新加载受影响的页面可能就足够了。
面向管理员的 Internet Explorer 加载项管理
详细描述
详细描述
禁用崩溃检测
为了禁用 “加载项管理” 的 “崩溃检测”,请参阅以下的 “ Windows XP Serv
ice Pack 2 增加或修改了哪些设置?” 如果禁用了”崩溃检测“,Internet Exp
lorer 出现的崩溃看上去将和先前行为一样,也就是调用 Windows Error Reporti
ng。会应用 Windows Error Reporting 的所有策略。
禁用加载项管理用户界面
为了禁用”加载项管理“用户界面,请参阅以下的 ” Windows XP Service Pack
2 增加或修改了哪些设置 “。如果禁用了”加载项管理“的用户界面,用户将无法
看到以下特性:
? 管理加载项 菜单项目
? 管理加载项 控制面板图标
? ActiveX 控件被阻止时的管理加载项 状态栏图标。
? ActiveX 控件被阻止时的管理加载项 消息。
允许和禁止策略
与普通用户类似,管理员也可以控制加载项的使用。有三种操作模式:
? Normal(正常)模式。用户对禁用和启用加载项拥有完全的控制能力。这也是默
认模式。
? AllowList(允许列表)模式。管理员指定被允许的加载项;所有其它的加载项都
是不被允许的,而且无法被用户启用。
? DenyList(拒绝列表)模式。管理员指定不允许的加载项;所有其它的加载项都
可以被用户控制。
为了配置加载项策略,请参阅以下的 " Windows XP Service Pack 2 增加或修改了
哪些设置?"
为了填充 AllowList 或 DenyList 策略,可以按照以下的 "Windows XP Service
Pack 2 增加或修改了哪些设置?" 中的介绍创建和填写相应的注册表键。以下介绍
的每个注册表键(AllowList 和 DenyList),在列表中为每个 CLSID 键创建一个
子键。例如,可以创建以下键拒绝某个控件:
HKEY_CURRENT_USER{or HKEY_LOCAL_MACHINE} \SOFTWARE\Microsoft\Windows\Cur
rentVersion \Policies\ Ext\DenyList\{42D39483-D56E-48FC-82A3-A67DBE6208B
1}
列表默认情况下为空列表。空白的 DenyList 策略等价于 Normal 模式,用户此时
拥有完全的控制。空白的 AllowList 策略会禁止所有加载项。
应用策略时管理界面的行为
如果 AllowList 或 DenyList 策略生效,而且用户从管理列表中选择了一个被策略
禁用的加载项,那么启用 和 禁用 选项将无法使用。
为什么此项修改是重要的?它有助于缓解哪些威胁?
本特性允许管理员控制新特性的使用。
工作方式有何不同? 存在依赖性吗?
允许或禁止加载项的新特性与管理 ActiveX 控件的现有策略一同发挥作用。对加载
项的禁用凌驾于其它设置之上,而且不会替换其它任何可能使用的安全限制。例如
,如果某个 ActiveX 控件由于它的 ActiveX 兼容性标志而被阻止,那么它将总是
被阻止,而不管加载项管理的设置如何。
前文已经介绍了禁用加载项可能产生的影响。
我应该如何解决这些问题?
如果添加的策略使得必需功能无法工作,可以删除应用的策略并且重新启动 Inter
net Explorer。
Internet Explorer 加载项崩溃检测
详细描述
无论何时,只要 Internet Explorer 停止工作,Windows 便会启动 ”加载项崩溃
检测“(Add-on Crash Detection)程序。Add-on Crash Detection 是一个错误分
析程序,用来检查Iexplore.exe(Internet Explorer)进程的状态。它收集已经加
载的动态链接库(DLL)列表,以及发生崩溃时指令指针寄存器(EIP)的值。然后
,Add-on Crash Detection 试图找到 EIP 所在的内存区域属于的 DLL。该 DLL 经
常就是引起崩溃的罪魁祸首。
如果找到的 DLL 不是一个系统 DLL,而且 DLL 是某个 Internet Explorer 加载项
的 COM 服务器, Internet Explorer 加载项崩溃检测 窗口将出现。该对话框包含
的信息指出了引起崩溃的加载项、与该加载项有关的公司的名称、以及对包含加载
项代码的 DLL 文件的描述。为了显示可以用来禁用已查找出的加载项的 管理加载
项,请点击 高级。(有关该窗口及其选项的更多信息,请参阅前文中的 ” 管理加
载项 “ 一节。在回顾了相关信息之后,点击 继续,标准的 ”Windows 错误报告
“ 窗口将出现。
为什么此项修改是重要的?它有助于缓解哪些威胁?
相关信息,请参阅前文中的 “用户的 Internet Explorer 加载项管理” 一节。
工作方式有何不同? 存在依赖性吗?
因为本特性仅仅在 Internet Explorer 停止操作时才运行,所以不会对正常操作带
来任何影响。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 默认值 可能的值
禁用崩溃检测
HKEY_CURRENT_USER {or HKEY_LOCAL_MACHINE}\Software\Policies \Microsoft\
Internet Explorer \Restrictions
NoCrashDetection : DWORD
0
0 — 关,
1 — 开
禁用扩展管理
HKEY_CURRENT_USER {or HKEY_LOCAL_MACHINE}\Software \Policies \Microsoft
\Internet Explorer \Restrictions
NoExtensionManagement : DWORD
0
0 — 关,
1 — 开
管理模式
HKEY_CURRENT_USER {or HKEY_LOCAL_MACHINE}\SOFTWARE \Microsoft\Windows \
CurrentVersion\Policies \Ext\
ManagementMode : DWORD
0
0 — Normal,
1 — AllowList,
2 —DenyList
Allow List
HKEY_CURRENT_USER {or HKEY_LOCAL_MACHINE}\SOFTWARE \Microsoft\Windows \
CurrentVersion\Policies\Ext \AllowList
空
GUID 子键
Deny List
HKEY_CURRENT_USER {or HKEY_LOCAL_MACHINE}\SOFTWARE \Microsoft\Windows \
CurrentVersion\Policies\Ext \DenyList
空
GUID 子键
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
不需要。您的代码无需任何修改就可以与 Internet Explorer 加载项崩溃检测 或
“加载项管理” 一起工作。
返回页首
Internet Explorer 的二进制行为安全设置
二进制行为安全设置有何作用?
Internet Explorer 包含了动态的二进制行为:针对所附加于的 HTML 元素封装了
特定功能的组件。这些二进制行为不受允许它们在 “受限站点” 区域的 Web 页上
工作的任何 Internet Explorer 安全设置的控制,有一个针对二进制行为的新的
Internet Explorer 安全设置。新设置默认情况下禁用了 “受限站点” 区域中的
二进制行为。这个新的二进制行为安全设置为减轻 Internet Explorer 中的二进制
行为存在的漏洞提供了一个通用的手段。
有关二进制行为的更多信息,例如它们的工作方式以及具体实现方法,请参阅 Mic
rosoft Web 站点上的 “前沿:Internet Explorer 5.5 的二进制行为 ”:http:
//go.microsoft.com/fwlink/?LinkId=21862 [英文]。注意:二进制行为使用 C++
定义和编译,它不同于使用脚本定义的 “附加行为”(Attached Behaviors)和
“元素行为”(Element Behaviors)。
本特性适用于哪些用户?
如果程序在 “受限站点” 区域使用 Internet Explorer 功能,应用程序的开发人
员应该认真考虑此特性,并修改程序以适应此变化。例如,在 “受限站点” 区域
中显示 HTML 电子邮件的电子邮件程序可能就需要被修改。
用户受到的影响仅仅是程序无法完全显示带有新设置的 HTML 内容。这些程序一般
会警告用户某些活动行为无法被显示。例如,在 Outlook Express 遇到这种情况的
会警告用户某些活动行为无法被显示。例如,在 Outlook Express 遇到这种情况的
时候,会通知用户电子邮件中存在受限的活动内容。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
新的 Internet Explorer 安全设置
详细描述
所有的 Internet Explorer 安全区域中都增加了一个新的 URL 操作设置(即 Bin
ary Behaviors)。该设置的默认值是针对所有区域都 启用 ,但是“受限站点”(
Restricted Sites)除外。在“受限站点”区域中,默认值为 禁用。
为什么此项修改是重要的?它有助于缓解哪些威胁?
新的设置有助于缓解恶意使用二进制行为发起的攻击,允许用户控制根据区域控制
二进制行为的使用。
工作方式有何不同?
任何从 “受限站点” 区域显示 HTML 的二进制行为都会被阻止。
我应该如何解决这些问题?
为了从 “受限站点” 区域使用二进制行为,程序必须实现一个定制的安全管理器
。(更多相关信息,请参阅Microsoft Web 站点 [英文]上的 “URL 安全区域指导
” 一文中的 “创建定制的 URL 安全管理器” 部分:http://go.microsoft.com/
fwlink/?LinkId=21863 [英文]。)
当从定制的安全管理器中执行二进制行为的 URL 操作的时候,URL 操作会通过特定
二进制行为的字符串表述进行传递,该二进制行为可以根据程序兼容性的需要由定
制的安全管理器启用。在执行该 URL 操作时,会发生以下过程:
? Internet Explorer 调用进入一个定制安全管理器(如果有),使用 URLACTION
_BEHAVIOR_RUN 的带有dwAction 的 ProcessUrlAction 方法
。
? pContext 参数指向了一个 LPCWSTR,它包含了策略正在查询的行为。例如, #d
efault#time。
? 根据需要,可以在定制的安全管理器中,为 smartTag 行为设置 *pPolicy = UR
LPOLICY_ALLOW。
? 在没有安全管理器的情况下,默认操作为不允许在 “受限区域” 中运行行为。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
没有任何修改。只增加了一个能够开启或关闭现有binary behaviors 功能的设置。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 先前默认值(如果有) 默认值 可能的值
*
HKEY LOCAL MACHINE(or Current User)\Software\Microsoft \Internet Explor
er\Main \Feature Control \FEATURE_BINARY_BEHAVIOR_LOCKDOWN
无
1
0 ( 关 )
1 ( 开 )
2000
HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Intern
et Settings\Zones \3\
无
3 (禁用),针对受限区域;0(启用),针对所有其他区域
3 (禁用)、0(启用)
注意:作为 “Internet Explorer 安全区域和内容评级” 设置的一部分,二进制
行为设置还可以通过组策略进行修改。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
如果代码在“受限站点” 区域中使用二进制行为,那么需要修改代码,在程序中实
现一个定制的安全管理器。更多信息,请参阅 Microsoft Web 站点上的 “URL 安
全区域介绍” 一文中的 “创建定制的 URL 安全管理器 ” 部分:http://go.mic
rosoft.com/fwlink/?LinkId=21863 [英文]。
返回页首
Internet Explorer BindToObject Mitigation
BindToObject Mitigation 有何作用?
在 Windows XP Service Pack 2 中,ActiveX 安全模型被应用于使用 URL 绑定实
例化和初始化对象的所有情况。ActiveX 安全模型允许控件被标记为 “安全编写脚
本” 和 “安全初始化”,并且为用户提供了根据这些设置和按照安全区域阻止或
允许 ActiveX 控件的能力。这样就在 Internet Explorer 中实现了更大的灵活性
和对活动内容的更强控制能力。
和对活动内容的更强控制能力。
本特性适用于哪些用户?
? Web 开发人员和网络管理员需要意识到这些新的限制,并且围绕它们对 Web 站点
的影响做出计划或寻找解决办法。
? 应用程序开发人员应该认真考虑此特性,以在程序中采纳这些修改。
? 用户可能会受到与这些严格的规则不兼容的站点的影响。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
无。但是对现有功能进行了扩展。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
ActiveX 安全模型应用于 URL 对象的初始化。
详细描述
去除 ActiveX 安全漏洞的最有效方法是在 URL 绑定的来源(URLMON)一致地应用
安全策略。使用<object> 标签在 HTML 页面中声明一个 ActiveX 控件,CODEBASE
属性是一个为人所熟知的使用 BindToObject 的例子。希望解析一个 URL并返回一
个流或对象的任何组件都可以使用同样的功能。该 ActiveX 安全模型现在应用于以
一个 URL 作为来源进行初始化的所有对象。
为什么此项修改是重要的?它有助于缓解哪些威胁?
对于 ActiveX 控件,ActiveX 安全模型允许控件被标记为 “安全脚本化 ” 或 “
安全初始化”,并且根据这些设置和按照区域,为用户提供了阻止或允许 Active
X 控件的能力。在早期版本的 Windows 中,该安全框架没有应用于发生 URL 绑定
的所有情况。相反,调用代码负责确保控件的完整性和安全性,这经常会导致安全
漏洞的出现。现在有许多针对此问题的公开的漏洞利用代码变体,它们会检查 Int
ernet Explorer ,以便在调用代码中利用此漏洞。
工作方式有何不同? 存在依赖性吗?
ActiveX 安全模型应用于以一个 URL 作为来源进行初始化的所有对象,而 “安全
初始化”标签应用于所有对象。此缓解措施仅仅适用于 Internet Explorer 需要解
析一个 URL 并且为其分配一个对象的情况。
我应该如何解决这些问题?
应当尽量减少应用程序的兼容性问题。如果有自己的安全管理器,应用程序可以不
使用它。有关不使用此安全模型的更多信息,请参阅 Microsoft Web 站点上的 “
安全考虑事项:URL Security Zones API ”:http://go.microsoft.com/fwlink
/?LinkId=21814 [英文]。
Windows XP Service Pack 2 增加或修改了哪些设置?
无。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
可能需要。更多信息,请 参阅本部分的 “我应该如何解决这些问题?”
返回页首
Internet Explorer的信息栏
信息栏有何作用?
在 Windows XP Service Pack 2 中,Internet Explorer 信息栏替代了许多常见的
对话框,向用户提示信息,并且为显示用户关心的信息提供了一个很好的区域。被
替代的对话框的例子包括:被阻止的 ActiveX,弹出窗口、下载和活动内容。信息
栏可以提供类似于 Outlook 2003 的通知区域的信息,告知用户哪些内容被阻止。
本特性适用于哪些用户?
本特性适用于以下用户:
? 需要理解新的行为如何对他们的浏览体验产生影响的用户
? 系统管理员,需要知道如何在客户机上打开和关闭该功能。
? 需要使用加载项的 Web 站点设计人员,获得了一种不同的用户体验。
? 开发 Web 应用程序的开发人员,需要了解用户的体验会发生何种变化。例如,会
影响到 ActiveX 控件的开发。如果 ActiveX 控件是对计算机上现有控件的更新,
在新控件的 GUID 与当前 GUID 相匹配的情况下,那么将仅仅被视作更新。
? 开发的程序使用了 Web 浏览器控件的开发人员,需要知道如何使用新的应用程序
编程接口(API)来利用新的功能。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
信息栏的用户界面
详细描述
信息栏的外观和行为与 Outlook 2003 的被阻止内容通知区域十分相似。在显示通
知时,信息栏位于 Internet Explorer 工具栏的下方和所查看 Web 页的上方。信
息栏上的文字根据通知的内容发生变化,如果文字长度超出了通知区域的边界,会
折成两行显示。例如,有一个常见的通知信息为 当前安全设置禁止在页面上运行
ActiveX 控件。所以页面可能无法正确显示。如果用户使用 Tab 键移动焦点(或者
说浏览器中可以接收输入的对象),信息栏会在工具栏之后和 Web 页面之前获得焦
点。
点击或右击信息栏会出现一个与所出现信息有关的菜单。该菜单总是会包含一个指
向信息栏帮助的链接,通过它可以获得有关该通知的更详细信息。与通知相关的其
它菜单项目会出现在 帮助 菜单项目的上方,但是管理员禁用的信息栏菜单项目会
变灰和无法使用。
用户可以配置信息栏,使其在出现时播放一个声音;声音的默认设置为开启。当信
息栏出现时,状态栏上的 页面错误 通知的位置上会出现一个 Windows 信任图标。
在特定情况下,会阻止一个以上的操作。例如,在阻止一个加载项的安装的同时,
可能还阻止了一个弹出窗口。在这些情况下,文字会变为更加通用的内容,而菜单
则会合并,在顶级菜单中显示被阻止的每个操作,而在子菜单中显示每个操作的具
体菜单。
信息栏有一个定制安全区域设置,允许用户按照安全区域修改信息栏的设置。用户
可以选择通过信息栏获得通知,或者回到 Windows?XP Service Pack?1 的行为,在
下载文件和代码时获得较少的通知。
为什么此项修改是重要的?它有助于缓解哪些威胁?
在 Windows XP Service Pack 2 中,Internet Explorer 可以阻止完成特定在线工
作所必需的内容。与 Windows?XP Service Pack?1 不同,信息栏为用户在不受烦人
的提示信息打扰的情况下,了解他们信任的 Web 页的工作方式提供了出色的通知功
能。
工作方式有何不同?
更多信息,请参阅下一部分,”Windows XP Service Pack 2 对哪些现有功能进行
了修改?“
Windows XP Service Pack 2 对哪些现有功能进行了修改?
加载项安装提示
详细描述
在 Windows?XP Service Pack?1 中,如果某个 Web 页引用了一个计算机当前没有
安装的 ActiveX 控件,会询问用户是否希望下载 ActiveX 控件。在 Windows?XP
SP2 中,这条信息会显示在信息栏中。
SP2 中,这条信息会显示在信息栏中。
信息栏元素 消息文字
信息栏文字
为了保证安全性,Internet Explorer 拒绝该站点在您的计算机上安装软件,点击
此处查看更多选项...
简述文字
阻止了软件的安装
菜单选项
安装软件...
有何风险?
可信发行者的工作方式与 Windows?XP SP1 中一样。 由这些发行者提供的控件无需
其它配置即可安装。
受阻止发行者显示状态栏图标。这些发行者提供的控件不会安装在计算机上,也不
会在信息栏上显示相关信息。
加载项升级的工作方式与 Windows?XP SP1 中相同。为了确定控件是否为一个升级
,Internet Explorer 会将签署新近下载的 .cab 文件使用的证书与签署最新注册
的服务器(在本地计算机上作为 Web 页指定的 CLSID 的服务器进行注册的 DLL 文
件)时使用的证书进行对比。如果证书的颁发者和证书的主题相同,那么会将控件
视作一个升级。升级所表现出来的行为与 Windows?XP SP1 中相同。
为什么此项修改是重要的?它有助于缓解哪些威胁?
加载项安装提示降低了用户由于不小心而在计算机上安装代码的可能。
因为在点击 安装前,会看到一个提示,他们不太可能由于不小心而安装了一个应用
程序。
工作方式有何不同?
某些 Web 页面需要用户安装代码才能正常工作。部分站点会将用户重定向到一个单
独的页面,解释安装 ActiveX 控件的具体方法。如果站点自动重定向到一个没有提
供控件的新页面,用户可能会错过安装代码的机会。
我应该如何解决这些问题?
Web 页面的制作人员应该确保 ActiveX 控件在用户被重定向到的页面上可用。以确
保他们有充足的机会安装控件。
Web 页面的制作人员不应该建议用户降低安全设置的级别,因为在此情况下这种做
法并不会起到什么作用。
弹出窗口被阻止的通知
详细描述
在阻止了一个弹出窗口时,Windows XP SP2 会显示一条通知。这为弹出窗口阻止(
Pop-up Blocker)功能——例如重放弹出窗口,将站点添加到一个弹出窗口的”允
许“ 列表中,或者导航到 Pop-op Blocker 设置——提供了一个更为明显的入口点
。此外,如果用户决定针对此事件的通知过于庞大,信息栏还为关闭针对弹出窗口
的信息栏提供了一个顶级入口点。
的信息栏提供了一个顶级入口点。
信息栏元素 显示
信息栏文字
弹出窗口被阻止。如果查看该弹出窗口或更多选项,请点击此处...
简述文字
弹出窗口被阻止
菜单选项
显示上一个弹出窗口
允许本站点的弹出窗口
允许弹出窗口
显示针对被阻止弹出窗口的信息栏(已选中)
弹出窗口选项...
为什么此项修改是重要的?它有助于缓解哪些威胁?
在信息栏显示弹出窗口被阻止的通知为通知赋予了更高的优先级。用户可以更好地
理解应该去哪里查看被阻止的弹出窗口或他们的 Pop-up Blocker 设置。
工作方式有何不同?
关闭针对 Pop-up Blocker 的信息栏会使得 Pop-up Blocker 返回到使用状态栏图
标通知用户的先前做法。如果禁用了针对弹出窗口的信息栏,可以通过状态栏图标
访问所有的相同的菜单项目。更多信息,请参阅本文档后面的 ” Internet Explo
rer Pop-up Blocker “一节。
自动下载提示
详细描述
详细描述
自动出现的文件下载提示现在也出现在信息栏中。
信息栏包括了描述性的文字,解释了发生操作的原因,并且提供了一个上下文敏感
的菜单,用来对通知做出响应。下表介绍了在信息栏中出现的文字以及可以从菜单
中选择的操作。
信息栏元素 显示
信息栏文字
为了保证安全性,Internet Explorer 拒绝站点将文件下载到计算机。点击此处查
看更多选项...
友好的通知文字
文件下载被阻止
菜单选项
下载软件
有何风险?
为什么此项修改是重要的?它有助于缓解哪些威胁?
这些提示可以帮助用户避免在计算机中安装不想要的代码。以前,站点会用不断出
现的下载提示让用户不胜其烦,而用户也会不小心安装不想要的软件。通过此项修
改,自动出现的文件下载提示成为了有意点击而不是一种意外的偶然操作的结果。
工作方式有何不同?
任何时候,不是由于用户的某个操作(例如点击某个页面元素)而产生的文件下载
提示都会出现在信息栏中。
我应该如何解决这些问题?
Web 页面的制作人员应该确保用户可以点击 Web 页面上的链接来下载文件。理想情
况下,链接应该指定将要下载数据的 URL。如果使用脚本来导航到资源,应该在链
接的 OnClick 事件句柄的上下文中同步运行。
活动内容被阻止
详细描述
在阻止于本地计算机区域中运行的活动内容时,会出现信息栏。
信息栏包括了描述性的文字,解释了发生操作的原因,并且提供了一个上下文敏感
的菜单,用来对通知做出响应。下表介绍了在信息栏中出现的文字以及可以从菜单
中选择的操作。
信息栏元素 显示
信息栏文字
为了保证安全性,Internet Explorer 已经限制文件显示能访问计算机的活动内容
。点击此处查看更多选项...
简述文字
活动内容被阻止
菜单选项
允许被阻止的内容
有何风险?
为什么此项修改是重要的?它有助于缓解哪些威胁?
在 Windows XP SP2 中,Internet Explorer 有时会阻止完成特定工作所必需的活
动内容。这个新的用户界面元素可以确保出现一个通知,允许用户让可信的 Web 页
面重新恢复正常工作。
工作方式有何不同?
现在,本地计算机区域缓解使用新的信息栏。
更多信息,请参阅本文档后面的 ”Internet Explorer 本地计算机区域锁定“。
ActiveX由于安全设置而被阻止
详细描述
Windows?XP SP2 不再显示提示 ” ActiveX 由于安全设置而被阻止“。 Internet
Explorer 会在信息栏上显示此通知。
信息栏包括了描述性的文字,解释了发生操作的原因,并且提供了一个上下文敏感
的菜单,用来对通知做出响应。下表介绍了在信息栏中出现的文字以及可以从菜单
中选择的操作。
信息栏元素 显示
信息栏文字
您的安全设置不允许在此页面上运行 ActiveX 控件。页面可能无法正确显示。点
击此处查看更多选项...
击此处查看更多选项...
简述文字
软件被阻止
菜单选项
允许站点运行 ActiveX 控件
有何风险?
为什么此项修改是重要的?它有助于缓解哪些威胁?
Windows XP SP1 的提示使得用户很难在设置了更高安全设置的情况下浏览页面。在
信息栏上显示此提示可以确保用户能够在设置了高安全性的时候,能够不看到提示
而进行浏览
工作方式有何不同?
如果在安全性滑动条被设置为”高“的情况下浏览 Internet 区域,这种做法不会
引起进一步的应用程序兼容性问题。
Windows XP Service Pack 2 增加或修改了哪些设置?
有关针对本特性的注册表键的更多信息,请参阅本文后面的 ”特性控制安全区域设
置“。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
如果某个 Web 页面的制作人员根据用户是否安装了某个加载项对用户进行重定向,
那么应该确保在用户被重定向到的页面上提供了相同的加载项。这样可以保证用户
有机会安装此加载项。
启动文件自动下载提示的 Web 页面制作人员应该在站点上提供一个指向这些下载的
链接。
加载项的发行者应该保证对先前控件的升级使用了相同的全局唯一标识符(GUID)
,确保用户不会看到针对这些升级的信息栏
返回页首
Internet Explorer 特性控制安全区域设置
特性控制安全区域设置有何作用?
本特性为 Windows XP Service Pack (SP) 2 引入的三个安全特性提供了更精确的
控制能力,帮助用户管理整个组织范围内的内部网应用程序的兼容性。添加了针对
MIME 嗅探(与 MIME 处理特性有关)和 Windows 限制有关的安全区域设置。有关
这些特性的更多信息,请参阅后文中针对每个特性的详细信息。
Windows?XP SP?2 提供了特性控制(Feature Control)注册表设置,以便可以对特
定进程是否使用某个特殊的安全特性进行配置。Internet Explorer 已经被配置为
使用 Windows Restrictions 安全特性:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureCont
rol\FEATURE_WINDOWS_RESTRICTIONS iexplore.exe=1
在进程被配置为使用某个安全特性后,如果实现了该特性,特性将一直运行而且安
全区域设置也可用。在Internet 选项 的 安全设置 选项卡中,用户可以选择是否
应用新的 Windows XP SP2 特性控制。如果您选择了 启用,会降低安全设置,并且
允许更不安全的运行行为,或者与 Service Pack 1 for Windows XP 采用同样的做
法。换句话说,在内部网安全区域中,如果它被设为 启用,Windows Restriction
s 将 不 被应用 —— 窗口的运行方式与 Windows XP SP1 中相同。通过将安全设
置设置为 禁用,Windows XP SP2 限制可以再次应用。
例如,如果该特性针对 Windows Restrictions 打开,该特性:
? 强迫在 Internet Explorer 中通过脚本启动的,带有标题栏的窗口(利用 wind
ow.open() 打开的窗口)开启状态栏。
? 限制通过脚本打开并且带有标题栏和状态栏的 Internet Explorer 窗口的大小和
位置,确保这些窗口的标题栏和状态栏总是对用户可见。
? 限制通过脚本打开并且没有标题栏和状态栏或者其它框架的弹出窗口,以便于它
们:
? 不会扩大到其父 Web 对象控件(WebOC)窗口的顶部或者底部之上。
? 小于其父 WebOC 窗口的高度。
? 在水平方向上覆盖其父窗口。
? 与其父窗口一同移动。
? 在 “Z” 方向上处于最前的位置,从而遮盖住其它窗口。
如果安全设置随后被设置为 启用,会允许打开的窗口没有 Windows Restrictions
。为了重新应用限制,区域的安全设置必须被设置为 禁用。操作将根据通过进程的
URL 来判定的安全区域加以应用。
本文详细讨论了每一个特性控件(Feature Controls)有关 URL Action 标志以及
它们与安全区域的关系的更多信息,请参阅 Microsoft Web 站点上的 “有关 URL
Security Zones 模板” :http://go.microsoft.com/fwlink/?LinkId=26001 [英
文]。
为某个特定添加安全区域设置使得用户或管理员可以根据风险大小选择不同的行为
。例如,在 Internet 区域中, http://www.contoso.com 默认为应用了 Windows
Restrictions 特性。本特性的一个元素会打开利用 window.open 方法打开的 In
ternet Explorer 窗口的状态栏上的一个图标。之所以添加该安全特性是为了帮助
用户确定窗口来自于某个可信来源。对于内部网上的 http://contoso,该特性默认
为关闭状态,由于企业的安全级别一般较高,所以此区域的风险较低。内部网应用
的运行与 Windows XP SP1 中并无二致,而且不会因为更多的安全限制而产生兼容
性问题。
本特性适用于哪些用户?
Web 应用程序的开发人员需要意识到 Windows XP SP2 根据程序所运行的区域,在
MIME 嗅探、区域提升阻止以及窗口限制等方面所添加的新的安全设置。
组策略的管理员可能希望调整每个区域的默认值,已满足所在组织的特定需求。
除非在组策略中通过策略进行阻止,否则用户可以通过控制面板中的 Internet 选
项,管理每个区域的安全区域设置(或者 URL 操作)的值。注意:本地计算机区域
无法通过控制面板进行设置。为了访问本地计算机区域,请点击 开始,点击控制面
板,点击 Internet 选项,点击 安全性 选项卡,点击一个 Web 安全区域,然后点
击 定制级别。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
针对 MIME 嗅探的区域设置
详细描述
Windows XP Service Pack 2 引入了一个新的特性控制注册表设置 —— FEATURE_
MIME_SNIFFING,根据一个 “MIME sniff” 将一种类型提升为另一种类型。MIME
嗅探是 Internet Explorer 根据某个数据位的签名对文件类型加以识别的过程。有
关 MIME 嗅探的更多信息,请参阅后文中的 “ 执行 Internet Explorer MIME 处
理 ”
当此注册表设置打开时,可以使用 URL 操作标志 URLACTION_FEATURE_MIME_SNIFF
ING 进一步控制每个独立安全区域的设置。在 安全设置 中,该 URL 操作由选项
根据内容而不是文件扩展名打开文件 加以表示。该选项有两个可能的值,启用 或
禁用:
? 如果选择了 根据内容而不是文件扩展名打开文件,对于该 Internet Explorer
特性控制,区域将与 Service Pack 1 for Windows XP 中一样得到保护。MIME Sn
iffing 控制特性将不会应用于该区域。安全区域将运行,而无需由本特性提供更多
的安全层。
? 如果您决定禁用本特性,存在潜在危害的操作将无法运行;该区域中的 Interne
t Explorer 安全特性将被打开,这正如针对该进程的特性控制设置所指出的。
下表列出了 URLACTION_FEATURE_MIME_SNIFFING 标志在每个安全区域中的默认值。
安全区域 默认值
本地计算机
(无法通过用户界面配置)
(无法通过用户界面配置)
启用
可信站点
启用
内部网
启用
Internet
禁用
受限站点
禁用
安全设置经常按照一个 URL 安全区域模板进行应用。对于 URLACTION_FEATURE_MI
ME_SNIFFING 标志,按照区域模板应用的 Windows XP SP2 默认值如下表所示:
安全模板 设置值
低
启用
中 - 低
启用
中
禁用
高
禁用
为什么此项修改是重要的?它有助于缓解哪些威胁?
正如开始所想像的,每个特性控制设置对于所有安全区域要么开启要么关闭。用户
的反馈意见表明需要对此设置进行更精确的调整。例如,某些组织的内部工作流依
赖于内部网应用程序。一个在 Internet 区域中保护用户的特性控制可能会导致某
个内部网应用停止工作。所以,Microsoft 增加了按照区域控制这些安全设置的能
力。
工作方式有何不同?
本文其它部分提到过的 MIME 嗅探是一个在 Windows XP Service Pack 2 中引入的
新特性。在应用 MIME嗅探安全特性时,按照区域添加安全设置提供了更大的灵活性
。这种灵活性使新安全特性的实现方式更容易管理,尤其对于内部网使用情境。
我应该如何解决这些问题?
如果怀疑针对 MIME 嗅探的特性控制设置会导致某个程序出现问题,可以在程序所
运行于的区域中启用该特性控制设置,让用户或管理员返回到 Windows XP SP1 的
做法,同时在其它安全区域中保持更高的安全性。
针对 URLACTION_FEATURE_ZONE_ELEVATION 的区域设置
详细描述
Windows XP Service Pack 2 引入了 URLACTION_FEATURE_ZONE_ELEVATION——一个
新的特性控制注册表设置,用于缓解许多特权提升攻击的危险。有关区域提升(Zo
ne Elevation)的更多信息,请参阅后文中的 “ Internet Explorer 区域提升阻
止”。
当此注册表设置打开时,可以使用 URL 操作标志 URLACTION_FEATURE_ZONE_ELEVA
TION 进一步控制每个独立安全区域的设置。在 安全设置 中,该 URL 操作由设置
Web 站点可以在较少限制的 Web 内容区域中打开新的窗口表示。
该 URL 操作有三个选项,启用、禁用 或 提示:
? 启用Web 站点可以在较少限制的 Web 内容区域中打开新的窗口 使得区域得到的
保护与在 Windows XP SP1 中相同。“区域提升”控制特性不会应用于此区域。该
安全区域将运行,而无需获得该特性提供的更多安全保护。
? 禁用 使得某些存在潜在危害的操作无法运行;正如该进程的特性控制设置所指出
的,此 Internet Explorer 安全特性在该区域中为开启状态。
? 提示 会向用户发出一个报警,告知可能具有的安全风险。
如果计算机安装了 Internet Explorer,会为每个安全区域设置 URLACTION_FEATU
RE_ZONE_ELEVATION 的以下默认值。
RE_ZONE_ELEVATION 的以下默认值。
安全区域 默认值
本地计算机
(不能通过用户界面进行配置)
禁用
可信站点
提示
内部网
提示
Internet
启用
受限站点
启用
安全设置经常按照某个 URL 安全区域模板应用于区域。下表列出了按照区域模板应
用的 URLACTION_FEATURE_ZONE_ELEVATION 标志的默认值。
安全模板 设置值
低
禁用
中 - 低
提示
中
启用
高
启用
为什么此项修改是重要的?它有助于缓解哪些威胁?
正如开始所想像的,每个特性控制设置对于所有安全区域要么开启要么关闭。用户
的反馈意见表明需要对此设置进行更精确的调整。例如,某些组织的内部工作流依
赖于内部网应用程序。一个在 Internet 区域中保护用户的特性控制可能会导致某
个内部网应用停止工作。所以,Microsoft 增加了按照区域控制这些安全设置的能
力。
工作方式有何不同?
后文中介绍的 Internet Explorer 区域提升阻止(Zone Elevation Blocks)是一
个在 Windows XP Service Pack 2 中引入的新特性。在应用 该安全特性时,按照
区域添加安全设置提供了更大的灵活性。这种灵活性使新安全特性的实现方式更容
易管理,尤其对于内部网使用情境。
我应该如何解决这些问题?
如果怀疑针对区域提升的特性控制设置导致程序出现问题,可以启用程序所运行于
的区域的特性控制设置,允许管理员或用户返回到 Windows XP SP1 的做法,同时
让其它安全区域仍然保有更高的安全性。
针对 URLACTION_FEATURE_WINDOW_RESTRICTIONS 的区域设置
详细描述
Windows XP Service Pack 2 引入了 URLACTION_FEATURE_WINDOW_RESTRICTIONS—
—一个新的特性控制注册表设置,限制了通过脚本打开的弹出窗口和包括标题和状
态栏的窗口。有关 Windows Restrictions 的更多信息,请参阅后文中的 “ Inte
rnet Explorer Windows Restrictions ”。
当此注册表设置为 “开启” 时,可以使用 URL 操作标志 URLACTION_FEATURE_WI
NDOW_RESTRICTIONS 进一步控制每个独立安全区域的设置。在 安全设置 中,该 U
RL 操作由 允许打开窗口时不施加安全限制代表。
该 URL 操作标志有两个选项,启用 或 禁用:
? 启用允许打开窗口时不施加安全限制 意味着该区域受到的保护与在 Windows XP
SP1 中相同。Windows Restrictions 安全性不会应用于该区域。安全性区域将运
行,而无需由该特性提供更多的安全保护。
? 禁用该特性意味着可能存在潜在危害的操作将无法运行;正如该进程的特性控制
设置所指出的,此 Internet Explorer 安全特性在该区域中为开启状态。
如果计算机上安装了 Internet Exlorer,下表列出了每个安全区域中 URLACTION_
FEATURE_WINDOW_RESTRICTIONS 标志的默认值。
安全区域 默认值
本地计算机
(无法使用 “安全设置” 进行配置)
启用
可信站点
启用
内部网
启用
Internet
禁用
受限站点
禁用
安全设置经常按照某个 URL 安全区域模板应用于区域。下表列出了按照区域模板应
用的 URLACTION_FEATURE_WINDOW_RESTRICTIONS 标志的默认值。
安全模板 设置值
低
低
启用
中 - 低
启用
中
禁用
高
禁用
为什么此项修改是重要的?它有助于缓解哪些威胁?
正如开始所想像的,每个特性控制设置对于所有安全区域要么开启要么关闭。用户
的反馈意见表明需要对此设置进行更精确的调整。例如,某些组织的内部工作流依
赖于内部网应用程序。一个在 Internet 区域中保护用户的特性控制可能会导致某
个内部网应用停止工作。所以,Microsoft 增加了按照区域控制这些安全设置的能
力。
工作方式有何不同?
后文中介绍的 Internet Explorer Internet Explorer Windows Restrictions(窗
口限制)是一个在 Windows XP Service Pack 2 中引入的新特性。在应用 该安全
特性时,按照区域添加安全设置可以提供更大的灵活性。这种灵活性使新安全特性
的实现方式更容易管理,尤其对于内部网使用情境。
我应该如何解决这些问题?
如果怀疑针对窗口限制的特性控制设置,可以在程序所运行的区域中启用该特性控
制设置,允许管理员或用户返回到 Windows XP SP1 的做法,同时让其它安全区域
仍然保有更高的安全性。
Web 开发人员可能还应该审查代码,确保他们理解了通过脚本打开的窗口 [ 使用
window.open() 或 window.createPopup() ] 现在所具有的限制。可能可以使用其
它方法打开一个具有这些限制的窗口或全屏模式,同时仍然提供他们想要的体验。
利用 window.open() 以交互方式打开的窗口,以及通过脚本但不是自动打开的窗口
仍然可以被配置为全屏模式或者不显示状态栏。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 默认值 可能的值
URLACTION _FEATURE_MIME_SNIFFING
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft \Windows\CurrentVersion \Interne
t Settings
HKEY_CURRENT_USER \SOFTWARE\Microsoft \Windows\CurrentVersion \Internet
Settings
按区域设置
启用、禁用
URLACTION _FEATURE_ZONE_ELEVATION
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft \Windows\CurrentVersion \Interne
t Settings
HKEY_CURRENT_USER \SOFTWARE\Microsoft \Windows\CurrentVersion \Internet
Settings
按区域设置
启用、禁用、提示
URLACTION _FEATURE_ WINDOW_RESTRICTIONS
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft \Windows\CurrentVersion \Interne
t Settings
t Settings
HKEY_CURRENT_USER \SOFTWARE\Microsoft \Windows\CurrentVersion \Internet
Settings
按区域设置
启用,禁用
为了能够在 Windows XP SP2 中使用,我需要修改代码吗?
如果代码使用默认的 URLmon 安全管理器,开发人员必须调用 CoInternetIsFeatu
reEnabledForURL ,检查区域的安全设置。
返回页首
组策略中的 Internet Explorer 特性控制设置
组策略中的 Internet Explorer 特性控制设置有何作用?
Windows XP Service Pack 2 为 Internet Explorer 引入了被称作 “特性控制”
(Feature Control)的新的注册表键和值。本部分将对每一个安全特性的新的特性
控制注册表设置的特定行为进行讨论。
修改后的 Inetres.adm 文件包含了作为策略的新的特性控制设置。管理员可以使用
组策略对象(GPO)管理新的特性控制策略。在安装 Internet Explorer 的时候,
这些特性控制的默认参数设置保存在计算机的 HKEY_LOCAL_MACHINE 中。
本特性适用于哪些用户?
组策略管理员可以为所管理的计算机和用户统一配置新的 Internet Explorer 特性
控制设置。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
组策略 Internet Explorer 设置
详细描述
新的特性控制策略包括:
? 二进制行为安全限制
? MK 协议安全限制
? 本地计算机区域锁定
? 一致的 MIME 处理
? MIME 嗅探安全特性
? 对象缓存保护
? MK 协议安全限制
? 本地计算机区域锁定
? 一致的 MIME 处理
? MIME 嗅探安全特性
? 对象缓存保护
? MK 协议安全限制
? 本地计算机区域锁定
? 一致的 MIME 处理
? MIME 嗅探安全特性
? 对象缓存保护
编辑注册表进行修改。
在企业网络中,我们建议使用组策略管理客户机上的 Internet Explorer。Intern
et Explorer 支持用户通过组策略管理 Windows XP Service Pack 2 中的所有新特
性。
我们建议解决方案提供商和程序开发人员使用 Internet Explorer 管理工具包(I
EAK)6 Service Pack 1 定制 最终用户的 Internet Explorer、(更多信息,请参
阅 Microsoft Web 站点上的 “Microsoft Internet Explorer 6 管理工具包 Ser
vice Pack 1”: http://go.microsoft.com/fwlink/?LinkId=26002 [英文]。IEA
K 6 SP1 生成的定制程序包会在 运行于 Windows XP SP2 之上的 Internet Explo
rer 中透明地应用设置,但是不会安装任何二进制文件。不支持使用 IEAK 6 SP1管
理企业桌面。
为什么此项修改是重要的?它有助于缓解哪些威胁?
通过在组策略中添加新的 Internet Explorer 特性控制策略,管理员可以管理这些
策略,为他们配置的所有计算机建立标准的安全设置。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
Windows XP Service Pack 2 为组策略添加了新的策略,但是没有修改管理策略的
方式。开发人员需要认识到每个特性控制设置如何影响程序的安全行为。以下将针
对每个具体特性介绍新行为对程序开发的影响。
返回页首
组策略中的 Internet Explorer UrlAction 设置
组策略中的 Internet Explorer UrlAction 设置有何作用?
Windows XP Service Pack 2 在 Internet Explorer 的 安全性 选项卡中引入了针
对可配置操作的真策略。这些操作会允许安全区域出现不太安全的行为。在 Windo
ws XP Service Pack 1 中,用户可以通过 Internet Explorer 的用户界面修改这
些操作 。管理员可以使用 IEM/IEAK 管理单元,为这些操作分配标准设置。在本版
本中,这些安全设置使用组策略过程进行管理,而且,如果进行了设置,只能由一
个组策略对象(GPO)或管理员进行修改。
修改后的 Inetres.adm 文件包含作为策略的新的 URLAction 设置。管理员可以使
用组策略对象(GPO)管理新的特性控制策略。如果安装了 Internet Explorer,如
同先前版本一样,这些设置的默认 HKEY_CURRENT_USER 参数设置会保存在计算机中
。管理员必须使用 “组策略管理”(Group Policy Management)Microsoft 管理
控制台(MMC)管理单元添加作为策略的 urlAction。
本特性适用于哪些用户?
组策略的管理员可以为所管理的计算机和用户统一配置新的 Internet Explorer u
rlAction 策略。如果管理员决定设置所选的 urlActions,而不是所有 urlAction
s,告知最终用户哪些操作由策略控制十分重要,因为这些操作不会对用户的喜好设
置做出反应。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
组策略 Internet Explorer 设置
详细描述
以下定义适用于 Windows XP SP2 的 Internet Explorer 设置:
? 安全区域:Internet、内部网以及本地计算机。此外,还有一些特殊的区域设置
:本地计算机区域锁定(Local Machine Zone Lockdown)、可信站点(Trusted S
ites)和受限站点(Restricted Sites)。
? 模板:针对安全区域中的所有 urlActions 的标准设置。模板可以应用于任何区
域,其设置可以为区域提供低安全性、中低安全性、中安全性以及高安全性。
域,其设置可以为区域提供低安全性、中低安全性、中安全性以及高安全性。
? urlActions:注册表中的安全设置,确定应该根据 URL 所处的安全区域对特性采
取何种操作。urlAction 的例子包括:启用、禁用和提示。
? urlAction 策略:urlAction 策略可以通过启用想要的 urlAction 策略来分别添
加,然后,可以选择策略的注册表键值的设置。他们还可以按照区域模板来设置。
Internet Explorer 将按照如下顺序查找策略:
? HKEY_LOCAL_MACHINE 策略单元
? HKEY_CURRENT_USER 策略单元
? HKEY_CURRENT_HKEY_LOCAL_MACHINE 参数单元
如果 Internet Explorer 在 HKEY_LOCAL_MACHINE 中找到了一个策略,它便停止查
找不再继续;那就是它期望的设置。如果 Internet Explorer 没有在 HKEY_LOCAL
_MACHINE 中找到策略,会继续查找 HKEY_CURRENT_USER 策略单元,依此类推。管
理员可以设置一个或多个区域中的一个或多个 urlAction 的策略,并且允许最终用
户设置那些不需要策略级安全管理的 urlAction 的参数。
urlAction 的策略值
新的 urlAction 策略与其相关的参数键拥有相同的数值型值。下表提供了这些 ur
lAction 的一个参考:
键 策略 默认 urlAction
1001
下载经过签署的 ActiveX 控件
下载经过签署的 ActiveX 控件
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1004
下载未签署的 ActiveX 控件
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1200
1200
运行 ActiveX 控件和插件
"管理员批准"=0x00010000
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1405
被标记为可以安全地编写脚本的脚本 ActiveX 控件
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
"提示"=0x00000001
2000
二进制行为
"启用"=0x00000000
"禁用"=0x00000003
1803
文件下载
"启用"=0x00000000
"禁用"=0x00000003
1604
字体下载
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1C00
Java 权限
"高安全性"=0x00010000
"中安全性"=0x00020000
"低安全性"=0x00030000
"低安全性"=0x00030000
"定制"=0x00800000
"禁用 Java"=0x00000000
1F00
Microsoft Java VM
"启用"=0x00000000
"禁用"=0x00000003
1406
跨域访问数据源
"启用"=0x00000000
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1608
允许 META REFRESH
"启用"=0x00000000
"禁用"=0x00000003
1609
显示混和内容
"启用"=0x00000000
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1A04
如果没有证书或者仅存在一个证书,则不提示用户选择客户证书
"启用"=0x00000000
"禁用"=0x00000003
1802
拖放或者复制、粘贴文件
"启用"=0x00000000
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1800
安装桌面项目
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1804
在一个 IFRAME 中启动程序或文件
在一个 IFRAME 中启动程序或文件
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1607
跨越不同的域导航子框架
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1E05
软件频道权限
"高安全性"=0x00010000
"中安全性"=0x00020000
"低安全性"=0x00030000
1601
提交未加密的表单数据
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1606
用户数据的持久性
"启用"=0x00000000
"禁用"=0x00000003
1400
活动脚本
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1407
允许通过脚本实现的粘贴操作
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
1402
编写 Java 脚本小程序
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
"提示"=0x00000001
1809
使用弹出窗口阻止程序
"启用"=0x00000000
"禁用"=0x00000003
1A00
登录
"匿名登录"=0x00030000
"仅在内部网区域内自动登录"=0x00020000
"利用当前用户名和密码自动登录"=0x00000000
"利用当前用户名和密码自动登录"=0x00000000
"提示用户名和密码"=0x00010000
2100
根据内容而不是文件扩展名打开文件
"启用"=0x00000000
"禁用"=0x00000003
2101
Web 站点可以在一个具有较少限制的 Web 内容区域中打开新窗口
"启用"=0x00000000
"禁用"=0x00000003
"提示"=0x00000001
2102
允许窗口打开时不应用安全限制
"启用"=0x00000000
"禁用"=0x00000003
2200
允许下载文件或代码时出现自动提示
"启用"=0x00000000
"禁用"=0x00000003
"禁用"=0x00000003
组策略设置路径
? Group Policy 用户界面:
? 按照安全区域的 urlAction 的 HKEY_LOCAL_MACHINE 策略:
\Computer Configuration\Administrative Templates\Windows Components\Inte
rnet Explorer\Internet Control Panel\Security Page
? 按照安全区域的 urlAction 的 HKEY_CURRENT_USER 策略:
\User Configuration\Administrative Templates\Windows Components\Internet
Explorer\Internet Control Panel\Security Page
? 注册表(HKEY_LOCAL_MACHINE 或 HKEY_CURRENT_USER):
? 本地计算机区域策略值的位置:
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zon
es\0
? 本地计算机区域锁定策略值的位置:
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Loc
kdown-Zones\0
? 内部网区域策略值的位置:
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zon
es\1
? 可信站点位置的策略:
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zon
es\2
? Internet 区域策略值的位置:
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zon
es\3
? 受限站点策略值的位置:
Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zon
es\4
配置 urlAction 策略
在配置 urlAction 策略时,管理员可以启用或禁用该策略,然后将设置设为想要的
值。为了删除该键,可以将策略设置为 “未配置”(Not Configured )。用户可
以使用 regedit.exe 读取策略,但是不能修改策略,除非他们拥有管理员权限。特
性控制和 urlAction 策略应该使用组策略对象编辑器进行设置。参数设置可以通过
编程或者编辑注册表来进行修改,对于 urlActions 的情况,也可以使用 Interne
t Explorer 进行修改。
组策略的管理员可以在组策略对象编辑器的管理模板扩展中管理这些新策略。我们
建议使用组策略来管理企业网络上的客户机的 Internet Explorer。Internet Exp
lorer 支持使用组策略管理 Windows XP SP2 中所有的新功能,以及所有 “安全性
” 选项卡中的 urlActions。
IEAK/IEM
与 Windows XP Service Pack 2 之前的 Internet Explorer 相比,IEAK 支持和
IEAK/IEM 进程没有发生变化。该进程在使用 IEAK/IEM 设置没有被此特性覆盖的用
户设置方面也没有发生变化。对于 Windows?XP SP2 之前的操作系统和先前版本的
Internet Explorer,我们建议解决方案提供商和应用程序开发人员使用 Interne
t Explorer Administration Kit (IEAK)?6 Service Pack?1 为最终用户定制 Int
ernet Explorer。(更多相关信息,请参阅 Microsoft Web 站点上的 “ Microso
ft Internet Explorer 6 Administration Kit Service Pack 1”:http://go.mi
crosoft.com/fwlink/?LinkId=26002 [英文]。
为什么此项修改是重要的?它有助于缓解哪些威胁?
通过在组策略中添加新的 Internet Explorer urlAction 策略,管理员可以管理这
些策略,为他们配置的所有计算机建立标准的安全设置。管理员可以用这样一种方
式控制这些设置:除了使用组策略或者用户拥有管理员权限之外,设置无法被修改
,以确保 urlAction 设置不会因最终用户的设置而覆盖某个特性控制策略或参数设
置。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
Windows XP Service Pack 2 向组策略添加了新的策略,但是没有修改管理策略的
方式。开发人员需要认识到每个特性控制和 urlAction 设置或者设置组合是如何对
每个安全区域中与安全性有关的程序行为进行影响的。
如需获得更大的安全性,管理员应该启用所有区域的策略,以便存在一个由策略进
行设置的已知配置,而不是一个从 HKEY_LOCAL_MACHINE 或 HKEY_CURRENT_USER 参
数设置中读取出的未知设置(不是由策略进行设置),我们建议启用禁用了 安全性
页的策略,它会使 Internet Explorer 中的相关用户界面无法使用。
特性控制策略
管理员还应该理解特性控制( Feature Control )策略设置。部分 urlAction 设
置将无效,除非相应的特性控制策勒被启用。Internet Explorer 执行检查,看看
该特性是否被启用,然后根据 URL 的安全区域查找操作的设置。
区域地图策略
为策略添加区域地图键(Zone Mapkeys)的当前方法如下:The current method f
or adding to policy is as follows:
? 使用 Internet Explorer 用户界面向注册表添加可信站点和受限站点。
? 将单元 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Int
ernet Settings\ZoneMap 导出为一个 .reg 文件。
? 编辑该文件,然后在路径名中插入单词 “Policies”
? 使用管理员权限读入 .reg 文件
例如,在创建了导出文件之后,路径名为:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Se
ttings\ZoneMap
为了将 .reg 键读入到策略单元,路径应该包括一个“policies” (如下所示),
然后被管理员读入到注册表中:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Int
ernet Settings\ZoneMap
以下是一个被导出的 .reg 文件的例子,其结构针对将要被加载到策略单元进行组
织:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap]
@=""
"ProxyByPass"=dword:00000001
"IntranetName"=dword:00000001
"UNCAsIntranet"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\Domains]
@=""
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\Domains\microsoft.com]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\Domains\microsoft.com\msdn]
"http"=dword:00000002
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion
\Internet Settings\ZoneMap\Ranges]
@=""
在区域和模板中每个 urlAction 的默认值
每个 urlAction 都有一个针对每个区域进行分别设置的默认值,该值在应用某个指
定模板时被设置。下表介绍了每个区域的默认值:
键 策略 区域/模板设置 默认 urlAction
1001
下载经过签署的 ActiveX 控件
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
提示
启用
启用
提示
提示
禁用
启用
提示
提示
禁用
1004
下载未经签署的 ActiveX 控件
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
提示
禁用
禁用
禁用
提示
禁用
禁用
禁用
1201
初始化和脚本 ActiveX 控件不标记为安全
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
提示
提示
禁用
禁用
禁用
提示
禁用
禁用
禁用
1200
运行 ActiveX 控件和插件
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1405
脚本 ActiveX 控件标记为可以安全地编写脚本
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
2000
二进制行为
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1803
文件下载
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1604
字体下载
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
提示
启用
启用
启用
提示
1C00
Java 权限
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
高安全性
中安全性
低安全性
中安全性
启用高安全性
禁用 Java
低安全性
中安全性
高安全性
禁用 Java
1F00
Microsoft Java VM
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1406
跨域访问数据源
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
提示
启用
启用
提示
禁用
禁用
启用
提示
禁用
禁用
1608
允许 META 刷新
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1609
显示混和内容
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
提示
提示
提示
提示
提示
提示
提示
提示
提示
提示
1A04
如果没有证书或仅存在一个证书,不提示用户选择客户证书
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
禁用
禁用
启用
启用
禁用
禁用
1802
拖放或者复制、粘贴文件
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
提示
启用
启用
启用
提示
1800
安装桌面项目
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
提示
启用
启用
提示
提示
禁用
启用
提示
提示
禁用
1804
在 IFRAME 中启动程序或文件
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
提示
启用
启用
提示
提示
禁用
启用
提示
提示
禁用
1607
在跨越不同域的子框架间导航
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1E05
软件频道权限
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
中安全性
低安全性
低安全性
中安全性
中安全性
高安全性
低安全性
中安全性
中安全性
高安全性
1601
提交未加密的表单数据
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
提示
提示
启用
启用
提示
提示
1606
用户数据的持久性
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1400
活动脚本
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1407
允许通过脚本实现的粘贴操作
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1402
编写 Java 小程序脚本
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
1809
使用弹出窗口阻止程序
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
启用
禁用
禁用
禁用
启用
启用
禁用
禁用
启用
启用
1A00
登录
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
仅在内部网区域中自动登录
利用当前用户名和密码自动登录
利用当前用户名和密码自动登录
仅在内部网区域中自动登录
仅在内部网区域中自动登录
提示输入用户名和密码
利用当前用户名和密码自动登录
仅在内部网区域中自动登录
仅在内部网区域中自动登录
提示输入用户名和密码
2100
根据内容而不是文件扩展名打开文件
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
禁用
禁用
启用
启用
禁用
禁用
2101
Web 站点可以在一个具有较少限制的 Web 内容区域打开新窗口
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
禁用
提示
提示
启用
启用
禁用
提示
启用
启用
2102
允许窗口打开时不应用安全限制
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
禁用
禁用
启用
启用
禁用
禁用
2200
下载文件或代码时允许自动提示
本地计算机锁定
本地计算机
可信站点
内部网
Internet
受限站点
低
中 - 低
中
高
禁用
启用
启用
启用
启用
禁用
启用
启用
启用
禁用
说明:有关使用组策略的更多信息,请参阅 Microsoft Web 站点上 “ 实现基于注
册表的组策略” :http://go.microsoft.com/fwlink/?LinkId=28188 [英文]。
有关使用 Internet Explorer 安全区域和隐私设置的更多信息,请参阅 Microsof
t 知识库站点上的 “ Internet Explorer 安全区域的注册表项目 [英文]” :ht
tp://go.microsoft.com/fwlink/?LinkId=28195 [英文].
返回页首
Internet Explorer 本地计算机区域锁定(Local Machine Zone Lockdown)
本地计算机区域锁定有何作用?
在 Internet Explorer 打开一个 Web 页的时候,会根据页面所处的 Internet Ex
plorer 安全区域, 对页面能够执行的操作施加一定的限制。有几种可能的安全区
域,每一种都具有不同的限制类型。页面的安全区域由它的位置决定。例如,位于
Internet 之上的页面一般处于具有更多限制的 Internet 安全区域。可能不允许
它们执行某些操作,例如访问本地硬盘驱动器。位于企业网络上的页面一般位于 I
ntranet(内部网)安全区域,而且具有较少的限制。与大多数这些区域有关的具体
限制可以由用户通过 工具 菜单上的 Internet 选项 进行配置。
在 Windows?XP Service Pack ?2 之前,本地文件系统中的内容(包括 Internet
Explorer 的缓存)被认为是安全的,而且被划分到 “本地计算机” 安全区域中。
安全区域一般允许内容以相对较少的限制在 Internet Explorer 中运行。但是,攻
击这经常试着利用本地计算机区域来提升全县和损害计算机的安全性。
Windows?XP SP2 对 Internet Explorer 的修改减轻了很多涉及本地计算机区域的
漏洞利用代码所造成的危害。但是,攻击这仍然可以找到利用本地计算机区域的方
法。Windows XP SP2 通过默认锁定本地计算机区域来进一步保护用户的安全。在其
他应用程序中托管的本地 HTML 将在具有较少限制和先前默认值的本地计算机区域
中运行,除非应用程序利用了 “本地计算机区域锁定”。
管理员可以使用组策略管理本地计算机区域锁定,更容易地将其应用于计算机组。
本特性适用于哪些用户?
所有的应用程序开发人员都应该重视此特性。在 Internet Explorer 中托管本地
HTML 文件的应用程序可能会受影响。托管 Internet Explorer 的独立应用程序的
开发人员应该修改他们的程序,以利用本地计算机区域锁定。
默认情况下,本地计算机区域锁定仅仅针对 Internet Explorer 启用。开发人员需
要注册他们的程序以便利用此项改进。没有使用此缓解措施的程序应该自行检查程
序遭受本地计算机区域攻击的危险程度。
开发托管 Internet Explorer 的软件的开发人员应该按照后文中的介绍,将进程名
称添加到注册表中,以便使用此特性。将来,Microsoft 可能使用一种 “opt-out
” 策略而不是 “opt-in” 策略来实现此特性。应该对托管 Internet Explorer
的应用程序进行测试,确保它们可以在对进程启用了本地计算机区域锁定之后可以
正常工作。
忘了管理员可能编写了会受这些限制影响的本地脚本。管理员应该寻找可用的解决
办法,让本地脚本能够运行,同时不损害客户机的安全性。
在 Internet 或本地 Intranet 区域上托管的 Web 站点的开发人员应该不会受到本
地计算机区域的此项修改的影响。
地计算机区域的此项修改的影响。
如果程序与这些更加严格的限制措施不兼容,那么使用这些程序的用户可能会受到
影响。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
对本地计算机区域安全设置的修改
详细描述
在 Windows XP Service Pack 2 中,本地计算机区域锁定比 Internet 区域具有更
严格的限制。无论任何时候,只要内容试图执行上述操作之一,Internet Explore
r 的信息栏便会出现,并且显示如下信息:
为了保证安全性,Internet Explorer 已经限制该文件显示能够访问您的计算机的
活动内容。请点击此处查看更多选项...
用户可以点击信息栏,取消对受限制内容的锁定。
用来控制为在本地计算机区域中运行的内容授予的权限的安全设置被称为 URL 操作
。如果在一个给定进程上应用了本地计算机区域锁定,那么它会将 URL 操作的行为
从 允许 修改为 不允许。所以,脚本和 Active X 控件将无法运行。URL 操作包括
:
? URLACTION_RUN_SCRIPT
? URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX
? URLACTION_ACTIVEX_RUN.
? URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY
? URLACTION_CLIENT_CERT_PROMPT
? URLACTION_BEHAVIOR_RUN.
? URLACTION_JAVA_PERMISSIONS.
对于本地计算机区域锁定,这些设置保存在一个单独的注册表键中:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Set
tings\Lockdown_Zones\0
默认的本地计算机区域 URL 操作设置可以在以下位置找到:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Set
tings\Zones\0
为什么此项修改是重要的?它有助于缓解哪些威胁?
此项又该有助于防止用户计算机上的内容被提升权限。拥有经过提升的权限的代码
可以通过某个 ActiveX 控件或者利用脚本读取信息来运行任何代码。
工作方式有何不同? 存在依赖性吗?
如果某个 Web 页面使用了先前列出的任何受限类型的内容,如前所述,Internet
Explorer 会在信息栏上显示信息。
驻留在本地计算机上的 res: 协议上的 HTML 文件会在 Internet 区域的安全设置
之下自动运行。有关这些模板所允许操作的更多信息,请参阅 MSDN Web 站点 上的
“ URL 安全区域介绍”:http://go.microsoft.com/fwlink/?LinkId=26003 [英
文]。
我应该如何解决这些问题?
如果您的 Web 页需要运行 ActiveX 或脚本,可以在 HTML 代码中添加一个 Web 注
释标记(Mark)。此 Internet Explorer 特性可以强迫 HTML 文件进入一个本地计
算机区域以外的区域,以便能够利用指定的安全模板运行脚本或 ActiveX 控件。此
设置适用于 Internet Explorer?4 及其后版本。为了在 HTML 文件中插入一个 We
b 注释标记,可以添加以下注释之一:
<!-- saved from url=(0022)http://www.yoururl.com -->
如果需要识别并且利用页面所位于的 Internet 或内部网域来替换http://www.you
rurl.com,可以使用该注释插入一个 Web 注释标记。
<!-- saved from url=(0013)about:internet -->
如果需要一般性地插入一个 Web 标记,可以使用此注释。
作为Windows XP SP2 对 Internet Explorer 所进行修改的一部分,此 HTML 注释
还可以用于 .mht 文件(又称为多部分HTML文件) 。在早起版本的 Internet Exp
lorer 中,Web 标记(Mark of the Web)不能用于 .mht 文件。
作为另一种选择,您可以创建一个在 Internet Explorer Web 对象控件(WebOC)
中托管 HTML 内容的单独应用程序。然后,HTML 所应用的绑定规则不再与在 Inte
rnet Explorer 中运行的内容所适用的规则相同。如果 HTML 内容运行于另一个进
程之中,它可以拥有开发人员或区域策略为该进程所定义的全部权限。
实现此目的的一种容易方法就是将内容保存为一个 .hta(HTML 应用程序)文件,
并且试着再次在本地计算机区域中运行文件。.hta 文件位于一个不同的进程之中,
所以不受此措施的影响。但是,.hta 文件运行时拥有全部权限,所以不应该允许不
受信任的代码以此方式运行。
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
开发人员应该对程序进行测试,并且启用锁定,以便提供更高的安全性。独立应用
程序的开发人员应该计划在他们托管 Internet Explorer 的程序中采纳这些修改。
以前被允许在本地计算机区域中提升权限的 ActiveX 控件的开发人员应该修改他们
的控件,以允许在其它区域中提升权限。事实上,应该转换这些控件,只从一个 H
TML 程序(.hta 文件)或本地计算机区域锁定以外的独立程序中执行。
默认情况下,本地计算机区域锁定没有针对非 Internet Explorer 进程启用。开发
人员必须明确地注册他们的程序,以利用此项修改。没有使用此项措施的应用程序
的开发人员应该独立检查程序受本地计算机区域攻击的危险程度。为了启用程序的
本地计算机区域锁定,可以找到以下注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureCont
rol\FEATURE_LocalMachine_Lockdown
向该键添加一个 REG_DWORD 值并且以程序的名称对其进行命名(例如,MyApplica
tion.exe),然后将其设为 1。 该值的所有其它设置将禁用程序的本地计算机区域
锁定。
返回页首
Internet Explorer MIME Handling Enforcement
MIME Handling Enforcement(应用 MIME 处理)有何作用?
Internet Explorer 使用了多用途 Internet 邮件扩展(Multipurpose Internet
Mail Extensions,MIME)类型信息来确定如何处理 Web 服务器发送的文件。例如
,如果有一个对 .jpg 文件的超文本传输协议(HTTP)请求,在收到请求后,一般
会向用户显示一个 Internet Explorer 窗口。如果 Internet Explorer 收到一个
可执行文件,Internet Explorer 通常会提示用户就如何处理该文件做出决定。
在 Windows XP Service Pack 2 中,Internet Explorer 将遵循更严格的规则,这
些规则旨在减少用户受到 Intenet Explorer MIME 处理逻辑欺骗的可能。
本特性适用于哪些用户?
Web 开发人员需要意识到这些新的限制,以便就它们对 Web 站点可能产生的影响做
出规划和寻找解决办法。
应用程序的开发人员应该考虑此特性,为在程序中融入此特性做好准备。在非 Int
enet Explorer 程序中,该特性默认情况下没有被启用,开发人员需要注册他们的
程序,以便利用此项修改。
最终用户会因为某些站点与这些更严格的规则不兼容而受到影响。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
应用 MIME 处理文件类型协议
详细描述
在文件提交给客户端后,Internet Explorer 使用以下信息决定如何处理文件:
? 文件扩展名和与该扩展名相关联的处理程序的 ProgID。
? 从 HTTP 标头(MIME 类型)中获得的内容类型,以及与内容或 MIME 类型相关联
的已注册处理程序的 ProgID。
? 根据 HTTP 头的内容部署。
? MIME 嗅探的结果。
在 Windows XP Service Pack 2 中,Internet Explorer 要求 Web 服务器提供的
所有文件类型信息都是一致的。
Internet Explorer 将在浏览器处理文件的方式以及 Windows Shell 处理文件的方
式之间要求一致性。通过使用上面所列出的数据,Internet Explorer 会对已注册
MIME 处理程序的 ProgID 与处理文件关联的程序的 ProgID 进行比较。如果这两
个 ProgID 相互不匹配,Internet Explorer 会试着在已注册 MIME 处理程序中加
载文件,但是如果处理程序无法加载文件,文件将不会被执行。
此外,如果文件的 MIME 类型是“text/plain”,但是 MIME 嗅探表明,文件实际
上是一个 HTML、媒体或可执行文件,Internet Explorer 将不会把文件的权限提高
到超出服务器所声明的 MIME 类型的权限。在一次 MIME 嗅探中,Internet Explo
rer会检查——或者说 嗅探——一个文件,以便能够识别特定文件类型所具有的签
名。如果错误配置了托管 HTML 文件的 Web 服务器,但是在 HTTP 标头中以 “te
xt/plain” 作为内容类型(Content-Type),Internet Explorer会以纯文本形式
显示文件,而不是用 HTML格式。对于具有不正确 Content-Type 标头的高权限多媒
体文件、可执行文件或其它文件,用户也会遇到类似问题。
体文件、可执行文件或其它文件,用户也会遇到类似问题。
此项修改不会影响具有 “ content-disposition=attachment”标头的文件。在这
种情况下,以文件名或扩展名作为最终的判定条件,判定结果而不会因为 MIME 嗅
探发生变化。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果服务器报告了错误的文件类型信息,而且已经将这些信息保存在计算机上,文
件随后可能无法得到正确的处理。例如,在上面的例子中,Internet Explorer 可
能会下载文件,假定它是一个文本文件。如果文件的扩展名为.exe,文件可能会在
不提示用户的情况下被运行。
工作方式有何不同? 存在依赖性吗?
Internet Explorer 重新命名 Internet Explorer 缓存中的文件,以便在各种程序
处理该文件的方式上求得一致。
由于上述这种做法,Web 开发人员可以隔离不工作的应用程序,关闭其功能,具体
方法参见后文中的 “设置” 一节。
我应该如何解决这些问题?
Web 开发人员必须修改托管文件的 Web 服务器,在标头和文件扩展名上取得一致。
MIME 嗅探文件类型提升
详细描述
确定文件类型的标准之一便是 MIME 嗅探的结果。通过检查(或嗅探)一个文件,
Internet Explorer 可以识别特定类型的文件的签名特征。在 Windows XP Servic
e Pack 2 中,Internet Explorer MIME 嗅探从来不会将某种文件类型提升为危险
性更高的另一种类型。例如,文件以纯文本形式接收,但是却包含 HTML 代码,那
么不会将文件类型提升为 HTML 类型,因为 HTML 文件可能包含恶意代码。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果没有其它的文件类型信息,MIME 嗅探可能是用来确定所下载文件的处理方法的
唯一信息来源。例如,如果 Internet Explorer 将某个文本文件升级为一个 HTML
文件,文件便可以在浏览器中执行代码,以及提升文件的安全权限。
工作方式有何不同? 存在依赖性吗?
没有在文件中包含正确的 Content-Type 标头和为 HTML 页面使用非标准文件扩展
名的 Web 服务器现在可能会以纯文本形式呈现页面,而不是用 HTML 格式。
我应该如何解决这些问题?
应该配置 Web 服务器使用正确的 Content-Type 标头,或者使用与文件处理程序相
对应的正确的文件扩展名命名文件。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 先前默认值(如果有) 默认值 可能的值
IExplore.exe
Explorer.exe
HKEY_LOCAL_MACHINE(or Current User)\Software \Microsoft \Internet Explo
rer\Main \FeatureControl \FEATURE_MIME_HANDLING\
无
1
0 (关),
1 (开)
IExplore.exe
Explorer.exe
HKEY_LOCAL_MACHINE(or Current User)\Software \Microsoft \Internet Explo
rer\Main \FeatureControl\FEATURE_MIME_SNIFFING\
无
1
0 (关),
1 (开)
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
您应该配置 Web 服务器使用正确的 Content-Type 标头。或者使用与文件处理程序
相对应的正确的文件扩展名命名文件.
返回页首
Internet Explorer 对象缓存(Object Caching)
对象缓存有何作用?
在附带了 Internet Explorer 的先前版本的 Windows 中,某些 Web 页面可以访问
被缓存的来自其它 Web 站点的对象。在 Windows XP Service Pack 2 中,如果对
象切换到一个新的域,指向对象的引用将不再能够被访问。
本特性适用于哪些用户?
Web 开发人员应该认真考虑本特性,并且在自己的 Web 站点中融入此项修改。
应用程序开发人员应该认真考虑本特性,并且在自己的应用程序中融入此项修改。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
无。但是对现有功能进行了扩展。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
在进入一个不同的域时,安全上下文将变得无效。
详细描述
对于 Windows XP Service Pack 2,所有可编写脚本的对象现在有了一个新的安全
上下文,对所有被缓存对象进行的访问都会被阻止。除了在跨域导航时阻止访问之
外,在同一个域中进行导航时的访问操作也会被阻止。(在此上下文中,域被定义
为一个完全合格的域名,或者说 FQDN。)在上下文因为导航而发生变化后,指向对
象的引用将不再有效。
为什么此项修改是重要的?它有助于缓解哪些威胁?
在 Internet Explorer?5.5 之前,跨 HTML 页面(或者到子框架)的导航会清除
MSHTML实例,而 MSHTML是 Microsoft 的 HTML 分析和呈现引擎。在 Internet Ex
plorer?5.5 中,出现了本机框架(Native Frames)架构—— 一个 MSHTML 实例可
以跨越导航操作生存。这引入了一种全新类型的安全漏洞,因为对象可以跨越导航
而被缓存。如果对象可以被缓存,并且能够提供对其它域中的 Web 页面内容的访问
,那么就存在一个跨域漏洞。
一旦您获得了内部文档的属性,页面所在域外部的脚本便可以访问内部页面的内容
。这种现象违反了 Internet Explorer 的跨域安全模型。
例如,您可以使用这种方法创建可以侦听其它框架中的事件或内容的脚本,例如在
其它框架中输入的信用卡号码或者其它敏感数据。
工作方式有何不同? 存在依赖性吗?
在几个还没有此功能的类中,增加了4个以上的字节作为缓存标记。它应该不会对速
度造成明显的影响。
我应该如何解决这些问题?
对于大多数此类漏洞,Internet Explorer?5 可能会崩溃,所以解决漏洞利用代码
所面临的程序兼容性风险应该比较小。其它应用程序可能需要针对具体情况进行具
体分析。
Windows XP Service Pack 2 增加或修改了哪些设置?
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 先前默认值(如果有) 默认值 可能的值
IExplore.exe
Explorer.exe
HKEY_LOCAL_MACHINE (or Current User)\Software \Microsoft \Internet Expl
orer\Main \FeatureControl \FEATURE_OBJECT_CACHING
无
1
0 (关)
1 (开)
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
如果您的应用程序得到了 “拒绝访问” 错误,那么必须在使用脚本访问它之前,
重新缓存该对象。在下例中,当对文档对象的 designMode 属性进行设置时,安全
上下文是无效的。
????var d = myFrame.document;
????d.designMode = "On";
????d.open();??<-------------------------causes permission denied error
Fixed script example
????var d = myFrame.document;
????d.designMode = "On";
????d = myFrame.document;?? // re-establish pointer to document object.
????d.open();
返回页首
Internet Explorer Pop-up Blocker
Pop-up Blocker(弹出窗口阻止程序)有何作用
Pop-up Blocker(弹出窗口屏蔽程序)可以屏蔽大多数烦人的弹出窗口。最终用户
点击链接打开的弹出窗口不会被屏蔽。
最终用户和 IT 管理员可以允许特定的域打开通过编程打开的弹出窗口。开发人员
可以在使用了 Internet Explorer 的应用程序中使用或扩展弹出窗口功能。
本特性适用于哪些用户?
对于最终用户来说,在浏览 Web 时将更加舒心,因为烦人的弹出窗口不会再自动出
现了。
对于 Web 开发人员,Pop-up Blocker 会影响到由 Web 站点打开的窗口的行为,例
如,通过使用 window.open() 和 showHelp() 方法打开的窗口。
对于应用程序开发人员,提供了一个被称为 InewWindowManager 的新的用户接口。
使用 Internet Explorer 中的内容呈现引擎显示 HTML 的应用程序可以选择使用或
使用 Internet Explorer 中的内容呈现引擎显示 HTML 的应用程序可以选择使用或
扩展 Pop-up Blocker 功能。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
Pop-up Blocker 是 Internet Explorer 的一个新特性,它可以被分为三个部分:
? 用户体验的变化、默认和高级选项。
? 当前应用程序编程接口(API)的行为发生的变化,例如 window.open 和 showH
elp。
? 新的 INewWindowManager 界面允许应用程序使用 Internet Explorer 的弹出窗
口屏蔽技术。
Pop-up Blocker 的功能
详细描述
默认
Pop-up Blocker 默认为开启状态。无论 Pop-up Blocker 的设置如何,弹出窗口的
大小和位置都存在一定的限制:弹出窗口不能过大或者超出桌面的可视区域。更多
信息,请参阅本文后面的 “窗口限制” 部分。
如果启用了该功能,可以屏蔽自动打开和在后台打开的弹出窗口,但是用户点击链
接打开的窗口仍然可以正常显示。注意:“可信站点” 和 “本地内部网” 区域中
的站点所打开的弹出窗口永远不会被阻止,因为它们被认为是安全的。可以在 Int
ernet 选项 的 安全性 选项卡中进行配置。
启用 Pop-up Blocker
可以使用三种不同的方法启用 Pop-up Blocker。
? 第一次出现时的提示
在第一个弹出窗口出现之前出现提示,询问用户是否启用 Pop-up Blocker。
? “工具” 菜单
在 Internet Explorer 中,在 工具 菜单上,点击 屏蔽弹出窗口, 然后点击 阻止
弹出窗口.
? Internet 选项.
在 Internet Explorer 的 工具 菜单上,点击 Internet 选项,点击 隐私 选项卡
,然后点击 屏蔽弹出窗口。然后点击选项,对 Pop-up Blocker 加以设置。
阻止弹出窗口的时机
如果站点打开了一个会被 Internet Explorer 屏蔽的弹出窗口,会在状态栏上显示
一个通知和播放一个声音。点击状态栏上的通知,可以看到一个带有如下选项的菜
单:
? 显示被阻止的弹出窗口。重新加载弹出窗口。
? 允许来自该站点的弹出窗口。将当前站点添加到 “允许” 列表。
? 阻止弹出窗口。开启或关闭 Pop-up Blocker。
? 弹出窗口选项。打开 “ 弹出窗口管理” 窗口。
高级选项
Internet Explorer 提供了 Pop-up Blocker 的高级设置选项。
? Web 站点的 “允许” 列表
可以向 允许 列表中添加站点。允许 列表上的任何站点都可以打开弹出窗口。
? 阻止所有弹出窗口
Pop-up Blocker 允许用户点击链接来打开一个弹出窗口。此设置会改变点击链接打
开窗口时的屏蔽行为。如果启用了此设置,可以在点击链接时按下 ALT 键来允许弹
出窗口显示。
? Override 键
如果启用了 阻止所有弹出窗口 选项,可以在点击链接的同时按下 ALT 键来允许弹
出窗口显示。
? 配置声音
在 Internet 选项 的 “高级” 设置中,可以设置在阻止弹出窗口时是否播放声音
。也可以改变播放的声音内容。To do this, click Start, click Control Panel
, and then double-click the Sounds and Audio Devices icon.
? 区域
用户可以在 Internet 选项 的 安全性 选项卡中,扩大 Pop-up Blocker 的范围,
将 “本地内部网” 或 “可信站点” 区域包括在内。
如果启用了 Pop-up Blocker ,最终用户什么时候还会看到弹出窗口?
在以下情况中,用户仍然会看到弹出窗口打开:
? 用户点击链接打开的弹出窗口仍然可以打开。
? 由运行在计算机上的软件打开的弹出窗口可以打开。
? 由 Web 站点实例化的 ActiveX 控件打开的弹出窗口可以打开。
? 来自于 “可信站点” 或 “本地内部网” 区域的弹出窗口可以打开。
为什么此项修改是重要的?它有助于缓解哪些威胁?
人们经常错误地使用弹出窗口。通过阻止弹出窗口,最终用户访问 Web 时会更安全
,用户对浏览体验也拥有了更大的控制能力。
INewWindowManager
详细描述
默认情况下,Pop-up Blocker的功能不会应用于使用 WebBrowser 控件或 MSHTML
的应用程序。这些程序可以通过 INewWindowManager 接口,在程序中使用或扩展
Pop-up Blocker,使用它们自己的 Pop-up Blocker,或者禁用弹出窗口管理
Windows XP Service Pack 2 对哪些现有功能进行了修改?
window.open()、window.external.navigateAndFind()、showHelp()
详细描述
在 Internet 区域中,Pop-up Blocker 会阻止那些不是由用户点击链接打开,而是
通过上述方法自动打开的窗口。如果用户设置了更严格的阻止策略,通过点击调用
这些方法打开的窗口可能也会被阻止。
如果某个函数正常时会返回一个窗口对象,那么如果窗口被阻止,函数将返回空值
。Web 开发人员可以检查返回值是否为空来确定希望打开的窗口是否被阻止。
位于可视屏幕之外的窗口在打开时会被定位到可视区域之内。
大于屏幕可视区域的窗口在打开时会将大小改变为等于可视区域。
更多信息,请参阅本文后面的 “ Internet Explorer 窗口限制” 一节。
我应该如何解决这些问题?
确保利用 window.open() 打开的所有窗口都通过用户交互打开,而不是通过代码自
动打开。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 先前默认值(如果有) 默认值 可能的值
URLname
HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\New Windows\All
ow
无
空
可信站点的 URL 名称
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
Web 页面的制作人员应该检查在打开窗口时返回 NULL 值的窗口。这表明了弹出窗
口是否成功打开,以及是否允许您对每种情况进行处理。
由软件自动打开的窗口会被阻止。可以按照前文所述,寻找一些替代方法来达到此
类目的。打开窗口的最好方式就是让用户点击一个链接或者图形元素。
返回页首
Internet Explorer Untrusted Publishers Mitigations
Untrusted Publishers Mitigations 有何作用?
本特性允许用户阻止来自给定发行者的所有经过签署的内容,同时并不显示 Authe
nticode 对话框。这种做法会使得来自被阻止发行者的代码无法安装。此外,本特
性还会阻止具有无效签名的代码在计算机上安装。
本特性适用于哪些用户?
本特性适用于所有用户,因为它主要处理经过签署的应用程序的安装和运行问题。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
被阻止的发行者(Blocked Publisher)
详细描述
通过 Authenticode,用户可以阻止来自某个给定发行者的内容被安装或运行。为了
实现这个目的,用户应该选择 Authenticode 对话框中的 从不信任来自Publisher
Name 的内容 复选框。如果选中此复选框,在具有该发行者的数字签名的代码试图
将自己安装到系统中的时候,用户永远不会得到提示。不会显示 Authenticode 对
话框,代码会自动被阻止。
为什么此项修改是重要的?它有助于缓解哪些威胁?
本特性旨在帮助用户阻止 ActiveX 控件和其它经过签署的文件格式重复发出提示。
用户没有办法说,“我不想要来自这个发行者的内容,请不要再询问我了。” 因为
没有此功能,许多用户安装了程序或内容,以便不断受到它们的“搔扰”。
工作方式有何不同?
以前,Authenticode 对话框仅仅支持选择 总是信任来自 发行者的内容复选框,这
样会自动安装来自某个特定发行者的代码而不发出提示。现在,用户可以执行相反
的操作,指定不受信任的发行者。对于可信代码,不会遇到任何应用程序兼容性问
题。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
阻止无效签名
详细描述
默认情况下,如果代码的数字签名无效,Windows 也会阻止签署代码的安装。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果代码的签名无效,这一般意味着代码自签署以来已经被修改。如果这样,Inte
rnet Explorer 会认为代码未经签署,因为有人可能已经篡改了代码。默认情况下
,Internet Explorer 会阻止来自 Internet 区域的未经签署的 ActiveX 应用程序
。此项修改扩展了该功能,将其应用于拥有无效签名的所有代码。
工作方式有何不同?
默认情况下,带有无效签名的代码无法安装。
我应该如何解决这些问题?
我应该如何解决这些问题?
为了返回到先前的功能,并且允许未经签署的代码运行,请参阅后文中 “Windows
XP Service Pack 2 增加或修改了哪些设置?” 一节中的 RunInvalidSignature
s 设置。
每个页面每个控件仅提示一次
详细描述
对于每个页面,Internet Explorer 只会对每个 ActiveX 控件提示一次。
为什么此项修改是重要的?它有助于缓解哪些威胁?
此项修改有助于防范社会工程学攻击,该攻击会就同一控件提示用户很多次。即便
是用户重复拒绝,也不会退出循环,而且可能在无奈之下,最终接受控件的安装。
工作方式有何不同?
对于每个控件和每个页面,用户只能看见一个提示。
关于应用程序描述和发行者名称的文字中会带有省略号
详细描述
如果应用程序描述、文件名或发行者名称的文字宽度宽于对话框,Internet Explo
rer 会在文字中添加一个省略号。这样可以向用户指出,还有一些文字被隐藏了而
无法看到
为什么此项修改是重要的?它有助于缓解哪些威胁?
这样可以避免控件的作者在对话框中放置市场推广信息或者 EULA,或者使用其他社
会工程手段迫使用户安装控件。
工作方式有何不同?
如果文本长于对话框的宽度,应用程序描述、文件名以及发行者名称将包含一个省
略号。不需要修改任何应用程序或 Web 页面。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置的名称 位置 先前默认值(如果有) 默认值 可能的值
RunInvalidSignatures
RunInvalidSignatures
HKEY_CURRENT_USER\Software \Microsoft \Internet Explorer \Download
HKEY_LOCAL_MACHINE\Software \Microsoft \Internet Explorer \Download
无
0
1
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
不需要。
返回页首
Internet Explorer 窗口限制
窗口限制(Window Restrictions)有何作用?
Internet Explorer 允许用户通过编写脚本打开各种类型的窗口,并且可以重新设
定现有窗口的大小和位置。以前,窗口限制特性被称为 UI Spoofing Mitigation(
UI 欺诈缓解),对两种可能被恶意人员用来欺骗用户的、通过脚本打开的窗口进行
限制: 弹出窗口(没有地址栏、状态栏和工具栏这样的组件)和包括标题栏和状态
栏的窗口。
本特性适用于哪些用户?
Web 开发人员应该意识到这些新的限制,并且针对它们可能对 Web 站点产生的任何
影响对站点进行修改或找到解决办法。
应用程序的开发人员应该认真考虑此特性,为在程序中采纳此项修改做出计划。此
特性默认情况下仅仅针对 Internet Explorer 进程启用。开发人员必须注册非 In
ternet Explorer 程序,以利用此项修改。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
无。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
使用脚本对 Internet Explorer 窗口重新定位
详细描述
通过脚本打开并且带有标题栏和状态栏的窗口在利用脚本进行移动方面受到限制,
以便这些重要的信息栏在操作完成后总是保持可见。
? 脚本不能让窗口的标题栏或地址栏高于显示屏幕可见区域的顶部。
? 脚本不能让窗口的状态栏低于屏幕可见区域的底部。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果没有此项修改,通过以下三种方法之一,由 window.open() 方法打开的窗口可
以被脚本调用,假冒某个用户界面或桌面,或者隐藏恶意信息或操作:
? 移动窗口的位置,将标题栏、状态栏或地址栏移出屏幕的可见区域。
? 移动窗口的位置,隐藏用户界面中的重要元素,使之不可见。
? 将整个窗口移出屏幕可见区域之外。
Internet Explorer 窗口的可见安全特性为用户提供了信息,帮助他们确定 Web 页
面的来源以及使用该页面的进行通信的安全性。当这些元素都在视图中隐藏的时候
,用户可能会认为他们处于一个更可信的页面中,或者正在与一个系统进程开展交
互,而实际上,他们正在与一个恶意宿主打交道。对窗口重定位功能的恶意使用可
以为用户展示虚假信息,模糊重要信息,或者干脆 “伪造” 用户界面中的重要元
素,试图诱使用户采取不安全的操作或泄漏敏感信息。
工作方式有何不同? 存在依赖性吗?
此项修改对由脚本打开并且带有标题栏或状态栏的窗口的定位施加了限制,确保这
些窗口的标题栏和状态栏对于用户总是可见。脚本无法将窗口移出屏幕,但用户仍
然可以将窗口移出屏幕。如果您的脚本会将在 Internet Explorer 中创建的窗口移
出屏幕,那么需要修改代码。
我应该如何解决这些问题?
如果您的脚本创建了一个窗口并将其移出屏幕,应该检查此项需求并使用其它方法
完成目标。
使用脚本改变 Internet Explorer 窗口的大小
详细描述
通过脚本打开并且带有标题栏和状态栏的窗口在利用脚本改变窗口大小方面受到限
制,确保标题栏和状态栏在操作完成后总是保持可见。
? 脚本无法重新设定标题栏、地址栏或状态栏始终不可见的窗口的大小。
? 在打开一个窗口的时候,“ fullscreen=yes” 参数的含义被修改为 “最大化窗
口”,保持标题栏、地址栏和状态栏可见。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果没有此项修改,通过改变窗口的大小和让状态栏不可见,使用 window.open()
方法打开的窗口可以被脚本调用,假冒某个用户界面或桌面,或者隐藏恶意信息或
操作。
Internet Explorer 窗口为用户提供了可见性安全信息,帮助他们确定 Web 页面的
来源以及与该页面进行通信的安全性。 如果这些元素无法被看到,用户可能会认为
他们处于一个更可信的页面中,或者正在与一个系统进程开展交互,而实际上,他
们正在与一个恶意宿主打交道。对重设窗口大小功能的恶意使用可以掩饰重要的安
全信息, “伪造” 用户界面中的重要元素,以诱使用户采取不安全的操作或泄漏
敏感信息。
工作方式有何不同? 存在依赖性吗?
利用此项修改,可以在重设由脚本打开的窗口时施加一些限制,确保这些窗口的标
题栏和状态栏总是可见。其结果便是:脚本不能以 kiosk 模式 打开一个窗口,ki
osk 模式不会显示标题栏、地址栏和状态栏,而这些元素往往可以为用户提供了重
要的安全信息。
用户可以选择显示一个 kiosk 模式的窗口。这种选择能力始终存在。
我应该如何解决这些问题?
由脚本打开的窗口将会完整地显示,并且带有 Internet Explorer 标题栏和状态栏
。用户或者站点管理员可以手动修改此状态。
利用脚本管理 Internet Explorer 状态栏
详细描述
Internet Explorer 已经被修改为不关闭任何窗口的状态栏。所有 Internet Expl
orer 窗口的状态栏都是可见的。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果没有此项修改,通过隐藏用户界面的重要元素,使用 window.open() 方法打开
的窗口可以被脚本调用,假冒某个用户界面或桌面,或者隐藏恶意信息或操作。
状态栏是 Internet Explorer 窗口的一种安全特性,为用户提供了有关 Internet
Explorer 安全区域的信息。区域无法被伪造,而且能够让用户准确知道显示的内
容处于哪个安全区域。如果隐藏了状态栏,用户可能认为他们正在浏览一个更可信
的页面,而实际上他们正在与一个恶意宿主打交道。
的页面,而实际上他们正在与一个恶意宿主打交道。
工作方式有何不同? 存在依赖性吗?
对于由脚本打开的窗口,默认情况下,状态栏总是开启的,以便用户可以查看安全
区域信息。无需对程序进行任何修改。
Internet Explorer 弹出窗口的位置
详细描述
由脚本打开的弹出窗口现在受到了限制,以便于它们:
? 不会扩大到超出其父 Internet Explorer Web 对象控件(WebOC)窗口的顶部之
上或底部之下。
? 在高度上小于其父 WebOC 窗口。
? 水平方向上覆盖其父窗口。
? 水平方向上覆盖其父窗口。
? 随同其父窗口一同移动。
? 显示在其父窗口的前面,以便其它窗口(例如对话框)不会被隐藏。
为什么此项修改是重要的?它有助于缓解哪些威胁?
由 window.createPopup() 方法创建的窗口又被称为 “无铬”(chromeless)窗口
,因为它们没有 “铬” 一样的边界组件,例如地址栏、状态栏和工具栏。这些窗
口:
? 可以在对话框的顶部打开,掩饰或替换重要的元素。
? 可以利用不同的地址覆盖地址栏。
? 可以模拟一个全屏的 Windows 桌面,并且带有密码对话框。
不受限制的 chromeless 窗口可以用几种方式欺骗用户:
? 一个在对话框上面打开的 chromeless 弹出窗口可能会遮挡或替换对话框上的重
要元素,例如警告信息、选择项或操作控制(包括复选框、单选按钮等)。这可能
会误导用户做出不正确或有害的响应。
? 一个 chromeless 弹出窗口可能会用一个与页面的实际地址不符的地址遮挡住地
址栏,给用户造成一种安全假象。同样,它也会覆盖状态通知区域,指出 Interne
t Explorer 正在显示一个安全的 Web 页面(它会显示一个以 https:// 开头的 U
RL)。所以,用户可能会认为页面安全性已经生效,而实际上并没有这样的安全性
存在。
? 一个 chromeless 弹出窗口可能会占用整个屏幕,恶意用户可以模拟一个带有密
码框的全屏 Windows 桌面,并且利用一个恶意脚本捕获用户的私有验证信息。
工作方式有何不同? 存在依赖性吗?
弹出窗口在水平方向、垂直方向以及 “Z“ 轴方向上均受限制。
? 弹出窗口必须出现在其父窗口的上下边界之间,所以不会覆盖 Internet Explor
er 的地址栏、标题栏、状态栏或工具栏。
? 在水平方向上,弹出窗口必须总是覆盖其父窗口的部分区域。
? 弹出窗口必须立即出现在其父窗口的前面,不会被放到其他窗口的上方。
如果窗口被设计为在一个大于其父窗口或者与其父窗口分离的区域中显示,这些限
制可能会影响弹出窗口的外观。弹出窗口会被截断,这可能导致窗口中显示的信息
无法被看到。
我应该如何解决这些问题?
重新设计弹出窗口,使其符合这些限制。
Windows XP Service Pack 2 增加或修改了哪些设置?
本特性仅有一个设置。该设置可以启用窗口限制(1)或禁用它(0)。出于应用程
序兼容性的考虑,本特性默认情况下对于非 Internet Explorer 进程没有被启用。
设置的名称 位置 先前默认值 默认值 可能的值
IExplore.exe
HKEY_LOCAL_MACHINE (or Current User)\Software \Microsoft \Internet Expl
orer\Main \FeatureControl \FEATURE_WINDOWS_RESTRICTIONS\
不可用。
1
0 (关)
1 (开)
为了能够在 Windows XP Service Pack 2 下工作,我需要修改代码吗?
脚本在创建带有边界的 Internet Explorer 窗口时调用的方法(使用 window.ope
n() 方法)与创建一个 chromeless 的 Internet Explorer 弹出窗口(使用 wind
ow.createPopup() 方法)完全相同。但是,可能需要对设计进行认真斟酌,确保弹
出窗口的位置和大小适当,而且状态栏也包含准确的信息。
返回页首
Internet Explorer 区域提升阻止
区域提升阻止有何作用?
当用户在 Internet Explorer 中打开一个 Web 页面,Internet Explorer 会根据
页面来自的区域(Internet、本地内部网服务器、可信站点等等),对页面所能执
行的操作加以限制。例如,Internet 上的页面比本地内部网中的页面具有更加严格
的限制。用户计算机上的 Web 页面位于“本地计算机”安全区域,该区域具有最少
的安全限制。这使得本地计算机安全区域成为了恶意用户的首要攻击目标。区域提
升阻止使得代码在该区域中运行愈加困难了。此外,本地计算机区域锁定也通过修
改安全设置,使该区域具有更少的漏洞。
本特性适用于哪些用户?
Web开发人员需要针对本特性可能对 Web 站点产生的影响做出修改计划或寻找解决
办法。
应用程序的开发人员应该认真考虑此特性,以便将这些修改融入到在本地计算机安
全区域中运行的程序中。因为默认情况下,Internet Explorer 以外的进程没有启
用此特性,开发人员必须注册应用程序,以便利用这些修改。
最终用户可能会由于某些站点与这些严格End users might be impacted by sites
that are not compatible with these stricter rules and settings.
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
区域提升阻止
详细描述
Internet Explorer 会防止页面上任何链接的整体安全上下文高于根 URL 的安全上
下文。例如,Internet 区域中的页面不能导航到本地内部网区域中的页面,除非这
是用户操作导致的结果。比如,一个脚本便不会产生这种导航操作。对于此项缓解
措施的目的,区域的安全上下文登记的排列顺序为(从高到低):受限站点、Inte
rnet 区域、本地内部网区域、可信站点区域以及本地计算机区域。
如果没有安全上下文,区域提升阻止还会禁用 JavaScript 导航。
如果用户点击了一个会导致 Web 站点试图进入更高区域的链接,Internet Explor
er 会显示以下两条消息之一。斜体字的内容会根据具体情况发生变化。
? 当前?Internet?站点正在试图打开?可信站点 列表中的一个文件。
如果您信任此?Internet?站点,请点击 “确定” 继续。
? 当前站点位于您的 “受限站点” 列表中,而且正在试图打开您的 ?计算机 中的
文件。我们建议您不允许此操作。
在两种情况下,默认操作都不允许进行区域提升。用户必须明确地允许该区域提升
请求。
为什么此项修改是重要的?它有助于缓解哪些威胁?
权限提升是 Internet Explorer 中最容易被利用的漏洞之一,攻击者们无休止地追
求在本地计算机区域中运行恶意代码。区域提升阻止有助于防范许多权限提升攻击
。
工作方式有何不同?
不是由用户发起的从一个区域导一个 “更高” 区域的导航操作将被阻止。这意味
着Web 页面无法自动调用需要更多权限的 Web 页面。
我应该如何解决这些问题?
如果某个可信的 Web 程序无法使用,可以修改 Internet Explorer 安全区域设置
,允许程序继续工作。也可以要求用户在不同安全区域之间进行导航。
--
我好咸湿
※ 修改:·presses 於 Aug 16 11:16:11 修改本文·[FROM: 210.21.224.236]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 210.21.224.236]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店