Использование зон безопасности в обозревателе Internet Explorer

В статье описываются типы зон безопасности обозревателя Internet Explorer и настройка уровней безопасности для посещаемых веб-узлов.

Обозреватель Internet Explorer включает пять зон безопасности: «Интернет», «Местная интрасеть», «Надежные узлы», «Ограниченные узлы» и «Мой компьютер»

Зона «Мой компьютер» (содержащая файлы, находящиеся на локальном компьютере) может быть настроена только с помощью пакета администрирования Microsoft Internet Explorer (IEAK); в интерфейсе веб-обозревателя ее параметры отсутствуют. Для этой зоны следует использовать значения по умолчанию, если в вашей организации не предъявляются специальные требования. Снижение уровня безопасности увеличивает риск нарушения защиты, а повышение уровня безопасности может повлечь нарушение работоспособности.

Для каждой зоны можно установить параметры безопасности, а затем добавлять или удалять веб-узлы в зависимости от уровня доверия к конкретному веб-узлу.

Типы зон безопасности

Зона «Местная интрасеть»

По умолчанию данная зона содержит все сетевые подключения, устанавливаемые с использованием путей в формате UNC, и веб-узлы, при обращении к которым не используется прокси-сервер. Также в эту зону входят веб-узлы, имеющие имена, не содержащие точек (например, http://local), при условии, что они не входят в зоны «Надежные узлы» или «Ограниченные узлы». По умолчанию для зоны «Местная интрасеть» уровень безопасности устанавливается на значение «Средний» (Internet Explorer 4) или «Ниже среднего» (Internet Explorer 5 и 6). Однако если при доступе к ресурсам локальной сети (LAN) или интрасети используется IP-адрес или полное доменное имя (FQDN), данные ресурсы обрабатываются как находящиеся в зоне Интернета, а не в зоне местной интрасети. За дополнительными сведениями по этому вопросу обратитесь к следующей статье Microsoft Knowledge Base:

Зона «Надежные узлы»

Данная зона содержит веб-узлы, считающиеся безопасными (например, веб-узлы локальной сети организации или компаний-партнеров). Добавление веб-узла в зону надежных узлов основывается на предположении, что файлы, которые будут загружаться или запускаться с этого веб-узла, не повредят компьютер или данные. По умолчанию зона «Надежные узлы» не содержит веб-узлы и для нее установлен низкий уровень безопасности.

Зона «Ограниченные узлы»

Данная зона содержит потенциально опасные веб-узлы. Добавление веб-узла в зону «Ограниченные узлы» основывается на предположении, что файлы, которые будут загружаться или запускаться с этого веб-узла, могут повредить компьютер или данные. По умолчанию зона «Ограниченные узлы» не содержит веб-узлы и для нее установлен высокий уровень безопасности.

Данная зона содержит веб-узлы, расположенные вне текущего компьютера и местной интрасети или не включенные в другие зоны. По умолчанию установлен средний уровень безопасности.

Примечание. На локальном компьютере настройки безопасности применяются только к файлам, находящимся в папке Temporary Internet Files (при этом используется уровень безопасности веб-узла, с которого эти файлы были загружены). Остальные файлы считаются безопасными.

Зона «Интернет»

Данная зона содержит веб-узлы, не входящие в остальные зоны.

Настройка зон безопасности

Чтобы изменить для зоны уровень безопасности по умолчанию, настройте параметры безопасности для зоны или назначьте веб-узел в конкретную зону. Для этого можно использовать любой из перечисленных ниже способов.

Изменение уровня безопасности по умолчанию для зоны

В обозревателе Internet Explorer версии 4.x для каждой зоны безопасности можно установить высокий, средний или низкий уровень безопасности или определить собственный уровень безопасности. В обозревателе Internet Explorer версии 5 и 6 можно выбрать высокий, средний, ниже среднего или низкий уровень безопасности или определить собственный уровень безопасности.

Чтобы изменить уровень безопасности по умолчанию для зоны, выполните следующие действия.

1. В обозревателе Internet Explorer версии 4.x выберите в меню Вид команду Свойства обозревателя. В обозревателе Internet Explorer 5 или 6 выберите в меню Сервис команду Свойства обозревателя.
2. На вкладке Безопасность выберите зону, для которой необходимо изменить уровень безопасности.
3. Выберите требуемый уровень безопасности и нажмите кнопку ОК.

Для веб-узлов, не входящих в зону «Надежные узлы», рекомендуется устанавливать высокий уровень безопасности. Для зоны «Надежные узлы» можно использовать средний уровень безопасности.

Настройка параметров безопасности для зоны

Возможность ручной настройки дает администраторам и опытным пользователям расширенный контроль над всеми параметрами безопасности. Например, параметр «Загрузка неподписанных элементов ActiveX» по умолчанию запрещен для зоны местной интрасети (для данной зоны по умолчанию устанавливается средний уровень безопасности). При этом обозреватель Internet Explorer не сможет запускать элементы управления ActiveX из интрасети организации, поскольку большинство организаций не подписывает элементы управления ActiveX, используемые только в интрасети. Чтобы обозреватель Internet Explorer мог загружать неподписанные элементы ActiveX из местной интрасети, необходимо для зоны «Местная интрасеть» изменить уровень безопасности для параметра Загрузка неподписанных элементов ActiveX на Предлагать или Разрешить. Используя кнопку Другой, можно настраивать следующие параметры.

• Доступ к файлам, элементам ActiveX и сценариям.
• Возможности, предоставляемые Java-приложениями.
• Проверка подлинности с помощью протокола SSL.
• Защита паролем с помощью механизма NTLM. В зависимости от зоны, в которой находится сервер, обозреватель Internet Explorer может отправлять пароль пользователя автоматически, запрашивать у пользователя имя и пароль или не выполнять регистрацию.

Чтобы изменить параметры безопасности для зоны, выполните следующие действия.

1. В обозревателе Internet Explorer версии 4.x выберите в меню Вид команду Свойства обозревателя.
   
   В обозревателе Internet Explorer 5 или 6 выберите в меню Сервис команду Свойства обозревателя.
2. На вкладке Безопасность выберите зону, для которой необходимо изменить параметры безопасности.
3. Выберите Особый (для опытных пользователей) и нажмите кнопку Настройка.
   
   В обозревателе Internet Explorer 5 или 6 нажмите кнопку Другой....
4. В поле Восстановить прежние параметры выберите в списке На уровень значение уровня безопасности для зоны и нажмите кнопку Восстановить.
5. Выберите параметр безопасности, который необходимо изменить, нажмите кнопку OK, а затем еще раз OK.

Чтобы назначить веб-узел в конкретную зону безопасности, выполните следующие действия.

1. В обозревателе Internet Explorer версии 4.x выберите в меню Вид команду Свойства обозревателя.
   
   В обозревателе Internet Explorer 5 или 6 выберите в меню Сервис команду Свойства обозревателя.
2. На вкладке Безопасность выберите зону, в которую необходимо поместить веб-узел, и нажмите кнопку Узлы.
   
   При добавлении веб-узла в зону местной интрасети можно указать типы веб-узлов, которые будут добавляться в данную зону, и нажать кнопку Дополнительно, чтобы добавить нужные узлы. К параметрам зоны «Местная интрасеть» применяются следующие правила. Обратите внимание, что добавление веб-узла к любой зоне имеет приоритет над следующими правилами.
   • «Все узлы интрасети, не перечисленные в других зонах». Имена узлов интранет не содержат точек (например, http://local). Веб-узел, имеющий имя, похожее на http://www.microsoft.com, не является локальным, поскольку в имени содержатся точки. Данный узел будет отнесен к зоне «Интернет». Данное правило применяется к адресам, начинающимся с «file:» и «http:». Обратите внимание, что имена доменов верхнего уровня в Интернете могут не содержать точек. При необходимости обращения к доменам общего типа (.com, .org, .net, .edu, .gov, .mil или .int) или доменам, имена которых являются кодами стран (.us, .jp, .uk и т. п.), сбросьте данный флажок, чтобы предотвратить использование для этих доменов настроек безопасности для зоны местной интрасети. За дополнительной информацией о доменах верхнего уровня в Интернете обратитесь на следующий веб-узел:
     http://www.iana.org/top-level-domains.html (http://www.iana.org/top-level-domains.html)
   • «Все узлы, подключаемые минуя прокси-сервер». Как правило, в интрасети для доступа к Интернету используется прокси-сервер, а доступ к узлам интрасети осуществляется напрямую. Данный параметр использует эти сведения информацию для разделения содержимого Интернета и интрасети. Если прокси-сервер настроен иначе, сбросьте этот флажок и используйте другой способ указания файлов, принадлежащих местной интрасети. Данный параметр не учитывается на компьютерах, для которых не указан адрес прокси-сервера.
   • «Все сетевые пути (UNC)». Сетевые пути (например, \\local\file.txt) обычно используются для доступа к ресурсам локальной сети, которые должны быть включены в зону «Местная интрасеть». Если существуют сетевые пути, которые не должны быть в зоне местной интрасети, снимите данный флажок и используйте другой способ указания файлов, принадлежащих местной интрасети. Например, в некоторых конфигурациях протокола Common Internet File System (CIFS) допускается, чтобы сетевой путь представлял собой ссылку на данные, получаемые из Интернета.
3. Введите адрес веб-узла в поле Добавить узел в зону и нажмите кнопку Добавить.
4. Нажмите кнопку ОК, а затем снова нажмите кнопку OK.

При добавлении узла в зоны местной интрасети или доверенных узлов можно потребовать выполнение проверки серверов. Для этого установите флажок Для всех узлов этой зоны требуется проверка серверов (https:).

Примечание. Нельзя поместить веб-узел в зону «Интернет». Данная зона содержит веб-узлы, расположенные за пределами данного компьютера и местной интрасети или не включенные в другие зоны.

За дополнительной информацией по решению проблем, которые не удается решить с помощью выполнения перечисленных выше шагов, обратитесь к следующей статье Microsoft Knowledge Base: Контактная информация о независимых производителях предоставлена корпорацией Microsoft в этой статье с целью помочь пользователям в получении необходимой технической поддержки. Данная информация может быть изменена без предварительного уведомления. Корпорация Microsoft не дает никаких явных или подразумеваемых гарантий относительно корректности приведенной контактной информации о независимых производителях.