Zvýšení zabezpečení zóny Místní počítač v aplikaci Internet Explorer

Překlady článku Překlady článku
ID článku: 833633 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Je také nutné předem vědět, jak registr obnovit v případě, že nastanou potíže. Další informace o zálohování, obnovování a úpravách registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Upozornění: Pokud se rozhodnete provést změny popisované v tomto článku, může dojít ke ztrátě určitých funkcí některých aplikací nebo součástí systému Windows. Z tohoto důvodu doporučujeme před provedením změn ve výrobním prostředí provést rozsáhlé testování, které zajistí bezchybnou práci všech důležitých programů u všech uživatelů.

Tento článek popisuje, jak může správce zvýšit zabezpečení zóny Místní počítač v aplikaci Microsoft Internet Explorer. Zóna Místní počítač je také označována jako Tento počítač. Tyto informace lze použít pro následující konfigurace:
  • 32bitové verze aplikace Internet Explorer v 32bitových verzích systému Microsoft Windows
  • 64bitové verze aplikace Internet Explorer v 64bitových verzích systému Microsoft Windows XP
  • 64bitové verze aplikace Internet Explorer v 64bitových verzích systému Microsoft Windows Server 2003
Poznámka: Aktualizace Microsoft Windows XP Service Pack 2 (SP2) způsobuje omezení v zóně Místní počítač. Pokud jste tedy nainstalovali aktualizaci Windows XP SP2, je možné, že jeden z postupů popisovaných v tomto článku nebudete moci provést. Další informace naleznete na následujících webech společnosti Microsoft:
http://www.microsoft.com/cze/windows/xp/sp2/technologiesoverview.mspx#EBAA
http://www.microsoft.com/cze/windows/xp/sp2/ieoeoverview.mspx

Další informace

O zónách zabezpečení

Uživatelské rozhraní aplikace Internet Explorer umožňuje konfigurovat čtyři zóny zabezpečení:
  • Internet
  • Místní intranet
  • Důvěryhodné servery
  • Servery s omezeným přístupem.
Pátá zóna Místní počítač je vlastní zónou, která existuje v místním počítači. Nastavení zabezpečení pro tuto zónu v aplikaci Internet Explorer konfigurovat nelze. Nelze ho konfigurovat ani pomocí ovládacího panelu Možnosti Internetu. Pokud však máte oprávnění správce, můžete nastavení zabezpečení pro zónu Místní počítač konfigurovat změnou nastavení registru.

Aplikace Internet Explorer umožňuje přiřadit web do zóny zabezpečení. Web v zóně Internet má například vyšší úroveň zabezpečení než web v zóně Důvěryhodné servery nebo v zóně Místní intranet. Přiřazením webu do zóny zabezpečení se dá řídit, jaké operace může web provádět v počítači. Například přiřazením webu do zóny s nejvyšší úrovní zabezpečení lze webu zamezit provádět v počítači potenciálně nebezpečné operace.

Web v zóně Místní počítač má méně omezující nastavení zabezpečení než web v jakékoliv jiné zóně. Výjimkou z tohoto pravidla je jakýkoliv obsah uložený aplikací Internet Explorer do mezipaměti místního počítače. Uživatel se zlými úmysly se může v počítači pokusit spustit libovolný vlastní kód a přitom využít méně omezujícího nastavení zabezpečení v zóně Místní počítač.

Před zvýšením zabezpečení zóny Místní počítač

V případě zvýšení zabezpečení zóny Místní počítač může dojít k nejméně jednomu z následujících příznaků:
  • Uživatelům, kteří chtějí otevřít zdroj dat v jiné doméně, se zobrazí upozornění.
  • Uživatelům, kteří chtějí na stránce spustit skript, se zobrazí upozornění.
  • Nebudou spouštěny ovládací prvky ActiveX a programy v jazyce Java.
  • Otevíraná webová stránka se nemusí zobrazit správně.

Kde je v registru uloženo nastavení zabezpečení pro zónu Místní počítač

Nastavení zabezpečení pro zónu Místní počítač je v závislosti na následujících podmínkách uloženo v těchto podklíčích registru:
  • Pokud jste uživatelům povolili nastavovat vlastní zabezpečení aplikace Internet Explorer, nastavení zabezpečení pro zónu Místní počítač je uloženo v tomto podklíči:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
  • Pokud jste všem uživatelům nastavili jednotné zabezpečení aplikace Internet Explorer, nastavení zabezpečení pro zónu Místní počítač je uloženo v tomto podklíči:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Ve výchozím nastavení jsou nastavení zón zabezpečení uložena v tomto podstromu registru
HKEY_CURRENT_USER
Protože je tento podstrom dynamicky načítán pro každého uživatele, neovlivní nastavení pro jednoho uživatele nastavení pro jiného uživatele. Chcete-li zjistit, zda všichni uživatelé mají stejné nastavení zabezpečení, vyhledejte jednu z následujících podmínek:
  • Zóny zabezpečení: V zásadách skupiny je povolena možnost Použít pouze nastavení počítače.
  • Hodnota DWORD Security_HKLM_only existuje a má hodnotu 1.
Hodnota DWORD Security_HKLM_only je uložena v tomto podklíči registru:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Nastavení počítače a uživatelská nastavení jsou použita, pokud platí jedna z následujících podmínek:
  • Zóny zabezpečení: V zásadách skupiny není povolena možnost Použít pouze nastavení počítače.
  • Hodnota DWORD Security_HKLM_only neexistuje.
  • Hodnota DWORD Security_HKLM_only má hodnotu 0.

Pokud hodnota DWORD Security_HKLM_only neexistuje, nebo je nastavena na hodnotu 0, aplikace Internet Explorer čte klíče registru HKEY_LOCAL_MACHINE a HKEY_CURRENT_USER (v uvedeném pořadí). Na ovládacím panelu Možnosti Internetu se však zobrazí pouze nastavení HKEY_CURRENT_USER.

Nastavení zabezpečení, která se zobrazují na ovládacím panelu Možnosti Internetu, mají v registru odpovídající číselné hodnoty. Výchozí hodnoty pro každé nastavení zabezpečení ukazuje následující tabulka. Uvádí také doporučené hodnoty, které lze použít pro zvýšení všech nastavení zabezpečení zóny Místní počítač.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Název nastavení zabezpečení v uživatelském rozhraníČíselný název hodnoty registru (Typ)Výchozí hodnota klíče registruDoporučená hodnota klíče registru
Spouštět ovládací prvky ActiveX a moduly plug-in1200 (DWORD)03
Inicializovat a skriptovat ovládací prvky ActiveX, které nejsou označeny jako bezpečné1201 (DWORD)13
Aktivní skriptování1400 (DWORD)01
Přístup ke zdrojům dat mezi doménami1406 (DWORD)01
Oprávnění jazyka Java1C00 (Binární hodnota)00 00 02 0000 00 00 00
Ve výše uvedené tabulce mají nastavení hodnot DWORD tento význam:
  • 0 znamená, že akce je povolena. Toto je výchozí nastavení.
  • 1 znamená, že se zobrazí upozornění.
  • 3 znamená, že akce je zakázána.
Výchozí nastavení 00 00 02 00 pro binární hodnotu znamená střední úroveň zabezpečení. Nastavení 00 00 00 00 zakazuje jazyk Java.

Poznámka: Nastavení hodnoty 1 pro aktivní skriptování může způsobit zobrazování velkého množství upozornění. Proto doporučujeme skriptování povolit. Učiníte tak nastavením hodnoty Aktivní skriptování na hodnotu 0. Pokud nechcete skriptování nastavit na zobrazení upozornění, změňte řádek, který začíná výrazem 1400, podle popisu v další části tohoto článku.

Jak změnit zabezpečení zóny Místní počítač


Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné potíže, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že problémy vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí.

Chcete-li změnit nastavení zabezpečení pro zónu Místní počítač, změňte buď hodnotu DWORD, nebo binární hodnotu. Použijte metodu odpovídající danému prostředí.

Prostředí adresářové služby Active Directory

Zvýšení výchozího nastavení zóny Místní počítač
V prostředí adresářové služby Active Directory použijte editor objektu zásad skupiny, dříve nazývaný editor zásad skupiny. Chcete-li zvýšit zabezpečení zóny Místní počítač, postupujte takto:
  1. Zkopírujte následující text a vložte jej do textového editoru, například do programu Poznámkový blok.

    Pokud uživatelé mají povoleno nastavovat si vlastní zabezpečení, použijte tento text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Pokud uživatelé sdílejí jediné nastavení zabezpečení, použijte tento text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
  2. Uložte soubor pod názvem ADHardenLMZ.reg.
  3. V počítači, v němž chcete spustit editor objektu zásad skupiny, naimportujte nastavení registru do registru. Učiníte tak spuštěním souboru ADHardenLMZ.reg.
  4. U objektu služby Active Directory, který chcete upravit, otevřete editor objektu zásad skupiny.
  5. Je možné, že budete vyzváni k následujícím akcím:
    • Povolit spouštění skriptů
    • Souhlasit s pokračováním spuštěných skriptů
    Pokud se zobrazí tato výzva, klepněte na tlačítko Ano. Pokud obdržíte zprávu, že aktuální nastavení neumožňuje spouštět ovládací prvky ActiveX, klepněte na tlačítko OK.

    Poznámka: Po zvýšení zabezpečení zóny Místní počítač se v editoru objektu zásad skupiny již nebude zobrazovat podokno Nápověda.
  6. Rozbalte složku Konfigurace uživatele, rozbalte složky Nastavení systému Windows, Údržba aplikace Internet Explorer a potom položku Zabezpečení. Poklepejte na položku Zóny zabezpečení a hodnocení obsahu.
  7. Klepněte na přepínač Importovat aktuální nastavení zón utajení a zabezpečení a potom na tlačítko OK.
Obnova výchozího nastavení zóny Místní počítač
Chcete-li obnovit výchozí nastavení zóny Místní počítač, postupujte takto:
  1. Zkopírujte následující text a vložte jej do textového editoru, například do programu Poznámkový blok.

    Pokud uživatelé mají povoleno nastavovat si vlastní zabezpečení, použijte tento text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Pokud uživatelé sdílejí jediné nastavení zabezpečení, použijte tento text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    
  2. Uložte soubor pod názvem ADDefaultLMZ.reg.
  3. V počítači, v němž chcete spustit editor objektu zásad skupiny, naimportujte výchozí nastavení do registru. Učiníte tak spuštěním souboru ADDefaultLMZ.reg.
  4. U objektu služby Active Directory, který chcete upravit, otevřete editor objektu zásad skupiny.
  5. Je možné, že budete vyzváni k následujícím akcím:
    • Povolit spouštění skriptů
    • Souhlasit s pokračováním spuštěných skriptů
    Pokud se zobrazí tato výzva, klepněte na tlačítko Ano. Pokud obdržíte zprávu, že aktuální nastavení neumožňuje spouštět ovládací prvky ActiveX, klepněte na tlačítko OK.

    Poznámka: Po zvýšení zabezpečení zóny Místní počítač se v editoru objektu zásad skupiny již nebude zobrazovat podokno Nápověda.
  6. Rozbalte složku Konfigurace uživatele, rozbalte složky Nastavení systému Windows, Údržba aplikace Internet Explorer a potom položku Zabezpečení. Poklepejte na položku Zóny zabezpečení a hodnocení obsahu.
  7. Klepněte na přepínač Importovat aktuální nastavení zón utajení a zabezpečení a potom na tlačítko OK.

Prostředí bez služby Active Directory

Zvýšení výchozího nastavení zóny Místní počítač
Chcete-li zvýšit zabezpečení zóny Místní počítač, naimportujte aktualizované nastavení zabezpečení do registru. Postupujte následujícím způsobem:
  1. Zkopírujte následující text a vložte jej do textového editoru, například do programu Poznámkový blok.

    Pokud uživatelé mají povoleno nastavovat si vlastní zabezpečení aplikace Internet Explorer, použijte tento text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Pokud uživatelé sdílejí stejné nastavení zabezpečení, použijte tento text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Uložte soubor pod názvem HardenLMZ.reg.
  3. Naimportujte nastavení zvýšeného zabezpečení do registru. Učiníte tak spuštěním souboru HardenLMZ.reg ve všech klientských počítačích.
Obnova výchozího nastavení zóny Místní počítač
Chcete-li obnovit výchozí nastavení zóny Místní počítač, postupujte takto:
  1. Zkopírujte následující text a vložte jej do textového editoru, například do programu Poznámkový blok.

    Pokud uživatelé mají povoleno nastavovat si vlastní zabezpečení aplikace Internet Explorer, použijte tento text:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Pokud uživatelé sdílejí stejné nastavení zabezpečení, použijte tento text:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. Uložte soubor pod názvem DefaultLMZ.reg.
  3. Naimportujte nastavení zvýšeného zabezpečení do registru. Učiníte tak spuštěním souboru DefaultLMZ.reg ve všech klientských počítačích.

Přiřazení souboru ve formátu HTML, který se nachází v zóně Místní počítač, do zóny Internet

Po zvýšení zabezpečení zóny Místní počítač lze místní soubor ve formátu HTML, který obsahuje skripty, ovládací prvky ActiveX nebo programy v jazyce Java, přiřadit do zóny Internet. Jakmile aplikace Internet Explorer otevře tento soubor HTML, vyhledá komentář Saved from URL (Uloženo z adresy URL). Pokud tento komentář najde, použije nastavení zabezpečení zóny Internet namísto nastavení zóny Místní počítač. Je-li zóna Internet nakonfigurována pro spouštění skriptů, ovládacích prvků ActiveX nebo programů v jazyce Java, budou se spouštět a nesetkáte se s chováním, které je popsáno v části Před zvýšením zabezpečení zóny Místní počítač.

Chcete-li přiřadit místní soubor ve formátu HTML do zóny Internet, přidejte němu komentář Saved from URL. Tento komentář způsobí, že aplikace Internet Explorer použije pro soubor HTML uložený na pevném disku nastavení zabezpečení zóny Internet. Komentář by se měl podobat následujícímu řetězci:

 <!-- saved from url=(0023)http://www.contoso.com/ -->


Hodnota v závorkách odpovídá počtu znaků v adrese URL, která následuje za rovnítkem. V tomto příkladu je tato hodnota 23 a výraz Contoso představuje název webu v síti Internet.

Odkazy

Další informace o distribuci úprav registru do více počítačů pomocí souboru s příponou REG naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
310516 Jak přidat, změnit nebo odstranit podklíče a hodnoty registru pomocí souboru REG
Další informace o položkách registru zón zabezpečení aplikace Internet Explorer získáte v následujícím článku znalostní báze společnosti Microsoft:
182569 Popis položek registru zón zabezpečení aplikace Internet Explorer (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o šablonách zón zabezpečení adres URL naleznete na následujícím webu společnosti Microsoft:
http://go.microsoft.com/fwlink/?LinkID=12658

Vlastnosti

ID článku: 833633 - Poslední aktualizace: 25. srpna 2006 - Revize: 3.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
Klíčová slova: 
kbpubtypekc KB833633

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com