Como reforçar as configurações de segurança para a zona do computador local no Internet Explorer

Traduções deste artigo Traduções deste artigo
ID do artigo: 833633 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que sabe como restaurá-lo caso ocorra algum problema. Para obter informações sobre como fazer backup, restaurar e editar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft.
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como um administrador pode reforçar as configurações de segurança para a zona de segurança do computador local (ou Meu computador) no Microsoft Internet Explorer.

Aviso a Microsoft recomenda que os administradores levem em consideração essas alterações nas configurações de segurança do Internet Explorer apenas como um último recurso. Com essas alterações, algumas funcionalidades podem ser perdidas para alguns programas ou componentes do Windows. Antes de realizar essas alterações em um ambiente de produção, teste as alterações exaustivamente para verificar se programas essenciais continuam a funcionar corretamente para todos os usuários.

Mais Informações

O Internet Explorer usa as zonas de segurança para ajudar a restringir a realização de operações perigosas pelo conteúdo da Web no seu computador com base no local (zona) do conteúdo da Web. Por exemplo, páginas da Web na zona Internet possuem restrições de segurança mais rígidas do que páginas da Web nas zonas Confiáveis e Intranet local.

O conteúdo na zona do computador local, com exceção do conteúdo que o Internet Explorer armazena em cache no seu computador local, é tratado com um nível maior de segurança do que o conteúdo nas zonas Intranet local, Internet, Sites confiáveis e Sites restritos. Como resultado, um usuário mal-intencionado pode tentar levar vantagem do poder da zona do computador local para aumentar suas permissões e executar códigos arbitrários no seu computador.

A zona do computador local é uma zona implícita para conteúdo que exista no seu computador local. A zona do computador local não está exposta no painel de controle das Opções da Internet. No entanto, os administradores podem usar as configurações do Registro para definir as configurações da zona do computador local.

O que deve-se considerar antes de reforçar as configurações da zona do computador local

Após reforçar as configurações da zona do computador local, os usuários podem receber solicitações e algumas perdas de funcionalidade em determinados programas e componentes do Windows podem ocorrer. As seguintes pessoas e componentes podem ser afetados ao reforçar as configurações de segurança para a zona do computador local:
  • Programas e componentes do Windows que usem o gerenciador de zona de segurança de URL padrão ou que hospedem conteúdo local em HTML. Por exemplo, a Ajuda do Microsoft Office, a Ajuda e suporte do Windows e a Diretiva de grupo usam o gerenciador de zona de segurança de URL padrão e hospedam conteúdo local em HTML.
  • Administradores de rede que usam scripts locais.
Após executar as etapas neste artigo para reforçar as configurações de segurança para a zona do computador local, as seguintes operações perigosas ficam restritas a conteúdos (como páginas da Web, programas ou scripts) executados na zona do computador local:
  • Controles ActiveX e mini-aplicativos Java não serão executados na zona do computador local. Se o conteúdo na zona do computador local tentar executar um controle ActiveX ou um miniaplicativo Java, o usuário receberá a seguinte mensagem:
    As configurações atuais de segurança proíbem a execução dos controles ActiveX neste página. Por isso a página pode não ser exibida corretamente.
    Uma mensagem de erro semelhante à seguinte pode ser exibida:
    Ocorreu um erro no script nesta página.
    Linha: 31
    Caractere: 12
    Erro: O objeto não oferece suporte a essa propriedade ou método.
    Código: 0
    URL: res://C:\Windows\System32\mmcndmgr.dll/views.htm

    Deseja continuar executando scripts nesta página?
  • Os scripts na zona do computador local irão solicitar permissão ao usuário para serem executados. Os usuários podem receber a seguinte mensagem:
    Os scripts são normalmente seguros. Deseja permitir a execução dos scripts?
  • Se a zona do computador local tentar conectar-se a um banco de dados que está em outra zona, o usuário irá receber a seguinte mensagem de erro:
    Esta página está acessando uma fonte de dados em outro domínio. Deseja permitir isso?
Observação É possível adicionar um comentário "salvo a partir do URL" para arquivos locais em HTML de modo a instruir o Internet Explorer a aplicar as configurações para conteúdo em HTML no computador local. Por exemplo, é possível adicionar um comentário "salvo a partir do URL" para um arquivo HTML local de modo que o arquivo HTML possa ser atribuído para a zona Internet em vez da zona do computador local. Se script, controles ActiveX assinados e miniaplicativos Java forem permitidos na zona Internet, o HTML local será executado com esses privilégios de segurança reduzidos. Para instruir o Internet Explorer a usar a zona da Internet para um arquivo HTML local chamado Test.htm, adicione o seguinte comentário ao Test.htm. Adicione esse comentário em uma linha separada antes da marca (tag) <HTML>
<!-- saved from url=(0023)http://www.contoso.com/ --> 
no qual o valor (0023) é o comprimento da seqüência do URL que vem depois, e Contoso é o nome de um site. Quando o Internet Explorer abre o arquivo Test.htm, ele procura pelo comentário "salvo a partir do URL" e usa as configurações da zona que são apropriadas para o URL de modo a deteminar qual diretiva de segurança deve ser aplicada à página da Web.

Como modificar as configurações da zona do computador local

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

Para modificar as configurações de segurança para a zona do computador local, modifique os valores adequados DWORD ou Binários do Registro em uma das seguintes chaves do Registro.

Para versões de 32 bits do Internet Explorer em versões de 32 bits do Windows ou para versões de 64 bits do Internet Explorer em versões de 64 bits do Windows XP ou no Windows Server 2003, modifique a seguinte chave do Registro, caso os usuários tenham permissão para definir suas próprias configurações de segurança do Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Ou, para versões de 32 bits do Internet Explorer em versões de 32 bits do Windows ou para versões de 64 bits do Internet Explorer em versões de 64 bits do Windows XP ou no Windows Server 2003, modifique a seguinte chave do Registro, caso todos os usuários sejam forçados a ter as mesmas configurações de segurança do Internet Explorer:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Para versões de 32 bits do Internet Explorer em versões de 64 bit do Windows XP ou em versões de 64 bits do Windows Server 2003, modifique a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Observação Por padrão, as configurações para as zonas de segurança são armazenadas na chave do Registro HKEY_CURRENT_USER. Como essa chave é carregada dinamicamente para cada usuário, as configurações para um usuário não afetam as configurações para outro. Se a configuração Zonas de segurança: Usar apenas configurações do computador estiver ativada na Diretiva de grupo, ou se o valor DWORD Security_HKLM_only estiver presente e possuir um valor de 1 na seguinte chave do Registro, apenas as configurações do computador local serão usadas e todos os usuários irão possuir as mesmas configurações de segurança:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Se a configuração Zonas de segurança: Usar apenas configurações do computador não estiver ativada na Diretiva de grupo, ou se o valor DWORD Security_HKLM_only não existir ou estiver definido como 0, as configurações do computador e do usuário serão usadas. No entanto, apenas as configurações do usuário aparecem no item do Painel de controle Opções da Internet. Por exemplo, quando esse valor DWORD não existir ou estiver definido como 0,
HKEY_LOCAL_MACHINE
e as configurações
HKEY_CURRENT_USER
forem lidas, mas apenas as configurações
HKEY_CURRENT_USER
aparecerem no item do Painel de controle Opções da Internet.

A seguinte tabela lista os nomes dos valores do Registro apropriados e também os valores do Registro padrão e recomendados (reforçados) para determinados tipos de operações possivelmente perigosas.
Recolher esta tabelaExpandir esta tabela
Nome do valor do Registro (Tipo)Dados do valor do Registro padrãoDados do valor do Registro recomendadosAção do URLConfiguração da zona
1200 (DWORD)03URLACTION_ACTIVEX_RUNExecuta plug-ins e controles ActiveX.
1201 (DWORD)13URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETYInicializa e cria scripts de controles ActiveX não marcados como seguros
1400 (DWORD)01URLACTION_SCRIPT_RUNScript ativo
1406 (DWORD)01URLACTION_CROSS_DOMAIN_DATAAcessa fontes de dados entre domínios
1C00 (Binário)00 00 02 0000 00 00 00URLACTION_JAVA_PERMISSIONSPermissões Java
Observação para valores DWORD listados nessa tabela, uma configuração de 0 define a ação como permitida (Ativada), uma configuração de 1 faz com que uma solicitação apareça (Prompt) e uma configuração de 3 impede a ação específica (Desativado). Para um valor binário de permissões de Java, a configuração padrão é 00 00 02 00 em segurança média. A configuração recomendada de 00 00 00 00 é desativar Java.

Importante Para script ativo, o valor recomendado (1) pode fazer com que muitos prompts executem scripts quando usuários executarem um programa ou um componente do Windows que usa o gerenciador de zona de segurança do URL padrão ou que hospeda conteúdo HTML local. Por isso, é aconselhável usar o valor padrão (0) para permitir script. Se não quiser definir o script para Prompt, modifique a linha que começa com "1400" da maneira apropriada nos arquivos do Registro de exemplo descritos posteriormente neste artigo.

Ambientes do Active Directory

Para usar as configurações da Diretiva de grupo para implementar essas diretivas em um ambiente do Active Directory, execute estas etapas.
Etapas para reforçar as configurações da zona do computador local
  1. Copie o seguinte texto da maneira apropriada e cole-o em um editor de texto (como o Bloco de notas).

    Se os usuários receberem permissões para usar suas próprias configurações de segurança do Internet Explorer, use o seguinte texto:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Se a configuração Zonas de segurança: Usar apenas configurações do computador for usada em uma Diretiva de grupo para forçar todos os usuários a terem as mesmas configurações de segurança, use o seguinte texto:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    
  2. Salve o arquivo como ADHardenLMZ.reg.
  3. No computador no qual deseja executar o Editor de objeto da Diretiva de grupo, execute ADHardenLMZ.reg para importar as configurações reforçadas para o Registro.
  4. Abra o Editor de objetos da Diretiva de grupo para o objeto do Active Directory que deseja.

    Observação Ao usar o Editor de objeto da Diretiva de grupo serão exibidas muitas mensagens questionando se deseja permitir a execução de scripts, uma mensagem de erro de script questionando se deseja continuar a executar scripts e uma mensagem informando que suas configurações de segurança atuais proíbem a execução de controles ActiveX. Para executar todos os scripts, clique em Sim , ignore a mensagem do ActiveX e clique em OK. O painel de Ajuda não irá aparecer no Editor de objeto da Diretiva de grupo após o reforço das configurações da zona do computador local.
  5. Em Configuração do usuário\Configurações do Windows\Manutenção do Internet Explorer\Segurança, clique duas vezes em Zonas de segurança e classificações de conteúdo.
  6. Clique em Importar as configurações atuais das zonas de segurança e privacidade e em OK.
Etapas para redefinir as configurações padrão para a zona do computador local
  1. Copie o texto apropriado abaixo e cole-o em um editor de texto (como o Bloco de notas).

    Se os usuários receberem permissões para usarem suas próprias configurações de segurança do Internet Explorer, use o seguinte texto:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Se a configuração Zonas de segurança: Usar apenas configurações do computador for usada em uma Diretiva de grupo para forçar todos os usuários a terem as mesmas configurações de segurança, use o seguinte texto:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    
  2. Salve o arquivo como ADDefaultLMZ.reg.
  3. No computador que deseja executar o Editor de objeto da Diretiva de grupo, execute ADDefaultLMZ.reg para importar as configurações padrão para o Registro.
  4. Abra o editor da Diretiva de grupo para o objeto do Active Directory que deseja.

    Observação Ao usar o Editor de objeto da Diretiva de grupo serão exibidas muitas mensagens questionando se deseja permitir a execução de scripts, uma mensagem de erro de script questionando se deseja continuar a executar scripts e uma mensagem informando que suas configurações de segurança atuais proíbem a execução de controles ActiveX. Clique em Sim para executar todos os scripts e em OK para ignorar a mensagem do ActiveX. O painel de Ajuda não irá aparecer no Editor de objeto da Diretiva de grupo após o reforço das configurações da zona do computador local.
  5. Em Configuração do usuário\Configurações do Windows\Manutenção do Internet Explorer\Segurança, clique duas vezes em Zonas de segurança e classificações de conteúdo.
  6. Clique em Importar as configurações atuais das zonas de segurança e privacidade e em OK.

Ambientes que não são do Active Directory

Para usar as configurações do Registro para implementar essas diretivas em um ambiente que não é do Active Directory, execute estas etapas.
Etapas para reforçar as configurações da zona do computador local
  1. Copie o texto apropriado abaixo e cole-o em um editor de texto (como o Bloco de notas).

    Se os usuários tiverem permissão para definir suas próprias configurações de segurança do Internet Explorer, use o seguinte texto:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    Se a configuração do Registro Security_HKLM_only for usada para forçar todos os usuários a terem as mesmas configurações de segurança, use o seguinte texto:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000003
    "1201"=dword:00000003
    "1400"=dword:00000001
    "1406"=dword:00000001
    "1C00"=hex:00,00,00,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
  2. Salve o arquivo como HardenLMZ.reg.
  3. Execute o arquivo HardenLMZ.reg em todos os computadores clientes para importar as configurações reforçadas no Registro.
Para redefinir as configurações padrão para a zona do computador local
  1. Copie o texto apropriado abaixo e cole-o em um editor de texto (como o Bloco de notas):

    Se os usuários tiverem permissão para definir suas próprias configurações de segurança do Internet Explorer, use o seguinte texto:
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    Se a configuração do Registro Security_HKLM_only for usada para forçar todos os usuários a terem as mesmas configurações de segurança, use o seguinte texto:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
    
    "1200"=dword:00000000
    "1201"=dword:00000001
    "1400"=dword:00000000
    "1406"=dword:00000000
    "1C00"=hex:00,00,02,00
    
    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    
    "Security_HKLM_only"=dword:00000001
    
  2. Salve o arquivo como DefaultLMZ.reg.
  3. Execute o arquivo DefaultLMZ.reg em todos os computadores cliente para importar as configurações reforçadas para o Registro.

Referências

Para obter informações adicionais sobre como distribuir as alterações no Registro de modo a multiplicar computadores usando um arquivo .reg, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
310516 COMO: Adicionar, modificar ou excluir subchaves do Registro e valores do Registro usando um arquivo de entradas do registro (.reg)
Para obter informações adicionais sobre as entradas do Registro das zonas de segurança do Internet Explorer, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
182569 Descrição das entradas do Registro das zonas de segurança do Internet Explorer
Para obter informações adicionais sobre os modelos das zonas de seguraça de URL, visite o seguinte site da Microsoft:
http://go.microsoft.com/fwlink/?LinkID=12658 (site em inglês)

Propriedades

ID do artigo: 833633 - Última revisão: terça-feira, 14 de dezembro de 2004 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.0
Palavras-chave: 
KB833633

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com