Este artigo descreve como um administrador pode reforçar as
configurações de segurança para a zona de segurança do computador local (ou Meu
computador) no Microsoft Internet Explorer.
Aviso a Microsoft recomenda que os administradores levem em
consideração essas alterações nas configurações de segurança do Internet
Explorer apenas como um último recurso. Com essas alterações, algumas
funcionalidades podem ser perdidas para alguns programas ou componentes do
Windows. Antes de realizar essas alterações em um ambiente de produção, teste
as alterações exaustivamente para verificar se programas essenciais continuam a
funcionar corretamente para todos os usuários.
O Internet Explorer usa as zonas de segurança para ajudar a
restringir a realização de operações perigosas pelo conteúdo da Web no seu
computador com base no local (zona) do conteúdo da Web. Por exemplo, páginas da
Web na zona Internet possuem restrições de segurança mais rígidas do que
páginas da Web nas zonas Confiáveis e Intranet local.
O conteúdo na
zona do computador local, com exceção do conteúdo que o Internet Explorer
armazena em cache no seu computador local, é tratado com um nível maior de
segurança do que o conteúdo nas zonas Intranet local, Internet, Sites
confiáveis e Sites restritos. Como resultado, um usuário mal-intencionado pode
tentar levar vantagem do poder da zona do computador local para aumentar suas
permissões e executar códigos arbitrários no seu computador.
A zona do
computador local é uma zona implícita para conteúdo que exista no seu
computador local. A zona do computador local não está exposta no painel de
controle das Opções da Internet. No entanto, os administradores podem usar as
configurações do Registro para definir as configurações da zona do computador
local.
O que deve-se considerar antes de reforçar as configurações da zona do computador local
Após reforçar as configurações da zona do computador local, os
usuários podem receber solicitações e algumas perdas de funcionalidade em
determinados programas e componentes do Windows podem ocorrer. As seguintes
pessoas e componentes podem ser afetados ao reforçar as configurações de
segurança para a zona do computador local:
- Programas e componentes do Windows que usem o gerenciador
de zona de segurança de URL padrão ou que hospedem conteúdo local em HTML. Por
exemplo, a Ajuda do Microsoft Office, a Ajuda e suporte do Windows e a Diretiva
de grupo usam o gerenciador de zona de segurança de URL padrão e hospedam
conteúdo local em HTML.
- Administradores de rede que usam scripts locais.
Após executar as etapas neste artigo para reforçar as
configurações de segurança para a zona do computador local, as seguintes
operações perigosas ficam restritas a conteúdos (como páginas da Web, programas
ou scripts) executados na zona do computador local:
- Controles ActiveX e mini-aplicativos Java não serão
executados na zona do computador local. Se o conteúdo na zona do computador
local tentar executar um controle ActiveX ou um miniaplicativo Java, o usuário
receberá a seguinte mensagem:
As configurações atuais
de segurança proíbem a execução dos controles ActiveX neste página. Por isso a
página pode não ser exibida corretamente.
Uma mensagem de erro
semelhante à seguinte pode ser exibida: Ocorreu um erro
no script nesta página.
Linha: 31
Caractere: 12
Erro: O objeto não
oferece suporte a essa propriedade ou método.
Código: 0
URL:
res://C:\Windows\System32\mmcndmgr.dll/views.htm
Deseja continuar
executando scripts nesta página?
- Os scripts na zona do computador local irão solicitar
permissão ao usuário para serem executados. Os usuários podem receber a
seguinte mensagem:
Os scripts são normalmente seguros.
Deseja permitir a execução dos scripts?
- Se a zona do computador local tentar conectar-se a um banco
de dados que está em outra zona, o usuário irá receber a seguinte mensagem de
erro:
Esta página está acessando uma fonte de dados em
outro domínio. Deseja permitir isso?
Observação É possível adicionar um comentário "salvo a partir do URL" para
arquivos locais em HTML de modo a instruir o Internet Explorer a aplicar as
configurações para conteúdo em HTML no computador local. Por exemplo, é
possível adicionar um comentário "salvo a partir do URL" para um arquivo HTML
local de modo que o arquivo HTML possa ser atribuído para a zona Internet em
vez da zona do computador local. Se script, controles ActiveX assinados e
miniaplicativos Java forem permitidos na zona Internet, o HTML local será
executado com esses privilégios de segurança reduzidos. Para instruir o
Internet Explorer a usar a zona da Internet para um arquivo HTML local chamado
Test.htm, adicione o seguinte comentário ao Test.htm. Adicione esse comentário
em uma linha separada antes da marca (tag) <HTML>
<!-- saved from url=(0023)http://www.contoso.com/ -->
no qual o valor (0023) é o comprimento da seqüência do URL que vem
depois, e Contoso é o nome de um site. Quando o Internet Explorer abre o
arquivo Test.htm, ele procura pelo comentário "salvo a partir do URL" e usa as
configurações da zona que são apropriadas para o URL de modo a deteminar qual
diretiva de segurança deve ser aplicada à página da Web.
Como modificar as configurações da zona do computador local
Aviso O uso incorreto do Editor do Registro pode causar sérios
problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft
não garante que os problemas resultantes do uso incorreto do Editor do Registro
possam ser solucionados. O uso do Editor do Registro é de sua
responsabilidade.
Para modificar as configurações de
segurança para a zona do computador local, modifique os valores adequados DWORD
ou Binários do Registro em uma das seguintes chaves do Registro.
Para
versões de 32 bits do Internet Explorer em versões de 32 bits do Windows ou
para versões de 64 bits do Internet Explorer em versões de 64 bits do Windows
XP ou no Windows Server 2003, modifique a seguinte chave do Registro, caso os
usuários tenham permissão para definir suas próprias configurações de segurança
do Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Ou, para versões de 32 bits do Internet Explorer em versões de 32
bits do Windows ou para versões de 64 bits do Internet Explorer em versões de
64 bits do Windows XP ou no Windows Server 2003, modifique a seguinte chave do
Registro, caso todos os usuários sejam forçados a ter as mesmas configurações
de segurança do Internet Explorer:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Para versões de 32 bits do Internet Explorer em versões de 64 bit
do Windows XP ou em versões de 64 bits do Windows Server 2003, modifique a
seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\0
Por padrão, as configurações para as zonas de segurança são
armazenadas na chave do Registro HKEY_CURRENT_USER. Como essa chave é carregada
dinamicamente para cada usuário, as configurações para um usuário não afetam as
configurações para outro. Se a configuração
Zonas de segurança: Usar apenas configurações do computador estiver ativada na Diretiva de grupo, ou se o valor DWORD
Security_HKLM_only estiver presente e possuir um valor de
1 na seguinte chave do Registro, apenas as configurações do
computador local serão usadas e todos os usuários irão possuir as mesmas
configurações de segurança:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Se a configuração
Zonas de segurança: Usar apenas configurações do computador não estiver ativada na Diretiva de grupo, ou se o valor DWORD
Security_HKLM_only não existir ou estiver definido como
0, as configurações do computador e do usuário serão usadas. No
entanto, apenas as configurações do usuário aparecem no item do Painel de
controle Opções da Internet. Por exemplo, quando esse valor DWORD não existir
ou estiver definido como 0,
HKEY_LOCAL_MACHINE
e as configurações
HKEY_CURRENT_USER
forem
lidas, mas apenas as configurações
HKEY_CURRENT_USER
aparecerem no item do
Painel de controle Opções da Internet.
A seguinte tabela lista os
nomes dos valores do Registro apropriados e também os valores do Registro
padrão e recomendados (reforçados) para determinados tipos de operações
possivelmente perigosas.
Recolher esta tabelaExpandir esta tabela
| Nome do valor do Registro (Tipo) | Dados do valor do Registro padrão | Dados do valor do Registro recomendados | Ação do URL | Configuração da zona |
| 1200
(DWORD) | 0 | 3 | URLACTION_ACTIVEX_RUN | Executa
plug-ins e controles ActiveX. |
| 1201
(DWORD) | 1 | 3 | URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY | Inicializa
e cria scripts de controles ActiveX não marcados como seguros |
| 1400
(DWORD) | 0 | 1 | URLACTION_SCRIPT_RUN | Script
ativo |
| 1406
(DWORD) | 0 | 1 | URLACTION_CROSS_DOMAIN_DATA | Acessa
fontes de dados entre domínios |
| 1C00 (Binário) | 00 00 02 00 | 00 00 00
00 | URLACTION_JAVA_PERMISSIONS | Permissões Java |
para valores DWORD listados nessa tabela, uma configuração de
0 define a ação como permitida (Ativada), uma configuração de
1 faz com que uma solicitação apareça (Prompt) e uma configuração
de
3 impede a ação específica (Desativado). Para um valor binário de
permissões de Java, a configuração padrão é
00 00 02 00 em segurança média. A configuração recomendada de
00 00 00 00 é desativar Java.
Importante Para script ativo, o valor recomendado (
1) pode fazer com que muitos prompts executem scripts quando
usuários executarem um programa ou um componente do Windows que usa o
gerenciador de zona de segurança do URL padrão ou que hospeda conteúdo HTML
local. Por isso, é aconselhável usar o valor padrão (
0) para permitir script. Se não quiser definir o script para
Prompt, modifique a linha que começa com "1400" da maneira apropriada nos
arquivos do Registro de exemplo descritos posteriormente neste artigo.
Ambientes do Active Directory
Para usar as configurações da Diretiva de grupo para implementar
essas diretivas em um ambiente do Active Directory, execute estas etapas.
Etapas para reforçar as configurações da zona do computador local
- Copie o seguinte texto da maneira apropriada e cole-o em um
editor de texto (como o Bloco de notas).
Se os usuários receberem
permissões para usar suas próprias configurações de segurança do Internet
Explorer, use o seguinte texto:REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
- Salve o arquivo como ADHardenLMZ.reg.
- No computador no qual deseja executar o Editor de objeto da
Diretiva de grupo, execute ADHardenLMZ.reg para importar as configurações
reforçadas para o Registro.
- Abra o Editor de objetos da Diretiva de grupo para o objeto
do Active Directory que deseja.
Observação Ao usar o Editor de objeto da Diretiva de grupo serão exibidas
muitas mensagens questionando se deseja permitir a execução de scripts, uma
mensagem de erro de script questionando se deseja continuar a executar scripts
e uma mensagem informando que suas configurações de segurança atuais proíbem a
execução de controles ActiveX. Para executar todos os scripts, clique em
Sim , ignore a mensagem do ActiveX e clique em
OK. O painel de Ajuda não irá aparecer no Editor de objeto da
Diretiva de grupo após o reforço das configurações da zona do computador local.
- Em Configuração do usuário\Configurações do
Windows\Manutenção do Internet Explorer\Segurança, clique duas vezes em
Zonas de segurança e classificações de conteúdo.
- Clique em Importar as configurações atuais das
zonas de segurança e privacidade e em OK.
Etapas para redefinir as configurações padrão para a zona do computador local
- Copie o texto apropriado abaixo e cole-o em um editor de
texto (como o Bloco de notas).
Se os usuários receberem permissões
para usarem suas próprias configurações de segurança do Internet Explorer, use
o seguinte texto: REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
- Salve o arquivo como ADDefaultLMZ.reg.
- No computador que deseja executar o Editor de objeto da
Diretiva de grupo, execute ADDefaultLMZ.reg para importar as configurações
padrão para o Registro.
- Abra o editor da Diretiva de grupo para o objeto do Active
Directory que deseja.
Observação Ao usar o Editor de objeto da Diretiva de grupo serão exibidas
muitas mensagens questionando se deseja permitir a execução de scripts, uma
mensagem de erro de script questionando se deseja continuar a executar scripts
e uma mensagem informando que suas configurações de segurança atuais proíbem a
execução de controles ActiveX. Clique em Sim para executar
todos os scripts e em OK para ignorar a mensagem do ActiveX. O
painel de Ajuda não irá aparecer no Editor de objeto da Diretiva de grupo após
o reforço das configurações da zona do computador local. - Em Configuração do usuário\Configurações do
Windows\Manutenção do Internet Explorer\Segurança, clique duas vezes em
Zonas de segurança e classificações de conteúdo.
- Clique em Importar as configurações atuais das
zonas de segurança e privacidade e em OK.
Ambientes que não são do Active Directory
Para usar as configurações do Registro para implementar essas
diretivas em um ambiente que não é do Active Directory, execute estas etapas.
Etapas para reforçar as configurações da zona do computador local
- Copie o texto apropriado abaixo e cole-o em um editor de
texto (como o Bloco de notas).
Se os usuários tiverem permissão para
definir suas próprias configurações de segurança do Internet Explorer, use o
seguinte texto:REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000003
"1201"=dword:00000003
"1400"=dword:00000001
"1406"=dword:00000001
"1C00"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
"Security_HKLM_only"=dword:00000001
- Salve o arquivo como HardenLMZ.reg.
- Execute o arquivo HardenLMZ.reg em todos os computadores
clientes para importar as configurações reforçadas no Registro.
Para redefinir as configurações padrão para a zona do computador local
- Copie o texto apropriado abaixo e cole-o em um editor de
texto (como o Bloco de notas):
Se os usuários tiverem permissão para
definir suas próprias configurações de segurança do Internet Explorer, use o
seguinte texto:REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1200"=dword:00000000
"1201"=dword:00000001
"1400"=dword:00000000
"1406"=dword:00000000
"1C00"=hex:00,00,02,00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
"Security_HKLM_only"=dword:00000001
- Salve o arquivo como DefaultLMZ.reg.
- Execute o arquivo DefaultLMZ.reg em todos os computadores
cliente para importar as configurações reforçadas para o Registro.
Para obter informações adicionais sobre como
distribuir as alterações no Registro de modo a multiplicar computadores usando
um arquivo .reg, clique no número abaixo para ler o artigo na Base de Dados de
Conhecimento da Microsoft:
310516
(http://support.microsoft.com/kb/310516/
)
COMO: Adicionar, modificar ou excluir subchaves do Registro e valores do Registro usando um arquivo de entradas do registro (.reg)
Para obter informações adicionais
sobre as entradas do Registro das zonas de segurança do Internet Explorer,
clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da
Microsoft:
182569
(http://support.microsoft.com/kb/182569/
)
Descrição das entradas do Registro das zonas de segurança do Internet Explorer
Para obter informações adicionais sobre os modelos
das zonas de seguraça de URL, visite o seguinte site da Microsoft:
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Voltar para o início
