Entradas de registro de zonas de segurança Explorer Internet para usuários avançados

  • Artigo

Aviso

O aplicativo da área de trabalho desativado e sem suporte do Internet Explorer 11 está programado para ser desativado permanentemente por meio de uma atualização do Microsoft Edge em certas versões do Windows 10. Para obter mais informações, consulte Perguntas frequentes sobre a desativação do aplicativo de área de trabalho do Internet Explorer 11.

Este artigo descreve como e onde as zonas de segurança e as configurações de privacidade da Internet Explorer são armazenadas e gerenciadas no registro. Você pode usar Política de Grupo ou o Microsoft Internet Explorer Administration Kit (IEAK) para definir zonas de segurança e configurações de privacidade.

Versão original do produto: Internet Explorer 9, Internet Explorer 10
Número de KB original: 182569

Configurações de privacidade

As versões da Internet Explorer 6 e posteriores adicionaram uma guia Privacidade para dar aos usuários mais controle sobre cookies. Essa guia (selecioneFerramentas e, em seguida, selecioneopções de Internet) fornece flexibilidade para bloquear ou permitir cookies, com base no site do qual o cookie veio ou no tipo de cookie. Os tipos de cookies incluem cookies de primeiro partido, cookies de terceiros e cookies que não têm uma política de privacidade compacta. Essa guia também inclui opções para controlar solicitações de site para dados de localização física, a capacidade de bloquear pop-ups e a capacidade de executar barras de ferramentas e extensões quando a navegação inPrivate está habilitada.

Há diferentes níveis de privacidade na zona da Internet e eles são armazenados no registro no mesmo local que as zonas de segurança.

Você também pode adicionar um site da Web para habilitar ou bloquear cookies com base no site, independentemente da política de privacidade no site. Essas chaves de registro são armazenadas na subchave do registro a seguir:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

Domínios que foram adicionados como um site gerenciado são listados nesta subchave. Esses domínios podem carregar um dos seguintes valores DWORD:

0x00000005 – Bloco Sempre
0x00000001 – Sempre Permitir

Configurações da Zona de Segurança

Para cada zona, os usuários podem controlar como a Internet Explorer lida com itens de maior risco, como controles ActiveX, downloads e scripts. As configurações de zonas de segurança Explorer internet são armazenadas nas seguintes subchaves de registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Essas chaves de registro contêm as seguintes chaves:

  • TemplatePolicies
  • ZoneMap
  • Zonas

Observação

Por padrão, as configurações de zonas de segurança são armazenadas na sub-árvore do HKEY_CURRENT_USER registro. Como essa sub-árvore é carregada dinamicamente para cada usuário, as configurações de um usuário não afetam as configurações para outro.

Se as Zonas de Segurança: usar apenas a configuração de configurações do computador no Política de Grupo estiver habilitada ou se o Security_HKLM_only valor DWORD estiver presente e tiver um valor de 1 na subchave de registro a seguir, somente as configurações de computador local serão usadas e todos os usuários tiverem as mesmas configurações de segurança:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Com a política habilitada, os Security_HKLM_only valores HKLM serão usados pela Internet Explorer. No entanto, os valores HKCU ainda serão exibidos nas configurações de zona na guia Segurança na Internet Explorer. Na Internet Explorer 7, a guia Segurança da caixa de diálogo Opções da Internet exibe a seguinte mensagem para indicar que as configurações são gerenciadas pelo administrador do sistema:

Algumas configurações são gerenciadas pelo administrador do sistema Se as Zonas de Segurança: usar apenas a configuração de configurações do computador não estiver habilitada em Política de Grupo ou se o Security_HKLM_only valor DWORD não existir ou estiver definido como 0, as configurações do computador serão usadas junto com as configurações do usuário. No entanto, apenas as configurações de usuário aparecem nas Opções de Internet. Por exemplo, quando esse valor DWORD não existe ou é definido como 0, HKEY_LOCAL_MACHINE as configurações são lidas em conjunto com HKEY_CURRENT_USER as configurações, mas apenas HKEY_CURRENT_USER as configurações aparecem nas Opções da Internet.

TemplatePolicies

A TemplatePolicies chave determina as configurações dos níveis padrão da zona de segurança. Esses níveis são baixos, médios baixos, médios e altos. Você pode alterar as configurações de nível de segurança das configurações padrão. No entanto, você não pode adicionar mais níveis de segurança. As chaves contêm valores que determinam a configuração da zona de segurança. Cada chave contém um valor de cadeia de caracteres Descrição e um valor de cadeia de caracteres Nome de Exibição que determinam o texto que aparece na guia Segurança para cada nível de segurança.

ZoneMap

A ZoneMap chave contém as seguintes chaves:

  • Domínios
  • EscDomains
  • ProtocolDefaults
  • Intervalos

A Domains chave contém domínios e protocolos que foram adicionados para alterar seu comportamento do comportamento padrão. Quando um domínio é adicionado, uma chave é adicionada à Domains chave. Os subdomínios aparecem como chaves no domínio em que pertencem. Cada chave que lista um domínio contém um DWORD com um nome de valor do protocolo afetado. O valor do DWORD é o mesmo que o valor numérico da zona de segurança em que o domínio é adicionado.

A EscDomains chave se assemelha à chave Domains, exceto que a EscDomains chave se aplica aos protocolos afetados pelo ESC (Configuração de Segurança Aprimorada Explorer Internet). O ESC do IE é introduzido no Microsoft Windows Server 2003 e se aplica apenas aos sistemas operacionais do servidor.

A ProtocolDefaults chave especifica a zona de segurança padrão usada para um protocolo específico (ftp, http, https). Para alterar a configuração padrão, você pode adicionar um protocolo a uma zona de segurança selecionando Adicionar Sites na guia Segurança ou adicionar um valor DWORD na chave Domínios. O nome do valor DWORD deve corresponder ao nome do protocolo e ele não deve conter pontos (:) ou barras (/).

A ProtocolDefaults chave também contém valores DWORD que especificam as zonas de segurança padrão em que um protocolo é usado. Você não pode usar os controles na guia Segurança para alterar esses valores. Essa configuração é usada quando um determinado site da Web não cai em uma zona de segurança.

A Ranges chave contém intervalos de endereços TCP/IP. Cada intervalo TCP/IP especificado aparece em uma chave nomeada arbitrariamente. Essa chave contém um valor de :Range cadeia de caracteres que contém o intervalo TCP/IP especificado. Para cada protocolo, um valor DWORD é adicionado que contém o valor numérico da zona de segurança para o intervalo de IP especificado.

Quando o arquivo Urlmon.dll usa a função pública MapUrlToZone para resolve uma URL específica para uma zona de segurança, ele usa um dos seguintes métodos:

  • Se a URL contiver um FQDN (nome de domínio totalmente qualificado), a chave Domínios será processada.

    Neste método, uma correspondência de site exata substitui uma correspondência aleatória.

  • Se a URL contiver um endereço IP, a Ranges chave será processada. O endereço IP da URL é comparado ao :Range valor contido nas chaves nomeadas arbitrariamente sob a Ranges chave.

Observação

Como as chaves nomeadas arbitrariamente são processadas na ordem em que foram adicionadas ao registro, esse método pode encontrar uma correspondência aleatória antes de encontrar uma correspondência. Se esse método encontrar uma correspondência aleatória primeiro, a URL poderá ser executada em uma zona de segurança diferente da zona em que normalmente é atribuída. Este é o comportamento padrão.

Zonas

A Zones chave contém chaves que representam cada zona de segurança definida para o computador. Por padrão, as cinco zonas a seguir são definidas (numeradas de zero a quatro):

Value  Setting
------------------------------
0      My Computer
1      Local Intranet Zone
2      Trusted sites Zone
3      Internet Zone
4      Restricted Sites Zone

Observação

Por padrão, Meu Computador não aparece na caixa Zona na guia Segurança, pois ele é bloqueado para ajudar a melhorar a segurança.

Cada uma dessas chaves contém os seguintes valores DWORD que representam as configurações correspondentes na guia Segurança personalizada.

Observação

A menos que seja declarado o contrário, cada valor DWORD é igual a zero, um ou três. Normalmente, uma configuração de zero define uma ação específica conforme permitido, uma configuração de uma faz com que um prompt seja exibido e uma configuração de três proíbe a ação específica.

Value  Setting
----------------------------------------------------------------------------------
1001   ActiveX controls and plug-ins: Download signed ActiveX controls
1004   ActiveX controls and plug-ins: Download unsigned ActiveX controls
1200   ActiveX controls and plug-ins: Run ActiveX controls and plug-ins
1201   ActiveX controls and plug-ins: Initialize and script ActiveX controls not marked as safe for scripting
1206   Miscellaneous: Allow scripting of Internet Explorer Web browser control ^
1207   Reserved #
1208   ActiveX controls and plug-ins: Allow previously unused ActiveX controls to run without prompt ^
1209   ActiveX controls and plug-ins: Allow Scriptlets
120A   ActiveX controls and plug-ins: ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrictions
120B   ActiveX controls and plug-ins: Override Per-Site (domain-based) ActiveX restrict ions
1400   Scripting: Active scripting
1402   Scripting: Scripting of Java applets
1405   ActiveX controls and plug-ins: Script ActiveX controls marked as safe for scripting
1406   Miscellaneous: Access data sources across domains
1407   Scripting: Allow Programmatic clipboard access
1408   Reserved #
1409   Scripting: Enable XSS Filter
1601   Miscellaneous: Submit non-encrypted form data
1604   Downloads: Font download
1605   Run Java #
1606   Miscellaneous: Userdata persistence ^
1607   Miscellaneous: Navigate sub-frames across different domains
1608   Miscellaneous: Allow META REFRESH * ^
1609   Miscellaneous: Display mixed content *
160A   Miscellaneous: Include local directory path when uploading files to a server ^
1800   Miscellaneous: Installation of desktop items
1802   Miscellaneous: Drag and drop or copy and paste files
1803   Downloads: File Download ^
1804   Miscellaneous: Launching programs and files in an IFRAME
1805   Launching programs and files in webview #
1806   Miscellaneous: Launching applications and unsafe files
1807   Reserved ** #
1808   Reserved ** #
1809   Miscellaneous: Use Pop-up Blocker ** ^
180A   Reserved #
180B   Reserved #
180C   Reserved #
180D   Reserved #
180E   Allow OpenSearch queries in Windows Explorer #
180F   Allow previewing and custom thumbnails of OpenSearch query results in Windows Explorer #
1A00   User Authentication: Logon
1A02   Allow persistent cookies that are stored on your computer #
1A03   Allow per-session cookies (not stored) #
1A04   Miscellaneous: Don't prompt for client certificate selection when no certificates or only one certificate exists * ^
1A05   Allow 3rd party persistent cookies *
1A06   Allow 3rd party session cookies *
1A10   Privacy Settings *
1C00   Java permissions #
1E05   Miscellaneous: Software channel permissions
1F00   Reserved ** #
2000   ActiveX controls and plug-ins: Binary and script behaviors
2001   .NET Framework-reliant components: Run components signed with Authenticode
2004   .NET Framework-reliant components: Run components not signed with Authenticode
2007   .NET Framework-Reliant Components: Permissions for Components with Manifests
2100   Miscellaneous: Open files based on content, not file extension ** ^
2101   Miscellaneous: Web sites in less privileged web content zone can navigate into this zone **
2102   Miscellaneous: Allow script initiated windows without size or position constraints ** ^
2103   Scripting: Allow status bar updates via script ^
2104   Miscellaneous: Allow websites to open windows without address or status bars ^
2105   Scripting: Allow websites to prompt for information using scripted windows ^
2200   Downloads: Automatic prompting for file downloads ** ^
2201   ActiveX controls and plug-ins: Automatic prompting for ActiveX controls ** ^
2300   Miscellaneous: Allow web pages to use restricted protocols for active content **
2301   Miscellaneous: Use Phishing Filter ^
2400   .NET Framework: XAML browser applications
2401   .NET Framework: XPS documents
2402   .NET Framework: Loose XAML
2500   Turn on Protected Mode [Vista only setting] #
2600   Enable .NET Framework setup ^
2702   ActiveX controls and plug-ins: Allow ActiveX Filtering
2708   Miscellaneous: Allow dragging of content between domains into the same window
2709   Miscellaneous: Allow dragging of content between domains into separate windows
270B   Miscellaneous: Render legacy filters
270C   ActiveX Controls and plug-ins: Run Antimalware software on ActiveX controls

       {AEBA21FA-782A-4A90-978D-B72164C80120} First Party Cookie *
       {A8A88C49-5EB2-4990-A1A2-0876022C854F} Third Party Cookie *

* indicates an Internet Explorer 6 or later setting
** indicates a Windows XP Service Pack 2 or later setting
# indicates a setting that is not displayed in the user interface in Internet Explorer
^ indicates a setting that only has two options, enabled or disabled

Notas sobre 1200, 1A00, 1A10, 1E05, 1C00 e 2000

As duas entradas de registro a seguir afetam se você pode executar controles ActiveX em uma determinada zona:

  • 1200 Essa entrada de registro afeta se você pode executar controles ActiveX ou plug-ins.
  • 2000 Essa entrada de registro controla o comportamento binário e o comportamento de script para controles Ou plug-ins do ActiveX.

Anotações sobre 1A02, 1A03, 1A05 e 1A06

As quatro entradas de registro a seguir só entrarão em vigor se as seguintes chaves estiverem presentes:

  • {AEBA21FA-782A-4A90-978D-B72164C80120} Cookie de Primeira Festa *
  • {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookie de terceiros *

Entradas do Registro

  • 1A02 Permitir cookies persistentes armazenados em seu computador #
  • 1A03 Permitir cookies por sessão (não armazenados) #
  • 1A05 Permitir cookies persistentes de terceiros *
  • 1A06 Permitir cookies de sessão de terceiros *

Essas entradas de registro estão localizadas na subchave do registro a seguir:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\<ZoneNumber>

Nesta subchave de registro, <ZoneNumber> é uma zona como 0 (zero). A 1200 entrada do registro e a entrada do 2000 registro contêm uma configuração chamada Administrador aprovado. Quando essa configuração está habilitada, o valor da entrada específica do registro é definido como 00010000. Quando a configuração aprovada pelo administrador está habilitada, o Windows examina a seguinte subchave de registro para localizar uma lista de controles aprovados:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

A configuração de logon (1A00) pode ter qualquer um dos seguintes valores (hexadecimal):

Value       Setting
---------------------------------------------------------------
0x00000000  Automatically logon with current username and password
0x00010000  Prompt for user name and password
0x00020000  Automatic logon only in the Intranet zone
0x00030000  Anonymous logon

As Configurações de Privacidade (1A10) são usadas pelo controle deslizante da guia Privacidade. Os valores DWORD são os seguintes:

Bloquear todos os cookies: 00000003
Alto: 00000001
Médio Alto: 00000001
Médio: 00000001
Baixo: 00000001
Aceitar todos os Cookies: 000000000

Com base nas configurações no controle deslizante, ele também modificará os valores em {A8A88C49-5EB2-4990-A1A2-0876022C854F}, {AEBA21Fa-782A-4A90-978D-B72164C80120}, ou ambos.

A configuração de Permissões Java (1C00) tem os cinco valores possíveis a seguir (binários):

Value        Setting
-----------------------
00 00 00 00  Disable Java
00 00 01 00  High safety
00 00 02 00  Medium safety
00 00 03 00  Low safety
00 00 80 00  Custom

Se Personalizado estiver selecionado, ele usará {7839DA25-F5FE-11D0-883B-0080C726DCBB} (que está localizado no mesmo local do registro) para armazenar as informações personalizadas em um binário.

Cada zona de segurança contém o valor da cadeia de caracteres Descrição e o valor da cadeia de caracteres Nome de Exibição. O texto desses valores é exibido na guia Segurança quando você seleciona uma zona na caixa Zona. Há também um valor de cadeia de caracteres icon que define o ícone que aparece para cada zona. Com exceção da zona Meu Computador, cada zona contém um CurrentLevelvalor , MinLevele RecommendedLevel DWORD. O MinLevel valor define a configuração mais baixa que pode ser usada antes de receber uma mensagem de aviso, CurrentLevel é a configuração atual para a zona e RecommendedLevel é o nível recomendado para a zona.

Quais valores para Minlevel, RecommendedLevele CurrentLevel significa o seguinte:

Value (Hexadecimal) Setting
----------------------------------
0x00010000          Low Security
0x00010500          Medium Low Security
0x00011000          Medium Security
0x00012000          High Security

O Flags valor DWORD determina a capacidade do usuário de modificar as propriedades da zona de segurança. Para determinar o Flags valor, adicione os números das configurações apropriadas. Os valores a seguir Flags estão disponíveis (decimal):

Value  Setting
------------------------------------------------------------------
1      Allow changes to custom settings
2      Allow users to add Web sites to this zone
4      Require verified Web sites (https protocol)
8      Include Web sites that bypass the proxy server
16     Include Web sites not listed in other zones
32     Do not show security zone in Internet Properties (default setting for My Computer)
64     Show the Requires Server Verification dialog box
128    Treat Universal Naming Connections (UNCs) as intranet connections
256    Automatically detect Intranet network

Se você adicionar configurações ao HKEY_LOCAL_MACHINE e às HKEY_CURRENT_USER sub-árvores, as configurações serão aditivas. Se você adicionar sites da Web a ambas as sub-árvores, somente os sites da Web no HKEY_CURRENT_USER estarão visíveis. Os sites na HKEY_LOCAL_MACHINE sub-árvore ainda são imposto de acordo com suas configurações. No entanto, eles não estão disponíveis e você não pode modificá-los. Essa situação pode ser confusa porque um site da Web pode ser listado em apenas uma zona de segurança para cada protocolo.

Referências

Para obter mais informações sobre as alterações na funcionalidade no Microsoft Windows XP Service Pack 2 (SP2), visite o seguinte site da Microsoft:

Parte 5: Segurança de navegação aprimorada

Para obter mais informações sobre zonas de segurança de URL, visite o seguinte site da Microsoft:

Sobre zonas de segurança de URL

Para obter mais informações sobre como alterar as configurações de segurança Explorer Internet, visite o seguinte site da Microsoft:

Alterar as configurações de segurança e privacidade da Internet Explorer 11

Para obter mais informações sobre a Internet Explorer Bloqueio de Zona de Máquina Local, visite o seguinte site da Microsoft:

Bloqueio de zona de máquina local Explorer Internet

Para obter mais informações sobre valores associados às ações que podem ser tomadas em uma zona de segurança de URL, consulte Sinalizadores de Ação de URL.