Microsoft Windows XP Service Pack 2 中的功能变更
第 5 部分:增强的浏览安全性
本文档是“Microsoft® Windows® XP Service Pack 2 中的功能变更”的第 5 部分,提供了有关 Windows XP Service Pack 2 所包含的用于提高 Web 浏览安全性的技术的详细信息。这些技术旨在提供比以前的 Internet Explorer 版本更高的安全性。 本文档适用于 Microsoft Windows XP Service Pack 2 (SP2),该 Service Pack 面向 32 位版本的 Windows XP Professional 和 Windows XP Home Edition。本文档中没有描述包含在 Service Pack 中的所有功能变更,而是重点介绍了对使用 Windows XP SP2 最具影响的那些变更,并提供了其他可用的参考信息。 本页内容下载增强、附件增强和 Authenticode(验证码)增强下载增强、附件增强和 Authenticode 增强的作用是什么?在 Windows XP Service Pack 2 中,已修改了用于文件下载、邮件附件、shell 进程执行和程序安装的提示,修改后的提示比 Windows XP Service Pack 1 中的提示更加一致和清晰。此外,在打开可签名的并且可能损坏用户计算机的文件类型之前,会显示发行者信息。(可能损坏用户计算机的常见可签名的文件类型有 .exe、.dll、.ocx、.msi 和 .cab。) 该版本采用了一种新的应用程序编程接口 (API),使得应用程序开发人员可以使用这一新的用户界面。有关该 API 的详细信息,请参阅本文档中有关 Windows XP Service Pack 2 中的电子邮件功能变更一节中的“AES API 集成”。 此功能适用于哪些用户对象?使用本文档前面的“AES API 集成”部分介绍的 API,应用程序开发人员能够从其 Windows 应用程序中调用新的“附件执行服务 (AES)”对话框。 应用程序开发人员还应注意,在某些情况下(例如,当试图打开附件或下载可能具有危险性的文件时),会在打开可能损坏用户计算机的文件类型之前先检查其数字签名。签名信息将呈现给用户,从而使用户能够识别文件的发行者。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?Internet Explorer 文件下载提示详细说明 用户使用 Internet Explorer 下载文件时,出现的对话框发生了如下更改:
检查可签名的并且可能损坏用户计算机的所有文件类型的发行者信息。此信息将在文件打开之前显示给用户。 在打开可签名的并且可能损坏用户计算机的文件类型之前显示发行者信息。“Authenticode”对话框将此信息提供给用户,然后,用户可以根据该信息来决定是否运行该文件。 为什么此更改非常重要? 此更改使用户将文件和代码下载到其计算机的过程具有一致性和明确性。在文件中找到签名后,发行者检查提供至关重要的信息,并通过一种系统的方法防止来自可疑发行者的文件威胁计算机的安全。 哪些功能发生变化? 不允许发行者被阻止的文件运行。 如何解决这些问题? 可以使用 Internet Explorer 中的“管理加载项”来取消阻止加载项的发行者。要取消阻止发行者以便能够下载特定的文件,可以将该发行者从“未受信任的发行者”列表中删除。为此,请在 Internet Explorer 的“工具”菜单中,单击“选项”,再单击“内容”选项卡,然后将该发行者的名称从“未受信任的发行者”列表中删除。 Outlook Express 电子邮件附件提示详细说明 Outlook Express 电子邮件附件提示使用的操作过程与文件下载提示的相同。Outlook Express 中的电子邮件附件显示可能损坏用户计算机的文件类型的发行者信息,发行者已被阻止的任何文件均不能运行。 为什么此更改非常重要? 此更改使用户将文件和代码下载到其计算机的过程具有一致性和明确性。找到签名后,发行者检查提供至关重要的信息,并通过一种系统的方法防止来自可疑发行者的文件威胁计算机的安全。 哪些功能发生变化?是否存在任何依赖性? 不允许发行者被阻止的文件运行。 如何解决这些问题? 可以使用 Internet Explorer 中的“管理加载项”来取消阻止加载项的发行者。如果要取消阻止发行者以便能够下载特定的文件,可以将该发行者从“未受信任的发行者”列表中删除。为此,请在 Internet Explorer 的“工具”菜单中,单击“选项”,再单击“内容”选项卡,然后将该发行者的名称从“未受信任的发行者”列表中删除。 加载项安装提示详细说明 Internet Explorer 加载项安装提示已简化,简化后的安装提示仅仅显示数字签名中的文件名和发行者信息。该提示提供一条警告消息,指出安装加载项所涉及到的风险,以便帮助用户正确地判断出能否安装该加载项。此外,提示中还添加了其他功能,使用户能够始终阻止某个发行者,指示 Windows XP 应永不信任来自该发行者的任何内容。这样便阻止了该发行者在计算机上运行代码。 为什么此更改非常重要? 此更改使用户将文件和代码下载到其计算机的过程具有一致性和明确性。此外,当提示用户安装加载项时,用户可以选择不信任发行者。这样便使用户拥有了更大的操作控制权。 哪些功能发生变化?是否存在任何依赖性? 安装加载项时的用户界面更加清楚简洁。 如何解决这些问题? 默认情况下,Internet Explorer 不允许用户运行无效的或未签名的 ActiveX 控件。信息栏为用户提供了另一种选择安装被阻止的控件的途径。有关 Internet Explorer 信息栏的详细信息,请参阅本文档后面的信息。 Windows XP Service Pack 2 中添加或更改了哪些设置?用户现在能够阻止发行者在其计算机上运行代码。 Internet Explorer 加载项管理和故障检测Internet Explorer 加载项管理和故障检测的作用是什么?这是 Internet Explorer 中包括的两个密切相关的新功能。 利用 Internet Explorer 加载项管理,用户可以用比以前更详细的控制程度来查看和控制可由 Internet Explorer 加载的加载项列表。加载项管理还可以显示某些加载项的存在,而这些是以前不显示并且很难检测的。 Internet Explorer 加载项故障检测尝试检测 Internet Explorer 中与加载项有关的故障。当成功识别加载项后,此信息将提供给用户。用户可以选择禁用加载项,以诊断故障,并提高 Internet Explorer 的整体稳定性。 此功能适用于哪些用户对象?用户能够查看、启用和禁用 Internet Explorer 使用的加载项,并确定可能与 Internet Explorer 故障有关的加载项。管理员可以强制执行一组允许或禁止的加载项,并且限制用户管理加载项的能力。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?Internet Explorer 加载项管理详细说明 利用 Internet Explorer 加载项管理,用户可以用比以前更详细的控制程度来查看和控制可由 Internet Explorer 加载的加载项列表。加载项管理还可以显示某些加载项的存在,而这些是以前不显示并且很难检测的。这些加载项可能提供用户不需要的功能或服务,而在某些情况下,这可能会带来安全风险。 例如,用户可能在无意中安装了一个秘密记录所有网页活动并将它报告给中央服务器的加载项。以前,要识别和删除这样的加载项,可能需要具备专门的软件知识和深厚的技术知识。但现在,Internet Explorer 加载项管理提供了一种更简便的方式来检测和禁用此类加载项。 加载项包括:
加载项可以从各种位置以几种方式安装,其中包括:
管理加载项 用户可以逐个启用和禁用每个加载项,并查看 Internet Explorer 使用加载项的时间间隔信息。为此,请按以下步骤打开“管理加载项”。
您还可以执行以下步骤通过控制面板打开“管理加载项”:
“管理加载项”有几个选项,您可以利用它们来更改您的加载项配置。 可以使用“显示”来控制加载项列表的显示方式。有两种显示方式可供选择:
加载项列表显示本文档前面提到的类型的所有已安装加载项。要启用或禁用已安装的加载项,请在列表中单击该加载项,然后单击“启用”或“禁用”。 如果单击列表中的某个 ActiveX 控件,然后单击“更新 ActiveX”,Windows 将在找到原始控件的位置搜索更新版本。如果在该位置找到更新的版本,Internet Explorer 会尝试安装它。 加载项列表还包含因发行者不受信任而被阻止安装的已签名加载项。选择其中的某个控件后,用户可以通过单击“允许”来取消阻止该控件。执行此操作时应当谨慎,因为单击“允许”会将发行者从不受信任列表中删除。 阻止加载项状态栏图标 当网页尝试实例化因其发行者不受信任而被禁用或阻止的 ActiveX 控件时,阻止加载项图标会出现在状态栏中。可以双击该图标打开“管理加载项”。前五次出现状态栏图标时,同时显示气球提示。 加载项通知气球提示 当网页尝试实例化禁用的加载项并且没有当前阻止加载项状态栏图标时,会出现一条消息,提示用户当前网页正在请求被禁用的加载项。用户可以单击该消息,了解有关阻止加载项的更多详细信息。 可以使用控制面板抑制该消息。该选项将在本文档的后面部分说明。 为什么此更改非常重要?它有助于缓解哪些威胁? Windows 错误报告数据已经显示,加载项是导致 Internet Explorer 稳定性问题的主要原因。这些加载项在很大程度上影响着 Internet Explorer 的可靠性,并可能带来安全风险,因为它们可能包含恶意的未知代码。 许多用户没有意识到计算机上已经安装了加载项。有些加载项只要 Internet Explorer 一启动就会加载,但无法检测到,除非用户搜索注册表。当用户遇到故障时,没有任何简便的方法可以诊断该问题是否与加载项有关。即使用户怀疑问题源自最近安装的软件,但很难将其隔离,如果该软件不提供卸载选项,用户通常不可能解决问题。 Internet Explorer 加载项管理和加载项故障检测通过标识和禁用有问题的加载项,为用户提供提高系统安全性和稳定性的能力。管理员还可以使用提供的强大管理工具来控制加载项在其组织中的使用。 哪些功能发生变化? 禁用加载项时的行为 禁用加载项并不会将它从计算机中删除,只是阻止 Internet Explorer 实例化对象和执行其代码。Internet Explorer 并不能确保永不加载禁用的加载项,因为 Internet Explorer 认为禁用的加载项仍然可能被系统中的其他组件使用。禁用不同对象类型时所表现的行为有所不同。
默认情况下,已禁用的加载项的概念仅适用于 Internet Explorer (Iexplore.exe) 和 Windows 资源管理器 (Explorer.exe) 的实例。当前,基于 Internet Explorer 组件的其他程序(如 WebBrowser 控件)不认可禁用状态。但是,可以使用 featurecontrol 项来将此功能扩展到其他应用程序中。 有些软件程序要依靠多个加载项的组合才能正常工作,禁用其中的任何一个都可能导致问题。在决定禁用一个或多个加载项时应当谨慎。 卸载 如果用户禁用一个非 ActiveX 加载项,随后又卸载它,然后又重新安装,则该加载项可能仍然保持禁用状态。这是因为不会向 Internet Explorer 发送有关应用程序安装的通知,并且 Internet Explorer 也不检测任何应用程序的状态更改。但是,如果 Internet Explorer 在没有安装该加载项时启动,它会检测到更改,并自动清除禁用状态。 如果用户禁用一个 ActiveX 控件,然后卸载它,则网页下次尝试使用该控件时,Internet Explorer 会检测到该控件已不存在,并清除禁用状态。但是,如果在尝试实例化 ActiveX 控件之前使用可执行文件重新安装该控件(与网页下载相反),该控件会保持禁用状态。这是因为 Internet Explorer 不检测状态更改。 如何解决这些问题? 如果禁用某个加载项导致功能缺失,可以通过在“管理加载项”中启用加载项来还原功能。Internet Explorer 必须重新启动才能使新的设置生效,但 ActiveX 控件除外,对于这类控件,只需重新加载受影响的页面即可。 面向管理员的 Internet Explorer 加载项管理详细说明 禁用故障检测 要禁用“加载项管理”的故障检测功能,请参阅本文档下面的“Windows XP Service Pack 2 中增加或更改了哪些设置?”部分。禁用故障检测后,Internet Explorer 中的故障将表现出以前的行为,并通常调用 Windows 错误报告。Windows 错误报告的所有策略仍然适用。 禁用加载项管理用户界面 要禁用加载项管理用户界面,请参阅下面的“Windows XP Service Pack 2 中增加或更改了哪些设置?”。如果禁用了加载项管理用户界面,则在“管理加载项”中“启用”和“禁用”选项将不可用。 拒绝所有加载项(在加载项列表中明确允许的加载项除外) 管理员可以使用此策略设置来确保未在“加载项列表”策略设置中列出的任何 Internet Explorer 加载项都将被拒绝。 要设置此策略,管理员可以修改以下任意位置中的 RestrictToList 注册表项: HKEY_CURRENT_USER\SOFTWARE\Microsoft HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 名称:RestrictToList 类型:DWORD 值:
加载项列表 管理员可以通过加载项列表策略来控制特定加载项的使用。管理员可以选择启用或禁用加载项以及允许用户管理特定的加载项。 要设置此策略,管理员可以基于加载项的 GUID 在以下任意项中创建一个注册表值,然后设置需要的值: HKEY_CURRENT_USER\SOFTWARE\Microsoft HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 每个加载项都是该注册表项中具有以下属性的值: 名称:加载项的 GUID 类型:REG_SZ 值:
默认情况下,加载项 (CLSID) 列表是空的。 应用策略时管理用户界面的行为 如果加载项管理器策略生效,当用户从被策略禁用的管理列表中选择一个加载项时,“启用”和“禁用”将不可用。 为什么此更改非常重要?它有助于缓解哪些威胁? 利用此功能,管理员可以控制新功能的使用。 哪些功能发生变化?是否存在任何依赖性? 允许和禁止加载项的新功能与管理 ActiveX 控件的现有策略协同工作。加载项禁用是在现有的检查之上应用的,不会取代可能已经存在的其他安全限制。例如,如果 ActiveX 控件被其 ActiveX 兼容性标志所阻止,它将始终被阻止,而与加载项管理设置无关。 本文档前面就禁用加载项的影响做了说明。 如何解决这些问题? 如果添加这些策略会导致缺少所需的功能,请删除应用的策略,然后重新启动 Internet Explorer。 Internet Explorer 加载项故障检测详细说明 只要 Internet Explorer 意外地停止工作,Windows 就会启动加载项故障检测程序。加载项故障检测是一个错误分析程序,它检查 Iexplore.exe (Internet Explorer) 进程的状态。加载项故障检测收集加载的动态链接库 (DLL) 的列表以及故障发生时指令指针寄存器 (EIP) 的值,然后,尝试找到 EIP 在其内存范围的 DLL。此 DLL 常常是故障的原因。 如果找到 DLL,但它不是系统 DLL,并且该 DLL 是 Internet Explorer 加载项的 COM 服务器,将显示“Internet Explorer 加载项故障检测”对话框。从该对话框包含的信息可以知道:哪个加载项导致故障、与该加载项相关联的公司的名称以及包含加载项代码的 DLL 文件的描述。要显示“管理加载项”,以便之后可以用它来禁用确定的加载项,请单击“高级”。(有关此窗口及其选项的详细信息,请参阅本文档前面的“管理加载项”。)查看该信息后单击“继续”将打开标准的“Windows 错误报告”窗口。 为什么此更改非常重要?它有助于缓解哪些威胁? 有关此信息,请参阅本文档前面的“面向用户的 Internet Explorer 加载项管理”。 哪些功能发生变化?是否存在任何依赖性? 因为此功能只在 Internet Explorer 停止工作时才运行,对普通操作应该没有影响。 Windows XP Service Pack 2 中添加或更改了哪些设置?
是否需要更改代码才能使用 Windows XP Service Pack 2?不需要。无需更改代码即可使用 Internet Explorer 加载项故障检测或加载项管理功能。 Internet Explorer 二进制行为安全设置二进制行为安全设置的作用是什么?Internet Explorer 包含动态的二进制行为:组件封装其所附加到的 HTML 元素的特定功能。这些二进制行为不受允许它们作用于受限站点区域中的网页的任何 Internet Explorer 安全设置控制。在 Windows XP Service Pack 2 中,新增加了一个针对二进制行为的 Internet Explorer 安全设置。默认情况下,该新设置禁用受限站点区域中的二进制行为。此新的二进制行为安全设置从总体上缓解了 Internet Explorer 二进制行为的漏洞。 有关二进制行为的详细信息(如工作原理及实现方法),请参阅 Microsoft 网站上的“Cutting Edge: Binary Behaviors in Internet Explorer 5.5”(前沿技术:Internet Explorer 5.5 中的二进制行为),网址为 http://go.microsoft.com/fwlink/?LinkId=21862。注意,用 C++ 定义并经过编译的二进制行为与用脚本定义的“附加行为和元素行为”不同。 此功能适用于哪些用户对象?开发在受限站点区域或本地计算机区域中使用 Internet Explorer 功能的应用程序的开发人员应了解此功能,以计划在其应用程序中采用更改。例如,在受限站点区域中显示 HTML 电子邮件的电子邮件应用程序可能就需要修改。 只有应用程序在此新设置下无法完整显示 HTML 内容时,应用程序的用户才会受到影响。通常,这些应用程序会警告用户,某个活动行为已被阻止显示。例如,当 Outlook Express 遇到这种情况时,会通知用户电子邮件中包含受限的活动内容。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?新的 Internet Explorer 安全设置详细说明 每个 Internet Explorer 安全区域中都有一个新的 URL 操作设置,即“二进制行为”。对于除受限站点区域之外的所有区域,该设置的默认值都为“启用”。在受限站点区域中,默认值为“禁用”。 为什么此更改非常重要?它有助于缓解哪些威胁? 该新设置有助于缓解恶意使用二进制行为的攻击,并允许用户基于每个区域控制二进制行为的使用。 哪些功能发生变化? 以任何方式使用任何二进制行为在受限站点区域显示 HTML 都受到阻止。 如何解决这些问题? 要在受限站点区域中使用二进制行为,应用程序必须实施自定义安全管理器。(有关详细信息,请参阅 Microsoft 网站上的“Introduction to URL Security Zones”(URL 安全区域简介) [ 网址为 http://go.microsoft.com/fwlink/?LinkId=21863)中的“Creating a Customized URL Security Manager”(创建自定义的 URL 安全管理器)部分。] 从自定义安全管理器执行二进制行为 URL 操作时,该 URL 操作将在可由该自定义安全管理器为实现应用程序兼容性而启用的特定二进制行为的字符串表示中传递。执行此 URL 操作时,会发生以下过程:
如果您是台式机管理员,可以决定允许哪些二进制行为出现在锁定的本地计算机区域中。要在锁定的本地计算机区域中启用某个行为,可以按照下面的方法将它添加到管理员认可的行为列表中,并根据您的环境替换上相应的命名空间和行为变量: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft #%名称空间%#%行为%=dword:00000001 在该列表中定义的行为还将用于将“二进制行为”限制设置配置为“管理员允许”(65536) 的其他任何区域。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?无。这只是一个打开或关闭现有二进制行为功能的设置。 Windows XP Service Pack 2 中添加或更改了哪些设置?
注意,还可以通过作为 Internet Explorer 安全区域和内容分级设置的一部分的组策略修改二进制行为设置。 是否需要更改代码才能使用 Windows XP Service Pack 2?如果您的代码在受限站点区域使用二进制行为,您将需要通过为应用程序实施自定义安全管理器来更改代码。有关详细信息,请参阅 Microsoft 网站上的“Introduction to URL Security Zones”(URL 安全区域简介)(网址为 http://go.microsoft.com/fwlink/?LinkId=21863)中的“Creating a Customized URL Security Manager”(创建自定义的 URL 安全管理器)部分。 Internet Explorer BindToObject 缓解功能BindToObject 缓解功能的作用是什么?在 Windows XP Service Pack 2 中,ActiveX 安全模型适用于使用 URL 绑定实例化和初始化对象的所有情况。ActiveX 安全模型允许控件被标记为“safe for scripting”(安全脚本编写)和“safe for initialization”(安全初始化),并向用户提供基于那些设置按安全区域阻止或允许 ActiveX 控件的能力。这样可以更灵活地对待 Internet Explorer 中的活动内容,并拥有更高的控制权。 此功能适用于哪些用户对象?
Windows XP Service Pack 2 中对此功能添加了哪些新功能?无。正在扩展现有的安全功能。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?ActiveX 安全模型已应用于 URL 对象初始化详细说明 消除 ActiveX 安全漏洞的最有效途径是在 URL 绑定的来源一致地应用安全策略:URLMON。使用 <object> 标记和 CODEBASE 属性在 HTML 页中声明 ActiveX 控件是使用 BindToObject 的一个常见已知示例。需要解析 URL 并找到流或对象的任何组件均使用这一功能。现在,ActiveX 安全模型已应用于以 URL 作为源的所有对象初始化。 为什么此更改非常重要?它有助于缓解哪些威胁? 对于 ActiveX 控件,ActiveX 安全模型允许控件被标记为“safe for scripting”(安全脚本编写)和“safe for initialization”(安全初始化),并向用户提供基于那些设置按区域阻止或允许 ActiveX 控件的能力。在 Windows 的早期版本中,此安全框架没有应用于发生 URL 绑定的所有情况。调用代码负责确保控件的完整性和安全性,这样可能时常导致安全漏洞。现在,有许多公开的漏洞变种,它们侵入到 Internet Explorer 中危及调用代码中的漏洞,从而暴露了同样的安全问题。 哪些功能发生变化?是否存在任何依赖性? ActiveX 安全模型应用于以 URL 作为源的所有对象初始化,“Safe for initialization”(适合初始化)标记应用于所有对象。这种安全漏洞缓解功能只适用于 Internet Explorer 解析 URL 并将它分配给对象的情况。 如何解决这些问题? 应该最大限度地解决应用程序兼容性问题。如果应用程序有自己的安全管理器,就可以选择不采用。有关退出此安全模型的详细信息,请参阅 Microsoft 网站上的“Security Considerations: URL Security Zones API”(安全注意事项:URL 安全区域 API),网址为 http://go.microsoft.com/fwlink/?LinkId=21814。 Windows XP Service Pack 2 中添加或更改了哪些设置?无。 是否需要更改代码才能使用 Windows XP Service Pack 2?您可能需要更改代码。有关详细信息,请参阅本节中的“如何解决这些问题?”部分。 Internet Explorer 信息栏信息栏的作用是什么?Windows XP Service Pack 2 中的 Internet Explorer 信息栏取代了以前版本中向用户提示信息的许多常见对话框,并提供了一个突出的区域,以显示用户可能需要查看或响应的信息。已被信息栏通知取代的对话框的示例包括:阻止的 ActiveX 安装、弹出对话框、下载和活动内容。信息栏将提供与 Outlook 2003 中的通知区域类似的信息,该区域可向用户通知被阻止的内容。 此功能适用于哪些用户对象?此功能适用于以下对象:
Windows XP Service Pack 2 中对此功能添加了哪些新功能?信息栏用户界面详细说明 信息栏的外观和作用与 Outlook 2003 中的阻止内容通知区域类似。发出通知时,它会出现在 Internet Explorer 工具栏的下方和网页的上方,在下次导航时将消失。信息栏中的文本根据提供的通知而改变。如果文本超出通知区域的界限,将换成两行。如果用户使用 Tab 键控制焦点(也就是说,控制浏览器中的哪个对象可以接收输入),信息栏将在工具栏之后、网页之前获得焦点。 单击或右键单击信息栏会弹出一个与提供的通知有关的菜单。此菜单始终包含到信息栏帮助的链接,信息栏帮助可提供更多有关通知的详细信息。与通知有关的其他菜单项出现在“帮助”菜单项的上方。 用户可以将信息栏配置为在显示时发出声音;声音的默认设置为“开”。信息栏出现时,Windows 信任图标将取代状态栏上的“网页上有错误”通知。 在某些情况下,可以阻止多个操作。例如,弹出窗口可能在阻止加载项安装的同时被阻止。在这些情况下,文本会变得更具通用性,并且菜单会合并以便在顶层显示被阻止的每个操作,并在子菜单中提供每个操作的菜单。 信息栏有一个自定义安全区域设置,用户可以使用该设置来按安全区域更改信息栏的设置。用户可以选择通过信息栏得到通知,或者恢复 Windows XP Service Pack 1 的行为,在发生文件和代码下载时获得突出性较弱的通知。 为什么此更改非常重要?它有助于缓解哪些威胁? 在 Windows XP Service Pack 2 中,Internet Explorer 可能阻止完成某些在线任务所必需的内容。信息栏提供了突出的通知区域,告知用户如何使他们信任的网页重新工作,而没有 Windows XP Service Pack 1 中提供的更多介入性提示。 哪些功能发生变化? 有关此信息,请参阅下一节的“Windows XP Service Pack 2中的哪些现有功能进行了更改?”部分。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?加载项安装提示详细说明 在 Windows XP Service Pack 1 中,当网页引用当前不在计算机上的 ActiveX 控件时,要询问用户是否需要下载 ActiveX 控件。在 Windows XP SP2 中,此提示显示在信息栏中。下表介绍了信息栏中的元素。斜体文本将被相应的特定项取代。
受信任的发行者工作的过程就像在 Windows XP SP1 中一样。由这些发行者提供的控件无需额外配置即可安装。 被阻止的发行者显示状态栏图标。由这些发行者提供的控件不会在计算机上安装,并且不会进入信息栏。 加载项升级的工作过程就像在 Windows XP SP1 中一样。Internet Explorer 在确定该控件是否是升级项时使用下列标准:
为什么此更改非常重要?它有助于缓解哪些威胁? 通过在信息栏中而不是在对话框中提供加载项安装提示,减小了用户在其计算机上意外地安装代码的可能性。 哪些功能发生变化? 某些网页目前依靠用户安装代码才能正常工作。某些站点将用户重定向到解释如何安装 ActiveX 控件的单独的网页上。如果站点自动重定向网页而不在新的网页上提供控件,信息栏将出现在重定向网页上,从而提供了安装该控件的可能性。但是,如果站点关闭尝试安装 ActiveX 控件的窗口,则客户可能不会有机会安装该控件。 如何解决这些问题? Web 作者应该确保 ActiveX 控件在用户被重定向到的网页上也可用,这样可以确保用户有足够的机会来安装控件。 网页作者不应建议用户降低其安全设置级别,因为在这种情况下,这种做法无济于事。有关适用于 Windows XP SP2 上的 Web 作者的其他指导,请参阅 MSDN 网站上的“Fine-Tune Your Web Site for Windows XP Service Pack 2”(针对 Windows XP Service Pack 2 调整网站),网址为 http://go.microsoft.com/fwlink/?LinkId=32775。 弹出窗口阻止通知详细说明 当弹出窗口被阻止时,Windows XP SP2 会在信息栏中显示通知。这是弹出窗口阻止程序功能(例如,重新显示弹出窗口、将站点添加到弹出窗口的“允许”列表或导航到弹出窗口阻止程序设置)的更为明显的入口点。信息栏还提供顶层入口点,这样,如果用户认为该通知对于此事件而言过大,可以关闭弹出窗口的信息栏。
为什么此更改非常重要?它有助于缓解哪些威胁? 在信息栏中显示弹出窗口被阻止通知为该通知提供了更高的优先级。用户可以更好地理解在哪里能看到阻止的弹出窗口或看到其弹出窗口阻止程序设置。 哪些功能发生变化? 关闭弹出窗口阻止程序的信息栏会导致弹出窗口阻止程序恢复用状态栏图标通知用户。如果对弹出窗口禁用信息栏,可以从此状态栏图标访问所有相同的菜单项。有关详细信息,请参阅本文档后面的“Internet Explorer 弹出窗口阻止程序”。 自动下载提示详细说明 自动启动的文件下载提示现在出现在信息栏中。 信息栏包含解释为什么执行此操作的说明性文本,并提供可以用来响应通知的上下文相关菜单。下表提供了将出现在信息栏中的文本以及可以从菜单中选择的操作。
为什么此更改非常重要?它有助于缓解哪些威胁? 通过将下载提示移至信息栏中,可以阻止用户在其计算机上安装有害的代码。以前,站点会向用户显示大量的文件下载提示,因此,用户可能会在其计算机上意外地运行有害的软件。进行这种更改后,通常只有在用户故意单击而不是意外操作时才会出现自动启动的文件下载提示。 哪些功能发生变化? 任何时候,只要站点无需用户操作(例如,单击网页上的元素)即引用文件下载提示,该提示就会出现在信息栏中。 如何解决这些问题? Web 作者应确保网页上有用户可以通过单击进行文件下载的链接。如果使用脚本定位资源,该脚本应在链接的 OnClick 事件处理程序的上下文中同步运行。 有关适用于 Windows XP SP2 上的 Web 作者的其他指导,请参阅 MSDN 网站上的“Fine-Tune Your Web Site for Windows XP Service Pack 2”(针对 Windows XP Service Pack 2 调整网站),网址为 http://go.microsoft.com/fwlink/?LinkId=32775。 阻止的活动内容详细说明 如果阻止在本地计算机区域中运行活动内容,会出现信息栏。 信息栏包含解释为什么执行此操作的说明性文本,并提供可以用来响应通知的上下文相关菜单。下表提供了将出现在信息栏中的文本以及可以从菜单中选择的操作。
为什么此更改非常重要?它有助于缓解哪些威胁? 在 Windows XP SP2 中,Internet Explorer 有时阻止可能是完成某些任务所必需的活动内容。这是一个新的用户界面元素,它确保存在一个使人们可以在自己所信任的网页上完成这些任务的通知。 哪些功能发生变化? 本地计算机区域缓解功能现在将使用新的信息栏。 有关详细信息,请参阅本文档后面的“Internet Explorer 本地计算机区域锁定”。 由于安全设置阻止 ActiveX详细说明 Windows XP SP2 不再显示提示“ActiveX Blocked Due to Security Settings”(ActiveX 由于安全设置被阻止)。Internet Explorer 在信息栏中显示此通知。 信息栏包含解释为什么执行此操作的说明性文本,并提供可以用来响应通知的上下文相关菜单。下表提供了将出现在信息栏中的文本以及可以从菜单中选择的操作。
为什么此更改非常重要?它有助于缓解哪些威胁? Windows XP SP1 提示使用户很难以提高的安全设置级别进行浏览。通过在信息栏中显示此提示,用户可以使用高安全性设置更轻松地进行浏览,而不会看到此提示。 哪些功能发生变化? 除了在浏览安全滑块设置为“高”的 Internet 区域时,这种改进不会导致进一步的应用程序兼容性问题。 Windows XP Service Pack 2 中添加或更改了哪些设置?有关与此功能有关的注册表项的信息,请参阅本文档后面的“功能控制安全区域设置”。 是否需要更改代码才能使用 Windows XP Service Pack 2?网页作者应尝试根据用户是否安装加载项来避免重定向或关闭用户打开的窗口。 启动自动文件下载提示的网页作者应确保其站点上有指向下载内容的链接。 加载项发行者应确保对以前控件的升级使用相同的全局唯一标识符 (GUID),以确保用户不会获得那些升级的信息栏。 有关适用于 Windows XP SP2 上的 Web 作者的其他指导,请参阅 MSDN 网站上的“Fine-Tune Your Web Site for Windows XP Service Pack 2”(针对 Windows XP Service Pack 2 调整网站),网址为 http://go.microsoft.com/fwlink/?LinkId=32775。 Internet Explorer 使用功能控制注册表设置和安全区域设置功能控制注册表设置和安全区域设置执行哪些功能?Windows XP SP 2 中提供了功能控制注册表设置,这样用户便可以配置特定进程选择使用特定的安全功能。在下面的示例中,Internet Explorer 被配置为使用“Windows 限制”安全功能: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 当进程被配置为使用某项安全功能后,如果实现了该功能,安全功能将运行并且可以更精确地应用安全区域设置。在“Internet 选项”的“安全设置”选项卡中,用户可以针对许多新增的 Windows XP SP2 功能控制调整这些设置。如果选择“启用”,便降低了安全设置级别,并使得行为可以安全性较低的方式运行,或者导致运行方式与在 Windows XP Service Pack 1 中一样。例如,如果 Intranet 区域中的“Windows 限制”设置为“启用”,将不会应用“Windows 限制”— 也就是说,通过脚本启动的窗口可以像在 Windows XP SP1 中一样自由地打开。通过将安全区域设置设置为“禁用”可以再次应用 Windows XP SP2 限制,从而对启用功能控制的进程阻止安全性较低的行为。 例如,如果为“Windows 限制”打开该功能,该功能将:
本文档的后面将详细论述其中的每个功能控制。有关 URL 操作设置及其与安全区域的关系的详细信息,请参阅 Microsoft 网站上的“About URL Security Zones Templates”(关于 URL 安全区域模板),网址为 http://go.microsoft.com/fwlink/?LinkId=26001。 通过对功能使用安全区域设置,可以对 Windows XP SP2 中引入的安全功能进行更精确的控制,并有助于管理组织中的 Intranet 应用程序的应用程序兼容性。用户或管理员可以基于风险选择不同的行为。例如,在 Internet 区域中,假定 http://www.contoso.com 具有在默认情况下应用的“Windows 限制”功能。此功能的其中一个作用会强制为使用 window.open 方法创建的 Internet Explorer 窗口打开状态栏。添加此安全功能的目的是为了防止用户将实际并非来自受信任源的窗口想当然地认为来自受信任源。但是,由于典型的企业安全级别,默认情况下对 Intranet(风险较小)上的 http://contoso 关闭“Windows 限制”功能。Intranet 应用程序将继续像它们在 Windows XP SP1 中那样工作,而且将不受因额外的安全限制而造成的兼容性问题的影响。 此功能适用于哪些用户对象?Web 应用程序开发人员需要明确新的 Windows XP SP2 安全设置依赖于运行应用程序的区域。因此,在指定安全区域时应考虑周全;这应当是信息安全考虑因素的一部分。当评估应用程序兼容性时也应考虑使用的安全区域。 组策略的管理员可能希望调整每个区域的默认值,以适应其组织中的特定环境。 除非受到组策略中策略的禁止,否则用户可以通过“控制面板”中的“Internet 选项”,针对每个区域管理这些安全区域设置(或 URL 操作)的值。请注意,“本地计算机”区域在“控制面板”上不可用。要访问区域的安全设置,请依次单击“开始”、“控制面板”、“Internet 选项”、“安全”选项卡、单击一个 Web 安全区域,然后单击“自定义级别”。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?功能控制注册表设置详细说明 Windows XP Service Pack 2 引入了新的功能控制注册表设置。 对于其中的许多功能,当该注册表设置打开时,用户可以配置安全设置(也称为 URL 操作标志)以微调每个单独的安全区域中的功能控制。
安全设置通常由 URL 安全区域模板应用于某个区域。Windows XP SP2 中的安全设置以及不同区域模板的设置的默认值将在本文档后面的“组策略中的 Internet Explorer URLaction 安全设置”中列出。 为什么此更改非常重要?它有助于缓解哪些威胁? 正如最初所设想的那样,每个功能控制设置将对于所有的安全区域启用或禁用。从客户反馈中可以看出有必要对某些功能的这些设置进行更精确的调整。例如,某些组织的内部工作流依赖于 Intranet 应用程序。保护 Internet 区域中用户的功能控制可能导致 Intranet 应用程序停止工作。因此,Microsoft 推出了按区域控制许多安全设置的功能。 哪些功能发生变化? 通过按区域添加安全设置,用户可以更灵活地应用新的安全功能。这种灵活性将允许以管理性更强的方式实现这个新安全功能,在 Intranet 方案中尤其如此。 如何解决这些问题? 如果怀疑功能控制设置导致某个应用程序出现问题,则在运行该应用程序的区域中将此功能控制设置更改为“启用”将使得管理员或用户在该区域中重新体验到该特定功能的 Windows XP SP1 行为,并同时在其他安全区域中维持更安全的行为。对于某些安全设置,可以使用其他配置选项,如“提示”和“管理员认可”,以及“启用”和“禁用”。 Windows XP Service Pack 2 中添加或更改了哪些设置?为举例说明,下表提供了 Windows XP Service Pack 2 中的 Internet Explorer 6.0 中新增的三个 URLaction 安全设置。更详细的设置信息将在本文档后面的各个部分提供。
是否需要更改代码才能使用 Windows XP SP2?如果代码使用默认的 URLmon 安全管理器,则开发人员必须调用 CoInternetIsFeatureEnabledForURL 检查该特定区域的安全设置。 组策略中的 Internet Explorer 功能控制设置组策略中的 Internet Explorer 功能控制设置的作用是什么?Windows XP Service Pack 2 为名为“功能控制”的 Internet Explorer 安全功能引入了新的注册表项和值。本节针对每个安全功能讨论这个功能控制注册表设置的特定行为。 修改后的 Inetres.adm 文件包含作为策略的新功能控制设置。管理员可以通过使用组策略对象 (GPO) 来管理新的功能控制策略。安装 Internet Explorer 时,会在计算机上的 HKEY_LOCAL_MACHINE 中注册这些功能控制的默认首选项设置。在组策略中,管理员可以在 HKEY_LOCAL_MACHINE(计算机配置)或 HKEY_CURRENT_USER(用户配置)中对这些首选项设置进行设置。 此功能适用于哪些用户对象?组策略管理员可以为他们所管理的计算机和用户统一配置新的 Internet Explorer 功能控制设置。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?组策略中的 Internet Explorer 设置详细说明 新的功能控制策略是:
在组策略管理控制台中,功能控制的本地计算机策略位于\计算机配置\管理模板 功能控制的当前用户策略位于\用户配置\管理模板 在应用区域的各个安全设置策略或首选项之前,需要对进程(如 IExplore.exe)启用该功能的策略。有关功能控制项的行为以及为进程设置功能控制项的详细信息,请参阅本文档后面有关各个功能的部分以及“Internet Explorer 使用功能控制设置和安全区域设置”部分。有关各个区域的特定安全设置的详细信息,请参阅本文档后面的“组策略中的 Internet Explorer UrlAction 安全设置”部分。 组策略的管理员可以在组策略管理控制台的管理模板扩展中管理这些新策略。在配置这些策略时,管理员可以针对 Explorer 进程(Internet Explorer 和 Windows Explorer)、他们已定义的可执行进程或者宿主 WebOC 的所有进程启用或禁用安全功能。 用户无法通过 Internet Explorer 用户界面看到功能控制策略或首选项设置,但“本地计算机区域锁定安全”除外。只能使用组策略管理控制台来设置功能控制策略,并且只能以编程的方式或者通过编辑注册表来更改功能控制首选项设置。 配置策略和首选项 建议使用组策略工具来为企业网络上的客户机管理 Internet Explorer。Internet Explorer 支持对 Windows XP Service Pack 2 中的所有新增 IE 功能控制以及“安全”页设置或 urlAction 进行组策略管理。组策略的管理员可以在组策略管理控制台的管理模板扩展中管理这些新策略设置。 实现策略设置时,建议在一个组策略对象 (GPO) 中配置模板策略设置,而在另外一个 GPO 中配置任何相关的独有策略设置。然后可以使用组策略管理功能(如优先权、继承或强制)来对特定的客户端计算机应用独有的设置。 策略可以由用户读取,但只能通过组策略管理或者由管理员来更改。首选项设置可以通过编程的方式或者通过编辑注册表或使用 Internet Explorer(对于 urlAction)来进行更改。请注意与策略关联的设置优先于使用 Internet Explorer 首选项指定的设置。 IEAK/IEM 对于 Windows XP SP2 之前的操作系统以及先前版本的 Internet Explorer,建议解决方案提供者和应用程序开发人员仍然使用 Internet Explorer 管理工具包 (IEAK) 6 Service Pack 1 工具来为其最终用户自定义 Internet Explorer。IEAK 支持和 IEAK/IEM 进程在 Windows XP Service Pack 2 之前的 Internet Explorer 版本中保持不变。在 Windows XP Service Pack 2 及其之前的 Internet Explorer 版本中,使用 IEAK/IEM 设置用户设置首选项的过程也保持不变。这包括 XPSP2 首选项设置中的新增 IE6。但是,此功能引入的真正策略设置只能在组策略内部管理。有关 IEAK 的详细信息,请参阅 Microsoft 网站上的“Microsoft Internet Explorer 6 Administration Kit Service Pack 1”,网址为 http://go.microsoft.com/fwlink/?LinkId=26002。 Windows XP SP 2 将标志 IEM/IEAK 的两个主要更改的开始:
简而言之,对于 Windows XP Service Pack 2 之前的所有 Internet Explorer 版本,仍然可以像以前那样使用 IEAK,并且 IEAK 仍然是 Windows XP Service Pack 2 中的配置工具。IEM/IEAK 仍然可以用于在 Windows XP Service Pack 2 中设置用户首选项设置,现在可以使用 GPMC 设置真正的策略。 现有 IEAK 用户的常见问题 问:我当前使用具有公司许可证的 IEAK 在台式机上配置 Internet Explorer,并且我的公司没有 Active Directory。如果 IEAK 不能与 XP SP2 一起工作,我如何配置 Internet Explorer? 答:即便您不使用 Active Directory,也仍然可以使用组策略来配置设置。您可以使用组策略并基于您的设置创建一个本地组策略对象 (GPO),然后部署该 GPO。一旦为 Internet Explorer 配置了 GPO,便可以使用标准的部署方法来部署它。例如,您可能使用启动或登录脚本、Systems Management Server 脚本,或者可以将链接通过电子邮件发送给用户。 问:我当前使用具有公司许可证的 IEAK 在台式机上配置 Internet Explorer,并且我的公司没有 Active Directory。如果我坚持在 Windows XP SP2 中运行 IEAK 6 SP1 程序包,会发生什么情况? 答:如果在 Windows XP SP2 计算机上安装 IEAK 6 SP1 程序包,IE6 SP1 中的设置将更新,但是新的 Windows XP SP2 安全设置将是不可配置的,因为 IEAK 6 SP1 不是设计用来部署 Windows XP SP2 的新设置。 问:我当前使用具有 ISP 许可证的 IEAK 来为 ISP 客户产生 Internet Explorer 位和设置连接。我的 IEAK 6 SP1 程序包在 Windows XP SP2 上仍然能够应用设置吗? 答:使用具有 ISP 许可证的 IEAK 6 SP1 程序包中的配置设置应该能够正确应用。 为什么此更改非常重要?它有助于缓解哪些威胁? 通过向组策略中添加新的 Internet Explorer 功能控制策略,管理员可以管理这些真正的策略,以便为他们配置的所有计算机建立标准的安全设置。 是否需要更改代码才能使用 Windows XP Service Pack 2?Windows XP Service Pack 2 向组策略中添加了新策略,但是不更改策略的管理方式。开发人员需要知道每个功能控制设置如何影响其应用程序的安全相关行为。在本文档的某些章节中,针对每个功能讨论了新行为对应用程序开发造成的影响。 组策略中的 Internet Explorer UrlAction 安全设置组策略中的 Internet Explorer UrlAction 设置的作用是什么?Windows XP Service Pack 2 为在 Internet Explorer 的“安全”选项卡设置中可配置的操作引入了真正的策略。可以将这些操作设置为在安全区域中允许较低安全性的行为。在 Windows XP Service Pack 1 中,用户可以使用 Internet Explorer 用户界面更改这些操作,然后该用户界面会将注册表设置写入到首选项配置单元中。然后管理员可以使用组策略的 IEM/IEAK 管理单元来分发这些操作的标准设置。在本版本中,这些安全设置是通过使用组策略管理控制台来管理的,如果要进行设置,这些设置只能由组策略对象 (GPO) 或管理员来更改。 更新后的 Inetres.adm 文件包含与在 Internet Explorer 用户界面中找到的策略相同的 urlAction 设置列表,并且该列表中的设置充当首选项。管理员可以通过使用组策略对象 (GPO) 来管理新的功能控制策略。在安装 Internet Explorer 时,会像在先前版本上一样,在计算机上注册这些 urlAction 设置的默认 HKEY_CURRENT_USER 首选项设置。管理员必须使用组策略管理控制台 (GPMC) 管理单元将 urlAction 作为策略添加。 此功能适用于哪些用户对象?组策略管理员可以为他们所管理的计算机和用户统一配置新的 Internet Explorer urlAction 安全设置策略。如果管理员选择设置选定的 urlAction(而非所有的 urlAction),则一定要通知最终用户哪些操作由策略来控制,因为这些操作将不对首选项设置做出响应。 注意 “Internet 选项”控制面板将在打开时显示策略设置,并且用户可以与用户界面交互以更改其首选项。但是,这些首选项将不会真正地覆盖组策略设置,这可能会使用户感到很混乱。管理员也可以设置一条策略,使“安全”页在用户界面禁用,这样用户便会很清楚这些设置无法更改。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?组策略中的 Internet Explorer 安全设置详细说明 下列定义适用于 Windows XP Service Pack 2 的 Internet Explorer 设置:
Internet Explorer 将按如下顺序查找策略:
如果 Internet Explorer 在 HKEY_LOCAL_MACHINE 中找到某个策略,它将停止,不再继续操作;这就是它要查找的设置。如果 Internet Explorer 未在 HKEY_LOCAL_MACHINE 中找到某个策略,它将在 HKEY_CURRENT_USER 策略配置单元中进行查找,依此类推。管理员可以在一个或多个区域中为一个或多个 urlAction 设置策略,并允许最终用户为不需要策略级安全管理的 urlAction 管理首选项。 urlAction 的策略值新的 urlAction 策略具有与它们的相关首选项相同的数值。下表提供对这些 urlAction 的参考:
有关使用 URLaction 标志的更详细信息,请参阅 MSDN 网站上的“URL Action Flags”(URL 操作标志),网址为 http://go.microsoft.com/fwlink/?LinkId=32776。 下表说明了可用于每个 urlAction 的设置选项:
与 URLpolicy 设置的数值转换对应的项
有关每个 URL 策略设置的说明,请参阅 MSDN 网站上的“URL Action Flags”(URL 操作标志),网址为 http://go.microsoft.com/fwlink/?LinkId=32777。 区域和模板中每个 urlAction 的默认设置 每个 urlAction 都有一个默认值,该值在应用指定模板时在每个区域中进行设置。下表描述每个区域的默认设置:
除上表指出的情况以外,在所有安全模板(“低”、“中低”、“中”和“高”)中,LMZL 都具有与 LMZ 完全相同的模板设置 组策略设置的路径
配置策略和首选项 建议使用组策略工具来为企业网络上的客户机管理 Internet Explorer。Internet Explorer 支持对 Windows XP Service Pack 2 中的所有新增 Internet Explorer 功能控制以及“安全”页设置或 urlAction 进行组策略管理。组策略的管理员可以在组策略管理控制台的管理模板扩展中管理这些新策略设置。 当实现策略设置时,建议在一个组策略对象 (GPO) 中配置模板策略设置,而在另外一个 GPO 中配置任何相关的独有策略设置。然后可以使用组策略管理功能(如优先权、继承或强制)来对特定的客户端计算机应用独有的设置。 策略可以由用户读取,但只能通过组策略管理或者由管理员来更改。首选项设置可以通过编程的方式或者通过编辑注册表或使用 Internet Explorer(对于 urlAction)来进行更改。组策略指定的设置优先于使用首选项指定的设置。 IEAK/IEM 对于 Windows XP SP2 以前的操作系统以及先前版本的 Internet Explorer,建议解决方案提供者和应用程序开发人员仍然使用 Internet Explorer 管理工具包 (IEAK) 6 Service Pack 1 工具来为其最终用户自定义 Internet Explorer。IEAK 支持和 IEAK/IEM 进程在 Windows XP Service Pack 2 之前的 Internet Explorer 版本中保持不变。在 Windows XP Service Pack 2 及其之前的 Internet Explorer 版本中,使用 IEAK/IEM 设置用户设置首选项的过程也保持不变。这包括 XPSP2 首选项设置中的新增 IE6。但是,此功能引入的真正策略设置只能在组策略内部管理。有关信息,请参阅 Microsoft 网站上的“Microsoft Internet Explorer 6 Administration Kit Service Pack 1”,网址为 http://go.microsoft.com/fwlink/?LinkId=26002。 Windows XP SP 2 将标志 IEM/IEAK 的两个主要更改的开始:
简而言之,对于 Windows XP Service Pack 2 之前的所有 Internet Explorer 版本,仍然可以像以前那样使用 IEAK,并且 IEAK 仍然是 Windows XP Service Pack 2 中的配置工具。IEM/IEAK 仍然可以用于在 Windows XP Service Pack 2 中设置用户首选项设置,现在可以使用 GPMC 设置真正的策略。 为什么此更改非常重要?它有助于缓解哪些威胁? 通过向组策略中添加新的 Internet Explorer urlAction 安全设置策略,管理员可以管理这些真正的策略,以便为他们配置的所有计算机建立标准的安全设置。管理员可以按照某种方式来控制这些设置,这样,就只能通过组策略或者由具有管理员权限的用户来更改它们,从而确保可覆盖功能控制策略或首选项设置的最终用户不能设置 urlAction 设置。 是否需要更改代码才能使用 Windows XP Service Pack 2? Windows XP Service Pack 2 向组策略中添加了新策略,但是不更改策略的管理方式。开发人员需要知道每个安全区域中每个功能控制和 urlAction 设置或设置组合如何影响其应用程序的安全相关行为。 为了实现更高的安全性,管理员应当为所有区域启用策略,以便存在由策略设置的已知配置,而不是存在未知设置(即,从不是由策略设置的 HKEY_LOCAL_MACHINE 或 HKEY_CURRENT_USER 首选项设置中读取的设置)。如果管理员针对所有区域设置策略,我们建议启用禁用“安全”页的策略,以使 Internet Explorer 中的用户界面不可用。 功能控制策略管理员还应当了解功能控制策略设置。对于某些 urlAction 设置来说,除非启用了相应的功能控制策略,否则这些设置将无效。Internet Explorer 查看是否启用了某项功能,如果是,将基于 URL 的安全区域查找该操作的设置。 区域映射策略当前用来向策略中添加区域映射项的方法如下所示:
例如,在创建导出文件时,路径名为: HKEY_Local_Machine\Software\Microsoft 要将 .reg 项读入策略配置单元中,路径中应当包含新增的“policies”(如下所示),然后由管理员读入注册表中: HKEY_CURRENT_USER\Software\Policies\Microsoft 下面是导出的 .reg 文件经过构造并加载到策略配置单元中的示例: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap] @="" "ProxyByPass"=dword:00000001 "IntranetName"=dword:00000001 "UNCAsIntranet"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Domains] @="" [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoft.com] [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoft.com\msdn] "http"=dword:00000002 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults] @="" "http"=dword:00000003 "https"=dword:00000003 "ftp"=dword:00000003 "file"=dword:00000003 "@ivt"=dword:00000001 [HKEY_CURRENT_USER\Software\Policies\Microsoft \Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges] @="" 注意 有关使用组策略的详细信息,请参阅 Microsoft 网站上的“Implementing Registry-based Group Policy”(实现基于注册表的组策略),网址为 http://go.microsoft.com/fwlink/?LinkId=28188。 有关使用 Internet Explorer 安全区域和隐私设置的详细信息,请参阅 Microsoft 知识库网站上的“Description of Internet Explorer Security Zones Registry Entries”(Internet Explorer 安全区域注册表项说明),网址为 http://go.microsoft.com/fwlink/?LinkId=28195。 Internet Explorer 的本地计算机区域锁定功能本地计算机区域锁定功能的作用是什么?当 Internet Explorer 打开一个网页时,它基于该网页的 Internet Explorer 安全区域对该网页可以执行的操作加以限制。有几种可能的安全区域,每一种安全区域都具有不同的限制集。一个页面的安全区域是由其位置确定的。例如,位于 Internet 上的页面通常位于比较严格的 Internet 安全区域。它们可能不被允许执行某些操作,如访问本地硬盘驱动器。位于企业网络的页面通常位于 Intranet 安全区域,对其限制较少。与其中的大多数区域关联的精确限制可以由用户通过“工具”菜单上的“Internet 选项”来进行配置。 在 Windows XP Service Pack 2 之前,本地文件系统中的内容(Internet Explorer 缓存的内容除外)被视为是安全的,并被指派给“本地计算机”安全区域。此安全区域通常允许内容在 Internet Explorer 中运行,限制相对比较少。然而,攻击者常常试图利用“本地计算机”区域来提升特权并破坏计算机。 通过对 Windows XP SP2 中的 Internet Explorer 进行的其他更改将会缓解许多利用“本地计算机”区域的漏洞来攻击计算机的行为。然而,攻击者可能还是能够想出利用“本地计算机”区域来攻击计算机的方式。Windows XP SP2 通过默认情况下锁定 Internet Explorer 中的“本地计算机”区域来进一步保护用户。其他应用程序中托管的本地 HTML 将在“本地计算机”区域的先前且限制较低的默认设置下运行,除非该应用程序利用“本地计算机区域锁定”功能。 管理员将能使用组策略来管理“本地计算机区域锁定”功能,并且更容易将其应用到计算机组。 此功能适用于哪些用户对象?所有应用程序开发人员都应该检查此功能。托管 Internet Explorer 中的本地 HTML 文件的应用程序都可能受到影响。托管 Internet Explorer 的独立应用程序的开发人员将需要修改他们的应用程序以利用“本地计算机区域锁定”功能。 默认情况下,“本地计算机区域锁定”功能只对 Internet Explorer 启用。开发人员需要注册他们的应用程序以利用这些更改。没有使用此缓解措施的应用程序,开发人员应该自发地检查它们的应用程序受到本地计算机区域攻击的危险程度。 托管 Internet Explorer 的应用程序的软件开发人员应该通过如文档后面所描述的那样向注册表中添加它们的进程名来使用此功能。将来,Microsoft 可能使用“opt-out”(选择排除)策略而不是“opt-in”(选择使用)策略来实现此功能。应该对托管 Internet Explorer 的应用程序进行测试,以确保在对其进程启用了“本地计算机区域锁定”的情况下,这些应用程序能够正常地工作。 网络管理员可能具有受这些限制影响的本地脚本。管理员应该检查可用的解决方案,以便在不破坏用户客户端计算机安全性的前提下,启用它们的本地脚本。 托管在 Internet 或本地 Intranet 区域上的网站的开发人员不应该受到本地计算机区域更改的影响。 如果应用程序与这些比较严格的限制不兼容,这些应用程序的用户可能会受到影响。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?对本地计算机区域安全设置的更改详细说明 在 Windows XP Service Pack 2 中,对“本地计算机区域锁定”功能的限制甚至比 Internet 区域更加严格。每当内容尝试任何其中某个操作时,Internet Explorer 中都会出现信息栏,并显示下列文本: 为了帮助保护您的安全,Internet Explorer 限制此文件显示可能访问您的计算机的活动内容。有关选项,请单击这里... 用户可以单击信息栏以从受限制的内容中删除锁定。 控制将特权授予在本地计算机区域中运行的内容的安全设置被称为 URL 操作。当本地计算机区域锁定应用于给定的进程时,会将 URL 操作的行为从以前的本地计算机区域设置“允许”更改为“禁止”。这样脚本和 Active X 控件将不会运行。更改的默认 URL 操作是:
对于“本地计算机区域锁定”功能,这些设置存储在一个单独的注册表项下: HKEY_CURRENT_USER\Software\Microsoft 默认本地计算机区域 URL 操作设置位于下列注册表项下: HKEY_CURRENT_USER\Software\Microsoft 为什么此更改非常重要?它有助于缓解哪些威胁? 此更改有助于防止用户计算机上的内容提升特权。具有此类提升特权的代码然后可以通过 ActiveX 控件运行任何代码或利用脚本来读取信息。 哪些功能发生变化?是否存在任何依赖性? 如果一个网页使用前面列出的任何限制类型的内容,则 Internet Explorer 会如前所述显示信息栏。 通过 res: 协议驻留在本地计算机上的 HTML 文件将自动运行在 Internet 区域的安全设置下。有关这些模板所允许的操作的详细信息,请参阅 MSDN 网站上的“Introduction to URL Security Zones”(URL 安全区域简介),网址为 http://go.microsoft.com/fwlink/?LinkId=26003。 如何解决这些问题? 通过在出现以下消息时单击“是”,可以允许 Active X 和脚本始终运行在从 CD 启动的网页中: 活动内容可能危害您的计算机或泄露个人信息。确实要允许 CD 在您的计算机上运行活动内容吗? 如果您的网页需要运行 ActiveX 或脚本,您可以在 HTML 代码中添加一个 Web 注释的标记。此 Internet Explorer 功能使得 HTML 文件可以强制进入除本地计算机区域以外的区域,从而使得此类文件可以基于将应用于注释中指出的 URL 的安全模板来运行脚本或 ActiveX 代码。例如,如果指定的 URL 是 www.contoso.com,并且该 URL 出现在您的受信任站点列表中,该网页将使用受信任的站点区域的安全模板。此设置在 Internet Explorer 4 和更高版本中起作用。要将 Web 注释的标记插入到 HTML 文件中,请添加下列注释之一: <!-- saved from url=(0022)http://www.yoururl.com --> 当要将 Web 标记插入到一个其域已经被标识的页中时,可以使用此注释,并用托管此页的 Internet 或 Intranet 域的 URL 替换 http://www.yoururl.com。在 URL 之前包含用于 Web 标记的 URL 长度,并将该长度放入圆括号中,如 (0022)。 如果您希望自己的网页始终被处理,就好像它是 Internet 区域的一部分,可以使用以下 Web 标记: <!-- saved from url=(0013)about:internet --> 一般地,当您需要插入 Web 标记时,可以使用此注释。about:internet 部分将该页放入 Internet 区域中。 作为对 Windows XP SP2 中的 Internet Explorer 的更改一部分,此 HTML 注释还可以与 .mht 文件一起使用(这种情况称为“多部分 HTML”)或与 .xml 文件一起使用。在 Internet Explorer 的早期版本中,不支持将 Web 标记用于 .mht 文件或 .xml 文件。 作为另一种方法,您可以创建一个单独的应用程序,该应用程序以 Internet Explorer Web 对象控件 (WebOC) 托管 HTML 内容。之后,HTML 不再受适用于在 Internet Explorer 中运行的内容的规则的限制。当 HTML 内容在其他进程中运行时,它可以具有如开发人员或该进程的区域策略所定义的全部权限。 达到此目的的一个简单方式是将您的内容保存为 .hta(HTML 应用程序)文件,并尝试再次在本地计算机区域中运行该文件。.hta 文件托管在一个不同的进程中,因此不会受此减轻功能的影响。然而,.hta 文件会以完全权限运行,因此不应该允许不受信任的代码以这种方式运行。 是否需要更改代码才能使用 Windows XP Service Pack 2?开发人员应测试他们的应用程序并启用锁定,以便提供增强的安全级别。独立应用程序的开发人员应该计划在他们托管 Internet Explorer 的应用程序中采用这些更改。 以前允许在本地计算机区域中提升特权的 ActiveX 控件的开发人员不应该更改他们的控件以在另一个区域中允许提升特权。相反,这些控件应该被转换为只从 HTML 应用程序(.hta 文件)或在“本地计算机区域锁定”功能之外运行的独立应用程序运行。 默认情况下,“本地计算机区域锁定”没有对非 Internet Explorer 进程启用。开发人员必须显式地注册他们的应用程序以利用这些更改。没有使用此缓解措施的应用程序,开发人员应该自发地检查它们的应用程序受到本地计算机区域攻击的危险程度。要对您的应用程序启用“本地计算机区域锁定”功能,请转到下列注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 将一个 REG_DWORD 值添加到为您的应用程序命名的此项中(例如,MyApplication.exe),并将其设置为 1。此值的任何其他设置将对应用程序禁用“本地计算机区域锁定”功能。 Internet Explorer MIME 处理增强功能MIME 处理增强功能的作用是什么?Internet Explorer 使用多用途 Internet 邮件扩展 (MIME) 类型信息来判断如何处理 Web 服务器发送的文件。例如,有一个对 .jpg 文件的超文本传输协议 (HTTP) 请求,在收到这些文件之后,通常它们会在 Internet Explorer 窗口显示给用户。如果 Internet Explorer 接收一个可执行文件,Internet Explorer 通常会提示用户,让用户决定如何处理该文件。 在 Windows XP Service Pack 2 中,Internet Explorer 将遵循旨在防止用户由于误导的 MIME 或文件名扩展信息而意外地下载或执行危险文件的更严格规则。 此功能适用于哪些用户对象?Web 开发人员需要知道这些新限制,以便针对其网站可能受到的任何影响,计划作出更改或提出替代解决方案。 应用程序开发人员应该检查此功能,以计划在他们的应用程序中采用更改。默认情况下,该功能没有对非 Internet Explorer 进程启用,开发人员需要注册他们的应用程序以利用更改。 最终用户将受到不符合这些更严格的规则的站点或应用程序的影响。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?MIME 处理文件类型协议增强功能详细说明 当文件被发送至客户端时,Internet Explorer 使用下列信息片段来判断如何处理文件:
在 Windows XP Service Pack 2 中,关于执行可能具有危险性的下载文件,Internet Explorer 具有更多的限制。 Internet Explorer 强制在浏览器中处理文件的方式和在 Windows 外壳程序中处理文件的方式之间保持一致。当文件下载到缓存中时,Internet Explorer 将比较缓存文件的 MIME 类型与缓存文件的扩展名。如果 MIME 类型与文件扩展名不匹配,Internet Explorer 将尝试通过重命名缓存中的文件来解决这种情况。 在将文件加载到其 MIME 处理程序中或者由其扩展名处理程序执行之前,Internet Explorer 将比较 MIME 处理程序与扩展名处理程序的 CLSID。如果两个处理程序之间仍然不匹配,Internet Explorer 将向用户提供一个强制性的提示,要求其确认要在 MIME 处理程序中加载该文件。如果 MIME 处理程序拒绝不匹配的文件,Internet Explorer 将显示一个下载错误对话框,并且不会自动在 Windows 外壳扩展名处理程序中执行该文件。 一个相关但独立的更改可防止在其外壳扩展名处理程序执行可能有害的文件。对于被 MIME 处理程序拒绝的任何文件,Internet Explorer 都将显示下载错误对话框与错误代码 E_Cannot_Load_Data, 并且不会在其外壳扩展名处理程序中执行该文件(不考虑 MIME 类型或文件扩展名)。 这些更改不影响对文件使用了“content-disposition=attachment”HTTP 标头的情况。在这些情况下,服务器所建议的文件名或扩展名将被认为是最终的,并且,如果用户选择接受文件下载提示,则即便 MIME/扩展名不匹配,也可以执行该文件。 为什么此更改非常重要?它有助于缓解哪些威胁? 如果服务器错误地报告了文件类型信息,并且该信息保存到了计算机中,则之后可能会错误地执行危险文件。例如,Internet Explorer 可能下载看上去好像是文本文件的文件。如果文件无法由其 MIME 处理程序加载,并且文件扩展名为 .doc,则该 .doc 文件可能不提示用户便在 Microsoft Word 等应用程序中执行。在 Microsoft Word 中,文件可能能够使用活动内容(如宏)在用户的计算机上运行程序(如病毒)。 哪些功能发生变化?是否存在任何依赖性? Internet Explorer 现在将尝试重命名 Internet Explorer 缓存中的下载文件,以使内容类型与扩展名匹配,这样便可以阻止使用户对其类型产生误解的文件。 Internet Explorer 将提示用户下载该文件,并且不再执行被已注册的 MIME 处理程序拒绝的 MIME 与扩展名不匹配的文件。 如果 MIME 处理程序报告了 E_Cannot_Load_Data 错误代码,Internet Explorer 也不会在自己的外壳处理程序中执行文件。 Web 开发人员可以按照本文档后面的“设置”部分的描述,通过关闭该功能来隔离由于此行为而不运行的应用程序。 如何解决这些问题? Web 开发人员必须使用一致的内容类型标头和文件扩展名来更改他们的 Web 服务器以托管文件。如果这无法实现,Web 开发人员可以使用“Content-disposition=attachment:”HTTP 标头来直接向其扩展名处理程序(而不是 MIME 处理程序)发送文件。请注意,具有“Content-disposition=attachment”标头的文件下载将提示用户打开或保存文件。 如果您开发了 MIME 处理程序,并有意地依赖 Internet Explorer 来执行被 MIME 处理程序拒绝的文件,将需要在 MIME 处理程序中进行更改以适应此更改。最安全的更改是直接在 MIME 处理程序本地处理文件,而不是拒绝文件。 在某些情况下,可能无法将 MIME 处理程序的行为更改为在本地处理下载的文件。在这些情况下,有几个选项可供选择:
MIME 探查文件类型提升详细说明 用于确定文件类型的其中一个备份标准是 MIME 探查的结果。通过检查(或嗅探)文件,Internet Explorer 可以识别某些类型文件的位签名。在 Windows XP Service Pack 2 中,Internet Explorer MIME 探查不会在受限站点区域中将 text\plain 类型的文件提升为更危险的文件类型。例如,作为纯文本接收但包含 HTML 代码的文件不会被提升为 HTML 类型,后者可能包含活动内容。 为什么此更改非常重要?它有助于缓解哪些威胁? 此更改为用户提供了更多的纵深防御措施,以抵御在友好的 Web 服务器上发布的恶意内容(在这种情况下,服务器为某个文件提供多个具有 content-type=text\plain 的文件,但是攻击者已设法将具有活动内容的 HTML 加载到该文件中)。 哪些功能发生变化?是否存在任何依赖性? 对于不在文件中包含正确的内容类型标头并将非标准的文件扩展名用于 HTML 页的 Web 服务器而言,现在可以将它们的页面作为纯文本而不是 HTML 来显示。 如何解决这些问题? 您应该配置 Web 服务器以使用正确的内容类型标头,或者可以用应该处理文件的应用程序的适当文件扩展名来命名文件。 Windows XP Service Pack 2 中添加或更改了哪些设置?
每个区域的 MIME 探查行为新的 MIME 探查限制由可以分别对各个安全区域启用或禁用的“基于内容打开文件,而不是基于文件扩展名”安全设置控制。下表介绍了每个安全区域的默认设置:
是否需要更改代码才能使用 Windows XP Service Pack 2?您应该配置 Web 服务器以使用正确的内容类型标头。还可以用应该处理文件的应用程序的适当文件扩展名来命名文件。 Internet Explorer 对象缓存对象缓存的作用是什么?在附带 Internet Explorer 的 Windows 早期版本中,某些网页可以访问从另一个网站缓存的对象。在 Windows XP Service Pack 2 中,当用户导航到一个新域时,对一个对象的引用将不再可访问。 此功能适用于哪些用户对象?Web 开发人员应该检查此功能并计划对他们的网站采用更改。 应用程序开发人员应检查此功能,并计划在他们的应用程序中采用更改。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?无。扩展了现有功能。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?在导航到一个其他域时,安全上下文失效详细说明 在 Windows XP Service Pack 2 中,现在在所有可编写脚本的对象中都有一个新的安全上下文,以阻止对已缓存对象(ActiveX 控件除外)的访问。除在跨域导航时阻止访问外,在同一个域内导航时,访问也被阻止。(在此上下文中,域被定义为完全限定的域名或 FQDN。)在上下文由于导航而改变之后,对一个对象的引用将不再可访问。 为什么此更改非常重要?它有助于缓解哪些威胁? 在 Internet Explorer 5.5 之前,跨 HTML 页面(或对子框架)的导航清除 MSHTML 实例(Microsoft HTML 分析和呈现引擎)。对于 Internet Explorer 5.5 本地框架体系结构,MSHTML 的实例跨导航地保留。这就引入了一个新的漏洞类别,因为对象可以跨导航地缓存。如果对象可以缓存并提供对来自另一个域中的网页内容进行访问,就会产生一个跨域的漏洞。 一旦您可以访问内部文档上的属性,则位于某个页所在的域外部的脚本也可以访问内部页的内容。这是对 Internet Explorer 跨域安全模式的侵犯。 例如,您可以使用此方法来创建脚本,以便侦听另一个框架中的事件或内容(如在其他框架中键入的信用卡号码或其他敏感数据)。 哪些功能发生变化?是否存在任何依赖性? 在那些尚未包含它们的少数类中,为缓存的标记另外添加了四个字节。应该对速度没有显著的影响。 如何解决这些问题? 大多数的这些类别漏洞都会使 Internet Explorer 5 崩溃,因此解决利用漏洞的应用程序兼容性风险应该很小。其他应用程序可能需要针对具体情况来加以解决。 Windows XP Service Pack 2 中添加或更改了哪些设置?
是否需要更改代码才能使用 Windows XP Service Pack 2?如果您的应用程序得到了“访问被拒绝”错误,则必须在使用脚本访问对象之前将其重新缓存。在下面的示例中,当在文档对象中设置了 designMode 属性时,安全上下文将失效: 损坏的脚本示例
var d = myFrame.document;
d.designMode = "On";
d.open(); <-------------------------导致权限被拒绝的错误
修复的脚本示例 var d = myFrame.document; d.designMode = "On"; d = myFrame.document; // 重新建立文档对象的指针。 d.open(); Internet Explorer 弹出窗口阻止程序弹出窗口阻止程序的作用是什么?弹出窗口阻止程序阻止大多数不需要的弹出窗口出现。当最终用户点击一个链接时,打开的弹出窗口不会被阻止。 最终用户和 IT 管理员可以让特定的域打开程序的弹出窗口。开发人员将能对托管 Internet Explorer 的应用程序使用或扩展 Internet Explorer 中的弹出功能。 此功能适用于哪些用户对象?对于大部分最终用户而言,浏览 Web 时将不会受到太多的干扰,因为不需要的弹出窗口不会自动出现。 对于 Web 开发人员而言,弹出窗口阻止程序会通过使用 window.open() 和 showHelp() 方法来影响网站打开的窗口的行为。 对于应用程序开发人员而言,存在一个名为 INewWindowManager 的新用户接口。 使用 Internet Explorer 中的呈现引擎来显示 HTML 的应用程序可以选择使用或扩展弹出窗口阻止程序功能。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?弹出窗口阻止程序是 Internet Explorer 的一个新功能,可以分为三个部分:
弹出窗口阻止程序功能详细说明 默认情况 弹出窗口阻止程序在默认情况下处于打开状态。无论对弹出窗口阻止程序采用何种设置,都对弹出窗口的大小和位置加以限制。大于或位于可查看桌面区域之外的弹出窗口无法打开。有关详细信息,请参阅本文档中的“Windows 限制”。 当此功能处于启用状态时,自动和背景弹出窗口将被阻止,但是通过用户点击打开的窗口仍可以正常地打开。请注意,“受信任的站点”和“本地 Intranet”区域中的站点的弹出窗口决不会被阻止,因为它们被视为安全的。这可以通过“Internet 选项”中的“安全”选项卡来配置。 启用弹出窗口阻止程序 弹出窗口阻止程序默认情况下处于启用状态。可以在“工具”菜单中使用“弹出窗口阻止程序”项对此进行更改,或者在弹出窗口被阻止时在信息栏中进行更改。 何时阻止弹出窗口 如果一个站点打开被 Internet Explorer 阻止的弹出窗口,将会在信息栏和状态栏中出现一个通知,并发出声音。如果您单击信息栏或状态栏中的通知,将会看到一个包含下列选项的菜单:
高级选项 Internet Explorer 提供弹出窗口阻止程序设置的高级配置。
在启用弹出窗口阻止程序的情况下,最终用户何时将看到弹出窗口? 在下列情况下客户仍将看到打开的弹出窗口:
为什么此更改非常重要?它有助于缓解哪些威胁? 弹出窗口被以多种方式滥用。通过阻止弹出窗口,客户在浏览时拥有了更大的控制权。 INewWindowManager 详细说明 默认情况下,弹出窗口阻止程序功能不适用于托管 WebBrowser 控件或 MSHTML 的应用程序。这些应用程序能够使用或扩展弹出窗口阻止程序,使用它们自己的弹出窗口阻止程序,或通过 INewWindowManager 接口禁用它们的应用程序的弹出窗口管理。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?方法:window.open()、window.external.navigateAndFind()、showHelp()详细说明 在 Internet 区域中,弹出窗口阻止程序会阻止在用户没有点击一个链接的情况下由这些方法自动打开的窗口。如果客户启用了比较严格的阻止设置,由这些方法通过点击一个链接打开的窗口也可能被阻止。 如果一个函数通常返回一个窗口对象,那么当一个窗口被阻止时,该函数将返回空值。Web 开发人员可以检查空值,以判断他们尝试打开的窗口是否被阻止。 当打开窗口时,位于可查看屏幕外面的窗口被定位于可查看的区域。 当打开窗口时,大于可查看屏幕的窗口被重新调整大小,以适合可查看的区域。 有关详细信息,请参阅本文档中的“Internet Explorer 窗口限制”。 如何解决这些问题? 确保用 window.open() 打开的所有窗口通过用户交互打开,而不通过代码自动打开。 Windows XP Service Pack 2 中添加或更改了哪些设置?
是否需要更改代码才能使用 Windows XP Service Pack 2?网页作者应该检查您打开的任何窗口的 NULL 返回值。这将指出弹出窗口是否成功地打开并允许您处理任何一种情况。 如果您的软件自动打开窗口,则它们将被阻止。如本文档前面所述,寻找执行相同的操作的替代办法。打开窗口的最佳方式是让客户点击链接或图形元素。 Internet Explorer 不受信任发布者的缓解功能不受信任发布者缓解功能的作用是什么?此功能使用户可以阻止来自某个特定发行者的所有已签名内容,同时不向用户显示“Authenticode”对话框。这就阻止来自被阻止的发布者的代码安装。此功能还阻止具有无效签名的代码安装。 此功能适用于哪些用户对象?此功能适用于所有用户,因为它处理被签名的应用程序的安装和运行。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?被阻止的发布者详细说明 通过 Authenticode,用户可以阻止一个特定发布者的内容安装或运行。为此,用户可以选中“Authenticode”对话框中的“绝不信任来自 PublisherName 的内容”复选框。如果选中,当以发行者的数字签名标识的代码试图在系统上进行自我安装时,决不会提示用户。它将被自动阻止,而不显示 Authenticode 对话框。 为什么此更改非常重要?它有助于缓解哪些威胁? 此功能用于帮助用户阻止 ActiveX 控件及其他签名的文件格式反复地在 Web 上进行提示。用户无法说“我不想要来自此发布者的内容。不要再问我”。由于他们没有此功能,因此许多用户安装应用程序或内容只是为了防止遇到重复的提示。 哪些功能发生变化? 以前,“Authenticode”对话框只支持选中“始终信任来自发行者的内容”复选框,这使得来自指定发行者的代码可以自动安装,而不提示用户。现在用户可以执行相反的操作并将发布者指定为“不可信”。对于受信任的代码,不应该遇到应用程序兼容性问题。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?阻止无效的签名详细说明 默认情况下,Windows 阻止签名的代码(如果其具有无效数字签名)进行安装。 为什么此更改非常重要?它有助于缓解哪些威胁? 如果代码具有无效签名,这通常意味着代码已经被更改,因为它已经被签名。当发生这种情况时,Internet Explorer 认为代码未经签名,因为它可能已被篡改。默认情况下,Internet Explorer 阻止来自 Internet 区域的未经签名的 ActiveX 应用程序。这就扩展了该功能,以便它适用于所有具有无效签名的代码。 哪些功能发生变化? 默认情况下,无法安装具有无效签名的代码。 如何解决这些问题? 要还原到以前的功能,并允许未经过签名的代码运行,请参阅下面的“在 Windows XP Service Pack 2 中添加或更改了哪些设置?”中的 RunInvalidSignatures 设置。 每一个页面每一个控件一个提示详细说明 对于每一个页面中的每一个 ActiveX 控件,Internet Explorer 只提示一次。 为什么此更改非常重要?它有助于缓解哪些威胁? 此更改有助于防止针对同一个控件利用“社会工程学陷阱”多次提示用户。即使用户反复地拒绝,也不能跳出循环,他们可能最终接受安装。 哪些功能发生变化? 用户对于每一个页面中的每一个控件只看到一个提示。 在应用程序描述和发布者名称上添加省略号详细说明 当为应用程序描述、文件名或发布者名称提供的文本宽于对话框时,Internet Explorer 在文本上加上省略号。这就帮助向用户指出还有更多的文本他们还没有看到。 为什么此更改非常重要?它有助于缓解哪些威胁? 这就降低了控件作者在对话框中放置文本广告和最终用户许可协议 (EULA) 或使用其他社会工程学陷阱来诱导用户安装控件的能力。 哪些功能发生变化? 如果文本的长度宽于对话框,应用程序描述、文件名和发布者名称将包含省略号。不需要修改应用程序或网页。 Windows XP Service Pack 2 中添加或更改了哪些设置?
Internet Explorer 窗口限制窗口限制的作用是什么?Internet Explorer 提供了脚本功能,以便以编程方式打开各种类型的更多窗口,重新调整并定位现有窗口。“窗口限制”安全功能(以前称为“UI 欺骗减轻”)限制两种类型的通过脚本启动的窗口(恶意人员使用此类窗口来欺骗用户):一类是没有地址栏、标题栏、状态栏和工具栏等组件的弹出窗口,另一类是包含标题栏和状态栏的窗口。 此功能适用于哪些用户对象?Web 开发人员应该知道这些新限制,以便针对其网站可能受到的任何影响,计划作出更改或提出替代方案。 应用程序开发人员应该检查此功能,以计划在他们的应用程序中采用更改。默认情况下,此功能只对于 Internet Explorer 进程启用。开发人员必须注册非 Internet Explorer 应用程序以利用更改。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?使用脚本对 Internet Explorer 窗口重新定位详细说明 通过脚本启动的、具有标题栏和状态栏的窗口在通过脚本控制窗口移动方面受到限制,以确保在操作完成之后这些重要的和信息性的栏保持可见。
为什么此更改非常重要?它有助于缓解哪些威胁? 若没有此更改,则通过 window.open() 方法创建的窗口可以由脚本调用,并可以用于通过下列三种方法之一来欺骗用户界面或桌面或者隐藏恶意信息或活动:
Internet Explorer 窗口的可见安全功能向用户提供信息以帮助他们确定网页的来源以及使用该页面进行通信的安全性。如果这些元素被隐藏而不可见,那么当用户实际与一个恶意主机连接时,用户就可能认为自己位于一个比较可信的页面或正在与一个系统进程进行交互。恶意地使用窗口重新定位功能可能会向用户提供假信息,遮挡重要信息,或者“欺骗”用户界面的重要元素,以试图使用户采取不安全的操作或泄漏敏感信息。 哪些功能发生变化?是否存在任何依赖性? 此更改对于通过脚本启动的、具有标题栏和状态栏的窗口的定位施加限制,以确保这些窗口中的标题栏和状态栏始终对用户可见。脚本不能将窗口移到屏幕之外(但用户仍可以将窗口移到屏幕之外)。如果您维持一个在 Internet Explorer 中创建屏幕外窗口的脚本,则需要更改代码。 如何解决这些问题? 如果您的脚本创建一个屏幕外窗口或将窗口移到屏幕之外,应研究此要求及实现此目标的其他方法。 使用脚本调整 Internet Explorer 窗口大小详细说明 包括标题栏和状态栏的、通过脚本启动的窗口在通过脚本调整窗口大小方面受到限制,以确保标题栏和状态栏在操作完成之后保持可见。
为什么此更改非常重要?它有助于缓解哪些威胁? 若没有此更改,则使用 window.open() 方法创建的窗口可以由脚本调用,并可以用于通过调整窗口大小使状态栏不可见来欺骗用户界面或桌面或者隐藏恶意信息或活动。 Internet Explorer 窗口向用户提供可见的安全信息,以帮助他们确定网页的来源以及与该页面进行通信的安全性。如果这些元素不可见,那么当用户实际与一个恶意主机进行交互时,用户就可能认为自己位于一个比较可信的页面或正在与一个系统进程进行交互。恶意地使用窗口大小调整功能可能会遮挡与安全有关的重要信息,或者欺骗用户界面的重要元素,以试图使用户采取不安全的操作或泄露敏感信息。 哪些功能发生变化?是否存在任何依赖性? 利用此更改,对通过脚本启动的窗口的大小调整有一些限制,以确保这些窗口的标题栏和状态栏始终对于用户可见。因此,脚本将不能打开“kiosk 模式”的窗口(kiosk 模式不显示用于向用户显示重要安全信息的标题栏、地址栏和状态栏)。 用户可以选择在 kiosk 模式下显示窗口。此选择仍是永久的。 如何解决这些问题? 通过脚本启动的窗口将完全地显示,并带有 Internet Explorer 标题栏和状态栏。用户或站点管理员可以手动更改此状态。 使用脚本管理 Internet Explorer 状态栏详细说明 Internet Explorer 已经被修改,使得对于任何窗口不关闭状态栏。对于所有 Internet Explorer 窗口,状态栏始终可见。 为什么此更改非常重要?它有助于缓解哪些威胁? 若没有此更改,则使用 window.open() 方法创建的窗口可以由脚本调用,并通过隐藏用户界面的重要元素不让用户看见来欺骗用户界面或桌面或者隐藏恶意信息或活动。 状态栏是 Internet Explorer 窗口的一个安全功能,负责向用户提供 Internet Explorer 安全区域信息。此区域无法被欺骗,并使用户知道显示的内容所在的确切安全区域。如果状态栏被隐藏而不可见,那么当用户实际与一个恶意主机进行交互时,用户就可能会认为他们位于一个比较可信的页面。 哪些功能发生变化?是否存在任何依赖性? 默认情况下,通过脚本启动的窗口的状态栏始终打开,以便安全区域对于用户可见。不应该对应用程序进行任何更改。 Internet Explorer 弹出窗口位置详细说明 目前对通过脚本启动的弹出窗口施加限制,以使它们:
为什么此更改非常重要?它有助于缓解哪些威胁? 弹出窗口通过 window.createPopup() 方法创建,也称为 chromeless 窗口,因为它们没有边框“chrome”组件,如地址栏、标题栏、状态栏和工具栏。这些窗口:
无限制的 chromeless 窗口可以通过多种方式欺骗用户:
哪些功能发生变化?是否存在任何依赖性? 弹出窗口在水平、垂直和在其他窗口顶部的放置顺序上受到限制。
如果弹出窗口被设计为在较大的区域或在非父窗口区域显示,那么这些限制可能会影响该弹出窗口的外观。弹出窗口将被截断,这可能会遮挡该窗口上显示的部分信息。 如何解决这些问题? 重新设计弹出窗口,以适应此减轻功能的限制。 Windows XP Service Pack 2 中添加或更改了哪些设置?对于此功能只有一个设置。此设置可以启用 Windows 限制 (1) 或不启用它们 (0)。为确保应用程序兼容性,对于非 Internet Explorer 进程默认情况下将不启用此功能。
是否需要更改代码才能使用 Windows XP Service Pack 2?脚本将调用相同的方法,以创建具有 chrome 的 Internet Explorer 窗口(使用 window.open() 方法)或 Internet Explorer chromeless 弹出窗口(使用 window.createPopup() 方法)。然而可能需要检查设计,以确保弹出窗口对用户适当可见,并且状态栏包含准确的信息。 阻止 Internet Explorer 区域提升阻止区域提升的作用是什么?当网页在 Internet Explorer 中打开时,Internet Explorer 会根据网页的来源(Internet、本地 Intranet 服务器、受信任的站点等等)对该网页可以执行的操作加以限制。例如,Internet 上的页面具有比用户的本地 Intranet 上的页面更严格的安全限制。用户计算机上的网页位于本地计算机安全区域,该区域的安全限制最少。这使得本地计算机安全区域成为恶意用户的主要目标。阻止区域提升使得在此区域运行代码难于执行。此外,通过改变安全设置,“本地计算机区域锁定”功能使得该区域不易受到恶意用户的攻击。 此功能适用于哪些用户对象?Web 开发人员必须针对其网站可能受到的任何影响计划作出更改或提出替代方案。 应用程序开发人员应该检查此功能,以便计划在他们的在本地计算机安全区域中运行的应用程序中采用更改。由于默认情况下该功能没有对非 Internet Explorer 进程启用,开发人员需要注册他们的应用程序以利用更改。 最终用户可能受到不符合这些更严格的规则和设置的站点的影响。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?阻止区域提升详细说明 Internet Explorer 防止一个页面上的任何链接的总体安全上下文高于根 URL 的安全上下文。例如,这意味着 Internet 区域中的网页无法导航到本地 Intranet 区域中的网页。脚本不能产生此导航。为了缓解这一情况,对区域的安全上下文进行排序,从最高的安全上下文到最低的安全上下文依次为:受限站点区域、Internet 区域、本地 Intranet 区域、受信任的站点区域和本地计算机区域。 如果没有安全上下文,阻止区域提升还将禁用 JavaScript 导航。 如果用户点击一个使网站试图导航到更高区域的链接,将阻止导航到本地计算机,或者在 Internet Explorer 中显示一个包含下面两条消息中的某一条的对话框。根据情况,斜体部分将改变。
在两种情况下,默认操作不允许区域提升。用户必须显式允许请求的区域提升。 为什么此更改非常重要?它有助于缓解哪些威胁? 特权提升是 Internet Explorer 中最易于利用的漏洞之一,恶意用户使用它在本地计算机区域运行恶意代码。阻止区域提升帮助减少许多特权提升攻击。 哪些功能发生变化? 阻止从一个区域导航到一个“更高的”区域。这意味着,自动调用较高特权网页的网页将失败。 如何解决这些问题? 如果一个受信任的 Web 应用程序无法使用,您可以修改 Internet Explorer 安全区域设置,以允许应用程序继续工作。通过将注册表项 2101 从“禁用”设置为“提示”或“允许”,可以更改每个安全区域的区域提升设置。例如,要更改“本地计算机区域锁定”设置,应按照下面的方法更改该注册表项: HKEY_CURRENT_USER\Software\Microsoft "2101"=dword:00000001 改为“提示” "2101"=dword:00000000 改为“允许” Internet Explorer 网络协议锁定网络协议锁定执行哪些功能?在 RTM 版的 XP SP2 中,除了本地计算机区域以外,还可以将 Internet Explorer 配置为在其他区域中锁定来自特定网络协议的 HTML 内容。使用此功能,管理员可以将本地计算机区域锁定的限制(在本文档前面介绍)延伸到任何安全区域中的任何协议上的内容。例如,管理员可以将 Internet Explorer 配置为锁定 Shell: protocol 上的 HTML 内容(如果该协议在 Internet 区域中)。由于 Shell: protocol 通常用于本地内容,而不用于 Internet 内容,因此这种缓解措施可以减少浏览者攻击不像 HTTP 那样广泛使用的协议中的可能漏洞的途径。 此功能适用于哪些用户对象?默认情况下,不为任何应用程序启用网络协议锁定。 所有应用程序开发人员都应该检查此功能。在管理员选择应用更多限制的组织中,在 Internet Explorer 中通过非 HTTP 协议传递 HTML 文件的应用程序可能会受到影响。开发托管 Internet Explorer 的独立应用程序的开发人员可能需要修改他们的应用程序才能使用网络协议锁定。 选择采用此功能的开发人员应注册其应用程序才能使用更改。不使用此缓解功能的开发人员应独立地检查其应用程序是否支持任意协议。 要使用此功能,开发托管 Internet Explorer 的应用程序的软件开发人员可以按照本文档后面所介绍的过程,将应用程序的进程名添加到注册表中。将来,Microsoft 可能使用默认情况下限制使用的某些非常用协议来实现此功能,并对应用程序采用“opt-out”(选择排除)策略,而不对应用程序采用当前的“opt-in”(选择使用)策略。应该对托管 Internet Explorer 的应用程序进行测试,以确保在对其进程启用了“网络协议锁定”的情况下,这些应用程序能够正常工作。 网络管理员应考虑在受管理的台式机上的受限协议列表中添加未使用过的协议。如果网络管理员启用此限制,他们的 HTML 文件可能会受到影响。 开发主要使用 HTTP 协议的网站的开发人员不应受对其他协议的限制的影响。 如果用户的网络管理员选择限制用户的台式机使用某些协议,则用户很有可能受到这些更严格的限制的影响。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?受限协议的安全设置的更改详细说明在 Windows XP Service Pack 2 中,如果已采用更改的应用程序中的 HTML 内容使用某个受限协议,将限制该内容运行在更高的安全级别。例如,只要受限协议内容试图使用受限功能,如 ActiveX 控件,Internet Explorer 中就会出现信息栏,并显示以下文本: 网页试图以可能不安全的方式通信。单击此处以获得更多选项。 用户可以单击信息栏以从受限制的内容中删除锁定。 对受限协议上的内容锁定的安全设置与对本地计算机区域锁定(在本文档前面介绍)强制使用的设置相同。请查阅相关的部分,以了解对受限协议中的内容强制使用的安全设置的准确信息。 受限协议功能默认情况下对 Internet Explorer 及所有应用程序关闭详细说明网络协议锁定的行为由新的“Internet Explorer 功能控制”设置针对每个进程进行控制。由于此功能旨在为网络管理员提供额外的一层纵深防御措施,因此默认的 Internet Explorer 进程 IExplore.exe 和 Explorer.exe 默认情况下不采用此功能。要采用网络协议锁定,网络管理员或开发人员应在以下任意位置添加一个 DWORD(其中,名称采用进程名称,值设置为 1),以便对进程应用缓解功能。要强制退出此功能,应将该值设置为 0。 HKEY_LOCAL_MACHINE\Software HKEY_CURRENT_USER\Software 当使用通配符来强制对“Opt-out”(选择排除)模式采用缓解功能时,应用程序可能要主动退出此功能,以防止应用缓解功能。 当应用程序已“选择使用”此功能时每个区域的行为 对于已采用此功能的进程,网络协议锁定的行为还由新的 Internet Explorer 安全设置或 URLAction 针对每个区域进行控制。此 URLAction 将设置为以下值:
每个区域的协议阻止列表 受限协议列表是针对每个区域分别指定的,这样某些协议可以在某些区域被锁定,而在其他区域可以不受限制地运行。通过将协议名称写入到特定安全区域的限制列表中,可以在给定的区域中限制协议。
应考虑列入阻止列表中的协议 默认的受限协议列表是空白的。网络管理员应将已知在组织的特定区域不需要的额外协议添加到锁定中。网络管理员应考虑在受管理的台式机上限制下面的某些默认窗口协议,以及对于在组织中显示包含活动内容的 HTML 而言不需要的其他协议。
为什么此更改非常重要?它缓解了哪些威胁?此更改针对不常用的协议中的漏洞提供了通用的纵深防御措施。例如,运行在 Local:// 协议下的 ActiveX 控件可能假定自己加载在本地计算机区域中,并且可能为托管网页授予提升的特权。 哪些功能发生变化?是否存在任何依赖性?如前所述,如果某个网页使用限制用于给定区域的协议,则当该网页使用任何被限制的内容(如 ActiveX)时,Internet Explorer 将显示信息栏。 如何解决这些问题?如果网页需要在应限制用于 Intranet 的协议上运行 ActiveX 或脚本,您可能通过将 HTML 的域移至受管理的台式机上的受信任站点区域中来正确显示该 HTML。作为一个长期有效的解决方案,可以寻找将该内容从受限协议中移走的方法,或者,如果这种方法不可行,可以通过使用服务器端脚本(如 Active Server Page)在服务器上执行需要的计算,将活动内容从受限协议页中完全删除。 是否需要更改代码才能使用 Windows XP Service Pack 2?由于此功能默认情况下关闭,因此您可能不需要更改 HTML 内容,除非它运行在被您组织的网络管理员限制的协议上。
|
本文内容
|
