Zonas de Segurança do Internet Explorer

Um arquivo em disco consiste de três coisas: um nome/caminho, os dados do arquivo, e alternate data streams.

A aba Sumário, exibida na imagem abaixo, mostra o que Windows Explorer do Windows 2000 exibe quando você edita as propriedades de um arquivo que permite a associação de informações arbitrárias como título e palavras-cache. O Windows Explorer armazena esta informação como um alternate data stream.

figure_06

A Microsoft originalmente incluiu a funcionalidade alternate-stream no sistema de arquivos NTFS para suportar arquivos do Apple Macintosh (Mac). Muitos arquivos usam Sistema de arquivos hierárquico (HFS) do Mac para armazenar ícones e outras informações em um alternate data stream. Devido ao Windows NT Server acompanhar o Serviços para Macintosh (SFM — um serviço que permite ao NT compartilhar arquivos com clientes Mac), o Windows NT deveria suportar alternate streams para que clientes Mac pudessem armazenar arquivos em servidores NT sem perderem informações.

Para a maioria das  pessoas o Internet Explorer é o meio no qual elas usam para acessar a Internet. Com o Windows XP SP2 sua própria Área de trabalho foi colocada na Zona Restrita do Internet Explorer e o Internet Explorer tornou-se um recurso essencial do Windows. Quando baixamos arquivos usando o Internet Explorer com a nova Zona de segurança na Área de trabalho os arquivos são marcados com sua URL de origem (Quando possível. Esta função requer a instalação do Windows XP em um sistema de arquivos NTFS por usar alternate data streams).

Depois de marcados, estes arquivos baixados são permanentemente tratados como riscos a segurança, não importa quantas vezes você os abra! Quando estes arquivos são abertos, eles são abertos de acordo com a classificação de segurança da URL de origem, mesmo após anos abrindo eles.

Identificador Valor
URLZONE_LOCAL_MACHINE 0
URLZONE_INTRANET 1
URLZONE_TRUSTED 2
URLZONE_INTERNET 3
URLZONE_UNTRUSTED 4

Redefinir a Área de trabalho como uma Zona de alto risco da Internet, e redefinir o Internet Explorer não apenas como um navegador de internet mas como um sistema de segurança que monitora o uso de arquivos tanto on quanto off-line, a Microsoft alcançou um novo tipo de ilusão de integração Web. Desta vez, ao invés da Web vir até a Área de trabalho (Active Desktop), a Área de trabalho foi jogada na Web.

No Windows Server, a verificação de zona é mais rígida com arquivos baixados da internet e documentos acabam sendo bloqueados por padrão.

erro-no-word-ao-tentar-abrir-o-arquivo

Erro no Word ao tentar abrir o arquivo.

Para resolvermos este impasse, precisamos desabilitar a verificação de zona.

“Mas isso não é um risco de segurança?”

Não. Tudo que a verificação de zona faz é mostrar um aviso de segurança no qual é preciso confirmar a execução do arquivo antes de executá-lo.

UAC-unknown-publisher

(Reprodução)

Para mim, este recurso é redundante. Se você possui uma proteção antivírus ativa ou é um usuário avançado, dificilmente executará um arquivo que não conhece.

O usuário padrão geralmente clica em “Executar” sem nem ao menos ler a mensagem (hábito, talvez?) ou, quando a lê, simplesmente não a entende e confirma a execução mesmo assim.

Diretiva de Grupo é um recurso que acompanha o Windows 2000 que permite a Administradores de rede configurarem acesso a permissões e recursos na rede. Os Administradores podem configurar o acesso a alguns recursos de forma a preservar o estado do computador. Ao usar um computador da Universidade ou trabalho, por exemplo, você deve ter notado a falta de acesso a alguns recursos (como desinstalar programas, por exemplo).

Mas a Diretiva de Grupo pode muito mais do que limitar acesso a recursos: Ela pode mudar comportamentos padrões do Windows.

Para desabilitarmos a verificação de zona, abra o Menu Iniciar e, na barra de pesquisa, digite gpedit.msc (No Windows Server 2003/XP, é necessário selecionar Executar no Menu Iniciar. No Windows Server 2012/Windows 8+, pressione a combinação de teclas Windows + R para exibir o Executar).

Expanda Configurações do Usuário > Modelos Administrativos > Gerenciador de Anexos. Na lista, procure por Não preservar informações de zona em anexos de arquivo e habilite-a.

desabilitando-verificacao-zona-gpo

Após a alteração, abra novamente o Executar e digite o comando gpupdate /force para realizar a atualização da Política de grupo sem precisar reiniciar o computador.

Lembrando que esta alteração valerá apenas para arquivos baixados da internet de hoje em diante.

Arquivos baixados anteriormente ainda estarão bloqueados. Para desbloqueá-los, dê botão direito e selecione Propriedades.

Abrirá uma nova janela. Nela, clique no botão Desbloquear.

desbloquear-arquivo

Se você possuí um número de documentos relativamente grande, este pode ser um processo demorado e cansativo. Recomendo usar um script para automatizar este trabalho. Pude encontrar alguns nesta página, mas não testei nenhum deles.


Vista Blocked File Protection Control – Petri IT Knowledgebase – www.petri.co.il/unblock-files-windows-vista.htm

The Wacky World of Windows Internet Security Settings – JSWare – http://www.jsware.net/jsware/iewacky.php5

Stream Viewer – JSWare – http://www.jsware.net/jsware/sviewer.php5

Anúncios

Um comentário em “Zonas de Segurança do Internet Explorer

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s