Configuração por site por política
Este artigo descreve as configurações por site por política e como o browser processa os carregamentos de páginas a partir de um site.
O browser como um decisor
Como parte de cada carregamento de página, os browsers tomam muitas decisões. Algumas, mas não todas, destas decisões incluem: se uma determinada API está disponível, se uma carga de recursos deve ser permitida e se um script deve ser autorizado a ser executado.
Na maioria dos casos, as decisões do browser são regidas pelas seguintes entradas:
- Uma definição de utilizador
- O URL da página para a qual a decisão é tomada
Na plataforma Web do Internet Explorer, cada uma destas decisões chamava-se URLAction. Para obter mais informações, veja Sinalizadores de Ação do URL. O URLAction, a Política de Grupo empresarial e as definições de utilizador no Painel de Controlo da Internet controlavam a forma como o browser processa cada decisão.
No Microsoft Edge, a maioria das permissões por site são controladas através de settngs e políticas expressas através de uma sintaxe simples com suporte de wild card limitado. As Zonas de Segurança do Windows ainda são utilizadas para algumas decisões de configuração.
Zonas de Segurança do Windows
Para simplificar a configuração para o utilizador ou administrador, a plataforma legada classificou os sites numa das cinco Zonas de Segurança diferentes. Estas Zonas de Segurança são: Máquina Local, Intranet Local, Fidedigna, Internet e Sites Restritos.
Ao tomar uma decisão de carregamento de página, o browser mapeia o site para uma Zona e, em seguida, consulta a definição de URLAction para que essa Zona decida o que fazer. Predefinições razoáveis como "Satisfazer automaticamente os desafios de autenticação da minha Intranet" significa que a maioria dos utilizadores nunca precisa de alterar as predefinições.
Os usuários podem usar o Painel Controle de internet para atribuir sites específicos a Zonas e configurar os resultados de permissão para cada zona. Em ambientes geridos, os administradores podem utilizar a Política de Grupo para atribuir sites específicos a Zonas (através da política "Site a Lista de Atribuições de Zona") e especificar as definições de URLActions por zona. Além da atribuição manual de sites administrativos ou de utilizadores a Zonas, outras heurísticas poderiam atribuir sites à Zona de Intranet Local. Em particular, os nomes de anfitrião sem pontos (por exemplo, http://payroll) foram atribuídos à Zona intranet. Se tiver sido utilizado um script de Configuração de Proxy, todos os sites configurados para ignorar o proxy serão mapeados para a Zona de Intranet.
O EdgeHTML, utilizado nos controlos WebView1 e no Microsoft Edge Legado, herdou a arquitetura zonas do seu antecessor do Internet Explorer com algumas alterações simplificantes:
- As cinco Zonas incorporadas do Windows foram fechadas para três: Internet (Internet), Fidedigna (Intranet+Fidedigna) e Computador Local. A Zona de Sites Restritos foi removida.
- Os mapeamentos de Zona para URLAction foram codificados no navegador, ignorando as Políticas de Grupo e as configurações no Painel Controle de Internet.
Permissões por site no Microsoft Edge
O Microsoft Edge faz uma utilização limitada das Zonas de Segurança do Windows. Em vez disso, a maioria das permissões e funcionalidades que oferecem aos administradores a configuração por site através da política dependem de listas de regras no Formato de Filtro de URL.
Quando os utilizadores finais abrem uma página de definições como edge://settings/content/siteDetails?site=https://example.com, encontram uma longa lista de comutadores de configuração e listas para várias permissões. Os utilizadores raramente utilizam a página Definições diretamente, em vez disso, fazem escolhas enquanto navegam e utilizam vários widgets e alternar na lista pendente de informações da página . Esta lista é apresentada quando seleciona o ícone de bloqueio na barra de endereço. Também pode utilizar os vários pedidos ou botões na margem direita da barra de endereço. A captura de ecrã seguinte mostra um exemplo de informações da página.
As empresas podem utilizar a Política de Grupo para configurar listas de sites para políticas individuais que controlam o comportamento do browser. Para localizar estas políticas, abra a documentação da Política de Grupo do Microsoft Edge e procure "ForUrls" para encontrar as políticas que permitem e bloqueiam o comportamento com base no URL do site carregado. A maioria das definições relevantes estão listadas na secção Política de Grupo para Definições de Conteúdo .
Existem também muitas políticas (cujos nomes contêm "Predefinição") que controlam o comportamento predefinido de uma determinada definição.
Muitas das definições são obscuras (WebSerial, WebMIDI) e muitas vezes não há razão para alterar uma definição da predefinição.
Zonas de Segurança no Microsoft Edge
Embora o Microsoft Edge se baseie principalmente em políticas individuais com o formato de Filtro de URL, continua a utilizar as Zonas de Segurança do Windows por predefinição em alguns casos. Esta abordagem simplifica a implementação em Empresas que historicamente se basearam na configuração de Zonas.
A política de zona controla os seguintes comportamentos:
- Decidir se pretende libertar automaticamente as credenciais da Autenticação Integrada do Windows (Kerberos ou NTLM).
- Decidir como processar transferências de ficheiros.
- Para o modo Internet Explorer.
Lançamento de credenciais
Por predefinição, o Microsoft Edge avalia URLACTION_CREDENTIALS_USE se a Autenticação Integrada do Windows é utilizada automaticamente ou se o utilizador verá um pedido de autenticação manual. Configurar a política de lista de sites AuthServerAllowlist impede que a Política de Zona seja consultada.
Downloads de arquivos
As provas sobre as origens de uma transferência de ficheiros (também conhecidas como "Marca da Web" são registadas para ficheiros transferidos a partir da Zona da Internet. Outras aplicações, como a Shell do Windows e o Microsoft Office, podem ter em conta estas provas de origem ao decidir como processar um ficheiro.
Se a política zona de segurança do Windows estiver configurada para desativar a definição para iniciar aplicações e transferir ficheiros não seguros, o gestor de transferências do Microsoft Edge bloqueia as transferências de ficheiros a partir de sites nessa Zona. Um utilizador verá esta nota: "Não foi possível transferir – Bloqueado".
Modo do IE
O modo IE pode ser configurado para abrir todos os sites da Intranet no modo IE. Ao utilizar esta configuração, o Microsoft Edge avalia a Zona de um URL ao decidir se deve ou não abrir no modo IE. Para além desta decisão inicial, os separadores do modo IE estão realmente a executar o Internet Explorer e, como resultado, avaliam as definições de Zonas para cada decisão de política, tal como o Internet Explorer fez.
Resumo
Na maioria dos casos, as configurações do Microsoft Edge podem ser deixadas em seus padrões. Os administradores que desejam alterar os padrões de todos os sites ou sites específicos podem usar as Políticas de Grupo apropriadas para especificar listas de sites ou comportamentos padrão. Em alguns casos, como a versão de credenciais, a transferência de ficheiros e o modo IE, os administradores continuarão a controlar o comportamento ao configurar as definições das Zonas de Segurança do Windows.
Perguntas frequentes
O formato do filtro de URL pode corresponder ao endereço IP de um site?
Não, o formato não suporta a especificação de um intervalo de IP para listas de permissões e listas de bloqueio. Suporta a especificação de literais de IP individuais, mas essas regras só são respeitadas se o utilizador navegar para o site através do referido literal (por exemplo, http://127.0.0.1/). Se um nome de host for usado (http://localhost), a regra de literal de IP não será respeitada, mesmo que o IP resolvido do host corresponda ao IP listado pelo filtro.
Os filtros de URL podem corresponder a nomes de anfitriões sem pontos?
Não. Tem de listar cada nome de anfitrião, por exemplo https://payroll, https://stock, https://whoe assim sucessivamente.
Se estava a pensar no futuro o suficiente para estruturar a intranet de modo a que os nomes dos anfitriões sejam da seguinte forma, implementou uma melhor prática.
https://payroll.contoso-intranet.comhttps://timecard.contoso-intranet.comhttps://sharepoint.contoso-intranet.com
No cenário anterior, pode configurar cada política com uma entrada *.contoso-intranet.com e toda a intranet será ativada.