Конфигурация каждого сайт в соответствии с политикой
В этой статье описываются конфигурации для каждого сайта по политике и то, как браузер обрабатывает загрузку страницы с сайта.
Браузер в качестве принимающего решения
При каждой загрузке страницы браузеры делают много решений. Некоторые( но не все) из этих решений включают в себя: доступен ли конкретный API, должна ли быть разрешена загрузка ресурсов и разрешено ли выполнение скрипта.
В большинстве случаев решения браузера определяются следующими входными данными:
- Параметр пользователя
- URL-адрес страницы, для которой принимается решение.
В интернет-Обозреватель веб-платформе каждое из этих решений называлось URLAction. Дополнительные сведения см. в разделе Флаги действий URL-адресов. Параметры URLAction, Enterprise групповая политика и пользователей в Интернете панель управления управляют тем, как браузер будет обрабатывать каждое решение.
В Microsoft Edge большинство разрешений для каждого сайта управляются с помощью командлетов и политик, выраженных с помощью простого синтаксиса с ограниченной поддержкой wild-карта. Безопасность Windows зоны по-прежнему используются для некоторых решений по настройке.
Зоны Безопасность Windows
Чтобы упростить настройку для пользователя или администратора, устаревшая платформа классифицировала сайты в одну из пяти различных зон безопасности. К этим зонам безопасности относятся: локальный компьютер, локальная интрасеть, доверенные сайты, Интернет и сайты с ограниченным доступом.
При принятии решения о загрузке страницы браузер сопоставляет веб-сайт с зоной, а затем обращается к параметру URLAction для этой зоны, чтобы решить, что делать. Разумные значения по умолчанию, такие как "Автоматическое удовлетворение запросов проверки подлинности из интрасети", означают, что большинству пользователей никогда не нужно изменять параметры по умолчанию.
Пользователи могут использовать панель управления Интернетом для назначения определенных сайтов зонам и настройки результатов разрешений для каждой зоны. В управляемых средах администраторы могут использовать групповая политика для назначения определенных сайтов зонам (с помощью политики "Список назначений между зонами") и указывать параметры для URLActions на основе каждой зоны. Помимо ручного административного или пользовательского назначения сайтов зонам, другие эвристики могут назначать сайты зоне локальной интрасети. В частности, в зоне интрасети были назначены имена узлов без точек (например, http://payroll). Если использовался скрипт конфигурации прокси-сервера, все сайты, настроенные для обхода прокси-сервера, будут сопоставлены с зоной интрасети.
EdgeHTML, используемый в элементах управления WebView1 и устаревшая версия Microsoft Edge, унаследовал архитектуру зон от своего предшественника Internet Обозреватель с несколькими упрощенными изменениями:
- Пять встроенных зон Windows были свернуты до трех: Интернет (Интернет), Доверенный (Интрасетя+Доверенный) и Локальный компьютер. Зона ограниченных сайтов удалена.
- Сопоставления зоны с URLAction жестко зашифровывались в браузере, игнорируя групповые политики и параметры на панели управления Интернетом.
Разрешения на сайт в Microsoft Edge
Microsoft Edge ограничивает использование зон Безопасность Windows. Вместо этого большинство разрешений и функций, которые предлагают администраторам конфигурацию для каждого сайта с помощью политики , зависят от списков правил в формате фильтра URL-адресов.
Когда конечные пользователи открывают страницу параметров, например edge://settings/content/siteDetails?site=https://example.com, они находят длинный список параметров конфигурации и списки для различных разрешений. Пользователи редко используют страницу Параметры напрямую, вместо этого они делают выбор во время просмотра и использования различных мини-приложений и переключателей в раскрывающемся списке сведений о странице . Этот список отображается при выборе значка блокировки в адресной строке. Вы также можете использовать различные запросы или кнопки на правом крае адресной строки. На следующем снимку экрана показан пример сведений о странице.
Предприятия могут использовать групповая политика для настройки списков сайтов для отдельных политик, которые управляют поведением браузера. Чтобы найти эти политики, откройте документацию по Microsoft Edge групповая политика и найдите "ForUrls", чтобы найти политики, которые разрешают и блокируют поведение на основе URL-адреса загруженного сайта. Большинство соответствующих параметров перечислены в разделе групповая политика для параметров содержимого.
Существует также много политик (имена которых содержат значение "Default"), которые управляют поведением по умолчанию для заданного параметра.
Многие параметры неясны (WebSerial, WebMIDI), и часто нет причин изменять параметр по умолчанию.
Зоны безопасности в Microsoft Edge
Хотя Microsoft Edge в основном использует отдельные политики, использующие формат фильтра URL-адресов, он по-прежнему использует зоны безопасности Windows по умолчанию в нескольких случаях. Такой подход упрощает развертывание на предприятиях, которые исторически использовали конфигурацию зон.
Политика зоны управляет следующим поведением:
- Решение о том, следует ли автоматически выпускать учетные данные встроенной проверки подлинности Windows (Kerberos или NTLM).
- Решение о том, как обрабатывать скачивание файлов.
- Для режима Обозреватель Интернета.
Выпуск учетных данных
По умолчанию Microsoft Edge URLACTION_CREDENTIALS_USE решает, используется ли встроенная проверка подлинности Windows автоматически или пользователь увидит запрос на проверку подлинности вручную. Настройка политики списка сайтов AuthServerAllowlist предотвращает обращение к политике зоны.
Загружаемые файлы
Для файлов, скачанных из зоны Интернета, записываются сведения о происхождении скачивания файла (также известного как "Метка Интернета"). Другие приложения, такие как оболочка Windows и Microsoft Office, могут учитывать это свидетельство о происхождении при выборе способа обработки файла.
Если политика зоны Безопасность Windows отключена для запуска приложений и скачивания небезопасных файлов, диспетчер загрузки Microsoft Edge блокирует скачивание файлов с сайтов в этой зоне. Пользователь увидит следующее примечание: "Не удалось скачать — заблокировано".
Режим IE
Режим IE можно настроить для открытия всех сайтов интрасети в режиме IE. При использовании этой конфигурации Microsoft Edge оценивает зону URL-адреса при выборе того, следует ли открывать его в режиме IE. Помимо этого первоначального решения, вкладки режима IE действительно работают Обозреватель Интернета, и в результате они оценивают параметры зон для каждого решения политики так же, как интернет-Обозреватель.
Сводка
В большинстве случаев параметры Microsoft Edge можно оставить по умолчанию. Администраторы, которые хотят изменить по умолчанию для всех сайтов или определенных сайтов, могут использовать соответствующие групповые политики для указания списков сайтов или поведения по умолчанию. В некоторых случаях, таких как выпуск учетных данных, скачивание файлов и режим IE, администраторы будут продолжать управлять поведением, настроив параметры Безопасность Windows зон.
Вопросы и ответы
Может ли формат фильтра URL-адресов соответствовать IP-адресу сайта?
Нет, формат не поддерживает указание диапазона IP-адресов для списков разрешений и списков блокировок. Он поддерживает спецификацию отдельных IP-литералы, но такие правила соблюдаются только в том случае, если пользователь переходит на сайт с помощью указанного литерала (например, http://127.0.0.1/). Если используется имя узла (http://localhost), правило IP-литерала не будет соблюдаться, даже если разрешенный IP-адрес узла совпадает с IP-адресом из списка фильтров.
Могут ли фильтры URL-адресов соответствовать именам узлов без точек?
Нет. Необходимо вывести список всех имен узлов, например https://payroll, https://stock, https://whoи т. д.
Если вы достаточно продумали, чтобы структурировать интрасети так, чтобы имена узлов были в следующей форме, то вы реализовали рекомендации.
https://payroll.contoso-intranet.comhttps://timecard.contoso-intranet.comhttps://sharepoint.contoso-intranet.com
В предыдущем сценарии можно настроить каждую политику с помощью записи *.contoso-intranet.com , и вся интрасеть будет включена.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по