Planejar configurações de controle de recursos do Internet Explorer no sistema 2007 Office
Atualizado: fevereiro de 2009
Aplica-se a: Office Resource Kit
Tópico modificado em: 2015-03-09
As configurações de controle de recurso do Internet Explorer lhe permitem atenuar as ameaças que podem ocorrer quando um aplicativo usa programaticamente a funcionalidade do Internet Explorer. É importante atenuar as ameaças do Internet Explorer porque elas também existem para qualquer aplicativo que hospede o Internet Explorer.
Você pode definir 15 configurações de controle de recurso do Internet Explorer no 2007 Office system. Para obter mais informações sobre as configurações de controle de recurso do Internet Explorer, consulte Diretivas de segurança e configurações no 2007 Office system. Cada configuração restringe um tipo específico de comportamento ou funcionalidade do Internet Explorer. Para habilitar a funcionalidade ou o comportamento restritivo de uma determinada configuração, aceite os aplicativos. Quando o aplicativo é aceito em uma determinada configuração de controle de recurso do Internet Explorer, os comportamentos mais restritivos especificados pela configuração são impostos sempre que o aplicativo hospeda o Internet Explorer. Ao contrário, quando um aplicativo é recusado de uma determinada configuração, os comportamentos mais restritivos especificados pela configuração não são impostos sempre que o aplicativo hospeda o Internet Explorer.
Para criar configurações de controle de recurso do Internet Explorer, você deve:
Identificar os aplicativos que hospedam o Internet Explorer.
Determinar quais configurações de controle de recurso do Internet Explorer devem ser implementados.
Identificar conflitos potenciais com as versões anteriores do Office System.
Identificar os aplicativos que hospedam o Internet Explorer.
Um aplicativo hospeda o Internet Explorer quando qualquer tipo de conteúdo ativo — como controles ActiveX, suplementos ou macros do Visual Basic for Applications (VBA) — usa programaticamente a funcionalidade do Internet Explorer. Um exemplo comum ocorre quando um usuário abre um documento do Microsoft Office Word 2007 que contém um controle ActiveX, e o controle ActiveX aciona programaticamente o Internet Explorer para renderizar HTML. Nesse caso, o Office Word 2007 está hospedando o Internet Explorer.
Por padrão, o Office Groove 2007, o Office Outlook 2007 e o Office SharePoint Designer 2007 são aceitos em todas as 15 configurações de controle de recurso do Internet Explorer. O Microsoft Office InfoPath 2007 também é aceito para essas configurações de controle de recurso do Internet Explorer, bem como três componentes do Office InfoPath 2007: Painel de Informações do Documento, formulários de Fluxo de Trabalho e hospedagem de terceiros. Esses aplicativos são aceitos porque hospedam o Internet Explorer ou porque há uma alta probabilidade de que eles hospedem o Internet Explorer.
Use as diretrizes a seguir para ajudar a identificar outros aplicativos que hospedam o Internet Explorer ou que poderiam hospedá-lo.
Aplicativos que permitem que os usuários executem controles ActiveX não confiáveis, suplementos ou macros podem hospedar o Internet Explorer.
Aplicativos que permitem que os usuários executem controles ActiveX, suplementos ou macros que renderizam HTML ou fornecem funcionalidade de navegador geralmente hospedam o Internet Explorer.
Aplicativos configurados para renderizar HTML ou fornecer funcionalidade de navegador geralmente hospedam o Internet Explorer.
Aplicativos que fornecem acesso de usuários a projetos VBA ou permitem que os usuários criem macros do VBA podem hospedar o Internet Explorer.
Aplicativos que permitem que os usuários acessem documentos e dados externos podem hospedar o Internet Explorer.
É recomendável aceitar qualquer aplicativo que hospede o Internet Explorer ou que possa hospedá-lo. Não se esqueça de registrar o nome do aplicativo e o nome do arquivo executável correspondente nos documentos de planejamento de segurança. Será necessário saber o nome do arquivo executável para definir as configurações de controle de recurso do Internet Explorer usando a Ferramenta de Personalização do Office (OCT) ou a Diretiva de Grupo.
A tabela a seguir lista os nomes de arquivo executáveis para aplicativos que você possa aceitar para as configurações de controle de recurso do Internet Explorer para o 2007 Office system.
Aplicativo | Nome de arquivo executável |
---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007 (Aceito por padrão) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007 (Aceito por padrão) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007 |
Visio.exe |
Office SharePoint Designer 2007 (Aceito por padrão) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Visualizador do Microsoft Office PowerPoint |
Pptview.exe |
Microsoft Script Editor |
Mse7.exe |
Determinar quais configurações de controle de recurso do Internet Explorer devem ser implementadas
Os aplicativos podem ser aceitos para qualquer uma das 15 configurações de controle de recurso do Internet Explorer, o que restringe uma ampla gama de funções do Internet Explorer. Na maioria dos casos, se um aplicativo hospedar o Internet Explorer ou puder hospedá-lo, ele deverá ser aceito para todas as 15 configurações de controle de recurso do Internet Explore. A aceitação de um aplicativo para todas as 15 configurações ajuda a assegurar que o modelo de segurança mais restritivo do Internet Explorer seja implementado sempre que o aplicativo hospedar o Internet Explorer.
Embora seja recomendável aceitar os aplicativos para todas as 15 configurações de controle de recurso do Internet Explorer, haverá casos em que talvez você queira recusar configurações específicas. Você poderá ter que recusar uma configuração se:
As restrições de uma determinada configuração impedem que um aplicativo tenha o comportamento esperado. Por exemplo, se vocêsouber que um aplicativo usa o Internet Explorer para baixar arquivos sem intervenção do usuário, talvez seja necessário recusar a configuração Restringir Download de Arquivo.
As restrições de uma determinada configuração não são necessárias porque a ameaça específica que a configuração atenua representa pouco ou nenhum risco para a organização. Por exemplo, se os usuários não puderem acessar redes públicas, como a Internet, talvez não seja necessário aceitar a configuração Bloquear pop-ups.
As restrições de uma determinada configuração causam uma queda no desempenho. Por exemplo, a configuração Salvo da URL pode causar uma queda no desempenho. Se a perda no desempenho for grande, talvez seja necessário recusar a configuração.
Não se esqueça de registrar nos documentos de planejamento de segurança os aplicativos que você deseja aceitar para todas as 15 configurações de controle de recurso do Internet Explorer. Além disso, registre as configurações de controle de recurso do Internet Explorer que você precisa recusar.
Observação: |
---|
O Office InfoPath 2007 é um caso especial e não pode ser aceito ou recusado de configurações de controle de recurso individuais do Internet Explorer. Somente é possível configurar quais componentes do Office InfoPath 2007 são aceitos ou recusados de todo o grupo de configurações de controle de recurso Internet Explorer. Não se esqueça de registrar nos documentos de planejamento de segurança os componentes do Office InfoPath 2007 que você deseja recusar. É recomendável deixar as configurações padrão, já que elas não são aceitas em todos os componentes do Office InfoPath 2007. Para obter mais informações sobre as configurações do Office InfoPath 2007, consulte Diretivas de segurança e configurações no 2007 Office system. |
Identificar conflitos com as versões anteriores do Office
Embora seja recomendável aceitar qualquer publicação que hospede o Internet Explorer ou que possa hospedá-lo, há algumas instâncias em que a aceitação de um aplicativo pode causar comportamento inesperado nas versões anteriores do Office System. Esse comportamento inesperado ocorre devido ao modo como as configurações de recurso de controle do Internet Explorer são armazenadas o Registro, e somente pode ocorrer em instalações lado a lado do 2007 Office system e de versões anteriores do Office.
Quando um aplicativo é aceito ou recusado de uma configuração de controle de recurso do Internet Explorer, o nome do arquvo executável do aplicativo é armazenado no Registro e recebe um valor de 1 (aceito) ou 0 (recusado). Por exemplo, se você aceitar o Office Word 2007 para a configuração de controle de recurso do Internet Explorer Restringir a Instalação de ActiveX, uma entrada de chave de Registro denominada Winword.exe é adicionada sob a chave de Registro FEATURE_RESTRICT_ACTIVEXINSTALL, e a entrada Winword.exe é definida com um valor de 1.
Sempre que o Internet Explorer é acionado programaticamente, ele determina se o aplicativo Internet Explorer é hospedado em qualquer processo, DLL ou arquvo executável. O Internet Explorer também verifica o Registro para saber quais processos, DLLs ou arquivos executáveis são aceitos ou recusados de cada configuração de controle de recurso do Internet Explorer. Se o Internet Explorer for hospedado por um processo, DLL ou arquivo executável e as configurações do Registro indicarem que o processo, DLL ou arquivo executável foi aceito para uma configuração de controle de recurso do Internet Explorer, o Internet Explorer habilitará o comportamento mais restritivo da configuração de controle de recurso do Internet Explorer. Por exemplo, se o Internet Explorer for hospedado por Winword.exe, e a entrada Winword.exe na chave de Registro FEATURE_RESTRICT_ACTIVEXINSTALL tiver um valor de 1, o Internet Explorer adotará o comportamento mais restritivo especificado pela configuração de controle de recurso Restringir Instalação de ActiveX.
No entanto, Winword.exe é o nome de arquivo executável do Office Word 2007 e do Microsoft Office Word 2003. Assim, se houver instalações lado a lado do Office Word 2007 e do Office Word 2003, e você aceitar o Office Word 2007 para as configurações de controle de recurso do Internet Explorer, o Internet Explorer não poderá determinar as configurações de controle de recurso do Internet Explorer devem ser aplicadas ao Office Word 2007 ou ao Office Word 2003. Esse problema ocorre com aplicativos que usavam o mesmo nome de arquivo executável para versões sucessivas do Office System. A tabela a seguir lista os nomes de arquivos executáveis iguais no 2007 Office system e nas versões anteriores do Office System.
Nome de arquivo executável | Aplicativos |
---|---|
Excel.exe |
Office Excel 2007, Office Excel 2003 |
Msaccess.exe |
Office Access 2007, Office Access 2003 |
Mspub.exe |
Office Publisher 2007, Publisher 2003 |
Outlook.exe |
Office Outlook 2007, Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007, Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007, Office Visio 2003 |
Winproj.exe |
Office Project 2007, Office Project 2003 |
Winword.exe |
Office Word 2007, Office Word 2003 |
Para identificar problemas potenciais com instalações lado a lado, é recomendável testar cada configuração de controle de recurso do Internet Explorer com as versões anteriores de aplicativos que aparecem na tabela anterior. As configurações de controle de recurso do Internet Explorer somente têm suporte no 2007 Office system. Essas configurações não têm suporte nas versões anteriores do Office e podem fazer com que os aplicativos nas versões anteriores do Office tenham um comportamento imprevisível.
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na seção de conteúdo baixável do Office Resource Kit 2007.