Нет никаких сомнений, особенно после паники по поводу IE в прошлом месяце, в том, что каждый компьютер, на котором работает Internet Explorer, требуется запереть и обезопасить. При всех нововведениях от Microsoft, касающихся IE, например, UAC, режим Protected Mode, уровни целостности и т.д., по-видимому, все еще существует возможность некорректной настройки IE. И дело не только в некорректных конфигурациях: после моей последней поездки с лекциями об информационной безопасности Windows по Соединенным Штатам мне стало ясно, что есть некоторое непонимание настроек Advanced Security в IE. В этой статье расскажу о том, что значат эти настройки, и предоставлю какое-никакое руководство на тему, как лучше всего с ними работать.
Где находятся настройки Advanced Security
Может возникнуть вопрос, о каких таких настройках в IE я говорю, так что давайте разъясним этот момент. Настройки безопасности, о которых я буду рассказывать, находятся в меню Tools - Internet Options в IE. Когда откроется диалоговое окно Internet Options, щелкните на вкладку Advanced. В ней прокрутите вниз до тех пор, пока не увидите раздел Security, что показано на Рисунке 1.
Рисунок 1: Раздел настроек Advanced Security для Internet Explorer
Именно об этом наборе настроек я буду говорить в этой статье.
Настройки Advanced Security IE в GPO
Такие настройки Advanced Security для IE предлагаются нескольким версиям IE при использовании групповой политики. В списке поддерживаемых версий IE – 5-я, 6-я, 7-я и 8-я.
Чтобы получить доступ к этим настройкам IE с помощью GPO, вам нужно получить Group Policy Preferences (GPP). Чтобы увидеть GPP, вы должны работать с Windows Server 2008, Vista SP1, 7 или Windows Server 2008 R2. Более подробную информацию о получении GPP можно найти в этой статье на WindowSecurity.com.
Конкретные настройки безопасности
Allow active content from CDs to run on my computer(Разрешать запуск активного содержимого компакт-дисков на моем компьютере)
Активное содержимое включает элементы управления ActiveX и дополнения веб-браузеров, используемые многими Интернет-сайтами. Эти программы обычно блокируются, потому что они могу нанести ущерб вашему компьютеру, кроме того, хакеры могут воспользоваться ими для запуска программ без вашего ведома.
По умолчанию: отключена
Рекомендуется: отключить
Allow active content to run in files on my computer(Разрешить запуск активного содержимого файлов на моем компьютере)
Аналогично предыдущей настройке, только с файлами вместо CD.
По умолчанию: отключена
Рекомендуется: отключить
Allow software to run or install even if the signature is invalid(Разрешать выполнение или установку программы, имеющую недопустимую подпись)
С конкретными приложениями могут быть связаны подписи, указывающие на производителя. Это помогает проверять 'правильность' приложения и узнать, не является ли оно поддельным.
По умолчанию: отключена
Рекомендуется: отключить
Check for publisher's certificate revocation(Проверять аннулирование сертификатов издателей)
Нередко приходится отзывать сертификат из-за скомпрометированного частного ключа или завершения срока действия сертификата. Такая настройка будет проверять, не отозван ли сертификат, перед тем, как разрешить его использование.
По умолчанию: включена
Рекомендуется: включить
Check for server certificate revocation(Проверить, не отозван ли сертификат сервера)
По умолчанию: включена
Рекомендуется: включить
Check for signatures on downloaded programs(Проверка подписи для загруженных программ)
Нередко приходится отзывать сертификат из-за скомпрометированного частного ключа или завершения срока действия сертификата. Такая настройка будет проверять, не отозван ли сертификат, перед тем, как разрешить его использование.
По умолчанию: включена
Рекомендуется: включить
Do not save encrypted pages to disk(Не сохранять зашифрованные страницы на диск)
Если данные соединения с веб-сайтом через HTTPS хранятся на вашем диске, это может подвергнуть ваши данные опасности со стороны потенциального злоумышленника через сохраненные данные в папке Temporary Internet. Безусловно, хранить эти данные на диске для будущего доступа к веб-сайту – означает работать быстрее и эффективнее. Но отказ от хранения этих зашифрованных данных безопаснее.
По умолчанию: отключена
Рекомендуется: отключить
Empty temporary files folder when browser is closed(Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя)
В папке временных файлов Интернета IE хранит много данных с каждого посещенного вами сайта. Эта информация кэшируется на вашем диске для ускорения доступа к этому сайту, когда вы в следующий раз к нему обратитесь. Однако черви, вирусы и другие вредоносные программы могут также попасть в эту папку вместе с безвредными данными. Поэтому регулярная очистка этих файлов увеличивает вашу безопасность.
По умолчанию: отключена
Рекомендуется: включить
Enable DOM storage(Включить хранилище DOM)
Хранилище DOM (Document Object Model – Объектная модель документа) создано как более вместительная, более надежная и простая альтернатива хранению информации в cookies. DOM используется для программ вроде JavaScript, чтобы обеспечить работу динамических веб-сайтов и доставлять настроенные веб-страницы пользователям. Такое поведение не стоит разрешать, кроме случая, когда хранилище DOM необходимо для деловых задач в Интернете.
По умолчанию: включена
Рекомендуется: отключить
Enable integrated windows authentication(Включить интегрированную аутентификацию windows)
Заставляет IE использовать Kerberos или NTLM для целей аутентификации вместо использования анонимной аутентификации, базовой аутентификации или Digest-аутентификации.
По умолчанию: включена
Рекомендуется: включить
Enable memory protection to help mitigate online attacks(Включить защиту памяти для снижения риска атаки из Интернета)
Эта настройка контролирует, будет ли IE использовать DEP (Data Execution Protection – предотвращение выполнения данных), что помогает защитить ваш компьютер от неадекватных приложений, могущих нанести ущерб вашему компьютеру.
По умолчанию: отключена
Рекомендуется: включить
Enable native xmlhttp support(Включить внутреннюю поддержку xmlhttp)
Используется многими компаниями в качестве стандарта сегодня для обеспечения динамического контроля над данными через многие веб-сайты.
По умолчанию: включена
Рекомендуется: включить
Phishing Filter(Фильтр фишинга)
Фильтр фишинга предотвращает возможность попадать на сайты и загружать данные с сайтов, про которые известно, что на них есть вредоносное содержимое. Также он помогает вам избежать рекламного фишинга социальной инженерии. Фильтр проверяет каждый веб-сайт на наличие его в списке известных фишинговых сайтов, проверяет загружаемые программы в списке известного вредоносного ПО, а также помогает предотвратить посещение вами сайтов, которые могут заниматься кражей личной информации.
По умолчанию: автоматическая проверка веб-сайтов отключена
Рекомендуется: включить автоматическую проверку веб-сайтов
Use ssl 2.0(Использовать ssl 2.0)
Когда вы подключаетесь к коммерческому веб-сайту, например, к сайту банка или распространителя билетов, Internet Explorer использует защищенное соединение, которое использует технологию Secure Sockets Layer (SSL) для шифрования транзакции. Это шифрование основывается на сертификате, которые выдается Internet Explorer вместе с информацией, необходимой ему для безопасного взаимодействия с веб-сайтом. Сертификаты также идентифицируют веб-сайт и его владельца.
По умолчанию: отключена
Рекомендуется: отключить
Use ssl 3.0(Использовать ssl 3.0)
Аналогично использованию SSL 2.0, только эта версия более новая
По умолчанию: включена
Рекомендуется: включить
Use tls 1.0(Использовать tls 1.0)
TLS (Transport Layer Security) 1.0 используется при посещении SSL-веб-сайтов для защиты и шифрования данных соединения.
По умолчанию: включена
Рекомендуется: включить
Use tls 1.1(Использовать tls 1.1)
TLS (Transport Layer Security) 1.1 используется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте только в том случае, если уверены, что веб-сайт поддерживает эту версию TLS.
По умолчанию: отключена
Рекомендуется: отключить
Use tls 1.2(Использовать tls 1.2)
TLS (Transport Layer Security) 1.2 используется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте только в том случае, если уверены, что веб-сайт поддерживает эту версию TLS.
По умолчанию: отключена
Рекомендуется: отключить
Warn about certificate address mismatch(Предупреждать о несоответствии адреса сертификата)
При включении появляются предупреждения, когда сертификат веб-сайта не соответствует веб-сайту, который его использует.
По умолчанию: включена
Рекомендуется: включить
Warn if changing between secure and not secure mode(Предупреждать о переключении режима безопасности)
Если на веб-сайте есть и HTTP-, и HTTPS-ссылки, или если вас отправляют с HTTPS-сайта на незащищенный, HTTP-, сайт, вы будете предупреждены.
По умолчанию: отключена
Рекомендуется: включить
Warn if POST submittal is redirected to a zone that does not permit posts(Предупреждать, если публикация перенаправляется в зону, для которой не разрешена публикация)
Предупреждает вас, если вы работаете над формой в Интернете, которая перенаправляет вас по адресу, который отличается от того, где располагается форма. Это поможет предотвратить перенаправления вашей информации или вашего обозревателя на небезопасные сайты.
По умолчанию: включена
Рекомендуется: включить
Заключение
Настройки Advanced Security для IE очень подробны и могут помочь защитить ПК и всю сеть от атак и уязвимостей. Грамотное их использование приводит к солидной разнице между защищенным компьютером и незащищенным. Возможность работы с групповой политикой для установки этих настроек для версий IE 5, 6, 7 и 8 делает данное решение эффектным и эффективным.