Настройка расширенных возможностей IE с помощью групповой политики

Нет никаких сомнений, особенно после паники по поводу IE в прошлом месяце, в том, что каждый компьютер, на котором работает Internet Explorer, требуется запереть и обезопасить. При всех нововведениях от Microsoft, касающихся IE, например, UAC, режим Protected Mode, уровни целостности и т.д., по-видимому, все еще существует возможность некорректной настройки IE. И дело не только в некорректных конфигурациях: после моей последней поездки с лекциями об информационной безопасности Windows по Соединенным Штатам мне стало ясно, что есть некоторое непонимание настроек Advanced Security в IE. В этой статье расскажу о том, что значат эти настройки, и предоставлю какое-никакое руководство на тему, как лучше всего с ними работать.

Где находятся настройки Advanced Security

Может возникнуть вопрос, о каких таких настройках в IE я говорю, так что давайте разъясним этот момент. Настройки безопасности, о которых я буду рассказывать, находятся в меню Tools - Internet Options в IE. Когда откроется диалоговое окно Internet Options, щелкните на вкладку Advanced. В ней прокрутите вниз до тех пор, пока не увидите раздел Security, что показано на Рисунке 1.

Именно об этом наборе настроек я буду говорить в этой статье.

Настройки Advanced Security IE в GPO

Такие настройки Advanced Security для IE предлагаются нескольким версиям IE при использовании групповой политики. В списке поддерживаемых версий IE – 5-я, 6-я, 7-я и 8-я.

Чтобы получить доступ к этим настройкам IE с помощью GPO, вам нужно получить Group Policy Preferences (GPP). Чтобы увидеть GPP, вы должны работать с Windows Server 2008, Vista SP1, 7 или Windows Server 2008 R2. Более подробную информацию о получении GPP можно найти в этой статье на WindowSecurity.com.

Конкретные настройки безопасности

Allow active content from CDs to run on my computer(Разрешать запуск активного содержимого компакт-дисков на моем компьютере)

Активное содержимое включает элементы управления ActiveX и дополнения веб-браузеров, используемые многими Интернет-сайтами. Эти программы обычно блокируются, потому что они могу нанести ущерб вашему компьютеру, кроме того, хакеры могут воспользоваться ими для запуска программ без вашего ведома.

По умолчанию: отключена

Рекомендуется: отключить

Allow active content to run in files on my computer(Разрешить запуск активного содержимого файлов на моем компьютере)

Аналогично предыдущей настройке, только с файлами вместо CD.

По умолчанию: отключена

Рекомендуется: отключить

Allow software to run or install even if the signature is invalid(Разрешать выполнение или установку программы, имеющую недопустимую подпись)

С конкретными приложениями могут быть связаны подписи, указывающие на производителя. Это помогает проверять 'правильность' приложения и узнать, не является ли оно поддельным.

По умолчанию: отключена

Рекомендуется: отключить

Check for publisher's certificate revocation(Проверять аннулирование сертификатов издателей)

Нередко приходится отзывать сертификат из-за скомпрометированного частного ключа или завершения срока действия сертификата. Такая настройка будет проверять, не отозван ли сертификат, перед тем, как разрешить его использование.

По умолчанию: включена

Рекомендуется: включить

Check for server certificate revocation(Проверить, не отозван ли сертификат сервера)

По умолчанию: включена

Рекомендуется: включить

Check for signatures on downloaded programs(Проверка подписи для загруженных программ)

Нередко приходится отзывать сертификат из-за скомпрометированного частного ключа или завершения срока действия сертификата. Такая настройка будет проверять, не отозван ли сертификат, перед тем, как разрешить его использование.

По умолчанию: включена

Рекомендуется: включить

Do not save encrypted pages to disk(Не сохранять зашифрованные страницы на диск)

Если данные соединения с веб-сайтом через HTTPS хранятся на вашем диске, это может подвергнуть ваши данные опасности со стороны потенциального злоумышленника через сохраненные данные в папке Temporary Internet. Безусловно, хранить эти данные на диске для будущего доступа к веб-сайту – означает работать быстрее и эффективнее. Но отказ от хранения этих зашифрованных данных безопаснее.

По умолчанию: отключена

Рекомендуется: отключить

Empty temporary files folder when browser is closed(Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя)

В папке временных файлов Интернета IE хранит много данных с каждого посещенного вами сайта. Эта информация кэшируется на вашем диске для ускорения доступа к этому сайту, когда вы в следующий раз к нему обратитесь. Однако черви, вирусы и другие вредоносные программы могут также попасть в эту папку вместе с безвредными данными. Поэтому регулярная очистка этих файлов увеличивает вашу безопасность.

По умолчанию: отключена

Рекомендуется: включить

Enable DOM storage(Включить хранилище DOM)

Хранилище DOM (Document Object Model – Объектная модель документа) создано как более вместительная, более надежная и простая альтернатива хранению информации в cookies. DOM используется для программ вроде JavaScript, чтобы обеспечить работу динамических веб-сайтов и доставлять настроенные веб-страницы пользователям. Такое поведение не стоит разрешать, кроме случая, когда хранилище DOM необходимо для деловых задач в Интернете.

По умолчанию: включена

Рекомендуется: отключить

Enable integrated windows authentication(Включить интегрированную аутентификацию windows)

Заставляет IE использовать Kerberos или NTLM для целей аутентификации вместо использования анонимной аутентификации, базовой аутентификации или Digest-аутентификации.

По умолчанию: включена

Рекомендуется: включить

Enable memory protection to help mitigate online attacks(Включить защиту памяти для снижения риска атаки из Интернета)

Эта настройка контролирует, будет ли IE использовать DEP (Data Execution Protection – предотвращение выполнения данных), что помогает защитить ваш компьютер от неадекватных приложений, могущих нанести ущерб вашему компьютеру.

По умолчанию: отключена

Рекомендуется: включить

Enable native xmlhttp support(Включить внутреннюю поддержку xmlhttp)

Используется многими компаниями в качестве стандарта сегодня для обеспечения динамического контроля над данными через многие веб-сайты.

По умолчанию: включена

Рекомендуется: включить

Phishing Filter(Фильтр фишинга)

Фильтр фишинга предотвращает возможность попадать на сайты и загружать данные с сайтов, про которые известно, что на них есть вредоносное содержимое. Также он помогает вам избежать рекламного фишинга социальной инженерии. Фильтр проверяет каждый веб-сайт на наличие его в списке известных фишинговых сайтов, проверяет загружаемые программы в списке известного вредоносного ПО, а также помогает предотвратить посещение вами сайтов, которые могут заниматься кражей личной информации.

По умолчанию: автоматическая проверка веб-сайтов отключена

Рекомендуется: включить автоматическую проверку веб-сайтов

Use ssl 2.0(Использовать ssl 2.0)

Когда вы подключаетесь к коммерческому веб-сайту, например, к сайту банка или распространителя билетов, Internet Explorer использует защищенное соединение, которое использует технологию Secure Sockets Layer (SSL) для шифрования транзакции. Это шифрование основывается на сертификате, которые выдается Internet Explorer вместе с информацией, необходимой ему для безопасного взаимодействия с веб-сайтом. Сертификаты также идентифицируют веб-сайт и его владельца.

По умолчанию: отключена

Рекомендуется: отключить

Use ssl 3.0(Использовать ssl 3.0)

Аналогично использованию SSL 2.0, только эта версия более новая

По умолчанию: включена

Рекомендуется: включить

Use tls 1.0(Использовать tls 1.0)

TLS (Transport Layer Security) 1.0 используется при посещении SSL-веб-сайтов для защиты и шифрования данных соединения.

По умолчанию: включена

Рекомендуется: включить

Use tls 1.1(Использовать tls 1.1)

TLS (Transport Layer Security) 1.1 используется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте только в том случае, если уверены, что веб-сайт поддерживает эту версию TLS.

По умолчанию: отключена

Рекомендуется: отключить

Use tls 1.2(Использовать tls 1.2)

TLS (Transport Layer Security) 1.2 используется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте только в том случае, если уверены, что веб-сайт поддерживает эту версию TLS.

По умолчанию: отключена

Рекомендуется: отключить

Warn about certificate address mismatch(Предупреждать о несоответствии адреса сертификата)

При включении появляются предупреждения, когда сертификат веб-сайта не соответствует веб-сайту, который его использует.

По умолчанию: включена

Рекомендуется: включить

Warn if changing between secure and not secure mode(Предупреждать о переключении режима безопасности)

Если на веб-сайте есть и HTTP-, и HTTPS-ссылки, или если вас отправляют с HTTPS-сайта на незащищенный, HTTP-, сайт, вы будете предупреждены.

По умолчанию: отключена

Рекомендуется: включить

Warn if POST submittal is redirected to a zone that does not permit posts(Предупреждать, если публикация перенаправляется в зону, для которой не разрешена публикация)

Предупреждает вас, если вы работаете над формой в Интернете, которая перенаправляет вас по адресу, который отличается от того, где располагается форма. Это поможет предотвратить перенаправления вашей информации или вашего обозревателя на небезопасные сайты.

По умолчанию: включена

Рекомендуется: включить

Заключение

Настройки Advanced Security для IE очень подробны и могут помочь защитить ПК и всю сеть от атак и уязвимостей. Грамотное их использование приводит к солидной разнице между защищенным компьютером и незащищенным. Возможность работы с групповой политикой для установки этих настроек для версий IE 5, 6, 7 и 8 делает данное решение эффектным и эффективным.