Настройка безопасности в Internet Explorer

В WS2K3 включен новый инструмент, называемый Internet Explorer Enhanced Security Configuration. После его установки, он меняет настройки безопасности в Internet Explorer, уменьшая подверженность потенциально вредному коду, который может быть найден в Web и прикладных скриптах.

Internet Explorer Enhanced Security Configuration по умолчанию устанавливается для всех групп пользователей WS2K3, если вы не добавили роль терминального сервера - конфигурация Internet Explorer Enhanced Security Configuration на терминальном сервере зависит от метода установки операционной системы:

Тип установки	Enhanced Security Configuration
	Administrators	Power Users	Limited Users	Restricted Users
Обновление ОС	Yes	Yes	No	No
Тихая инсталляция ОС	Yes	Yes	No	No
Ручная инсталляция Terminal Services	Yes	Yes	Prompt	Prompt

При ручной установке роли Terminal Services, мастер Configure Your Server Wizard предлагает запретить Internet Explorer Enhanced Security Configuration для групп Limited Users и Restricted Users. Это улучшает браузинг в интернет для этих пользователей и защита полагается на разрешения файловой системы, а ОС предотвращает таким пользователям выполнять или инсталлировать вредный код.

Независимо от разрешения или запрещения Internet Explorer Enhanced Security Configuration, группам Limited Users и Restricted Users запрещается инсталлировать на терминальный сервер элементы ActiveX. Администратор должен вручную инсталлировать необходимые компоненты на сервере.

Чтобы вручную разрешить или запретить Internet Explorer Enhanced Security Configuration, используйте Add/Remove Programs в панели управления:

Если вы хотите разрешить Internet Explorer Enhanced Security Configuration для всех пользователей, отметьте соответствующую опцию. Чтобы указать группы, к которым будет применяться Internet Explorer Enhanced Security Configuration, щелкните Details. В появившемся окне вы можете применить расширенную безопасность к администраторам и прочим группам. На терминальном сервере лучше всего разрешить для администраторов и запретить для остальных групп.

Изменения, вносимые Internet Explorer Enhanced Security Configuration

Internet Explorer Enhanced Security Configuration меняет настройки зоны для IE, повышая безопасность:

Зона	Уровень по умолчанию	Уровень, устанавливаемый Internet Explorer Enhanced Security Configuration
Internet Zone	Medium	High
Local Intranet Zone	Medium Low	Medium Low
Trusted Sites Zone	Low	Medium
Restricted Sites Zone	High	High

Помимо изменения уровня безопасности зон, Internet Explorer Enhanced Security Configuration меняет зону для всех веб-сайтов интранет. По умолчанию все сайты интранет (определяемые вашим суффиксом DNS), находятся в локальной зоне интранет (Local Intranet Zone). При включенном Internet Explorer Enhanced Security Configuration, сайты интранет помещаются в зону Интернет (Internet Zone) и обрабатываются с уровнем безопасности High, если вы вручную не добавили их в зону Local Intranet Zone. Единственные сайты в локальной зоне Local Intranet Zone при использовании Internet Explorer Enhanced Security Configuration - это локальные сайты (http://localhost, https://localhost, hcp://system). Локальные сайты должны находиться в локальной зоне интранет для правильной работы различных утилит. Internet Explorer Enhanced Security Configuration также меняет расширенные свойства:

Свойство	Параметр	Новое значение	Результат
Browsing	Вывод диалога конфигурации расширенной безопасности	On	Выводит окно с предупреждением, что сайт интернет пытается использовать скрипт или ActiveX.
Browsing	Enable Browser Extensions	Off	Запрет всех особенностей, которые вы инсталлировали для использования с IE и которые созданы компаниями, отличными от Microsoft.
Browsing	Enable Install On Demand (Internet Explorer)	Off	Запрет установки компонентов IE, если это запрашивается веб-страницей.
Browsing	Enable Install On Demand (Other)	Off	Запрет установки компонентов, если это запрашивается веб-страницей.
Microsoft VM	JIT compiler for virtual machine enabled (requires restart)	Off	Запрет компилятора Microsoft VM.
Multimedia	Don`t display online content in the media bar	On	Запрет воспроизведения содержимого в полосе IE.
Multimedia	Play sounds in Web pages	Off	Запрет музыки и прочих звуков
Multimedia	Play animations in Web pages	Off	Запрет анимации
Multimedia	Play videos in Web pages	Off	Запрет видеоклипов
Security	Check for server certificate revocation (requires restart)	On	Автоматически проверяет - не аннулирован ли сертификат веб-сайта перед тем, как принять сертификат.
Security	Check for signatures on downloaded programs	On	Автоматически проверяет и отображает идентичность загружаемых программ.
Security	Do not save encrypted pages to disk	On	Запрет сохранения защищенной информации в папке Temporary Internet Files.
Security	Empty Temporary Internet Files folder when browser is closed	On	Автоматическая очистка папки Temporary Internet Files при закрытии браузера.

Браузинг может быть чрезмерно ограничен, если вы примените Internet Explorer Enhanced Security Configuration. Если вы используете инструменты на основе Web, или Web-станицы с активным содержимым для системного администрирования, вам следует добавить эти сайты либо в зону Local Intranet Zone, либо в зону Trusted Sites Zone. Для облегчения изменения зон, Microsoft добавила в IE в меню File элемент Add this site to… (если разрешен Internet Explorer Enhanced Security Configuration). Тогда если вам попадется веб-страница с активным содержимым, то появится окно с предупреждением и кнопкой, позволяющей добавить сайт в список доверенных сайтов.

Управление разрешенными элементами ActiveX

Независимо от Internet Explorer Enhanced Security Configuration, группам Limited Users и Restricted Users запрещена установка любых элементов ActiveX и другого активного кода на терминальном сервере - члены этих групп просто не имеют прав записи в каталоги, где хранятся активные элементы.

Однако, иногда необходимо разрешить пользователям доступ к веб-страницам, использующих активный код. Вам, как администратору, необходимо управлять такими элементами. Вы можете делать это разными способами. Для ручной инсталляции элементов для пользователей:

1. Зарегистрируйтесь на терминальном сервере под администратором и откройте в IE веб-страницу с активным содержимым.
   
   
2. Если разрешен Internet Explorer Enhanced Security Configuration, вы получите предупреждение. Щелкните Add… для добавления сайта в список доверенных сайтов, либо выберите из меню File пункт Add this site to… для добавления сайта в локальную зону интранет
   
   
3. Появится еще одно окно, предлагающее установить активный элемент; выберите опцию Always trust… и щелкните OK.
   
   
4. Элемент теперь установлен для пользователей терминального сервера.

При администрировании большого числа терминальных серверов вам вряд ли захочется инсталлировать элементы на каждом сервере. Для автоматизации этого процесса вы можете либо включить элементы в основной образ (если используете клонирование и Sysprep), или можете перехватить файлы и упаковать их в пакеты MSI, а затем использовать групповые политики для инсталляции их на терминальных серверах.

Internet Explorer Enhanced Security Configuration применяется только к IE. Если вы используете другие браузеры интернет, вам необходимо применять другую модель безопасности.