Нет никаких сомнений, особенно после паники по поводу IE в прошлом месяце, в том, что каждый компьютер, на котором работает Internet Explorer, требуется запереть и обезопасить. При всех нововведениях от Microsoft, касающихся IE, например, UAC, режим Protected Mode, уровни целостности и т.д., по-видимому, все еще существует возможность некорректной настройки IE. И дело не только в некорректных конфигурациях: после моей последней поездки с лекциями об информационной безопасности Windows по Соединенным Штатам мне стало ясно, что есть некоторое непонимание настроек Advanced Security в IE. В этой статье расскажу о том, что значат эти настройки, и предоставлю какое-никакое руководство на тему, как лучше всего с ними работать.
Где находятся настройки Advanced Security
Может возникнуть вопрос, о каких таких настройках в IE я говорю, так что давайте разъясним этот момент. Настройки безопасности, о которых я буду рассказывать, находятся в меню Tools - Internet Options в IE. Когда откроется диалоговое окно Internet Options, щелкните на вкладку Advanced. В ней прокрутите вниз до тех пор, пока не увидите раздел Security, что показано на Рисунке 1.
Рисунок 1: Раздел настроек Advanced Security для Internet Explorer
Именно об этом наборе настроек я буду говорить в этой статье.
Настройки Advanced Security IE в GPO
Такие настройки Advanced Security для IE предлагаются нескольким версиям IE при использовании групповой политики. В списке поддерживаемых версий IE – 5-я, 6-я, 7-я и 8-я.
Чтобы получить доступ к этим настройкам IE с помощью GPO, вам нужно получить Group Policy Preferences (GPP). Чтобы увидеть GPP, вы должны работать с Windows Server 2008, Vista SP1, 7 или Windows Server 2008 R2. Более подробную информацию о получении GPP можно найти в этой статье на WindowSecurity.com.
Конкретные настройки безопасности
Allow active content from CDs to run on my computer(Разрешать запуск активного содержимого компакт-дисков на моем компьютере)Активное содержимое включает элементы управления ActiveX и дополнения веб-браузеров, используемые многими Интернет-сайтами. Эти программы обычно блокируются, потому что они могу нанести ущерб вашему компьютеру, кроме того, хакеры могут воспользоваться ими для запуска программ без вашего ведома.
По умолчанию: отключена
Рекомендуется: отключить
Allow active content to run in files on my computer(Разрешить запуск активного содержимого файлов на моем компьютере)Аналогично предыдущей настройке, только с файлами вместо CD.
По умолчанию: отключена
Рекомендуется: отключить
Allow software to run or install even if the signature is invalid(Разрешать выполнение или установку программы, имеющую недопустимую подпись)С конкретными приложениями могут быть связаны подписи, указывающие на производителя. Это помогает проверять 'правильность' приложения и узнать, не является ли оно поддельным.
По умолчанию: отключена
Рекомендуется: отключить
Check for publisher's certificate revocation(Проверять аннулирование сертификатов издателей)Нередко приходится отзывать сертификат из-за скомпрометированного частного ключа или завершения срока действия сертификата. Такая настройка будет проверять, не отозван ли сертификат, перед тем, как разрешить его использование.
По умолчанию: включена
Рекомендуется: включить
Check for server certificate revocation(Проверить, не отозван ли сертификат сервера)По умолчанию: включена
Рекомендуется: включить
Check for signatures on downloaded programs(Проверка подписи для загруженных программ)Нередко приходится отзывать сертификат из-за скомпрометированного частного ключа или завершения срока действия сертификата. Такая настройка будет проверять, не отозван ли сертификат, перед тем, как разрешить его использование.
По умолчанию: включена
Рекомендуется: включить
Do not save encrypted pages to disk(Не сохранять зашифрованные страницы на диск)Если данные соединения с веб-сайтом через HTTPS хранятся на вашем диске, это может подвергнуть ваши данные опасности со стороны потенциального злоумышленника через сохраненные данные в папке Temporary Internet. Безусловно, хранить эти данные на диске для будущего доступа к веб-сайту – означает работать быстрее и эффективнее. Но отказ от хранения этих зашифрованных данных безопаснее.
По умолчанию: отключена
Рекомендуется: отключить
Empty temporary files folder when browser is closed(Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя)В папке временных файлов Интернета IE хранит много данных с каждого посещенного вами сайта. Эта информация кэшируется на вашем диске для ускорения доступа к этому сайту, когда вы в следующий раз к нему обратитесь. Однако черви, вирусы и другие вредоносные программы могут также попасть в эту папку вместе с безвредными данными. Поэтому регулярная очистка этих файлов увеличивает вашу безопасность.
По умолчанию: отключена
Рекомендуется: включить
Enable DOM storage(Включить хранилище DOM)Хранилище DOM (Document Object Model – Объектная модель документа) создано как более вместительная, более надежная и простая альтернатива хранению информации в cookies. DOM используется для программ вроде JavaScript, чтобы обеспечить работу динамических веб-сайтов и доставлять настроенные веб-страницы пользователям. Такое поведение не стоит разрешать, кроме случая, когда хранилище DOM необходимо для деловых задач в Интернете.
По умолчанию: включена
Рекомендуется: отключить
Enable integrated windows authentication(Включить интегрированную аутентификацию windows)Заставляет IE использовать Kerberos или NTLM для целей аутентификации вместо использования анонимной аутентификации, базовой аутентификации или Digest-аутентификации.
По умолчанию: включена
Рекомендуется: включить
Enable memory protection to help mitigate online attacks(Включить защиту памяти для снижения риска атаки из Интернета)Эта настройка контролирует, будет ли IE использовать DEP (Data Execution Protection – предотвращение выполнения данных), что помогает защитить ваш компьютер от неадекватных приложений, могущих нанести ущерб вашему компьютеру.
По умолчанию: отключена
Рекомендуется: включить
Enable native xmlhttp support(Включить внутреннюю поддержку xmlhttp)Используется многими компаниями в качестве стандарта сегодня для обеспечения динамического контроля над данными через многие веб-сайты.
По умолчанию: включена
Рекомендуется: включить
Phishing Filter(Фильтр фишинга)Фильтр фишинга предотвращает возможность попадать на сайты и загружать данные с сайтов, про которые известно, что на них есть вредоносное содержимое. Также он помогает вам избежать рекламного фишинга социальной инженерии. Фильтр проверяет каждый веб-сайт на наличие его в списке известных фишинговых сайтов, проверяет загружаемые программы в списке известного вредоносного ПО, а также помогает предотвратить посещение вами сайтов, которые могут заниматься кражей личной информации.
По умолчанию: автоматическая проверка веб-сайтов отключена
Рекомендуется: включить автоматическую проверку веб-сайтов
Use ssl 2.0(Использовать ssl 2.0)Когда вы подключаетесь к коммерческому веб-сайту, например, к сайту банка или распространителя билетов, Internet Explorer использует защищенное соединение, которое использует технологию Secure Sockets Layer (SSL) для шифрования транзакции. Это шифрование основывается на сертификате, которые выдается Internet Explorer вместе с информацией, необходимой ему для безопасного взаимодействия с веб-сайтом. Сертификаты также идентифицируют веб-сайт и его владельца.
По умолчанию: отключена
Рекомендуется: отключить
Use ssl 3.0(Использовать ssl 3.0)Аналогично использованию SSL 2.0, только эта версия более новая
По умолчанию: включена
Рекомендуется: включить
Use tls 1.0(Использовать tls 1.0)TLS (Transport Layer Security) 1.0 используется при посещении SSL-веб-сайтов для защиты и шифрования данных соединения.
По умолчанию: включена
Рекомендуется: включить
Use tls 1.1(Использовать tls 1.1)TLS (Transport Layer Security) 1.1 используется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте только в том случае, если уверены, что веб-сайт поддерживает эту версию TLS.
По умолчанию: отключена
Рекомендуется: отключить
Use tls 1.2(Использовать tls 1.2)TLS (Transport Layer Security) 1.2 используется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте только в том случае, если уверены, что веб-сайт поддерживает эту версию TLS.
По умолчанию: отключена
Рекомендуется: отключить
Warn about certificate address mismatch(Предупреждать о несоответствии адреса сертификата)При включении появляются предупреждения, когда сертификат веб-сайта не соответствует веб-сайту, который его использует.
По умолчанию: включена
Рекомендуется: включить
Warn if changing between secure and not secure mode(Предупреждать о переключении режима безопасности)Если на веб-сайте есть и HTTP-, и HTTPS-ссылки, или если вас отправляют с HTTPS-сайта на незащищенный, HTTP-, сайт, вы будете предупреждены.
По умолчанию: отключена
Рекомендуется: включить
Warn if POST submittal is redirected to a zone that does not permit posts(Предупреждать, если публикация перенаправляется в зону, для которой не разрешена публикация)Предупреждает вас, если вы работаете над формой в Интернете, которая перенаправляет вас по адресу, который отличается от того, где располагается форма. Это поможет предотвратить перенаправления вашей информации или вашего обозревателя на небезопасные сайты.
По умолчанию: включена
Рекомендуется: включить
Заключение
Настройки Advanced Security для IE очень подробны и могут помочь защитить ПК и всю сеть от атак и уязвимостей. Грамотное их использование приводит к солидной разнице между защищенным компьютером и незащищенным. Возможность работы с групповой политикой для установки этих настроек для версий IE 5, 6, 7 и 8 делает данное решение эффектным и эффективным.