Co nowego w zabezpieczeniach urządzeń klienckich?, cz. IV

Opublikowano: 10 marca 2010

Zawartość strony

	Wprowadzenie rozszerzeń do negocjowania pakietów uwierzytelniania
	Wprowadzenie zabezpieczeń Internet Explorer 8.0
	Wprowadzenie zarządzanych kont usług

Wprowadzenie rozszerzeń do negocjowania pakietów uwierzytelniania

Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje nowy pakiet protokołu uwierzytelniania NegoExts, który rozszerza pakiet protokołu Negotiate o dodatkowe protokoły uwierzytelniania dla systemu Windows 7 oraz Windows Server 2008 R2.

Czym jest pakiet protokołu uwierzytelniania Negotiate?

Pakiet protokołu uwierzytelniania Negotiate jest dostawcą obsługi zabezpieczeń (SSP) w systemie Windows, który zapewnia usługę uwierzytelniania oraz szyfrowania. Jego rolą jest negocjowanie, którego protokołu uwierzytelniania należy użyć w przypadku żądania uwierzytelnienia, w oparciu o protokoły obsługiwane na komputerze klienckim i serwerze. W wersjach systemu Windows wcześniejszych, niż Windows 7 oraz Windows Server 2008 R2, pakiet zabezpieczeń Negotiate obsługuje protokoły NTLM oraz Kerberos. W przypadku Windows 7 oraz Windows Server 2008 R2 pakiet ten został zaktualizowany do obsługi dodatkowych dostawców obsługi zabezpieczeń.

NTLM

NTLM jest opracowanym przez firmę Microsoft protokołem uwierzytelniania, który do uwierzytelniania używa mechanizmu wyzwania-odpowiedzi, w którym komputery klienckie mogą udowodnić swoją tożsamość bez wysyłania hasła do serwera. Protokół ten korzysta z trzech typów komunikatów w celu negocjowania żądania, wezwania autentyczności nadawcy oraz przeprowadzenia uwierzytelnienia.

Kerberos

Protokół Kerberos v5 firmy Microsoft jest mechanizmem uwierzytelniania opartym na protokole dostępnym publicznie. Dostawca SSP używa wzajemnego uwierzytelniania między komputerem klienckim a serwerem, lub między dwoma serwerami, wewnątrz domeny Active Directory.

Więcej informacji na temat protokołu Kerberos znajduje się w części Dokumentacja techniczna uwierzytelniania Kerberos „j. ang.”

Rozszerzenia

NegoExts (NegoExts.dll) jest pakietem uwierzytelniania, który negocjuje użycie dostawców SSP dla aplikacji i scenariuszy wdrażanych przez firmę Microsoft i innych producentów oprogramowania. Pku2u.dll jest jednym z obsługiwanych dostawców SSP zainstalowanym domyślnie. Deweloperzy mogą tworzyć niestandardowych dostawców. Takie rozszerzenie pakietu Negotiate dopuszcza następujące scenariusze:

• Rozszerzona dostępność klienta w systemie federacyjnym. Dostęp do dokumentów możliwy jest na innych witrynach programu SharePoint. Dokumenty można edytować przy użyciu pełnej aplikacji Microsoft Office.
• Bogate wsparcie klienta dla Microsoft Office Live. Użytkownicy mogą logować się do usług Microsoft Office Live i korzystać z pełnej aplikacji Microsoft Office.
• Hostowany Microsoft Exchange Server oraz Outlook. Nie ustanowiono zaufania domeny, ponieważ Exchange obsługiwany jest w sieci Web. w celu uwierzytelnienia użytkowników, Outlook używa Windows Live, lub CardSpace.
• Rozszerzona dostępność klienta między komputerami klienckimi i serwerami. Używane są składniki sieci oraz uwierzytelniania systemu operacyjnego.

Jak działa NegoExts?

Pakiet Windows Negotiate traktuje NegoExts SSP w taki sam sposób, w jaki traktuje protokoły Kerberos i NTLM. NegoExts.dll zostaje załadowany do Local System Authority (LSA) podczas uruchomienia. Po otrzymaniu żądania uwierzytelnienia, w oparciu o źródło żądania, NegoExts negocjuje między obsługiwanymi dostawcami SSP. Gromadzi poświadczenia i zasady, szyfruje je i wysyła te informacje do odpowiedniego dostawcy SSP, gdzie następnie utworzony zostaje token zabezpieczający. Dostawcy SSP obsługiwani przez NegoExts nie są samodzielnymi dostawcami SSP, tak jak Kerberos i NTLM. Jeśli zatem metoda uwierzytelniania zawiedzie z jakiegokolwiek powodu, wewnątrz NegoExts SSP zostanie wyświetlony, lub zalogowany komunikat o niepowodzeniu uwierzytelnienia. Niemożliwe są żadne renegocjacje, ani alternatywne metody uwierzytelniania.

Do początku strony

Wprowadzenie zabezpieczeń Internet Explorer 8.0

Dotyczy: Windows 7

Niniejszy temat, związany z oceną produktu, dla specjalistów IT opisuje ulepszenia zabezpieczeń w Windows Internet Explorer 8, które pomagają bronić się przed:

• wykorzystywaniem luk w przeglądarce
• lukami w zabezpieczeniach serwera sieci Web
• atakami inżynierii społecznej

Opcja Konfiguracja zwiększonych zabezpieczeń została również ulepszona dla programu Internet Explorer 8 w systemach operacyjnych serwerów.

• Zmiany w zabezpieczeniach programu Internet Explorer 8 (j. ang.)
• Zmiany Konfiguracji zwiększonych zabezpieczeń w programie Internet Explorer 8 dla systemów operacyjnych serwerów (j. ang.)

Zmiany w zabezpieczeniach programu Internet Explorer 8

Luki w zabezpieczeniach przeglądarki i dodatków

• Ochrona pamięci DEP/NX. Funkcja zapobieganie wykonywania działań (DEP), lub blokada wykonywania (No-Execute, NX) pomaga udaremnić ataki zapobiegając uruchomieniu kodu w pamięci oznaczonej, jako niewykonywalna. Funkcja DEP/NX w połączeniu z innymi technologiami, takimi jak Address Space Layout Randomization (ASLR) znacznie utrudnia osobom atakującym wykorzystanie niektórych typów luk związanych z pamięcią, jak np. przekroczenie buforu. Ochrona obejmuje zarówno program Internet Explorer 8, jak i ładowane przez niego dodatki. Aby zapewnić tego typu ochronę, nie wymaga się dodatkowej interakcji użytkownika. Ponadto, nie wprowadzono nowych monitów.

• ActiveX. Wprowadzono dwie zmiany w sposobie obsługi formantów AciveX przez program Internet Explorer 8:  

  •

  Per-site ActiveX. Per-site ActiveX jest mechanizmem obronnym zapobiegającym złośliwej zmianie przeznaczenia formantów. Kiedy użytkownik przechodzi na witrynę sieci Web zawierającą formant ActiveX, program Internet Explorer 8 dokonuje kilku operacji kontroli, w tym sprawdzenia, gdzie dany formant może zostać uruchomiony. Jeśli formant jest zainstalowany, ale nie ma zezwolenia na uruchomienie na konkretnej witrynie sieci Web, na pasku informacji pojawia się komunikat pytający użytkownika, czy dany formant powinien uzyskać zgodę na uruchomienie w bieżącej witrynie sieci Web. Specjaliści IT administrujący komputerami klienckimi, na których uruchomiony jest program Internet Explorer 8 mogą ustawić dozwolone formanty oraz skojarzone z nimi domeny. Takie ustawienia mogą być konfigurowane przy użyciu zasad grupy.

  •

  Per-user ActiveX. Użytkownicy standardowi mogą instalować formanty ActiveX we własnych profilach użytkownika, bez wymogu posiadania uprawnień administracyjnych. To udoskonalenie pozwala użytkownikom standardowym instalować formanty ActiveX podczas codziennego przeglądania. Ponadto, jeśli użytkownik instaluje złośliwy formant ActiveX, nie ma to wpływu na cały system, ponieważ formant instalowany jest wyłącznie na koncie użytkownika. W celu włączenia, lub wyłączenia tego zbioru funkcji, specjaliści IT administrujący komputerami klienckimi, na których uruchomiony jest Internet Explorer 8, mogą użyć zasad grupy.

• Tryb chroniony. Tryb chroniony, po raz pierwszy wprowadzony w programie Internet Explorer 7, pomaga zredukować zagrożenia zarówno wobec programu Internet Explorer, jak i rozszerzeń uruchomionych w tym programie, zapobiegając instalacji złośliwych kodów. W przeciwieństwie do programu Internet Explorer 7, Internet Explorer 8 może obsługiwać zakładki Tryb chroniony oraz Tryb niechroniony w jednym oknie przeglądarki. W celu uzyskania wyższej wydajności oraz zgodności aplikacji, program Internet Explorer 8 wyłącza tryb chroniony w strefie Lokalny intranet. Użytkownicy oraz administratorzy domen programu Internet Explorer 8 mogą go włączyć w strefie Lokalny intranet.

• Monit protokołu aplikacji. Programy obsługi protokołu aplikacji włączają aplikacje inne niż firmy Microsoft, takie jak odtwarzacze strumieniowe oraz aplikacje telefonii internetowej i uruchamiają je wewnątrz przeglądarki. Może to zwiększyć ryzyko ataków. Aby upewnić się, że użytkownicy utrzymają kontrolę nad działaniami wykonywanymi w przeglądarce, program Internet Explorer 8 przed uruchomieniem protokołów aplikacji, wysyła teraz monit.

• Kontrola przekazywania plików. Aby zablokować ataki, które polegają na kradzieży sekwencji naciśnięć klawiszy, w celu nakłonienia użytkownika do wpisania ścieżki pliku lokalnego w panelu sterowania, pole dialogowe Ścieżka pliku jest obecnie polem tylko do odczytu. Użytkownik musi jawnie wybrać plik do załadowania używając pola dialogowego Przeglądaj, a następnie program Internet Explorer 8 przesyła wyłącznie nazwę pliku, a nie pełną ścieżkę. Ustawienie zabezpieczenia Dołącz ścieżkę katalogu lokalnego podczas przekazywania plików na serwer jest dla strefy Internet domyślnie wyłączone.

Ulepszenia zabezpieczeń aplikacji sieci Web

• Międzylokacyjne wykonywanie skryptów. Internet Explorer 8 wprowadza filtr międzylokacyjnego wykonywania skryptów, który znacznie utrudnia wykorzystanie wad międzylokacyjnego wykonywania skryptów Typ-1, znanych również jako luki nietrwałe, lub odbite. Typ-1 międzylokacyjnego wykonywania plików stanowi zwiększającą się część wszystkich odnotowywanych luk. Są one coraz częściej wykorzystywane. Filtr międzylokacyjnego wykonywania skryptów potrafi wskazać potencjalnie złośliwy skrypt międzylokacyjny i udaremnić atak poprzez zablokowanie odbicia na serwer wykonania skryptu i w ten sposób zatrzymać atak na komputer kliencki. W pasku informacji wyświetlony zostaje komunikat dla użytkownika.
• Międzylokacyjna agregacja danych. Obiekt XDomainRequest (XDR) w programie Internet Explorer 8 wysyła międzydomenowe żądanie danych wewnątrz przeglądarki, zamiast żądania od serwera do serwera. Żądania międzydomenowe wymagają obustronnej zgody między stroną sieci Web i serwerem. Wymagają ponadto, aby witryna sieci Web obsługiwała XDR i udostępniała dane między domenami. Obiekt XDR integruje się ze wstępną strukturą grupy roboczej aplikacji sieci Web organizacji World Wide Web Consortium (W3C), dotyczącą komunikacji międzydomenowej po stronie klienta.Program Internet Explorer 8 wprowadza również obsługę przesyłania wiadomości między dokumentami (postMessage), która umożliwia elementom IFRAME bezpieczniejszą komunikację, utrzymując izolację modelu Document Object Model (DOM).
• Zmiany w obsłudze MIME. W algorytmach wykrywania typu Multipurpose Internet Mail Extensions (MIME) programu Internet Explorer 8 wprowadzono następujące zmiany:  

  •	Ograniczenie wykrywania typu MIME. Program Internet Explorer 8 zapobiega wykrywaniu, lub przechwytywaniu danych, plików z zawartością typu image/* MIME do HTML, lub skryptów. Jeśli plik zawiera skrypt, a serwer deklaruje, że jest to plik obrazu, program Internet Explorer 8 nie uruchamia osadzonego w nim skryptu.
  •	Zapobieganie wykrywania typu MIME. Aplikacje sieci Web mogą obecnie zapobiegać wykrywaniu typu MIME. Wysyłanie nowego nagłówka X-Content-Type-Options: nosniff powstrzymuje program Internet Explorer przed użyciem wykrywania typu MIME do zmiany typu zawartości deklarowanej przez serwer.
  •	Wymuszanie zapisu. W przypadku aplikacji sieci Web, które muszą obsługiwać niezaufane pliki HTML, program Internet Explorer 8 zawiera mechanizm, który zmusza użytkowników do lokalnego zapisania takich plików przed ich otwarciem, w celu powstrzymania niezaufanej zawartości przed naruszeniem zabezpieczeń witryny.
  •	Obrona przed różnymi typami ataków CSRF. Internet Explorer 8 chroni przed atakami typu CSRD (Cross-site Request Forgeries), w których strona Web osoby atakującej zachęca użytkownika do kliknięcia na obiekt, taki jak przycisk Dalej, zawierający ukryty kod wykonujący czynność, jakiej użytkownik nie jest świadomy, taką jak np. wysyłanie informacji osobistych do innej witryny sieci Web, lub adresu e-mail. Większość rozwiązań problemów z CSFR jest nieodporna na te ataki, które mogą być wykorzystywane do ponownego skonfigurowania niektórych dodatków przeglądarki w niebezpieczny sposób.

Inżynieria społeczna i prywatność

• Wyróżnianie domen w pasku adresu. Internet Explorer 8 wyróżnia nazwę domeny witryny, aby użytkownik mógł interpretować adresy sieci Web (URL) i unikać witryn nierzetelnych i wyłudzających informacje. W pasku adresu nazwa domeny wyświetlana jest czarnymi znakami, a pozostała część adresu URL pozostaje szara. Dzięki temu, użytkownik łatwiej zidentyfikuje prawdziwą tożsamość witryny. W połączeniu z innymi technologiami, takimi jak certyfikaty Extended Validation SSL, usprawniony pasek adresu w programie Internet Explorer 8 pomaga użytkownikom upewnić się, że przekazują osobiste informacje wyłącznie do witryn, którym ufają.
• Filtr SmartScreen. Ochrona przed oprogramowaniem złośliwym filtra SmartScreen koncentruje się na identyfikacji i blokowaniu witryn sieci Web rozpowszechniających złośliwe oprogramowanie. Jako funkcja oparta na reputacji filtr SmartScreen blokuje nowe zagrożenia pochodzące z istniejących złośliwych witryn, nawet jeśli nie były one wcześniej blokowane przez sygnatury programów antywirusowych, lub programów chroniących przed oprogramowaniem złośliwym. Filtr SmartScreen może blokować nawigację, lub pobieranie plików. Taki poziom kontroli pozwala programowi Internet Explorer 8 całkowicie blokować witryny złośliwe, części witryn, lub pojedyncze pobieranie złośliwych programów (np. na witrynach sieci społecznej, lub udostępniania plików). Jeśli użytkownik próbuje pobrać potencjalnie niebezpieczne oprogramowanie, gdy filtr SmartScreen jest aktywny, otrzymuje on monit, zawierający listę alternatywnych działań do wykonania. Administratorzy IT mogą administrować filtrem SmartScreen przy użyciu zasad grupy, w tym mogą wskazać zbiór działań alternatywnych, które mogą wybrać użytkownicy, kiedy otrzymają monit ostrzegawczy.
• Funkcje prywatności. Internet Explorer 8 posiada kilka nowych, lub ulepszonych funkcji prywatności, aby zapewnić użytkownikom większą kontrolę nad informacjami osobistymi, którymi można zarządzać przy użyciu zasad grupy.
• Ulubione oraz usuwanie historii przeglądania. Internet Explorer 8 pozwala użytkownikom zachować informacje związane z menu Ulubione, podczas usuwania historii przeglądania. Ulepsza to kontrolę użytkowników nad elementami usuwanymi z historii przeglądania, takich jak pliki cookie, zachowane hasła, czy informacje formularza sieci Web.
• Przeglądanie InPrivate. W sytuacjach, gdy użytkownicy dzielą się stanowiskiem pracy, komputerem przenośnym, lub kioskiem publicznym, pozostawiając ślad w historii przeglądania dla kolejnego użytkownika, może dojść do naruszenia prywatność i zabezpieczeń. Przeglądanie InPrivate w programie Internet Explorer 8 eliminuje ten ślad nie magazynując historii, plików cookie, tymczasowych plików internetowych ani innych danych.
• Filtrowanie InPrivate. Z czasem historia i profile użytkowników mogą zostać nieświadomie zagregowane i śledzone przez złośliwe skrypty, lub śledzące pliki cookie. Filtrowanie InPrivate śledzi skrypty i pliki cookie, napotykane podczas odwiedzania różnych witryn sieci Web, a następnie automatycznie blokuje je, jeśli pojawią się więcej, niż 10 razy. Filtrowanie InPrivate pozwala również użytkownikom oraz administratorom IT ręcznie wybierać, które witryny mają być blokowane, a które nie.

Zmiany Konfiguracji zwiększonych zabezpieczeń w programie Internet Explorer 8 dla systemów operacyjnych serwerów

W programie Internet Explorer użytkownicy mogą konfigurować ustawienia zabezpieczeń dla strefy Lokalny intranet oraz Zaufane witryny. Domyślnie nie mogą zmieniać ustawień zabezpieczeń strefy Internet oraz Witryny z ograniczeniami. Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer przypisuje poziomy zabezpieczeń do tych stref w następujący sposób:

• Dla strefy Internet poziom zabezpieczeń ustawiony jest na Wysoki.
• Dla strefy Zaufane witryny poziom zabezpieczeń ustawiony jest na Średni, co pozwala na przeglądanie wielu witryn internetowych.
• Dla strefy Lokalny intranet poziom zabezpieczeń ustawiony jest na Średnio-niski, co pozwala na automatyczne przesłanie poświadczeń użytkownika (nazwa i hasło użytkownika) do witryn i aplikacji, które ich potrzebują.
• Dla strefy Witryny z ograniczeniami poziom zabezpieczeń ustawiony jest na Wysoki.

Uwaga:

Wszystkie witryny internetowe i intranetowe domyślnie przypisane są do strefy Internet. Witryny intranetowe nie są częścią strefy Lokalny intranet, chyba że zostaną do niej jawnie dodane.

Źródła dodatkowe

• Więcej informacji na temat programu Internet Explorer 8 oraz nowych funkcji zabezpieczeń znajduje się na stronie domowej programu Windows Internet Explorer 8 https://go.microsoft.com/fwlink/?LinkID=139561.

Do początku strony

Wprowadzenie zarządzanych kont usług

Niniejszy artykuł, zawierający ocenę produktu, napisany dla specjalistów IT opisuje nowe funkcje zarządzania kontami usług w systemie Windows 7 oraz Windows Server 2008 R2, które mają pomóc konserwować i zabezpieczać środowisko IT.

Zarządzane konto usług w systemie Windows Server 2008 R2

Informacje ogólne

Jednym z problemów w zakresie zabezpieczeń ważnych aplikacji sieciowych jest wybór odpowiedniego typu konta do uruchamiania:

• Na komputerze lokalnym administrator może skonfigurować aplikację, aby uruchamiała się, jako usługa lokalna, usługa sieciowa, lub system lokalny. Takie konta usług są łatwe w konfigurowaniu i użyciu, ale zwykle są używane przez wiele aplikacji i usług oraz niemożliwe jest zarządzanie nimi z poziomu domeny.
• Jeśli skonfigurujemy aplikację, aby korzystała z konta domeny, możemy wyizolować uprawnienia dla danej aplikacji. Jednak musimy ręcznie zarządzać hasłami, lub tworzyć niestandardowe rozwiązanie do zarządzania nimi.

Opis ogólny zarządzanego konta usług

Zarządzane konto usług zostało utworzone, aby zapewnić aplikacjom takim, jak SQL Server, czy Exchange:

• Automatyczne zarządzanie hasłami, co pomaga lepiej izolować te usługi od innych usług na danym komputerze.
• Uproszczone zarządzanie główną nazwą usługi (SPN), co pozwala administratorom usługi ustawić SPN dla tych kont. Ponadto zarządzanie SPN można delegować do innych administratorów.

Zarządzanie

Aby skonfigurować takie konta oraz nimi zarządzać w przypadku usługi uruchomionej w systemie Windows 7. lub Windows Server 2008 R2, nie ma potrzeby użycia apletów poleceń Windows PowerShell. Nie istnieje wsparcie interfejsu użytkownika dla tworzenia takich kont i zarządzania nimi.

Konta usługi obsługiwane są również w kontrolerach domeny w systemach Windows Server 2003 oraz Windows Server 2008. Więcej informacji na temat niniejszych wymogów oraz dodatkowych etapów konfiguracji znajduje się w części Instrukcja krok po kroku po zarządzanych kontach usług „j. ang.”.

Źródła informacji na temat zarządzanych kont usług

Więcej informacji na temat ustawiania zarządzanych kont usług znajduje się w części Instrukcja krok po kroku po zarządzanych kontach usług „j. ang.”

Do początku strony