Руководство по безопасности Internet Explorer®8

  • Статья

SolAcc_CoverTitle

Набор средств для управления соответствием требованиям безопасности

Версия 1.0

Дата опубликования: октябрь 2009 г.

Последние изменения см. на microsoft.com/ssa

Copyright © 2009 Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны авторских прав.  Используя настоящую документацию или предоставляя отзыв на нее, вы соглашаетесь со следующим лицензионным соглашением.

Если эта документация используется исключительно в некоммерческих целях внутри ВАШЕЙ компании или организации, то на нее вам предоставляется лицензия Creative Commons Attribution-NonCommercial License. Копию текста этой лицензии можно получить на веб-сайте http://creativecommons.org/licenses/by-nc/2.5/ или отправив запрос по адресу Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Настоящая документация предоставляется исключительно в целях ознакомления и исключительно по принципу «как есть» («AS IS»). Использование вами настоящей документации не может расцениваться как полноценная замена тем услугам и информационным материалам, что корпорация Майкрософт может разработать и предоставить вам, отталкиваясь от ваших специфических условий работы. В максимальной степени, разрешенной законом, КОРПОРАЦИЯ МАЙКРОСОФТ ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ, И НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ВОЗНИКШИЙ В СВЯЗИ С ДАННЫМИ МАТЕРИАЛАМИ ИЛИ ЛЮБОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТЬЮ, СОДЕРЖАЩЕЙСЯ В НИХ.

На материалы, содержащиеся в этой документации, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт.  Без отдельного соглашения с корпорацией Майкрософт использование этого документа не предоставляет вам никаких прав на эти патенты, товарные знаки или иные объекты интеллектуальной собственности.

Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-сайты, могут быть изменены без предварительного уведомления.  Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное.

Microsoft,  Access, Active Directory, ActiveX, Authenticode,Excel, InfoPath, Internet Explorer, Internet Explorer 8, JScript,MSDN,Outlook, PowerPoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и (или) в других странах.

Упомянутые названия реально существующих компаний и продуктов могут быть торговыми марками их владельцев.

Вы не обязаны предоставлять в Майкрософт какие бы то ни было комментарии, предложения или иные отзывы («Отзывы») по данной документации. Однако, если вы представляете в Майкрософт какой-либо Отзыв, вы тем самым безвозмездно наделяете Майкрософт правом использовать этот Отзыв, передавать его другим лицам и извлекать из него прибыль, любым способом и с любой целью.  Вы также безвозмездно предоставляете третьим лицам любые патентные права, необходимые, чтобы их продукты, технологии или услуги могли использовать или взаимодействовать с любыми частями программного обеспечения или услуг Майкрософт, включающими этот Отзыв.  Вы не можете представить Отзыв, который подразумевает обязанность Майкрософт в случае использования этого Отзыва в каком-либо ее продукте или документации передавать этот продукт или документацию третьим лицам только по лицензии.

Содержание

Обзор
Кому адресовано это руководство
Навыки и уровень подготовки
Назначение и область применимости руководства
Аннотация к главам
Глава 1. Создание базовой конфигурации безопасности для Internet Explorer 8
Глава 2. Рекомендации по обеспечению безопасности Internet Explorer 8
Глава 3. Рекомендации по настройке конфиденциальности
Приложение А. Контрольный список параметров безопасности Internet Explorer 8
Способы оформления
Дополнительные сведения
Поддержка и отзывы
Благодарности
Авторский коллектив
Приняли участие

Обзор

Приглашаем вас ознакомиться с Руководством по безопасности Internet Explorer 8. В настоящем руководстве содержатся инструкции и рекомендации о том, как повысить безопасность настольных и портативных компьютеров, на которые установлен обозреватель Windows®Internet Explorer® 8.

Одна из самых сложных проблем при определении задаваемых по умолчанию параметров веб-обозревателя заключается в том, как соблюсти баланс между необходимой функциональностью и сопряженными с этой функциональностью рисками. Если установленные по умолчанию параметры обозревателя излишне ограничительны, то пользователь постоянно будет испытывать при работе различные помехи и сложности из-за несовместимости и потому просто перестанет обращать внимание на предупреждения и уведомления. Если же параметры недостаточно ограничительны, то пользователь уязвим для атак со стороны многочисленных эксплойтов. Отыскание разумного баланса между двумя вышеупомянутыми аспектами исключительно важно для обеспечения безопасности и простоты работы.

Разработчики веб-обозревателей обычно определяют действующие по умолчанию параметры безопасности, так чтобы обеспечить максимальное удобство работы при точно рассчитанном риске. Принимая решения с учетом известных сценариев атак, взвешивая факторы, необходимые для эксплуатации потенциальных уязвимостей, разработчик подбирает параметры безопасности по умолчанию, которые позволяли бы обозревателю работать в широком диапазоне условий. Параметров обозревателя по умолчанию обычно достаточно для удовлетворения потребностей большинства пользователей домашних компьютеров и защиты их от большей части атак.

Однако у некоторых потребителей и корпоративных пользователей могут возникать специфические требования, обусловленные особенностями бизнеса, законодательством или внутриведомственными инструкциями. Например, иногда сотрудники крупных организаций обязаны соблюдать постановления правительства о защите тех финансовых данных и информации о клиентах, которая хранится на сетевых серверах.

Параметры безопасности и конфиденциальности в Internet Explorer 8 спроектированы для работы при самых разных требованиях, что еще больше упрочивает лидирующие позиции корпорации Майкрософт в сфере безопасности. Мы принимаем во внимание как право пользователей на защиту частной жизни, так и потребность организаций в контроле над использованием данных, и вытекающий отсюда спрос на рекомендации по соблюдению баланса между тем и другим. Internet Explorer 8 предлагает улучшенные средства обеспечения безопасности по сравнению с предыдущими версиями обозревателя, а также новые возможности по обеспечению конфиденциальности, позволяющие пользователю управлять своими личными данными. Дополнительные сведения о новых средствах и параметрах можно найти на веб-узле InternetExplorer 8.

В настоящем руководстве рассматриваются некоторые средства и параметры, изменив которые, можно организовать более «защищенную от изменений» конфигурацию безопасности, необходимую части пользователей и предприятий. Здесь вы не найдете полного обзора всех параметров безопасности обозревателя, а предлагаемые рекомендации отнюдь не эквивалентны тем, что реализованы в конфигурации Internet Explorer Enhanced Server Configuration (IE ESC) в операционных системах Windows Server® 2003 и Windows Server® 2008. Для обсуждения в настоящем руководстве отобраны те параметры и средства, которые могут быть полезны максимально широкой аудитории пользователей и администраторов на предприятиях, нуждающихся в повышенной безопасности.

Здесь обсуждаются параметры безопасности Internet Explorer® 8 для Windows® 7, Windows Vista® и Windows® XP. ИТ-профессионалы могут воспользоваться настоящим руководством для усиления параметров безопасности обозревателя в соответствии с потребностями предприятия.

Примечание:  Во многих случаях администраторы могут воспользоваться набором средством Internet Explorer Administration Kit (IEAK), чтобы создать заказную сборку Internet Explorer, развернуть ее на предприятии и затем организовать принудительное применение новых параметров с помощью групповой политики. В этом руководстве набор средств IEAK подробно не рассматривается, но многие из описанных здесь параметров можно использовать при создании заказного пакета.

Кому адресовано это руководство

Руководство по безопасности Internet Explorer 8 адресовано, прежде всего, ИТ-специалистам широкого профиля, специалистам в области безопасности, проектировщикам сетей, консультантам и других сотрудникам сферы ИТ, кто занят проектированием или развертывания приложений либо инфраструктуры на настольных и портативных ПК с одной из поддерживаемых клиентских операционных Windows в широком спектре организаций.

Навыки и уровень подготовки

Руководство рассчитано на читателей, занятых разработкой, развертыванием и обеспечением безопасности клиентских компьютеров с установленным обозревателем Internet Explorer 8, обладающих следующих навыками и опытом:

  • Сертификация MCSE по Windows Server 2003 или более поздняя и опыт работы не менее двух лет в области обеспечения безопасности, либо эквивалентный уровень подготовки.
  • Глубокое понимание домена предприятия и рабочей среды Active Directory.
  • Опыт работы с консолью управления групповой политикой (GPMC).
  • Опыт администрирования групповой политики с помощью консоли GPMC, единого инструмента по управлению всеми задачами, связанными с групповой политикой.
  • Опыт работы с такими средствами администрирования, как консоль управления (MMC), Gpupdate и Gpresult.
  • Опыт развертывания приложений и клиентских компьютеров в корпоративной среде.

Назначение и область применимости руководства

Основные цели настоящего руководства:

  • предоставить готовые методики эффективного создания и внедрения проверенных параметров безопасности с помощью групповой политики;
  • объяснить причины, стоящие за теми или иными рекомендуемыми параметрами безопасности, а также последствия от их установки;
  • выявить и рассмотреть типичные сценарии обеспечения безопасности и показать, как заложенные в Internet Explorer 8 средства позволяют реагировать на них в конкретной среде.

Руководство построено так, чтобы можно было с успехом изучить лишь ту его часть, что актуальна для конкретного предприятия. Однако наибольшую пользу читатель получит, ознакомившись с руководством целиком. Оно посвящено вопросу создания и поддержания безопасной среды для компьютеров с установленным Internet Explorer 8. Здесь же описываются различные этапы обеспечения безопасности двух совершенно различных сред. В руководстве содержатся как предписания, так и рекомендации. На клиентском компьютере может быть установлена операционная система Windows 7 или Windows Vista с пакетом обновлений SP1 или выше. Однако на компьютере, с которого производится управление клиентскими компьютерами, должна быть установлена ОС  Windows Server 2008, Windows Server 2003 R2 или Windows Server 2003 SP2.

Имеются различия между параметрами, присутствующими в редакторе групповых политик и в окне конфигурации Internet Explorer – Свойства обозревателя. Так, многие параметры, реализуемые с помощью групповых политик, отсутствуют в окне Свойства обозревателя, например, все параметры в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows \Internet Explorer\Панель управления обозревателем\Страница безопасности\Заблокированная зона Интернета.

Отметим также, что многие параметры, присутствующие в папке «Административные шаблоны» редактора групповых политик, хранятся в специальных разделах реестра:

HKEY_LOCAL_MACHINE\Software\Policies

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

Настройки, установленныевокнеСвойстваобозревателя, сохраняютсявдругомразделе, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1. Групповая политика устроена таким образом для того, чтобы избежать проблем, связанных с параметрами, составляющими постоянную сигнатуру системы (tattoo). Однако такое соглашение может вводить в заблуждение при попытке сравнить результаты конфигурирования с помощью групповых политик и окна Свойства обозревателя.

Примечание.  Термин постоянная сигнатура в этом контексте описывает ситуацию, когда некоторые параметры групповых политик продолжают действовать даже после того, как компьютер или учетная запись пользователя вышли из области действия групповой политики. Например, все настройки в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности входят в состав постоянной сигнатуры системы, если она конфигурируется посредством доменной групповой политики.

Аннотация к главам

Руководство по безопасности Internet Explorer 8 состоит из трех глав и одного приложения.

Глава 1. Реализация базовой конфигурации безопасности для Internet Explorer 8

В этой главе предлагается набор процедур для реализации предписанных параметров безопасности, усиливающих уровень безопасности, установленный по умолчанию для Internet Explorer 8 на клиентских компьютерах. Здесь же детально обсуждается рекомендованная конфигурация развертывания групповой политики и рассматривается поддержка двух сред с разными требованиями к безопасности.

Глава 2. Рекомендации по обеспечению безопасности Internet Explorer 8

В этой главе приводится подробная информация об относящихся к безопасности средствах Internet Explorer 8 и связанных с ним параметров групповой политики. Рекомендации по использованию средств и параметров разбиты на шесть категорий:

  1. управление надстройками;
  2. отключение активных сценариев;
  3. обеспечение безопасности с помощью зон;
  4. обеспечение безопасности с помощью сертификатов;
  5. понижение уровня привилегий приложения;
  6. прочие параметры безопасности;

Для каждого параметра приводятся пояснения, в которых описано, для чего он предназначен, как установлен по умолчанию и как его рекомендуется установить в средах с различными требованиями к безопасности.

Глава 3. Рекомендации по настройке конфиденциальности

В этой главе подробно описываются средства и параметры групповой политики для Internet Explorer 8, относящиеся к конфиденциальности. Речь идет главным образом о просмотре в режиме InPrivate и функции SmartScreen.

Приложение A. Контрольный список параметров безопасности Internet Explorer 8

В этом приложении содержится контрольный список всех рассмотренных параметров, на которые мы рекомендуем обратить внимание в процессе обеспечения безопасности клиентских компьютеров с установленным Internet Explorer 8 на конкретном предприятии.

Способы оформления

В настоящем руководстве применяются следующие способы оформления.

Оформление Значение

Полужирный шрифт

Так выделяется текст, который следует вводить буквально, в том числе команды, флаги и имена файлов. Так же выделены элементы пользовательского интерфейса.

Курсив

Курсивом выделяются названия книг и других существенных публикаций, а также новые термины при первом упоминании.

<Курсив>

Курсивом в угловых скобках, например <имя_файла>, обозначают переменные.

Моноширинный шрифт

Таким шрифтом записываются примеры кода и сценариев.

Примечание

Обращает ваше внимание на сопутствующую информацию.

Важно

Важная информация, необходимая для успешного выполнения задачи.

Exclam Внимание!

Обозначает особо важное примечание, которое не стоит игнорировать.

Этим символом обозначены конкретные изменения в параметрах групповой политики или рекомендации.

§

Этим символом обозначены параметры групповой политики, впервые появившиеся в Windows 7.

Дополнительные сведения

Подробнее о вопросах безопасности Internet Explorer 8 можно узнать из следующих источников на Microsoft.com:

Домашняя страница InternetExplorer 8.

Поддержка и отзывы

Группа SolutionAccelerators – SecurityandCompliance (SA–SC) ценит все отзывы об этом и других своих продуктах.

Просьба направлять замечания по следующему адресу:

Электронная почта secwish@microsoft.com.

Нам очень важно ваше мнение.

Благодарности

Группа Solution Accelerators – Security and Compliance (SA–SC) выражает благодарность  группе, работавшей над созданием Руководства по безопасности Internet Explorer 8. Следующие лица принимали непосредственное участие или внесли значительный вклад в написание, разработку и тестирование настоящего решения.

Авторский коллектив

**Авторы текста
**Курт Диллард (KurtDillard) – *kurtdillard.com
*Ричард Харрисон (RichardHarrison) – ContentMasterLtd.

**Разработчики
**Барри Хартман (BarryHartmann)
Джеральд Гербо (GeraldHerbaugh)
Хай Кун Чжан (HaikunZhang) – BeijingZZZGroupCo. Ltd
Джефф Сигман (Jeff Sigman)
Джим Гроувз (Jim Groves)
Жозе Маллдонадо (Jose Maldonado)
Майкл Тэн (Michael Tan)
Жи Киянь Юань (ZhiQiang Yuan) – Beijing ZZZGroup Co. Ltd

**Редакторы
**Джон Кобб (John Cobb) – Wadeware LLC
Стив Уэкер (Steve Wacker) – Wadeware LLC

**Менеджеры группы
**Мишель Арни (Michelle Arney)
Шрути Кала (Shruti Kala)
Стефани Чачарон (Stephanie Chacharon) – Xtreme Consulting Group Inc.

**Руководитель проекта
**Том Клоуорд (Tom Cloward)

**Выпускающие менеджеры
**Чери Альбек (Cheri Ahlbeck) – Aquent LLC
Карина Ларсон (Karina Larson)

**Менеджер по тестированию
**Саммит Парих (SumitParikh)

Тестеры
ЖайдипБахадур (Jaideep Bahadur) – Infosys Technologies Ltd.
МансиШарма (Mansi Sharma) – Infosys Technologies Ltd.
РакситГайяр (Raxit Gajjar) – Infosys Technologies Ltd.

Приняли участие

Арон Маргосис (AaronMargosis), Блейк Франц (BlakeFrantz) – CenterforInternetSecurity, Дэн Фокс (DanFox), Дэниэл Тэйлор (DanielTaylor), Агентство по оборонным информационным системам (DISA), Фиделис Экезю (FidelisEkezue), Грег Коттингэм (GregCottingham), Гай Хант (GuyHunt), Кэти Ламберт (KathyLambert), Лори Кингери (LoriKingery), Мэнди Тидвелл (MandyTidwell), Нэйт Морин (NateMorin), Пит Лепаж (PeteLePage), Рик Манк (RickMunck), Роджер Граймс (RogerGrimes), Роджер Подвоски (RogerPodwoski), Сьюзан Фоссельман (SusanFosselman), Стивен Рольник (StevenRolnick), Тим Кларк (TimClark), Ти-Джей Онишил (TJOnishile), Юнь Чоу (YungChou)

Примечание. По просьбе Майкрософт в рецензировании этого руководства принимал участие директорат информационной безопасности Агентства национальной безопасности США, замечания которого были учтены в опубликованной версии.

Примечание. В разработке настоящего руководства и соответствующих параметров безопасности приняли участие члены сообщества Center for Internet Security, чьи замечания были учтены в опубликованной версии.