Глава 1. Создание базовой конфигурации безопасности для Internet Explorer 8

Статья
12/23/2009

Версия Windows® Internet Explorer® 8 базируется на усовершенствованиях в области безопасности, которые были включены в Internet Explorer 7. В очередную версию корпорация Майкрософт включила несколько новых средств и проектных решений, например защищенный режим и функцию ActiveX® Opt-In, чтобы обеспечить несколько уровней защиты в соответствие с концепцией глубоко эшелонированной обороны. Другие новые функции, например фильтр фишинга, помогают защитить пользователя от атак, направленных на получение личной информации. Подробное описание усовершенствований в области безопасности, появившихся в предыдущих версиях Internet Explorer, выходит за рамки настоящего руководства. Дополнительные сведения об этих усовершенствованиях см. на веб-странице Internet Explorer TechCenter.

Улучшения, включенные в Internet Explorer 8, направлены на защиту пользователей от многих новейших сетевых угроз и предоставление более простого и понятного интерфейса, облегчающего принятие решений о безопасности. Настройки, установленные в Internet Explorer 8 по умолчанию, призваны обеспечить соотношение между удобством работы и безопасностью, подходящее для широкого круга пользователей по всему миру. Кроме того, в Internet Explorer 8 добавлен совершенно новый набор средств и элементов управления конфиденциальностью, которые дают пользователю возможность контролировать свои действия в сети и сохраняемую о них информацию.

В настоящем руководстве рассматриваются способы повысить безопасность работы с обозревателем путем изменения параметров, разбитые на шесть основных категорий:

элементы управления ActiveX;
элементы управления конфиденциальностью;
прочие настройки безопасности;
зоны безопасности;
настройки безопасности (safety settings);
фильтр SmartScreen.

В настоящем руководстве упор делается на параметры безопасности в Internet Explorer 8. Однако любой документ, посвященный оптимальной настройке безопасности конкретного приложения, обязательно должен включать сведения о безопасности на уровне всего компьютера. Этой теме посвящены руководства по безопасности Windows® 7 и Windows Vista®. Кроме того, чтобы не стать жертвой уязвимости в обозревателе, надстройках над ним и операционной системе, необходимо регулярно обновлять их. Мы рекомендуем устанавливать все обновления операционной системы с помощью таких средств, как Windows Server® Update Services (WSUS), Systems Management Server (SMS) 2003, System Center Configuration Manager 2007 или «Автоматическое обновление», поддерживая систему в актуальном состоянии. Добавим еще, что клиентам рекомендуется подписаться на рассылку технической информации по вопросам безопасности с веб-узла Microsoft Technical Security Notifications. Дополнительные сведения см. в приложении A «Контрольный список параметров безопасности для Internet Explorer 8».

Ужесточить заданную по умолчанию конфигурацию обозревателя позволяют объекты групповой политики (GPO). Все рекомендованные параметры групповой политики документированы в файле Excel® Internet Explorer 8 Security Baseline Settings.xls, прилагаемом к настоящему руководству.

Для развертывания параметров, описанных в этой главе, понадобится:

создать нужную структуру подразделений (OU);
с помощью средства GPOAccelerator создать нужные объекты групповой политики;
с помощью консоли управления групповой политикой (GPMC) связать и упорядочить объекты групповой политики.

Exclam Внимание! Необходимо тщательно протестировать созданные подразделения и объекты групповой политики перед их развертывание их в производственной среде.

Базовые объекты GPO, прилагаемые к настоящему руководству, содержат сочетание проверенных настроек, которые повышают уровень безопасности клиентских компьютеров с установленной ОС Windows 7 в следующих двух средах с разными требованиями к безопасности:

** • Корпоративныйклиент** (Enterprise Client, EC)

** • Особые параметры безопасности и ограниченная функциональность** (Specialized Security – Limited Functionality, SSLF)

Ограничивайте привилегии пользователей

Одна из самых эффективных мер по защите компьютеров, работающих под управлением ОС Windows® XP, Windows Vista и Windows 7, состоит в том, чтобы при повседневной работе пользователи входили в систему от имени стандартных учетных записей. Использовать записи с дополнительными привилегиями следует лишь для выполнения административных задач. То же самое относится и к веб-обозревателям. При обычных условиях пользователь должен запускать Internet Explorer со стандартными привилегиями, тогда он будет работать в защищенном режиме, снижая тем самым риск того, что вредоносные программы смогут нанести вред компьютеру. В этом режиме гарантируется, что если даже компьютер подвергся атаке вредоносной программы, она сможет воздействовать лишь на профиль данного пользователя, так как работает с его привилегиями. Еще один важный момент состоит в том, что пользователь с привилегиями администратора способен изменить обсуждаемые в настоящем руководстве настройки и тем самым увеличить риск компрометации.

Среда корпоративных клиентов

Среда корпоративных клиентов (среда EC), как она понимается в настоящем руководстве, — это домен на основе AD DS, в котором компьютеры с ОС Windows Server® 2008 R2, Windows Server® 2008, Windows Server® 2003 R2 или Windows Server® 2003 с пакетом обновления 2 (SP2), а также службы AD DS управляют клиентскими компьютерами с ОС Windows 7, Windows Vista SP2 и Windows XP Professional SP3. Управление клиентскими компьютерами осуществляется через групповую политику, которая применяется на уровне сайтов, доменов и подразделений. Групповая политика представляет централизованную инфраструктуру в рамках AD DS, которая позволяет выполнять изменения на уровне каталогов и управлять настройками пользователей и компьютеров, в том числе безопасностью и пользовательскими данными. Базовая конфигурация среды EC предусматривает повышенную безопасность и уровень функциональности операционной системы и приложений, достаточный для большинства предприятий.

Среды с особыми параметрами безопасности и ограниченной функциональностью

Базовая конфигурация среды с особыми параметрами безопасности и ограниченной функциональностью (среды SSLF) предусматривает создание высокозащищенной среды для компьютеров с ОС Windows 7 и обозревателем Internet Explorer 8 – и только для таких. В таких средах вопросам безопасности уделяется настолько серьезное внимание, что можно пойти на значительное ограничение функциональности и управляемости.

Exclam Внимание! Параметры безопасности SSLF не подойдут для большинства предприятий. Они были разработаны для организаций, где безопасность важнее функциональности.

Если вы решите развернуть параметры SSLF на клиентские компьютеры своей рабочей среды, то может возрасти количество обращений в службу поддержки с жалобами на ограничения в функциональности, вводимые этими параметрами. Хотя степень защищенности данных и сетей в подобной среде будет выше, она также препятствует работе некоторых служб, которые могут быть необходимы предприятию. Примером может служить полное отключение элементов управления ActiveX®, что может серьезно ограничить доступ пользователей к специальным средствам некоторых веб-узлов.

Важно отметить, что базовая конфигурация SSLF не является наращиванием EC: SSLF обеспечивает совершенно иной уровень безопасности. Поэтому не пытайтесь одновременно развернуть базовые конфигурации SSLF и EC на одних и тех же компьютерах. С точки зрения настоящего руководства, обязательно сначала оценить уровень безопасности, необходимый предприятию, а только потом решать, какую базовую конфигурацию применять: EC или SSLF. Сравнение параметров в базовых конфигурациях EC и SSLF можно найти в файле Internet Explorer 8 Security Baseline Settings.xls, прилагаемом к настоящему руководству.

Важно. Если конфигурация SSLF кажется вам подходящей, обязательно проведите обширное тестирование компьютеров, на которых она развернута, чтобы убедиться, что требуемая для работы функциональность не пострадала.

Администрирование Internet Explorer 8

В зависимости от размера и сложности структуры предприятия можно воспользоваться одним из двух основных способов централизованного администрирования параметров Internet Explorer 8: набор средств Internet Explorer Administration Kit (IEAK) 8 и объекты групповой политики (GPO) в инфраструктуре Active Directory. Существуют параметры, которые можно задать с помощью либо IEAK, либо GPO, но не того и другого одновременно. Однако в этом руководстве мы всюду, где возможно, будем сообщать информацию, применимую к обоим способам.

Для выбора оптимального способа задания параметров администратор должен знать о том и другом подходе. В общем случае IEAK лучше приспособлен к нуждам тех организаций, в которых администрирование среды выполняется без привлечения инфраструктуры Active Directory, или тех, которым требуется заказная версия обозревателя вместе со всеми параметрами и дополнениями. IEAK позволяет администратору без особого труда создать файл со специальными параметрами, который будет использован на этапе установки. Администратор, который применяет IEAK для создания заказных пакетов, может задать значения многих, но не всех параметров Internet Explorer 8. В продукте, установленном с помощью пакета, созданного в IEAK, параметры сохраняются лишь до тех пор, пока их не изменит пользователь. Если пакет создан в режиме внутреннего дистрибутива для корпоративной интрасети, то можно применять настройки IEAK с заданным интервалом, чтобы конфигурация клиентских компьютеров гарантированно соответствовала определенным на предприятии стандартам. Применение новой функции Сброс параметров настройки Internet Explorer восстанавливает заказные настройки, определенные на предприятии, возвращает заданные по умолчанию параметры ActiveX Opt-In и деактивирует, но не удаляет все панели инструментов и расширения, установленные на компьютере.

Применение объектов групповой политики открывает возможность создавать конфигурации, которые регулярно копируются средствами политики на компьютеры пользователей, чтобы воспрепятствовать их изменению. С помощью объектов групповой политики можно управлять сотнями различных параметров Internet Explorer 8. Но работать с параметрами, задаваемыми в GPO, сложнее, чем использовать IEAK. После того как шаблон GPO определен и применен, заданная в нем конфигурация распространяется на все системы, подпадающие под его действие, пока не будет изменена администратором. Многие попытки пользователя внести изменения просто игнорируются или запрещаются. Значения некоторых параметров все же можно изменить, но они будут возвращены в исходное состояние при очередном применении политики.

Мы рекомендуем корпоративным клиентам по возможности применять GPO в инфраструктуре Active Directory, чтобы гарантировать неизменность заданных параметров безопасности.

Основные сведения о зонной модели

Internet Explorer предлагает администраторам уникальное средство контроля безопасности, отсутствующее в большинстве других обозревателей: возможность определять параметры безопасности для различных классов веб-узлов. В отличие от многих других обозревателей, Internet Explorer определяет уровень безопасности данной веб-страницы, исходя из того, к какой зоне безопасности относится ее адрес URL.

Всего существует пять зон безопасности: Локальный компьютер (не видна в пользовательском интерфейсе Internet Explorer), Интернет, Местная интрасеть, Надежные узлы и Ограниченные узлы. Все веб-узлы на данном компьютере попадают в зону «Локальный компьютер», удаленные серверы относятся к зоне «Интернет», а веб-узлы в пределах локальной сети – к зоне «Местная интрасеть». Веб-узлы, которые пользователь или администратор счел потенциально опасными, помещаются в зону «Ограниченные узлы». Веб-узлы, которые пользователь или администратор счел надежными, помещаются в зону «Надежные узлы».

Примечание. Для компьютеров, которые не входят в домен, зона «Местная интрасеть» отключена, и те узлы, которые при обычных условиях попали бы в эту зону, оказываются в зоне «Интернет». Зона «Локальный компьютер» отсутствует в пользовательском интерфейсе Internet Explorer.

Для каждой зоны определяются соответствующие ей параметры безопасности. Чтобы упростить решение этой задачи, в Internet Explorer используются шаблоны зон безопасности. По умолчанию имеется пять шаблонов: высокий, выше среднего, средний, ниже среднего и низкий. Между зонами безопасности и шаблонами устанавливается следующее соответствие, помогающее определить уровень безопасности.

Таблица 1.1. Соответствие между зонами безопасности и шаблонами

Зона безопасности	Уровень безопасности (шаблон, соответствующий зоне)	Описание
Локальный компьютер	Другой	Содержимое, находящееся на компьютере пользователя (за исключением того, что Internet Explorer кэшировал на локальной системе), считается заслуживающим полного доверия. Эту зону невозможно конфигурировать в Internet Explorer.
Интернет	Выше среднего	В зону «Интернет» входят все веб-узлы, не включенные в другие зоны.
Местная интрасеть (доступна только для компьютеров, входящих в домен)	Ниже среднего	Все узлы, помещенные в эту зону, должны находиться за брандмауэром, а прокси-серверы должны быть сконфигурированы так, чтобы ни одно внешнее DNS-имя не попадало в эту зону.
Надежные узлы	Средний	Узлам в зоне «Надежные узлы» разрешено выполнять более широкий спектр операций, чем другим Интернет-узлам, и у пользователя реже запрашивается разрешение. Внешние узлы следует помещать в эту зону, только если вы доверяете их содержимому и уверены, что они не станут выполнять операций, способных нанести вред находящимся в вашем ведении компьютерам.
Ограниченные узлы	Высокий	Эта зона предназначена для узлов, не заслуживающих никакого доверия. По умолчанию настройки для нее заданы так, что некоторые возможности веб ограничены, но доступ к узлам не заблокирован полностью. Узлы в эту зону могут добавляться как пользователем, так и групповой политикой.

Помимо этих зон, существуют соответствующие им заблокированные зоны, которые не видны в пользовательском интерфейсе Internet Explorer. Настройки заблокированных зон для зоны локального компьютера используются впервые появившейся в Windows XP SP2 функцией, которая называется «Блокировка зоны локального компьютера» (Local Machine Zone Lockdown – LMZL). Если зона локального компьютера заблокирована, то по умолчанию при открытии любого находящегося в ней узла применяются более ограничительные параметры. По умолчанию параметры в режиме LMZL отключают элементы ActiveX и выполнение сценариев. Если страница попытается выполнить элемент ActiveX или сценарий, то появится информационная панель с вопросом пользователю, следует ли разрешить эту операцию. Если пользователь разрешит доступ к заблокированному содержимому, то Internet Explorer будет применять обычные, менее ограничительные параметры зоны локального компьютера, начиная с этого момента и вплоть до закрытия соответствующей вкладки обозревателя, если речь идет об Internet Explorer 7 или Internet Explorer 8, либо до закрытия окна обозревателя в случае Internet Explorer 6. Прочие заблокированные зоны используются в протоколах, заданных параметром Блокирование сетевых протоколов в групповой политике.

Значения параметров хранятся в одном из нескольких разделах реестра в зависимости от того, каким образом параметр был задан и применяется ли он к конкретному пользователю или к компьютеру (см. таблицу ниже).

Таблица 1.2. Разделы реестра, в которых хранятся параметры зон

Параметр для пользователя	Параметр для компьютера	Задан с помощью групповой политики	Задан в окне «Свойства обозревателя»	Раздел реестра
				HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
				HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Zones\
				HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Lockdown_Zones\
				HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
				HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
				HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\LockdownZones\

В каждом из этих разделов есть подразделы, соответствующие отдельным зонам безопасности.

Эти подразделы кодируются следующим образом:

0 = зона «Локальный компьютер»

1 = зона «Местная интрасеть»

2 = зона «Надежные узлы»

3 = зона «Интернет»

4 = зона «Ограниченные узлы»

Шаблоны зон безопасности определяют, какие действия разрешено выполнять веб-странице. Например, шаблон «Высокий» (уровень безопасности) запрещает веб-странице запускать элементы ActiveX и сценарии. По умолчанию, пользователь, посетивший страницу, находящуюся в зоне «Ограниченные узлы», не сможет воспользоваться этой функциональностью. Дополнительные сведения о зонах безопасности и шаблонах см. в статье MSDN® «О зонах безопасности URL» (на английском языке).

Изменение параметров зон

Пользователь может тремя способами изменить параметры зон в диалоговом окне Свойства обозревателя:

Переместить ползунок на вкладке Безопасность, изменив тем самым шаблон, применяемый к данной зоне. Например, можно изменить уровень безопасности для зоны «Интернет» с «Выше среднего» на «Средний».
Задать свои параметры для некоторой зоны, нажав кнопку Другой на вкладке Безопасность.
Включить в зону дополнительные узлы, нажав кнопку Узлы на вкладке Безопасность. (Эта кнопка недоступна для зоны «Интернет», потому что та, по определению, содержит узлы, не входящие ни в какие другие зоны.)

Примечание. Для зоны Местная интрасеть поведение кнопки Узлы отличается. В этом случае кнопка Узлы позволяет определить, обнаруживается ли местная интрасеть автоматически (режим по умолчанию) или следует применять заданный пользователем критерий. Вы можете включить в эту зону все узлы интрасети, не перечисленные в других зонах; все узлы, подключаемые минуя прокси-сервер, или все сетевые пути (UNC). Но при этом сохраняется возможность включить в зону Местная интрасеть конкретные узлы, для чего достаточно нажать кнопку Дополнительно в окне параметров. Если вы захотите идентифицировать узлы интрасети полными доменными именами (FQDN), то должны будете ввести их в зону Местная интрасеть вручную. Это связано с тем, что Internet Explorer автоматически помещает адреса URL, содержащие точки, например web.mydomain.com, в зону Интернет.

Зачастую администраторы хотят ограничить возможности пользователей по изменению параметров зон. Дополнительные сведения о том, как этого достичь, см. в главе 2 «Рекомендации по обеспечению безопасности Internet Explorer 8».

Определение зоны

Если сама идея зон безопасности и разрешений для них не вызывает вопросов, то логика определения зоны обычно не объясняется, а понимать ее полезно, чтобы эффективно управлять компьютерами. Процедура определения зоны основана на анализе содержимого адресной строки в Internet Explorer, а не на анализе IP-адреса, полученного от DNS-сервера, или значения маски сети. В общем случае в правилах определения зоны рассматривается адрес URL, введенный пользователем. Для определения той зоны, в которой следует открывать узел, применяются следующие правила:

Все узлы, перечисленные в зоне Ограниченные узлы, в этой зоне и открываются.

Все узлы, перечисленные в зоне Надежные узлы, в этой зоне и открываются.

Все узлы, перечисленные в зоне Местная интрасеть, в этой зоне и открываются.

Узлы, перечисленные в списке тех, что подключаются, минуя прокси-сервер, открываются в зоне Местная интрасеть.

Если URL, введенный в адресной строке, не содержит точек, и ему соответствует какой-то узел, то этот узел открывается в зоне Местная интрасеть (например, http://local).

Все остальные узлы открываются в зоне Интернет.

Примечание. Невозможно включить узел сразу в несколько зон.

Важно отметить, что в соответствии с этими правилами узлы интрасети иногда открываются в зоне Интернет. Например, если узел интрасети определен с помощью IP-адреса или полного доменного имени, то он будет открываться в зоне Интернет, так как имя содержит точки.

За пределами зонной модели: общие параметры безопасности

В Internet Explorer 8 имеются также относящиеся к безопасности параметры, никак не связанные с зонами. Эти параметры находятся на вкладках Конфиденциальность, Содержание и Дополнительно диалогового окна Свойства обозревателя, которое открывается из меню Сервис; более подробно мы обсудим его ниже.

Проектирование подразделений для применения политик безопасности Internet Explorer 8

Описываемый в этой главе подход к обеспечению основан на понятии подразделения (organizational unit – OU). Подразделением называется контейнер в домене, построенном с помощью технологии Active Directory. Подразделение может содержать пользователей, группы, компьютеры и другие подразделения. Если одно подразделение содержит другие, то оно называется родительским. Подразделение, находящееся внутри родительского подразделения, называется дочерним.

С подразделением можно связать объект групповой политики (GPO) и впоследствии применить параметры, хранящиеся в этом GPO, ко всем пользователям и компьютерам, принадлежащим данному подразделению и его потомкам. А для упрощения администрирования можно делегировать кому-то административные полномочия в каждом подразделении в отдельности. Подразделения – это простой способ сгруппировать пользователей и компьютеры и очертить административные границы.

Внимание! Мы рекомендуем относить пользователей и компьютеры к разным подразделениям, потому что некоторые настройки применяются только к пользователям, а другие – только к компьютерам.

Чтобы делегировать управление отдельным подразделением или их группой, следует воспользоваться мастером делегирования, который входит в состав оснастки «Active Directory – пользователи и компьютеры» для консоли управления (MMC). Ссылки на документацию по делегированию полномочий см. в разделе «Дополнительная информация» в конце этой главы.

Одна из основных целей при проектировании подразделений для любой среды состоит в том, чтобы заложить основы реализации групповой политики, которая будет применяться ко всем клиентским компьютерам, внесенным в каталог Active Directory. Это гарантирует, что все клиентские компьютеры будут отвечать стандартам безопасности, принятым на предприятии. Структура подразделений должна также допускать задание специальных параметров для некоторых типов пользователей. Например, разработчикам необходимы такие виды доступа к своим компьютерам, которые ни к чему среднему пользователю. Или, у пользователей портативных компьютеров требования к безопасности иные, нежели у пользователей настольных ПК.

На рисунке ниже изображена простая структура подразделений, которой достаточно для обсуждения групповой политики в этой главе. Эта структура, в которой используется базовая конфигурация корпоративного клиента (EC), может не соответствовать требованиям, предъявляемым на вашем предприятии.

Bb629421_VSGF0101(ru-ru,MSDN_10)

Рисунок 1.1. Пример структуры подразделений в случае компьютеров, на которых установлен обозреватель Internet Explorer 8 для Windows 7

Подразделение отдела

Часто в разных структурных подразделениях предприятия требования к безопасности различаются. Поэтому имеет смысл создать одно или несколько подразделений отделов. Такие подразделения можно использовать для применения параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью объекта групповой политики

Подразделение пользователей Windows 7

К этому подразделению относятся учетные записи пользователей в среде корпоративного клиента. Параметры, применяемые к этому подразделению, подробно описаны в файле Internet Explorer 8 Security Baseline Settings.xls, прилагаемом к настоящему руководству.

Подразделение компьютеров с Windows 7

Это подразделение содержит по одному дочернему подразделению для каждого типа клиентских компьютеров с установленным обозревателем Internet Explorer 8 for Windows 7 в среде EC. В Руководстве по безопасности Windows 7 проводится четкое различие между настольными и портативными ПК с точки зрения обеспечения их безопасности. Поэтому авторы настоящего руководства создали такие подразделения для компьютеров:

Настольные компьютеры. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, применяемые к этому подразделению, подробно описаны в файле Internet Explorer 8 Security Baseline Settings.xls.

Портативные компьютеры. Это подразделение включает переносные компьютеры мобильных пользователей, которые не всегда подключены к сети. В файле Internet Explorer 8 Security Baseline Settings.xls Excel описаны также параметры, применяемые к этому подразделению.

Схема объектов групповой политики для политик безопасности

Объектом групповой политики (GPO) называется совокупность параметров групповой политики, которые по сути являются файлами, создаваемыми в оснастке «Групповая политика». Эти параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, домена и подразделениях.

Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры.

Bb629421_VSGF0102(ru-ru,MSDN_10)

Рисунок 1.2. Очередность применения объектов групповой политики

На предыдущем рисунке показана очередность, в которой объекты групповой политики (GPO) применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера с установленным Internet Explorer 8 для Windows 7. Затем применяются GPO на уровне сайта, а затем на уровне домена.

Если клиентский компьютер с Internet Explorer® 8 для Windows 7 принадлежит подразделению с несколькими уровнями, то объекты групповой политики применяются в порядке от родительского подразделения до дочернего подразделения самого низкого уровня. Последним применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Описанный порядок обработки объектов групповой политики — локальная политика безопасности, сайт, домен, родительское подразделение и дочернее подразделение — очень важен, так как объекты групповой политики, которые применяются позже, переопределяют примененные ранее объекты. GPO пользователей применяются таким же образом.

При разработке групповой политики необходимо учитывать следующее:

• Администратор должен задать порядок, в котором несколько объектов групповой политики привязываются к подразделению, иначе групповая политика будет по умолчанию применяться в том порядке, в котором объекты привязывались. Если один и тот же параметр настроен в нескольких политиках, приоритет будет иметь политика, идущая в списке первой.

• Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в этом объекте групповой политики.

• Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать наследование политики. Этот параметр блокирует параметры объектов групповой политики, которые расположены выше в иерархии Active Directory, если для них не задан параметр Принудительный. Другими словами, параметр Принудительный имеет приоритет над параметром Блокировать наследование политики.

• Параметры групповой политики применяются к пользователям и компьютерам и зависят от места пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять политику к объектам пользователей на основе расположения объектов компьютеров, а не пользователей. Функция замыкания на себя групповой политики позволяет администраторам применять параметры групповой политики для пользователя в зависимости от того, в систему какого компьютера он вошел. Дополнительную информацию об этом параметре см. в статье «Режим замыкания при обработке групповой политики».

Средства обеспечения безопасности и конфиденциальности в Internet Explorer 8

Безопасность работы пользователя, выбор подходящего режима и контроль – это ключевые темы в обозревателе Internet Explorer 8, который содержит много новшеств, призванных придать большую уверенность при посещении веб-страниц. В этом разделе мы рассмотрим некоторые средства и технологии обеспечения безопасности и конфиденциальности, появившиеся в Explorer 8, в том числе:

фильтр SmartScreen;
защита от фишинга и вредоносных программ;
защита от ClickJacking;
фильтр запуска сценариев между узлами (XSS);
выделение домена;
защищенный режим Internet Explorer;
явное согласие на запуск элементов ActiveX;
просмотр в режиме InPrivate;
фильтрация InPrivate.

Фильтр SmartScreen

В состав обозревателя Internet Explorer 8 включен фильтр SmartScreen – набор технологий, предназначенных для защиты пользователей от новых встречающихся в веб угроз, в том числе реализуемых методами социальной инженерии. Фильтр SmartScreen базируется на функциональности фильтра фишинга в Internet Explorer 7 и расширяет ее.

Фильтр SmartScreen защищает пользователя, просматривающего веб-страницы, от уже известных подставных и вредоносных узлов. Кроме того, фильтр SmartScreen включает средства защиты от техники ClickJacking, которую хакеры применяют для перехвата нажатий клавиш, кражи учетных данных пользователя, искажения веб-страниц и других типов атак. Также фильтр SmartScreen содержит новый фильтр запуска сценариев между узлами, предотвращающий атаки типа 1.

Защита от фишинга и вредоносных программ

Фишингом называется техника, которую многие атакующие применяют для того, чтобы обманом заставить пользователя сообщить финансовую или личную информацию в сообщении электронной почты или на веб-узле. Фишер маскируется под легитимное физическое или юридическое лицо и выманивает такую информацию, как пароли к учетным записям или номера кредитных карточек. Фильтр SmartScreen в Internet Explorer 8 предупреждает пользователя о подозрительных или уже известных подставных узлах, делая тем самым путешествие по Интернету более безопасным. Фильтр анализирует содержимое веб-узла, пытаясь найти признаки известных технологий фишинга, а также использует глобальную сеть источников данных для определения надежности веб-узла. Кроме того, фильтр SmartScreen Filter обеспечивает динамическую защиту от вредоносного ПО, удерживая пользователей от посещения узлов, замеченных в распространении такого ПО, и от загрузки файлов с вредоносным содержимым.

В состав фильтра SmartScreen входит целый ряд различных технологий и часто обновляемая онлайновая служба, что позволяет ему получать самую актуальную информацию о жульнических веб-узлах и использовать ее для того, чтобы своевременно предупреждать и защищать пользователей, работающих с обозревателем Internet Explorer 8.

Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительных характеристик с онлайновой службой, доступ к которой пользователь может разрешить или запретить. Фильтр реализует защиту от подставных и вредоносных узлов тремя способами:

Сравнение адресов известных надежных веб-узлов, на которые пользователь пытается зайти, со списком известных узлов с высоким трафиком, который хранится на компьютере пользователя. Если узел найден в этом списке, больше никаких проверок не производится.
Анализ узла, на который пользователь собирается зайти, на предмет наличия признаков, характерных для подставных узлов.
Отправка адреса узла, на который пользователь собирается зайти, онлайновой службе, поддерживаемой корпорацией Майкрософт, которая тут же ищет узел в часто обновляемом списке узлов, замеченных в фишинге и распространении вредоносного ПО. В этот список входят узлы, вредоносность которых подтверждена авторитетными источниками, сообщившими о них Майкрософт.

Примечание. Доступ к онлайновой службе производится асинхронно по SSL-соединению, так что это не сказывается на загрузке страниц и не мешает работе пользователя. Если обратиться к службе не удалось, то страница отображается как обычно, а в строке состояния появляется всплывающее сообщение о недоступности службы.

Примечание. С помощью Internet Explorer можно проанализировать любой узел и узнать, является ли он подставным; для этого достаточно выбрать из меню Сервис пункт Фильтр SmartScreen, а затем команду Проверить веб-узел.

Уважая конфиденциальность пользователя, фильтр SmartScreen спрашивает, хочет ли пользователь включить или отключить эту функцию, – по умолчанию не установлен ни тот, ни другой режим. Пользователя можно лишить возможности выбора, подавив вопрос при первом обращении или собрав с помощью IEAK заказной пакет для предприятия. Чтобы фильтр SmartScreen выполнял свою защитную функцию, мы рекомендуем организациям при конфигурировании системы включать SmartScreen и запрещать пользователям его отключение. Кроме того, мы рекомендуем удалять ссылку Щелкните чтобы продолжить, присутствующую в предупреждениях SmartScreen, которые появляются, когда фильтр обнаруживает подставной или вредоносный узел. Дополнительную информацию о том, как запретить пользователям отключать фильтр SmartScreen Filter и не дать им проигнорировать предупреждения, см. в главе 3 «Рекомендации по настройке конфиденциальности».

Защита от ClickJacking

Фильтр SmartScreen теперь включает новую функцию, призванную обнаруживать и предотвращать ClickJacking. Она является частью основного кода Internet Explorer 8, поэтому всегда включена и не может быть выключена.

Перехват щелчка, или ClickJacking, происходит, когда атакующему удается обманом заставить ничего не подозревающего пользователя щелкнуть по содержимому, полученному из другого домена. Против техники ClickJacking большинство мер противодействия подделке HTTP-запросов (CSRF – cross-site request forgery) бессильны, и атакующий может использовать ее для изменения конфигурации надстроек над обозревателем небезопасным образом.

Атакующий демонстрирует набор фиктивных кнопок, а затем загружает поверх них другую страницу в прозрачном слое. Пользователь думает, что нажимает видимые кнопки, тогда как на самом деле выполняет какие-то действия на скрытой странице. Возможно, скрытая страница уже прошла процедуру аутентификации, поэтому атакующий может обманом заставить пользователя сделать нечто, что тот делать не намеревался. И проследить такую последовательность событий впоследствии невозможно, так как пользователь честно аутентифицировал себя на другой странице.

Чтобы узел мог воспользоваться дополнительной защитой от атак типа ClickJacking, необходимо включить заголовок X-FRAME-OPTIONS в состав HTTP-заголовков или в тег META HTTP-EQUIV. Дополнительные сведения об атаках типа ClickJacking, см. в блоге Безопасность IE8, часть VII: защита от ClickJacking (на английском языке).

Фильтр запуска сценариев между узлами (XSS)

Новая функция «Фильтр запуска сценариев между узлами (XSS)», входящая в состав фильтра SmartScreen, защищает пользователя от некоторых видов атак на серверные приложения. Они носят названия «атаки типа 1», или «атаки отражением», и являются наиболее распространенным видом атак посредством запуска сценариев между узлами. Это происходит, когда некоторый код, обычно в форме сценария, передается веб-серверу, а затем возвращается пользователю. Например, если информация, отправленная веб-обозревателем, без какой-либо проверки используется серверным сценарием, для генерации страницы, посылаемой пользователю. Если входная информация не проверяется, то отправленные пользователем данные могут быть включены в результирующую страницу без HTML-кодирования, так что код, введенный на стороне клиента, «отражается» на странице, посылаемой другому пользователю.

Фильтр XSS защищает пользователя от таких атак, анализируя возвращенные ему данные. Путем анализа потока данных Internet Explorer 8 может распознать некоторые действия, которые при обычных обстоятельствах не должны встречаться, и запретить выполнение вредоносного сценария. Дополнительные сведения о параметрах фильтра XSS см. в главе 2 «Рекомендации по обеспечению безопасности Internet Explorer 8».

Примечание. По умолчанию защита от Clickjacking и XSS включена. Защита от ClickJacking является частью стратегии глубоко эшелонированной обороны обозревателя и не может быть отключена. Однако пользователь может отключить фильтр XSS. Также пользователь может включить фильтр SmartScreen для защиты от фишинга и вредоносного ПО (как описано выше).

Выделение домена

Быть может, наиболее заметным изменением во внешнем виде адресной строки в Internet Explorer 8 является функция выделения домена. Internet Explorer 8 автоматически выделяет часть, которую можно считать основным доменом просматриваемого узла. Это помогает пользователю идентифицировать истинный источник узла в случае, когда узел пытается ввести его в заблуждение. Эта новая функция является частью технологии улучшенной адресной строки в Internet Explorer 8, которая дает более отчетливые визуальные признаки происхождения веб-узлов и используемого ими метода шифрования. Выделение домена включено всегда (его нельзя отключить) и видно одновременно со всеми остальными предупреждениями и оповещениями в адресной строке, в том числе о наличии сертификата с расширенной проверкой и о подставном узле. Дополнительную информацию о SSL-сертификатах с расширенной проверкой см. на странице Internet Explorer и значимость для бизнеса SSL-сертификатов с расширенной проверкой (на английском языке) веб-узла, посвященного Internet Explorer.

Защищенный режим Internet Explorer

Защищенный режим Internet Explorer доступен на компьютерах с установленным обозревателем Internet Explorer 7 или Internet Explorer 8 для следующих операционных систем: Windows Server 7 и Windows Vista. Функция защищенный режим реализует дополнительные меры защиты, разрешая приложению доступ только к определенным участкам файловой системы и реестра. Кроме того, защищенный режим не дает вредоносной программе перехватить управление обозревателем и выполнить код с повышенными привилегиями.

Защищенный режим уменьшает риск от наличия известных уязвимостей в расширениях обозревателя, не позволяя использовать их для скрытой установки вредоносного кода. В этой функции используются механизмы с более высоким уровнем целостности, чем в Windows 7 и Windows Vista, которые для достижения поставленной цели ограничивают доступ к процессам, файлам и разделам реестра. Интерфейс прикладного программирования (API) защищенного режима позволяет поставщикам ПО разрабатывать расширения и надстройки над Internet Explorer, способные взаимодействовать с файловой системой и реестром даже тогда, когда обозреватель работает в защищенном режиме.

В защищенном режиме обозреватель Internet Explorer 8 работает с урезанным набором прав, что позволяет предотвратить изменение пользовательских и системных файлов и параметров без получения явного согласия пользователя. Кроме того, защищенный режим стал более дружественным к пользователю, чем было в версии Internet Explorer 7, если использовать его в сочетании с новой архитектурой Loosely Coupled Internet Explorer (LCIE). В двух словах, LCIE разрывает связь между окнами и процессами Internet Explorer, благодаря чему вкладки, работающие в защищенном режиме, могут находиться в одном окне с вкладками, работающими в обычном режиме. Это усовершенствование устраняет необходимость в «процессе-брокере», который имелся в Internet Explorer 7, и передает все функции, требующие расширения, на уровень оконного процесса.

По умолчанию защищенный режим включен для всех пользователей, кроме того, который входит от имени встроенной учетной записи Администратор. Другие учетные записи с правами администратора по умолчанию работают в защищенном режиме. Чтобы отключить защищенный режим, можно либо запустить обозреватель со специальным флагом, либо внести изменения в реестр или объект групповой политики. Чтобы запустить Internet Explorer 8 без защищенного режима на компьютере под управлением Windows 7 или Windows Vista, необходимо щелкнуть правой кнопкой мыши по значку Internet Explorer, выбрать из контекстного меню команду Запуск от имени администратора, ввести соответствующие учетные данные и нажать клавишу ENTER.

По умолчанию защищенный режим Internet Explorer 8 включен для зон безопасности Интернет и Ограниченные узлы. Однако пользователь может его отключить, что негативно скажется на общей безопасности.

Явное согласие на запуск элементов ActiveX

В Internet Explorer 7 появился механизм явного согласия на запуск элементов ActiveX (ActiveX Opt-in), автоматически отключающий все элементы управления, которые пользователь не разрешил явно, уменьшая тем самым риск злонамеренного использования предустановленных элементов. В Internet Explorer 8 этот механизм защиты получил дальнейшее развитие – стало возможно более точно настраивать параметры ActiveX Opt-in на уровне пользователя и домена. Эти добавочные средства контроля позволяют с большей уверенностью защищать пользователей и их системы от злонамеренных атак.

Перед тем как обратиться к установленному элементу ActiveX, который ранее не использовался при работе в Интернете, Internet Explorer сообщает об этом пользователю на панели информации. Этот механизм уведомления позволяет пользователю разрешить или запретить доступ к каждому отдельному элементу и для каждого узла, что еще больше сужает возможности для атаки. Злонамеренные пользователи не смогут воспользоваться веб-узлами для проведения автоматизированных атак с помощью элементов ActiveX, которые никогда не предназначались для работы в Интернете. Управление параметрами на уровне пользователя усиливает защиту, так как разрешенным элементом сможет воспользоваться только тот, кто его разрешил, что минимизирует воздействие на других пользователей. Управление параметрами на уровне домена гарантирует, что разрешенным элементом можно будет воспользоваться только на тех веб-узлах, к которым пользователь планировал обращаться, а прочие узлы по-прежнему нуждаются в явном разрешении на использование того же самого элемента.

Просмотр в режиме InPrivate

Режим просмотра InPrivate позволяет запретить обозревателю Internet Explorer 8 сохранение истории обзора, файлов cookie и других данных. Иногда при использовании общего ПК, ноутбука, одолженного у приятеля, или ПК, установленного в общественном месте, вы не хотите, чтобы другие люди знали, какие веб-узлы вы посещаете. Режим просмотра InPrivate в Internet Explorer 8 упрощает конфиденциальное использование обозревателя за счет того, что не сохраняется история, файлы cookie, временные файлы Интернета и другие данные.

Режим InPrivate имеет следующие отличия:

отключаются модули поддержки обозревателя (BHO) и панели инструментов;
не сохраняются новые файлы cookie;
- если веб-узел пытается создать сохраняемый файл cookie, то обозреватель преобразует его в сеансовый и удаляет по завершении сеанса;
- ранее сохраненные файлы cookie не считываются и не отправляются серверу;
- новая функция хранилища DOM ведет себя аналогично;
в историю обзора не добавляются новые записи;
вновь созданные временные файлы Интернета удаляются после закрытия окна просмотра InPrivate;
не сохраняются данные форм;
не сохраняются пароли;
не сохраняются адреса, введенные в адресной строке;
не сохраняются запросы, введенные в поле поиска.

Кроме того, панели инструментов и модули поддержки обозревателя по умолчанию отключены. Пользователь может включить эти функции на вкладке Конфиденциальность в диалоговом окне Свойства обозревателя, которое доступно с помощью меню Сервис.

Фильтрация InPrivate

Функция фильтрации InPrivate дает пользователю дополнительные средства контроля над сторонними узлами, которым он согласен передавать данные о своем поведении в Интернете. Веб-узлы все чаще обращаются к содержимому из разных источников, что приносит огромную пользу как потребителям, так и самим веб-узлам. Однако пользователи часто не осознают, что фрагменты содержимого, некоторые изображения, рекламные объявления и аналитические данные предоставляются сторонними узлами, и что эти узлы имеют возможность отслеживать (посредством агрегирования и корреляции данных) поведение отдельного пользователя на различных веб-узлах. Фильтрации InPrivate дает пользователю дополнительные средства контроля над тем, какую именно информацию сторонние веб-узлы смогут использовать для отслеживания поведения в сети.

Примечание. Детальный обзор этой функции и пользовательских настроек можно найти в документе Руководство по средствам конфиденциальности и контроля со стороны пользователя в Internet Explorer 8 (на английском языке).