Глава 2. Рекомендации по обеспечению безопасности Internet Explorer 8
Для повышения безопасности параметров, установленных по умолчанию в обозревателе Windows® Internet Explorer® 8, недостаточно просто поменять какие-то значения на вкладке Безопасность в диалоговом окне Свойства обозревателя или передвинуть ползунок уровня безопасности для каждой зоны в положение Высокий. Такие кардинальные изменения параметров просто не дадут пользователям нормально просматривать веб-узлы и потому сделают обозреватель бесполезным. В этом разделе обсуждаются различные изменения, которые администратор может внести в параметры Internet Explorer 8 на подведомственных компьютерах, чтобы повысить безопасность, не слишком затрагивая функциональность обозревателя.
Параметры Internet Explorer 8 и приводимые в этой главе рекомендации можно разбить на шесть категорий:
- управление надстройками;
- отключение активных сценариев;
- обеспечение безопасности с помощью зон;
- обеспечение безопасности с помощью сертификатов;
- понижение уровня привилегий приложения;
- прочие параметры безопасности;
В приложении A к настоящему руководству приведен контрольный список всех параметров, которые мы рекомендуем реализовать. В этой главе подробно рассматриваются все эти параметры и соответствующие рекомендации.
Примечание. Помимо задания параметров, обсуждаемых в этой главе, можно также воспользоваться групповой политикой, чтобы исключить некоторые вкладки из диалогового окна Свойства обозревателя, например Подключения и Дополнительно. Однако, даже убрав эти вкладки, все равно следует принудительно установить отдельные параметры, чтобы пользователь не мог изменить их путем редактирования локального реестра.
Управление надстройками
Корпорация Майкрософт реализовала платформу ActiveX®, чтобы дать веб-разработчикам возможность расширять стандартную функциональность обозревателя. С помощью платформы ActiveX разработчикам удалось создать обогащенные интерактивные приложения, способные интегрировать данные практически из любого источника. Хотя при проектировании платформы ActiveX учитывались вопросы безопасности и были включены такие средства, как Authenticode®, позволяющие защищать код, очень важно, чтобы при использовании этого механизма пользователи следовали рекомендациям по обеспечению безопасности обозревателя. Internet Explorer 8 позволяет контролировать расширения с помощью функции управления надстройками. В этом разделе будут приведены рекомендации по работе с элементами ActiveX и другим активным содержимым.
Ограничение элементов ActiveX
Пользователи зачастую желают устанавливать программное обеспечение, например элементы ActiveX, которое не разрешено политикой безопасности, принятой на предприятии. Это ПО может отрицательно сказаться на безопасности и конфиденциальности сетей. Чтобы не дать пользователям устанавливать неразрешенные элементы ActiveX, мы рекомендуем использовать групповую политику, которая подавит задание вопроса о разрешении установки в процессах Internet Explorer, запретив тем самым установку элементов ActiveX из Internet Explorer. Важно отметить, что это ограничение распространяется также на вполне законные элементы ActiveX controls, которые могут быть необходимы для нормальной деятельности предприятия, например Windows Update. Ограничивая установку элементов ActiveX, не забудьте воспользоваться каким-либо механизмом, например групповой политикой, для помещения всех необходимых элементов ActiveX на рабочие столы пользователей. Дополнительные сведения об этой рекомендации см. в следующем разделе. Применение этого ограничения также требует организации какого-либо альтернативного способа доставки обновлений безопасности, например службы Windows Server® Update Services (WSUS).
В следующей таблице приведено имя объекта политики и его расположение в групповой политике.
Таблица 2.1. Ограничение возможности установки элементов ActiveX
| Объект политики | Расположение |
|---|---|
Процессы Internet Explorer (ограничение установки элементов ActiveX) |
Конфигурация компьютера\Административные шаблоны\Компоненты Windows \Internet Explorer\Средства безопасности\Ограничение установки элементов ActiveX |
Управление настройками ActiveX на уровне узла
Internet Explorer 8 дает администраторам возможность управлять элементами ActiveX на уровне отдельного узла и, следовательно, разрешать выполнение таких элементов только на тех узлах, которые были одобрены.
IT-специалисты, отвечающие за администрирование системы, состоящей из компьютеров с установленным Internet Explorer 8, могут при желании заранее установить разрешенные элементы и ассоциировать с ними домены. Реализовать и применить такие параметры можно с помощью каталога Active Directory и групповой политики. Разрешенные домены и элементы управления хранятся в следующем разделе куста реестра HKEY_CURRENT_USER:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CLSID} \iexplore\AllowedDomains\{Домен или *}
Здесь {CLSID} – это Class ID рассматриваемого элемента, а {Домен или *} –домены, которым разрешено запускать указанный элемент управления (* представляет все домены).
Допустимы следующие значения:
- REG_DWORD Blocked
- REG_DWORD Count
- REG_DWORD Flags
- REG_DWORD Binary
- REG_DWORD Type
Использование элементов ActiveX, подключаемых модулей и предварительно утвержденных списков
Вышеупомянутый параметр гарантирует, что элементы ActiveX не смогут работать на клиентском компьютере, если предварительно не были одобрены. Однако в некоторых организациях такая настройка считается чрезмерно ограничительной. В таком случае как минимум отключите параметр Разрешить запуск элементов управления ActiveX, которые ранее не использовались, без предупреждения для зон Интернет и Ограниченные узлы; такая конфигурация установлена в обозревателе по умолчанию. При такой настройке, известной еще как режим ActiveX Opt-In, гарантируется, что элементы управления будут использоваться, как задумано, и система не подвергнется атаке просто из-за того, что пользователь зашел на некий веб-узел. Однако у режима ActiveX Opt-In есть и недостаток, заключающийся в том, что хорошо известные и безвредные узлы не будут функционировать как должно, если пользователь не разрешит запуск элемента управления.
Каким бы образом вы ни ограничивали установку элементов ActiveX, всегда остается риск негативного влияния на необходимую предприятию функциональность. Поэтому мы рекомендуем скопировать заранее одобренные элементы на компьютеры пользователей, которыми вы управляете, например, с помощью групповой политики, и включить их в предварительно утвержденный список для Windows, добавив CLSID (глобально уникальный идентификатор, однозначно определяющий COM-класс) каждого элемента в следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Ext\PreApproved
Примечание. Если элемент ActiveX содержит уязвимость, представляющую угрозу для пользователей, то Майкрософт может запретить его использование с помощью обновления безопасности, распространяемого через узлы Windows Update, Microsoft Update или Windows Server Update Services. В таком случае элемент отключается, даже если он входит в список предварительно утвержденных.
Установленный элемент можно включать и выключать, манипулируя флагами в разделе реестра, который соответствует глобально уникальному идентификатору (GUID) элемента. Если у вас еще нет каталога GUID'ов, используемых на предприятии, то его нужно обязательно составить. Один из способов составить список GUID’ов таков: установить операционную систему на чистый компьютер, вручную сконфигурировать ее, установить все используемые на предприятии приложения и посмотреть, какие GUID’ы появились в ветви реестра, которая относится к Internet Explorer. Так вы получите минимальный перечень элементов управления, необходимых в вашей среде. Затем этот перечень GUID’ов можно использовать для составления списка предварительно утвержденных элементов.
Для работы с внутренним списком утвержденных элементов управления мы рекомендуем использовать объекты групповой политики, поскольку это повышает безопасность и эффективность функции ActiveX Opt-In. Дополнительные сведения о безопасности элементов ActiveX и о рекомендуемых способах управления ими см. статью Безопасность ActiveX: усовершенствования и передовой опыт (на английском языке) в MSDN®.
Отключение активных сценариев
В 2002 году корпорация Майрософт внедрила методику Security Design Lifecycle (SDL), чтобы повысить качество ПО с точки зрения безопасности и уменьшить последствия обнаруженных уязвимостей. Хотя SDL доказала свою эффективность и привела к существенному уменьшению количества уязвимостей и эксплойтов, все равно совершенных программ и процессов не существует. Новая функциональность, появившаяся в Web 2.0, принесла с собой и новые угрозы безопасности. Да, разработка защищенного кода очень важна, но не менее важно иметь план реагирования на возможную компрометацию или уязвимость. Бывает, что уязвимость начинает эксплуатироваться еще до того, как о ней сообщено компании-производителю. Такие уязвимости получили название уязвимости нулевого дня.
Бывает также, что об уязвимости сообщено, но для разработки и надлежащего тестирования устраняющей ее заплаты требуется время. Чтобы уменьшить потенциальный риск, порекомендуйте пользователям не заходить на неизвестные веб-узлы и с осторожностью щелкать ссылки. Кроме того, администраторы могут воспользоваться параметром Активные сценарии, чтобы защититься от вновь обнаруженной уязвимости, для которой еще не выпущено обновление. Мы рекомендуем с помощью групповой политики устанавливать для этого параметра значение Отключить в качестве реакции на атаки нулевого дня и другие критические атаки посредством сценариев. Однако при обычных обстоятельствах его лучше оставить включенным, чтобы не препятствовать нормальному функционированию веб-узла и не мешать работе пользователей.
Посмотреть и сконфигурировать параметр Активные сценарии можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\<зона>
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.2. Параметр «Активные сценарии»
| Объект политики | Описание |
|---|---|
Активные сценарии |
Этот параметр определяет, разрешено ли выполнение сценариев в указанной <зоне>. По умолчанию сценарии на страницах, отнесенных к указанной <зоне>, запускаются без подтверждения. |
Поддержка сценариев
В обозревателе Internet Explorer имеется поддержка клиентских сценариев. Так называются программы, загружаемые из веб и выполняемые в обозревателе пользователя. Распространенным частным случаем клиентских сценариев являются внедренные сценарии, которые включены непосредственно в HTML-документ. Другая разновидность – внешние сценарии. Это отдельные файлы, на которые имеется ссылка в документе, где они используются. В Internet Explorer 8 встроена поддержка нескольких языков сценариев, в том числе VBScript, JScript® и ECMAScript.
Клиентские сценарии – необычайно важная особенность обозревателя, так как она позволяет посетителю веб-узла видеть содержимое, динамически изменяющееся в зависимости от тех или иных условий, например: версии обозревателя, времени суток или учетных данных пользователя. Но такая мощь сопряжена с определенными опасностями, а поскольку сценарий поступает с веб-сервера, то следует разрешать его локальное выполнение лишь, если сервер заслуживает доверия. В этом и последующих разделах приведены рекомендации, как уменьшить риск, связанный с запуском клиентских сценариев.
Примечание. В этом разделе рассматриваются клиентские сценарии. Не путайте их с серверными сценариями. Веб-серверы, например Internet Information Services (IIS), обычно поддерживают написание серверных сценариев на таких языках, как VBScript, JScript или Perl. Результат работы серверного сценария доставляется в виде стандартного HTML-содержимого, поэтому для пользователя они не так опасны, как клиентские сценарии.
Включение ограничений безопасности для обрабатываемых сценариями окон
Internet Explorer позволяет сценариям программно открывать окна разных типов, а также изменять их размер и положение на экране. В частности, таким образом можно открыть всплывающее окно, в котором заголовок и строка состояния либо не видны, либо перекрывают заголовок и строку состояния другого окна.
Мы рекомендуем с помощью групповой политики запретить запуск подобных сценариев в процессах Internet Explorer и Windows Explorer.
Посмотреть и сконфигурировать параметр «Ограничения безопасности для обрабатываемых сценариями окон» можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Ограничения безопасности для обрабатываемых сценариями окон
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.3. Параметр «Ограничения безопасности для обрабатываемых сценариями окон»
| Объект политики | Описание |
|---|---|
Все процессы |
Если этот параметр включен, то на обработку окон сценариями налагаются ограничения во всех процессах. По умолчанию обработка окон сценариями в обозревателе не ограничена. |
Обеспечение безопасности с помощью зон
В Internet Explorer большая часть параметров, относящихся к безопасности, сосредоточена в зонах безопасности. По умолчанию пользователь может вносить в зоны изменения следующими способами: изменить назначенный зоне уровень безопасности, задать специальные параметры для каждой зоны или добавить узлы в зоны Местная интрасеть, Надежные узлы либо Ограниченные узлы. Администраторам большинства организаций мы рекомендуем с помощью групповой политики зафиксировать уровни безопасности зон и запретить пользователям вносить многие изменения. В следующих разделах описано, как повысить зонную безопасность в Internet Explorer 8.
Включение защиты от повышения уровня зоны
Internet Explorer налагает ограничения на каждую открываемую веб-страницу. Ограничения зависят от того, в какой зоне открывается страница: Интернет, Местная интрасеть или Локальный компьютер. На страницы, расположенные на локальном компьютере и отнесенные, следовательно, к зоне Локальный компьютер, налагается меньше всего ограничений, что делает их самой заманчивой мишенью для атак злоумышленников.
Если включить параметр Защита от повышения уровня зоны, то процессы Internet Explorer смогут защитить любую зону от повышения уровня. Такой подход позволяет предотвратить исполнение содержимого, отнесенного к одной зоне, с повышенными привилегиями, ассоциированными с другой зоной. Если отключить этот параметр политики, то ни одна зона не получит такой защиты.
Из-за серьезности последствий и относительной частоты атак на повышение уровня зоны мы рекомендуем включать параметр Защита от повышения уровня зоны.
Посмотреть и сконфигурировать параметр Защита от повышения уровня зоны можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Защита от повышения уровня зоны
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.4. Параметр «Защита от повышения уровня зоны»
| Объект политики | Описание |
|---|---|
Процессы Internet Explorer |
Internet Explorer налагает ограничения на каждую открываемую веб-страницу. Ограничения зависят от того, в какой зоне находится страница (Интернет, Местная интрасеть, Локальный компьютер и так далее). На страницы, расположенные на локальном компьютере и отнесенные к зоне Локальный компьютер, налагается меньше всего ограничений, что делает их самой заманчивой мишенью для атак злоумышленников. Повышение уровня зоны также отключает переход с помощью JavaScript, если отсутствует контекст безопасности. Если этот параметр политики включен, то любая зона может быть защищена от повышения уровня процессами Internet Explorer. Если отключить этот параметр, то ни одна зона не получит такой защиты. Если этот параметр не задан, то любая зона может быть защищена от повышения уровня процессами Internet Explorer |
Не разрешайте пользователям добавлять в зону узлы или удалять узлы из зоны
По умолчанию пользователи могут добавлять узлы в зоны Местная интрасеть, Надежные узлы и Ограниченные узлы, а также удалять узлы из этих зон. Добавление узла в зону Надежные узлы или удаление его из зоны Ограниченные узлы потенциально может привести к запуску вредоносного кода на компьютере.
Мы рекомендуем с помощью групповой политики запретить пользователям добавление и удаление узлов для зоны безопасности. Помимо этого, параметр групповой политики Не разрешать пользователям добавлять или удалять веб-узлы для зоны безопасности запрещает пользователям изменять параметры в зоне Местная интрасеть.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.5. Параметр «Не разрешать пользователям добавлять или удалять узлы для зоны безопасности»
| Объект политики | Описание |
|---|---|
Зоны безопасности: Не разрешать пользователям добавлять/удалять узлы |
Этот параметр запрещает пользователям добавлять и удалять узлы для зон безопасности. Если он отключен или не задан, то пользователи смогут добавлять и удалять узлы для зон Надежные узлы и Ограниченные узлы, а также изменять параметры в зоне Локальный компьютер. |
Хотя мы рекомендуем включать этот параметр, следует понимать, что он может негативно отразиться на работе пользователей, особенно в сочетании с дополнительными ограничениями на зону Интернет. В некоторых случаях у пользователя может возникнуть желание добавить узел в менее ограниченную зону, если он не может получить к нему доступ в зоне Интернет. Если такая возможность отключена, то пользователь не сможет зайти на конкретный узел, пока администратор от его имени не поместит узел в менее ограниченную зону.
Примечание. Если включить параметр Отключить вкладку «Безопасность» (находится в папке \Конфигурация пользователя\Административные шаблоны\Компоненты Windows \Internet Explorer\Панель управления обозревателем), то вкладка Безопасность исчезнет из интерфейса, причем этому параметру отдается приоритет над параметрами зон безопасности.
Не разрешайте пользователям изменять политики для зон безопасности
По умолчанию пользователь может изменить уровень безопасности для любой зоны, переместив ползунок на вкладке Безопасность в окне Свойства обозревателя. Кроме того, пользователям разрешено задавать нестандартные параметры для зон. Тем самым пользователь может изменить любой параметр, и, как следствие, понизить уровень безопасности и разрешить выполнение вредоносного кода.
Мы рекомендуем с помощью групповой политики запретить пользователям изменять уровень безопасности или модифицировать настройки для любой зоны, включив параметр Запретить пользователям изменять политики.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.6. Параметр «Запретить пользователям изменять политики»
| Объект политики | Описание |
|---|---|
Зоны безопасности: Запретить пользователям изменять политики для зон безопасности |
Этот параметр запрещает пользователям изменять параметры зон безопасности. Если он отключен или не задан, то пользователи смогут изменять параметры зон безопасности. |
Примечание. Если включить параметр Отключить вкладку «Безопасность» (находится в папке \Конфигурация пользователя\Административные шаблоны\Компоненты Windows \Internet Explorer\Панель управления обозревателем), то вкладка Безопасность исчезнет из интерфейса, причем этому параметру отдается приоритет над параметрами зон безопасности.
Обеспечение безопасности с помощью сертификатов
Для безопасной передачи данных между обозревателем и сервером необходимо использовать сертификаты и протокол SSL или Transport Layer Security (TLS). Internet Explorer 8 поддерживает как SSL, так и TLS, причем обозреватель пытается известить пользователя о таких проблемах или ошибках, как истечение срока действия сертификата или несовпадение имен. По умолчанию в Internet Explorer 8 установлен режим, когда в окне красным цветом показывается предупреждение об ошибке сертификата, призывающее пользователя проявить осторожность и, быть может, воздержаться от посещения узла. Но при желании пользователь может продолжить операцию. Существует много причин, по которым сертификат может содержать ошибку, но общедоступные, правильно обслуживаемые узлы не должны генерировать ошибочные сертификаты. Описываемый ниже параметр позволяет администраторам воспрепятствовать игнорированию сообщения об ошибке сертификата и тем самым снизить риск подвергнуться атаке.
Запрещайте пользователям доступ к узлам с ошибочными сертификатами
Со временем сертификат может быть отозван или у него может истечь срок действия. Бывает также, что для конкретной веб-страницы используется некорректный сертификат или фактический адрес веб-узла не соответствует адресу, указанному в сертификате. По умолчанию обозреватель предупреждает пользователя об ошибках сертификата, но разрешает продолжить переход к веб-странице. Проблема в том, что любой человек может выпустить самозаверенный сертификат, якобы связанный с легитимным веб-узлом, а затем создать свой узел, внешне полностью повторяющий легитимный. Internet Explorer выводит предупреждение, когда обнаруживает сертификат, который не был выпущен доверенным центром сертификации. Однако, если пользователь привык игнорировать сообщения об ошибках и предупреждения, не задумываясь об их важности, то его легко обманом заманить на вредоносный веб-узел. Хотя отозванный или истекший сертификат сам по себе не несет угрозы безопасности, он может свидетельствовать о том, что данному узлу больше нельзя доверять. Поэтому мы рекомендуем с помощью групповой политики включить параметр Запретить пропуск ошибок сертификата, чтобы не дать пользователям перейти на узел, для которого выдается сообщение об ошибке сертификата.
Включение этого объекта политики никак не скажется на производительности, но может вызвать обращения в службу поддержки со стороны пользователей, которым не удается зайти на интересующие их узлы. На узлы, перечисленные в зоне Надежные узлы, этот параметр не распространяется, поэтому если критически важный для работы предприятия узел имеет сертификат с истекшим сроком действия или не совпадающими именами, то в качестве временной меры, до замены сертификата, его можно поместить в зону Надежные узлы.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.7. Параметр «Запретить пропуск ошибок сертификата»
| Объект политики | Описание |
|---|---|
Запретить пропуск ошибок сертификата |
Internet Explorer считает фатальными любые ошибки SSL/TLS-сертификата, например «истек срок действия», «отозван» или «несовпадение имен», и прерывает переход к узлу. Если этот параметр отключен или не задан, то пользователи смогут игнорировать ошибку и продолжить операцию. Мы рекомендуем включать этот параметр, чтобы пользователи не могли перейти к узлу с некорректным или не заслуживающим доверия сертификатом. |
Понижение уровня привилегий приложения
Один из способов обезопасить клиентские компьютеры заключается в том, чтобы уменьшить потенциальные последствия атаки. Эксперты по безопасности часто напоминают пользователям, что входить в систему следует с минимальными привилегиями и повышать их лишь в случае необходимости. Защищенный режим обозревателя Internet Explorer® 8 для Windows® 7 и Windows Vista® упрощает следование этому совету. Internet Explorer 8® для Windows® XP предоставляет пользователям полезные средства защиты, которыми можно воспользоваться с помощью приложения DropMyRights. Дополнительные сведения см. в статье Применение принципа наименьших привилегий к учетным записям пользователей в системе Windows XP (на английском языке). Хотя эти решения работают по-разному, то и другое помогает уменьшить последствия атаки с повышением привилегий. Поэтому мы рекомендуем воспользоваться решением, ориентированным на вашу операционную систему. В следующих разделах рассматриваются оба решения.
Включайте защищенный режим
По умолчанию защищенный режим в обозревателе Internet Explorer 8 для Windows Vista и Windows 7 включен в зонах безопасности Интернет и Ограниченные узлы. Это средство призвано обеспечить усиленную защиту пользователя и системы за счет того, что возможности приложения по обращению к определенным областям файловой системы и реестра ограничены. Эти ограничения устроены так, чтобы изолировать процесс Internet Explorer и не дать вредоносному веб-узлу или другой программе использовать обозреватель для повреждения информации пользователя или нанесения вреда системе. Однако пользователь может его отключить, что негативно скажется на общей безопасности. Поэтому мы рекомендуем с помощью групповой политики принудительно включить защищенный режим в зонах Интернет и Ограниченные узлы и запретить пользователям его отключение.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\<зона>
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.8. Параметр «Включить защищенный режим»
| Объект политики | Описание |
|---|---|
Включить защищенный режим |
Этот параметр защищает Internet Explorer от уязвимостей путем ограничения тех областей в файловой системе и реестре, куда обозреватель может производить запись. По умолчанию защищенный режим включен, но пользователь может его отключить. |
Этот параметр применим только к Internet Explorer® 8 для Windows® 7 и Windows Vista®. Кроме того, он не применим к Internet Explorer 8 при работе в режиме Windows XP на компьютере с установленной ОС Windows 7.
Защищенный режим в Internet Explorer 8 действует для следующих областей и зон безопасности:
- зона Интернета;
- зона интрасети;
- зона локального компьютера;
- заблокированная зона Интернета;
- заблокированная зона интрасети;
- заблокированная зона локального компьютера;
- заблокированная зона ограниченных узлов;
- заблокированная зона надежных узлов;
- зона ограниченных узлов;
- зона надежных узлов.
Примечание. Если важный для предприятия узел или веб-приложение не может работать правильно из-за того, что установлен защищенный режим, не следует отключать этот режим, поскольку это негативно отразится на общей безопасности обозревателя. Вместо этого обратитесь к владельцу узла и попросите, чтобы он обновил свой узел, так чтобы тот мог корректно работать в защищенном режиме. В качестве временной меры можно добавить узел в зону Надежные узлы.
Используйте приложение DropMyRights в Windows XP
DropMyRights – это простое приложение, предназначенное для пользователей, которые должны работать на компьютере от имени администратора; оно позволяет запускать приложения в гораздо более безопасном контексте, как если бы пользователь вошел в систему от имени неадминистративной учетной записи. Хотя работать от имени стандартного пользователя безопаснее, чем от имени администратора, в тех случаях, когда альтернативы нет, вы можете воспользоваться приложением DropMyRights на компьютерах с установленным обозревателем Internet Explorer 8 для Windows XP, так как в этой среде защищенный режим не реализован.
DropMyRights исключает различные привилегии и идентификаторы безопасности (SID) из текущего маркера безопасности пользователя, а затем запускает другой процесс с измененным маркером. Дополнительную информацию о приложении DropMyRights и его исходный код можно найти на странице MSDN Безопасный просмотр веб и чтение электронной почты от имени администратора (на английском языке). После того как приложение DropMyRights установлено, для запуска в нем Internet Explorer достаточно создать новый ярлык, указывающий на исполняемый файл DropMyRights, а после него – путь к приложению, которое нужно запустить с пониженными привилегиями.
Прочие параметры безопасности
Помимо параметров, рассмотренных в других главах настоящего руководства, существуют и иные параметры, позволяющие обезопасить компьютеры в конкретной среде. В этом разделе мы опишем некоторые из них и дадим рекомендации, как следует изменить их значения по умолчанию, чтобы повысить безопасность пользователей, работающих с обозревателем Internet Explorer 8.
Возможность пробной проверки MIME
Эта функция предотвращает изменение типа файла на другой, более опасный. Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Возможность пробной проверки MIME
В следующей таблице перечислены параметры, относящиеся к этой функции.
Таблица 2.9. Параметр «Возможность пробной проверки MIME»
| Объект политики | Описание |
|---|---|
Все процессы |
Если этот параметр включен, то возможность пробной проверки MIME будет включена для всех процессов. |
Процессы Internet Explorer |
Если этот параметр выключен, то процессы Internet Explorer будут разрешать пробной проверке MIME обработку файла как файла потенциально более опасного типа. Значение по умолчанию (Не задан) запрещает изменение типа. ‡ |
Список процессов |
Эта политика позволяет администраторам явно определять те приложения, для которых рассматриваемая функция должна быть включена или выключена. |
В этой таблице приведены лишь упрощенные описания значений параметров. Дополнительные сведения можно почерпнуть на вкладке Объяснение в редакторе объектов групповой политики.
Ограничение безопасности для MK-протокола
Политика «Ограничение безопасности для MK-протокола» уменьшает возможности для атаки, запрещая MK-протокол. Если она включена, то для ресурсов, размещенных на MK, произойдет сбой протокола. MK-протокол представляет собой устаревший механизм связывания файлов справки Windows с веб-страницами. Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Ограничение безопасности для MK-протокола
В следующей таблице перечислены параметры, относящиеся к этой функции.
Таблица 2.10. Параметры политики «Ограничение безопасности для MK-протокола»
| Объект политики | Описание |
|---|---|
Все процессы |
По умолчанию это ограничение для всех процессов отключено. Однако, если включить его, то MK-протокол будет заблокирован для всех процессов, то есть любое использование MK-протокола запрещено. |
Процессы Internet Explorer |
Если этот параметр отключен, то приложения могут использовать API MK-протокола, и для ресурсов, размещенных на MK, протокол будет работать для процессов Проводника Windows и Internet Explorer. Значение, заданное по умолчанию, запрещает использование MK-протокола для Проводника Windows и Internet Explorer, а ресурсы, размещенные на MK, блокируются. ‡ |
Список процессов |
Этот параметр политики позволяет администраторам явно определять те приложения, для которых рассматриваемая функция должна быть включена или выключена. |
В этой таблице приведены лишь упрощенные описания значений параметров. Дополнительные сведения можно почерпнуть на вкладке Объяснение в редакторе объектов групповой политики.
Не сохраняйте зашифрованные страницы на диске
Чтобы создать дополнительные удобства пользователям при просмотре веб, Internet Explorer может кэшировать содержимое на локальном диске (в папке временных файлов Интернета), чтобы его можно было извлечь немедленно, а не обращаться каждый раз к ресурсу в сети со всеми вытекающими отсюда задержками. Internet Explorer позволяет кэшировать как зашифрованное, так и незашифрованное содержимое, причем по умолчанию кэшируется то и другое.
Хотя при кэшировании зашифрованного содержимого в папке временных файлов Интернета могут остаться конфиденциальные HTTPS-документы, Майкрософт не отключает кэширование зашифрованных файлов, следуя указаниям по кэшированию, полученным от веб-сервера. Кроме того, кэширование зашифрованных данных способствует повышению производительности труда пользователей при повторном просмотре идентичного содержимого, например, изображений. Обычно считается, что риск, сопряженный с дешифрированием файлов в локальном кэше, невелик, поскольку это, во-первых, трудно осуществить, а, во-вторых, информация в этих файлах не представляет большой ценности. Даже если атакующему удастся дешифрировать документ, имя и пароль пользователя он, как правило, не увидит. Он сможет просмотреть лишь содержимое страниц. Однако и сами страницы могут содержать секретную информацию, например, остатки на счетах или детали сделки.
Если необходимо ужесточить параметры безопасности Internet Explorer для пользователей, то можно с помощью политики Не сохранять зашифрованные страницы на диск запретить кэширование зашифрованных файлов и лишить злонамеренных пользователей возможности получить к ним доступ. После включения этого параметра могут возникнуть проблемы с производительностью, задержки, увеличение сетевого трафика и дополнительные обращения в службу поддержки. Владельцы общедоступных веб-узлов обычно рассчитывают на то, что этот параметр отключен, и, следовательно, к их серверам будет несколько меньше обращений, но серьезных последствий для работы приложений его включение вызвать не должно.
Включение этого параметра может негативно сказаться на доступе к содержимому, которое генерируется по запросу, например, к отчетам о движении средств на счете. Проблема возникает, когда пользователь получает отчет, затем переходит на какую-то другую страницу, а затем нажимает кнопку Назад в обозревателе, чтобы еще раз просмотреть страницу с отчетом. Если веб-сервер сконфигурирован правильно, то пользователь в этом случае увидит сообщение о том, что срок хранения страницы истек, и для просмотра содержимого должен будет нажать кнопку Обновить.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница 'Дополнительно'
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица. 2.11. Параметр «Не сохранять зашифрованные страницы на диск»
| Объект политики | Описание |
|---|---|
Не сохранять зашифрованные страницы на диск |
Этот параметр политики позволяет управлять тем, будет ли Internet Explorer сохранять в кэше зашифрованные страницы, содержащие защищенную (HTTPS) информацию, например, пароли или номера кредитных карт, что может быть небезопасно. Если этот параметр включен, Internet Explorer не будет сохранять в кэше зашифрованные страницы, содержащие защищенную (HTTPS) информацию. Если этот параметр политики отключен или не задан, Internet Explorer будет сохранять в кэше зашифрованные страницы, содержащие защищенную (HTTPS) информацию. Мы рекомендуем включать этот параметр только в тех средах, где веб-страницы содержат секретные данные. |
Задавайте параметры прокси для компьютера, а не для пользователя
Бывает, что после изменения параметры прокси-сервера пользователь не может получить доступ к веб-узлам. Однако мобильным пользователям иногда необходимо изменять параметры прокси-сервера, чтобы получить возможность доступа к веб из разных точек.
Для стационарных компьютеров мы рекомендуем воспользоваться групповой политикой и установить режим, при котором параметры прокси-сервера определяются для компьютера в целом, а не для каждого пользователя в отдельности. Но пользователям мобильных ноутбуков следует оставить возможность настраивания параметров прокси-сервера, чтобы обеспечить необходимую гибкость доступа к Интернету.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.12. Параметр «Задать параметры прокси для компьютера»
| Объект политики | Описание |
|---|---|
Задать параметры прокси для компьютера (а не для пользователя) |
Применяет параметры прокси ко всем пользователям на данном компьютере. Если этот параметр политики включен, то пользователь не сможет задать параметры прокси только для себя. Он должен будет работать с зонами, созданными для всех пользователей данного компьютера. Если этот параметр отключен или не задан, пользователи этого компьютера могут устанавливать свои собственные параметры прокси. Этот параметр предназначается для того, чтобы обеспечить единообразное применение параметров прокси на одном компьютере, не позволяя изменять их для разных пользователей. Мы рекомендуем включать этот параметр для стационарных компьютеров и отключать для портативных. |
Отключайте обнаружение аварийных сбоев
В Internet Explorer 8 реализована функция обнаружения сбоев, которая генерирует отчет о сбое, полезный для поиска и устранения неполадок в работе обозревателя. Однако отчет может содержать секретную информацию из оперативной памяти компьютера, поэтому большинству предприятий мы рекомендуем эту функцию отключать. Хотя информация, отправляемая в корпорацию Майкрософт, когда эта функция включена, используется исключительно для анализа данных о сбое, в отчет может быть непреднамеренно включена информация, подпадающая под действие законов о защите данных. Отключение этой функции позволит организации соблюсти требования законодательства, относящегося к контролю над доступом к информации. После отключения функции обнаружения аварийных сбоев любой сбой в Internet Explorer будет обрабатываться, как на компьютере с установленной системой Windows XP Professional Service Pack 1 (SP1) или более ранней версией. Точнее, вызывается средство «Отчет об ошибках Windows» и применяются все политики, заданные для этого средства.
Если сбои происходят часто и необходимо отправить отчет для поиска и устранения причин, то можно временно включить эту функцию на подверженных сбоям компьютерах.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.13. Параметр «Отключить обнаружение аварийных сбоев»
| Объект политики | Описание |
|---|---|
Отключить обнаружение аварийных сбоев |
Этот параметр политики позволяет управлять средством обнаружения аварийных сбоев, встроенным в механизм управления надстройками Если этот параметр отключен или не задан, то средство обнаружения аварийных сбоев будет работать. Мы рекомендуем включать этот параметр. |
Включайте ограничение загрузки файлов
В некоторых случаях веб-узел может инициировать появление запроса на загрузку файла без явных действий со стороны пользователя. Такая техника дает сайту возможность помещать нежелательные файлы на жесткий диск пользователя, если тот случайно нажмет не ту кнопку и подтвердит согласие на загрузку.
Мы рекомендуем включать политику Ограничение загрузки файлов. Тогда в процессах Internet Explorer будут блокироваться запросы на загрузку файла, не инициированные пользователем.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Ограничение загрузки файлов
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.14. Параметр «Ограничение загрузки файлов»
| Объект политики | Описание |
|---|---|
Процессы Internet Explorer |
Этот параметр политики включает режим блокировки запросов на загрузку файлов, не инициированных пользователем. Если он включен, то в процессах Internet Explorer будут блокироваться запросы на загрузку файла, не инициированные пользователем. Если этот параметр отключен, то в процессах Internet Explorer не блокируется появление запросов на загрузку файла, не инициированных пользователем. Если этот параметр не задан, то появление запросов на загрузку файла, не инициированных пользователем, регулируется пользовательскими настройками. Мы рекомендуем включать этот параметр. |
Запрещайте загрузку файлов для зоны «Ограниченные узлы»
По умолчанию загрузка файлов для зоны «Ограниченные узлы» запрещена. Однако мы рекомендуем явно отключить параметр политики Разрешать загрузку файлов, чтобы пользователи не могли загружать файлы с узлов, входящих в зону Ограниченные узлы.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\<зона>
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.15. Параметр «Разрешать загрузку файлов»
| Объект политики | Описание |
|---|---|
Разрешать загрузку файлов |
Этот параметр политики управляет тем, разрешена ли загрузка файлов из зоны Ограниченные узлы. Действие параметра определяется той зоной, в которой находится страница со ссылкой, вызывающей загрузку, а не той зоной, из которой доставляется загружаемый файл. Если этот параметр включен, то можно загружать файлы из этой зоны. Если этот параметр отключен, будет запрещено загружать файлы из этой зоны. Если этот параметр не задан, будет запрещено загружать файлы из этой зоны. Мы рекомендуем отключать этот параметр. |
Пользуйтесь функцией защиты кэшируемых объектов
Функция защиты кэшируемых объектов предотвращает ссылку на объект, находящийся в кэше, после того как пользователь покинет веб-узел, с которого этот объект был загружен. Она создает новый контекст безопасности для всех программируемых объектов, поэтому доступ к кэшированным объектам блокируется. Доступ блокируется даже тогда, когда пользователь просматривает узлы из одного и того же домена (с одинаковым полным доменным именем). После изменения контекста в результате перехода ссылка на объект перестает быть доступной. Разработчики приложений должны знать о таком ограничении безопасности и не создавать приложения, в которых используются объекты с других веб-узлов, поскольку в этом случае страница может отображаться некорректно. По умолчанию этот параметр включен для процессов Internet Explorer, и мы рекомендуем с помощью групповой политики навязать такое поведение, явно включив политику Защита кэшируемых объектов. Включение этой политики уменьшает риск подвергнуться атакам, связанным с междоменным доступом. Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Защита кэшируемых объектов
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.16. Параметр «Защита кэшируемых объектов»
| Объект политики | Описание |
|---|---|
Процессы Internet Explorer |
Этот параметр политики определяет, будет ли доступна ссылка на объект при переходе в пределах одного домена или к новому домену. Если этот параметр включен, то ссылка на объект становится недоступной в процессах Internet Explorer при переходе в пределах одного домена или к новому домену. Если этот параметр отключен, то ссылка на объект остается доступной в процессах Internet Explorer при переходе в пределах одного домена или к новому домену. Если этот параметр не задан, то ссылка на объект становится недоступной в процессах Internet Explorer при переходе в пределах одного домена или к новому домену. Мы рекомендуем включать этот параметр. |
Разрешения Java
По поводу разрешений Java в Internet Explorer возникла некоторая путаница. Многие полагают, что этот параметр относится только к виртуальной машине Java корпорации Майкрософт (Microsoft Java Virtual Machine – MSJVM). Действительно, Майкрософт не думает, что виртуальные машины Java (JVM) других производителей обращают внимание на этот параметр. Однако же этот параметр блокирует применение элемента <APPLET> в HTML-разметке. Это означает, что при определенных условиях этот параметр может помешать нормальному отображению страницы, которой необходима JVM, даже если установлена JVM стороннего производителя. Другие HTML-элементы могут использовать JVM, так что это поведение зависит от содержимого веб-узла.
По умолчанию этот параметр отключен в зонах Интернет и Ограниченные узлы.
Посмотреть и сконфигурировать этот параметр можно в следующей папке редактора объектов групповой политики:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления обозревателем\Страница безопасности\<зона>
В следующей таблице приведены сведения о параметрах безопасности, относящихся к этой технологии в Internet Explorer 8.
Таблица 2.17. Параметр «Разрешения Java»
| Объект политики | Описание |
|---|---|
Разрешения Java |
Этот параметр политики позволяет управлять разрешениями для приложений Java. Если он включен, можно выбрать параметры из следующего раскрывающегося списка: Особые параметры управление разрешениями по отдельности. Низкая безопасность разрешает приложениям Java выполнять любые операции. Средняя безопасность приложения запускаются в «песочнице» (участок памяти, за пределами которого программа не может никуда обращаться), и им доступно временное безопасное хранилище на клиентском компьютере и управляемый пользователем файловый ввод/вывод. Высокая безопасность запуск приложений в «песочнице». Отключить Java Предотвращается запуск всех приложений путем отключения Java. Если этот параметр политики отключен, то приложения Java не запускаются. Если этот параметр политики не задан, предполагается, что для него установлено значение Высокая безопасность. |
Дополнительные сведения
Подробнее о вопросах безопасности Internet Explorer 8 можно узнать из следующих источников на Microsoft.com:
Безопасность ActiveX: усовершенствования и передовой опыт (на английском языке).
Применение принципа наименьших привилегий к учетным записям пользователей в системе Windows XP (на английском языке).
Безопасный просмотр веб и чтение электронной почты от имени администратора (на английском языке).
Отзывы
Вопросы и замечания по данному руководству просьба направлять по адресу secwish@microsoft.com.