Изменения групповой политики: Windows Server 2012, Windows 8 и Window RT (часть 2)

Введение

В части 1 этой серии мы начали обсуждение изменений и дополнений к групповой политике в Windows Server 2012, Windows 8 и Windows RT. В частности, мы говорили о поддержке локальной групповой политики в Windows RT и ее ограничениях, а также о новой функции удаленного обновления групповой политики в Windows Server 2012. Мы продолжим знакомство с этими новыми и улучшенными функциями в последующих частях этой серии статей. Здесь, во второй части, мы рассмотрим некоторые дополнения и изменения групповой политики, относящиеся к веб-браузеру Internet Explorer.

IE 10: Два по цене одного

Microsoft обычно представляет новую версию веб-браузера Internet Explorer, когда они выходят с новой операционной системой, и в соответствии с этим Windows Server 2012, Windows 8 и Windows RT поставляются с IE 10 (обратите внимание, что IE 10 является также доступен для загрузки и установки в Windows 7. Также обратите внимание, что вы не можете установить более ранние версии IE в Windows 8).

IE 10 в Windows 8 и Windows RT отличается от предыдущих версий IE тем, что включает два браузера. Название «IE 10» относится к комбинации обоих. Существует «современная» версия IE, доступ к которой осуществляется через новый интерфейс плитки, и «IE для рабочего стола», который работает на рабочем столе Windows 8. Первый разработан, чтобы быть более минималистичным и ориентированным на сенсорное управление, и в нем отсутствуют многие элементы управления, которые мы привыкли иметь в IE. Настольная версия IE предоставляет более традиционные возможности просмотра и включает строку меню, панель избранного, панель команд и т. д. (хотя они не отображаются по умолчанию, их легко включить). Только настольная версия IE 10 поддерживает подключаемые модули браузера.

безопасность IE 10

Одним из направлений улучшения новой версии (версий) IE является добавление функций безопасности, таких как улучшенные способы для разработчиков блокировать контент с помощью песочницы HTML 5 и улучшенная версия ASLR (которая, однако, хакер утверждает, что победили).

Одной из наиболее важных новых функций, связанных с безопасностью, является расширенный защищенный режим. Защищенный режим был введен еще в IE 7 (который был включен в Windows Vista), чтобы предотвратить удаленную установку программного обеспечения или изменение настроек системы злоумышленниками. Расширенный защищенный режим, как следует из его названия, идет дальше. Он дополнительно защищает информацию о пароле, ограничивая доступ IE к местам, где эта информация хранится, если вы не дадите разрешение, и предотвращает доступ процессов вкладки Интернета к учетным данным пользователей домена, работу в качестве локальных веб-серверов или подключение к серверам интрасети.

Новые и измененные параметры групповой политики в IE 10

Соответственно, Microsoft добавила в Windows новые параметры групповой политики для поддержки новых функций IE 10. Всего у ИТ-администраторов теперь есть почти 1500 параметров групповой политики, связанных с Internet Explorer. Microsoft перечисляет двадцать восемь совершенно новых политик, связанных с IE, и шесть политик, связанных с IE, которые были включены в предыдущие версии, но изменились в Windows 8. Полный список можно увидеть здесь.

Некоторые из наиболее важных/полезных новых политик включают:

• Включите расширенный защищенный режим. Расширенный защищенный режим в IE обеспечивает дополнительную защиту от вредоносных сайтов. В Windows 8 места, из которых IE может читать в реестре и файловой системе, также ограничены. Включение этой политики включает расширенный защищенный режим и запрещает пользователям отключать его.
• Не позволяйте элементам управления ActiveX работать в защищенном режиме, если включен расширенный защищенный режим. Мы все знаем, что элементы управления ActiveX могут создавать проблемы с безопасностью, и больший контроль над ActiveX — это хорошая новость для администраторов безопасности. Когда вы включаете эту политику, все веб-сайты вынуждены работать в расширенном защищенном режиме, элементы управления ActiveX, несовместимые с расширенным защищенным режимом, не будут работать, когда эта политика включена, и пользователи больше не смогут отключить расширенный защищенный режим. чтобы запустить элемент управления, как это делается, когда эта политика не включена.
• Отключите Adobe Flash в Internet Explorer и запретите приложениям использовать технологию Internet Explorer для создания объектов Flash. Adobe Flash печально известен своим, казалось бы, бесконечным потоком уязвимостей безопасности, вплоть до того, что Apple не включает поддержку Flash в свои устройства iOS, а Microsoft поощряет использование HTML 5 вместо Flash. Однако IE 10 по-прежнему поддерживает Flash (с ограничениями). Если вы хотите запретить IE использовать его, вы можете включить эту политику, чтобы полностью отключить его. Пользователям будет запрещено повторно включать его в диалоговом окне «Управление надстройками». Вы также можете отключить Flash через список дополнений, но когда вы сделаете это таким образом, приложения по-прежнему смогут использовать технологию IE для создания объектов Flash.
• Не отображать кнопку раскрытия пароля. Когда пользователи вводят пароли в IE 10, у них есть возможность нажать кнопку и просмотреть значение пароля (аналогично тому, как пользователи могут выбрать «показать пароль» на устройствах Android). Это имеет смысл для мобильных устройств с маленькой экранной клавиатурой, поскольку ошибки при вводе пароля являются обычным явлением, и их может быть сложно устранить. Однако, особенно на настольном компьютере с большим дисплеем, который кто-то другой может легко увидеть на расстоянии, возможность показать пароль на экране может представлять угрозу безопасности для пользователей. Вы можете включить эту политику, чтобы запретить выбор «показать пароль»; он будет скрыт для всех полей пароля в веб-формах или веб-приложениях.
• Установите новые версии Internet Explorer автоматически. По умолчанию пользователи могут выбрать, следует ли автоматически устанавливать новые версии IE, когда они становятся доступными, через диалоговое окно «О программе Internet Explorer», которое открывается из меню «Справка» (?) в настольной версии IE 10. Если вы хотите принудительно установить новых версий, вы можете включить эту политику, чтобы переопределить предпочтения пользователя.
• Отключите функцию переворота вперед. Функция перелистывания вперед является новой для IE 10 в Windows 8 и работает только в «современной» версии пользовательского интерфейса IE, ранее известной как Metro, а не в версии для настольных компьютеров. Эта функция позволяет пользователям переходить на следующую страницу веб-сайта, проводя пальцем по экрану, что является удобным интуитивно понятным способом навигации на устройствах с сенсорным экраном. Однако, когда включена функция «Пролистывать вперед», история просмотров отправляется в корпорацию Майкрософт. Целью этого является улучшение функции пролистывания вперед, но вы можете не захотеть отправлять эту информацию — либо из соображений безопасности, либо из соображений пропускной способности. Вы можете включить эту политику, чтобы отключить перелистывание вперед и запретить пользователям включать ее с помощью чудо-кнопки «Параметры».

Некоторые из наиболее значительных/полезных изменений в политиках включают:

• Запретить доступ к Удалить историю просмотров. Новая функция в Windows 8 позволяет пользователям щелкнуть параметр «Удалить историю просмотров» в меню « Настройки » панели чудо-кнопок. Некоторые организации могут не захотеть, чтобы пользователи могли удалять эту информацию. В этом случае вы можете включить эту политику, чтобы запретить пользователям доступ к диалоговому окну «Удалить историю просмотров».
• Запретить изменение настроек прокси. Многие организации не хотят, чтобы пользователи браузеров могли изменять настройки прокси-сервера, чтобы использовать другой прокси-сервер. Вы можете включить эту политику, чтобы запретить пользователям настраивать параметры прокси.
• Выключите меню печати. Вы можете запретить пользователям распечатывать веб-страницы. Вы можете включить эту политику, чтобы заблокировать доступ к меню «Печать» и всплывающему меню «Печать» для IE в Windows 8, а также запретить пользователям доступ (или даже просмотр) принтеров под чудо-кнопкой «Устройства».

Все эти параметры групповой политики содержатся в разделе «Административные шаблоны | Компоненты Windows | Раздел Internet Explorer дерева групповой политики (некоторые из них находятся в подпапках по этому пути). Чтобы добавить новые параметры, IE устанавливает новый файл inetres.admx в каталог PolicyDefinitions каталога Windows, а также устанавливает новый языковой файл для нового административного шаблона.

Настройки групповой политики

В дополнение к новым и измененным политикам Windows Server 2012 и Windows 8 также включают новую функцию, называемую предпочтениями групповой политики для IE 10, которая объединяет несколько способов настройки параметров предпочтений браузера. Вместо оснастки «Обслуживание IE» (IEM) теперь можно использовать расширение предпочтений IE 10 (или пакет администрирования Internet Explorer (IEAK) для настройки параметров IE 10, которые ранее управлялись через IEM.

Досадно, что некоторые настройки, которые можно было выполнить через IEM, больше не доступны в IE 10, например, настройка для замены стандартных логотипов IE в правом верхнем углу вашим собственным логотипом. Но вы можете делать такие вещи, как импорт параметров подключения с другого компьютера и запретить пользователям добавлять новых доверенных издателей с помощью настроек Authenticode, используя настройки групповой политики. Дополнительные сведения о способах замены функций IEM для Windows 8 см. по этой ссылке.

Резюме

Во второй части этой серии статей, посвященной новым и улучшенным функциям групповой политики для Windows Server 2012, Windows 8 и Windows RT, мы обратили внимание на те изменения, которые относятся к веб-браузеру Internet Explorer, и подробно рассмотрели некоторые наиболее важные из них. новые политики и изменения старых. В части 3 мы рассмотрим, что еще было добавлено или изменено в групповой политике и как она работает в новых операционных системах.