Настройка дополнительных параметров IE с помощью групповой политики
Введение
Несомненно, особенно после последнего месяца опасений по поводу IE, каждый компьютер, на котором работает Internet Explorer, должен быть заблокирован и защищен. Несмотря на множество достижений Microsoft в IE, таких как UAC, защищенный режим, уровни целостности и т. д., по-прежнему возникают некоторые неправильные конфигурации IE. Не только неправильные конфигурации, но и после моего последнего выступления с докладами о безопасности Windows в Соединенных Штатах, похоже, все еще существует некоторая путаница в отношении настроек расширенной безопасности, доступных в IE. В этой статье я расскажу, что означают параметры расширенной безопасности, и дам несколько указаний о том, как лучше всего настроить каждый из них.
Где найти дополнительные параметры безопасности
Может возникнуть некоторая путаница в отношении того, какие настройки безопасности IE я имею в виду, поэтому позвольте мне внести ясность. Настройки безопасности, о которых я говорю, находятся в меню «Инструменты» — «Свойства обозревателя» в IE. Когда откроется диалоговое окно «Свойства обозревателя», щелкните вкладку «Дополнительно». На вкладке «Дополнительно» вы прокручиваете вниз, пока не увидите раздел «Безопасность», который можно увидеть на рисунке 1.
Рис. 1. Раздел «Дополнительные параметры безопасности» для Internet Explorer
Именно этот набор настроек я имею в виду в этой статье.
Дополнительные параметры безопасности IE в объекте групповой политики
Эти же параметры расширенной безопасности для IE доступны для многих версий IE с помощью групповой политики. Поддерживаются следующие версии IE: 5, 6, 7 и 8.
Чтобы получить доступ к этим параметрам расширенной безопасности IE с помощью объекта групповой политики, вам необходимо иметь доступ к настройкам групповой политики (GPP). Вы должны использовать Windows Server 2008, Vista SP1, 7 или Windows Server 2008 R2, чтобы увидеть GPP. Для получения дополнительной информации о получении GPP ознакомьтесь с этой статьей на WindowSecurity.com.
После того, как у вас будет установлена правильная версия GPMC для просмотра GPP, вам потребуется перейти к правильной политике для настройки параметров повышенной безопасности. Чтобы перейти к этой политике, перейдите в раздел Конфигурация пользователяНастройкиПараметры панели управленияInternet Explorer. Из этого места вы можете добавить политики для всех соответствующих версий IE.
Особые настройки безопасности
Разрешить запуск активного содержимого с компакт-дисков на моем компьютере
Активное содержимое включает в себя элементы управления ActiveX и надстройки веб-браузера, используемые многими веб-сайтами в Интернете. Эти программы обычно блокируются, потому что они могут работать со сбоями или злоумышленники могут выполнять задачи на вашем компьютере без вашего ведома.
По умолчанию: не отмечено
Рекомендуется: не проверено
Разрешить запуск активного содержимого в файлах на моем компьютере
То же, что и предыдущая настройка, только из файлов, а не с компакт-диска.
По умолчанию: не отмечено
Рекомендуется: не проверено
Разрешить запуск или установку программного обеспечения, даже если подпись недействительна
Подписи могут быть связаны с конкретными приложениями и установками, привязывая их к производителю. Это помогает сохранить «истину» приложения или установки и помогает определить, является ли приложение или установка подделкой.
По умолчанию: не отмечено
Рекомендуется: не проверено
Проверить отзыв сертификата издателя
Часто сертификат необходимо отозвать из-за скомпрометированного закрытого ключа или из-за истечения срока действия сертификата. Этот параметр сначала проверит наличие сертификата в списке отзыва, прежде чем разрешить его использование.
Сертификаты по умолчанию: проверено
Рекомендуется: проверено
Проверять аннулирование сертификатов серверов
По умолчанию: отмечено
Рекомендуется: проверено
Проверка подписи на скачанных программах
Часто сертификат необходимо отозвать из-за скомпрометированного закрытого ключа или из-за истечения срока действия сертификата. Этот параметр сначала проверит наличие сертификата в списке отзыва, прежде чем разрешить его использование.
По умолчанию: отмечено
Рекомендуется: проверено
Не сохранять зашифрованные страницы на диск
Если данные подключения к веб-сайту HTTPS сохранены на вашем диске, это может привести к тому, что потенциальный злоумышленник сможет получить доступ к данным через сохраненные данные во временной папке Интернета. Конечно, эффективнее и быстрее сохранить эти данные на диск для последующего доступа к веб-сайту. Не сохранять эти зашифрованные данные более безопасно, чем разрешить их сохранение.
По умолчанию: не отмечено
Рекомендуется: проверено
Пустая папка с временными файлами, когда браузер закрыт
Папка временных файлов для IE хранит множество данных с каждого сайта, который вы посещаете. Эта информация кэшируется на вашем диске для более быстрого доступа при следующем посещении этого сайта. Однако черви, вирусы и другие вредоносные программы могут храниться вместе с полезными данными веб-сайта. Таким образом, регулярная очистка файлов является более безопасной конфигурацией, чем их сохранение.
По умолчанию: не отмечено
Рекомендуется: проверено
Включить хранилище DOM
Хранилище DOM (Document Object Model) предназначено для предоставления более крупной, безопасной и простой в использовании альтернативы хранению информации в файлах cookie. DOM используется для таких программ, как JavaScript, для предоставления динамических веб-сайтов и доставки настраиваемых веб-страниц для пользователей. Такое поведение нельзя допускать, если для бизнес-задачи в Интернете не требуется хранилище DOM.
По умолчанию: отмечено
Рекомендуется: не проверено
Включить встроенную аутентификацию Windows
Заставляет IE использовать для проверки подлинности Kerberos или NTLM вместо использования анонимной, обычной проверки подлинности или дайджеста.
По умолчанию: отмечено
Рекомендуется: проверено
Включите защиту памяти, чтобы предотвратить онлайн-атаки.
Это определяет, использует ли IE DEP (защита от выполнения данных), который помогает защитить ваш компьютер от вредоносных приложений, которые могут нанести вред вашему компьютеру.
По умолчанию: не отмечено
Рекомендуется: проверено
Включить встроенную поддержку xmlhttp
Сегодня используется многими компаниями в качестве стандарта для обеспечения динамического контроля над данными через многие веб-сайты.
По умолчанию: отмечено
Рекомендуется: проверено
Фишинговый фильтр
Фильтр фишинга прерывает возможность перехода и загрузки с сайтов, о которых известно, что они содержат вредоносный контент. Это также поможет вам избежать фишинговых веб-сайтов, созданных с помощью социальной инженерии, и потенциального онлайн-мошенничества. Фильтр проверит веб-сайт по списку фишинговых сайтов или сообщений о них, проверит загрузки программного обеспечения по списку обнаруженных вредоносных программ и поможет предотвратить посещение вами сайтов, которые могут привести к краже личных данных.
По умолчанию: отключить автоматическую проверку веб-сайтов.
Рекомендуется: включить автоматическую проверку веб-сайтов
Используйте SSL 2.0
Когда вы подключаетесь к коммерческому веб-сайту, такому как банк или продавец книг, Internet Explorer использует безопасное соединение, использующее технологию Secure Sockets Layer (SSL) для шифрования транзакции. Шифрование основано на сертификате, который предоставляет Internet Explorer информацию, необходимую для безопасной связи с веб-сайтом. Сертификаты также идентифицируют веб-сайт и владельца или компанию.
По умолчанию: не отмечено
Рекомендуется: не проверено
Используйте SSL 3.0
То же, что и «Использовать SSL 2.0», но это более новая из двух версий SSL.
По умолчанию: отмечено
Рекомендуется: проверено
Используйте tls 1.0
TLS (Transport Layer Security) 1.0 используется при посещении веб-сайтов SSL для защиты и шифрования данных и соединения.
По умолчанию: отмечено
Рекомендуется: проверено
Используйте tls 1.1
TLS (Transport Layer Security) 1.1 используется при посещении веб-сайтов SSL для защиты и шифрования данных и соединения. Включите, только если вы знаете, что веб-сайт поддерживает эту версию TLS.
По умолчанию: не отмечено
Рекомендуется: не проверено
Используйте tls 1.2
TLS (Transport Layer Security) 1.2 используется при посещении веб-сайтов SSL для защиты и шифрования данных и соединения. Включите, только если вы знаете, что веб-сайт поддерживает эту версию TLS.
По умолчанию: не отмечено
Рекомендуется: не проверено
Предупреждать о несоответствии адреса сертификата
Выдает предупреждения, когда сертификат для веб-сайта не соответствует веб-сайту, для которого он используется.
По умолчанию: отмечено
Рекомендуется: проверено
Предупреждать при переключении между безопасным и небезопасным режимом
Если на веб-сайте смешаны ссылки HTTP и HTTPS или вас перенаправляют с сайта HTTPS на незащищенный сайт HTTP, вы получите предупреждение.
По умолчанию: не отмечено
Рекомендуется: проверено
Предупреждать, если отправка POST перенаправляется в зону, которая не разрешает публикации
Предупреждает, если вы работаете с формой в Интернете, которая перенаправляет вас на адрес, отличный от того, на котором размещена форма. Это поможет предотвратить перенаправление вашей информации или браузера на незащищенный сайт.
По умолчанию: отмечено
Рекомендуется: проверено
Резюме
Параметры расширенной безопасности для IE очень подробны и могут помочь защитить рабочие столы и всю сеть от атак и уязвимостей. Их правильное использование может иметь большое значение как для более защищенного компьютера, так и для не очень безопасного. Возможность использовать групповую политику для настройки этих параметров для версий 5, 6, 7 и 8 IE делает решение эффективным и действенным.