Налаштування розширених можливостей IE за допомогою групової політики

Немає жодних сумнівів, особливо після паніки з приводу IE минулого місяця, в тому, що кожен комп'ютер, на якому працює Internet Explorer, потрібно замкнути і убезпечити. При всіх нововведеннях від Microsoft, Що стосуються IE, наприклад, UAC, режим Protected Mode, рівні цілісності і т.д., мабуть, все ще існує можливість некоректною налаштування IE. І справа не тільки в некоректних конфігураціях: після моєї останньої поїздки з лекціями про інформаційну безпеку Windows по Сполучених Штатах мені стало ясно, що є деяке нерозуміння налаштувань Advanced Security в IE. У цій статті розповім про те, що означають ці параметри, і надам якесь ніяке керівництво на тему, як краще за все з ними працювати.


Де знаходяться налаштування Advanced Security


Може виникнути питання, про які такі налаштуваннях в IE я кажу, так що давайте з'ясуємо цей момент. Настройки безпеки, про які я буду розповідати, знаходяться в меню Tools – Internet Options в IE. Коли відкриється діалогове вікно Internet Options, клацніть на вкладку Advanced. У ній Прокрутіть вниз до тих пір, поки не побачите розділ Security, що показано на Малюнку 1.


Малюнок 1: Розділ налаштувань Advanced Security для Internet Explorer


Саме про цей набір налаштувань я буду говорити в цій статті.


Установки Advanced Security IE в GPO


Такі налаштування Advanced Security для IE пропонуються декільком версіями IE при використанні групової політики. У списку підтримуваних версій IE – 5-а, 6-а, 7-а і 8-а.


Щоб отримати доступ до цих налаштувань IE за допомогою GPO, вам потрібно отримати Group Policy Preferences (GPP). Щоб побачити GPP, ви повинні працювати з Windows Server 2008, Vista SP1, 7 або Windows Server 2008 R2. Більш докладну інформацію про отримання GPP можна знайти в цій статті на WindowSecurity.com.


Конкретні параметри безпеки

Allow active content from CDs to run on my computer(Дозволяти запуск активного вмісту компакт-дисків на моєму комп'ютері)

Активний вміст включає елементи керування ActiveX і доповнення веб-браузерів, що використовуються багатьма Інтернет-сайтами. Ці програми зазвичай блокуються, тому що вони можу завдати шкоди вашому комп'ютеру, крім того, хакери можуть скористатися ними для запуску програм без вашого відома.


За замовчуванням: відключена


Рекомендується: відключити

Allow active content to run in files on my computer(Дозволити запуск активного вмісту файлів на моєму комп'ютері)

Аналогічно попередній налаштуванні, тільки з файлами замість CD.


За замовчуванням: відключена


Рекомендується: відключити

Allow software to run or install even if the signature is invalid(Дозволяти виконання або установку програми, що має неприпустиму підпис)

З конкретними додатками можуть бути пов'язані підпису, що вказують на виробника. Це допомагає перевіряти "правильність" додатка і дізнатися, чи не є воно підробленим.


За замовчуванням: відключена


Рекомендується: відключити

Check for publisher”s certificate revocation(Перевіряти анулювання сертифікатів видавців)

Нерідко доводиться відкликати сертифікат через скомпрометованого приватного ключа або завершення терміну дії сертифіката. Така настройка буде перевіряти, чи не відкликаний чи сертифікат, перед тим, як вирішити його використання.


За замовчуванням: включена


Рекомендується: включити

Check for server certificate revocation(Перевірити, чи не відкликаний чи сертифікат сервера)

За замовчуванням: включена


Рекомендується: включити

Check for signatures on downloaded programs(Перевірка підпису для завантажених програм)

Нерідко доводиться відкликати сертифікат через скомпрометованого приватного ключа або завершення терміну дії сертифіката. Така настройка буде перевіряти, чи не відкликаний чи сертифікат, перед тим, як вирішити його використання.


За замовчуванням: включена


Рекомендується: включити

Do not save encrypted pages to disk(Не зберігати зашифровані сторінки на диск)

Якщо дані з'єднання з веб-сайтом через HTTPS зберігаються на вашому диску, це може піддати ваші дані небезпеки з боку потенційного зловмисника через збережені дані в папці Temporary Internet. Безумовно, зберігати ці дані на диску для майбутнього доступу до веб-сайту – означає працювати швидше і ефективніше. Але відмова від зберігання цих зашифрованих даних безпечніше.


За замовчуванням: відключена


Рекомендується: відключити

Empty temporary files folder when browser is closed(Видаляти всі файли з папки тимчасових файлів Інтернету при закритті оглядача)

У папці тимчасових файлів Інтернету IE зберігає багато даних з кожного відвіданого вами сайту. Ця інформація кешується на вашому диску для швидкого доступу до цього сайту, коли ви наступного разу до нього звернетеся. Однак черв'яки, віруси і інші шкідливі програми можуть також потрапити в цю папку разом з нешкідливими даними. Тому регулярне очищення цих файлів збільшує вашу безпеку.


За замовчуванням: відключена


Рекомендується: включити

Enable DOM storage(Включити сховище DOM)

Сховище DOM (Document Object Model – Об'єктна модель документа) створене як більш містка, більш надійна і проста альтернатива зберігання інформації в cookies. DOM використовується для програм на зразок JavaScript, щоб забезпечити роботу динамічних веб-сайтів і доставляти налаштовані веб-сторінки користувачам. Така поведінка не варто дозволяти, крім випадку, коли сховище DOM необхідно для ділових завдань в Інтернеті.


За замовчуванням: включена


Рекомендується: відключити

Enable integrated windows authentication(Включити інтегровану аутентифікацію windows)

Примушує IE використовувати Kerberos чи NTLM для цілей аутентифікації замість використання анонімної аутентифікації, базової аутентифікації або Digest-аутентифікації.


За замовчуванням: включена


Рекомендується: включити

Enable memory protection to help mitigate online attacks(Включити захист пам'яті для зниження ризику атаки з Інтернету)

Ця установка контролює, чи буде IE використовувати DEP (Data Execution Protection – запобігання виконання даних), що допомагає захистити ваш комп'ютер від неадекватних додатків, які можуть зашкодити вашого комп'ютера.


За замовчуванням: відключена


Рекомендується: включити

Enable native xmlhttp support(Включити внутрішню підтримку xmlhttp)

Використовується багатьма компаніями як стандарт сьогодні для забезпечення динамічного контролю над даними через багато веб-сайти.


За замовчуванням: включена


Рекомендується: включити

Phishing Filter(Фільтр фішингу)

Фільтр фішингу запобігає можливість потрапляти на сайти та завантажувати дані з сайтів, про які відомо, що на них є шкідливий вміст. Також він допомагає вам уникнути рекламного фішингу соціальної інженерії. Фільтр перевіряє кожен веб-сайт на наявність його в списку відомих фішингових сайтів, перевіряє файли програми у списку відомого зловмисних програм, а також допомагає запобігти відвідування вами сайтів, які можуть займатися крадіжкою особистої інформації.


За замовчуванням: автоматична перевірка веб-сайтів відключена


Рекомендується: включити автоматичну перевірку веб-сайтів

Use ssl 2.0(Використовувати ssl 2.0)

Коли ви підключаєтеся до комерційного веб-сайту, наприклад, до сайту банку або розповсюджувача квитків, Internet Explorer використовує захищене з'єднання, яке використовує технологію Secure Sockets Layer (SSL) для шифрування транзакції. Це шифрування грунтується на сертифікаті, які видається Internet Explorer разом з інформацією, необхідної йому для безпечної взаємодії з веб-сайтом. Сертифікати також ідентифікують веб-сайт і його власника.


За замовчуванням: відключена


Рекомендується: відключити

Use ssl 3.0(Використовувати ssl 3.0)

Аналогічно використання SSL 2.0, тільки ця версія більш нова


За замовчуванням: включена


Рекомендується: включити

Use tls 1.0(Використовувати tls 1.0)

TLS (Transport Layer Security) 1.0 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних з'єднання.


За замовчуванням: включена


Рекомендується: включити

Use tls 1.1(Використовувати tls 1.1)

TLS (Transport Layer Security) 1.1 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних. Включайте тільки в тому випадку, якщо впевнені, що веб-сайт підтримує цю версію TLS.


За замовчуванням: відключена


Рекомендується: відключити

Use tls 1.2(Використовувати tls 1.2)

TLS (Transport Layer Security) 1.2 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних. Включайте тільки в тому випадку, якщо впевнені, що веб-сайт підтримує цю версію TLS.


За замовчуванням: відключена


Рекомендується: відключити

Warn about certificate address mismatch(Попереджати про невідповідність адреси сертифіката)

При включенні з'являються попередження, коли сертифікат веб-сайту не відповідає веб-сайту, який його використовує.


За замовчуванням: включена


Рекомендується: включити

Warn if changing between secure and not secure mode(Попереджати про переключення режиму безпеки)

Якщо на веб-сайті є і HTTP-, і HTTPS-посилання, або якщо вас відправляють з HTTPS-сайту на незахищений, HTTP-, сайт, ви будете попереджені.


За замовчуванням: відключена


Рекомендується: включити

Warn if POST submittal is redirected to a zone that does not permit posts(Попереджати, якщо публікація перенаправляється в зону, для якої не дозволена публікація)

Попереджає вас, якщо ви працюєте над формою в Інтернеті, яка перенаправляє вас за адресою, який відрізняється від того, де розташовується форма. Це допоможе запобігти перенаправлення вашої інформації або вашого браузера на небезпечні сайти.


За замовчуванням: включена


Рекомендується: включити


Висновок


Установки Advanced Security для IE дуже докладні і можуть допомогти захистити ПК і всю мережу від атак і уразливостей. Грамотне їх використання призводить до солідної різниці між захищеним комп'ютером і незахищеним. Можливість роботи з груповою політикою для установки цих налаштувань для версій IE 5, 6, 7 і 8 робить дане рішення ефектним і ефективним.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*