Налаштування розширених можливостей IE за допомогою групової політики, Різне, Інтернет-технології, статті

Немає жодних сумнівів, особливо після паніки з приводу IE минулого місяця, в тому, що кожен комп’ютер, на якому працює Internet Explorer, потрібно замкнути і убезпечити. При всіх нововведеннях від Microsoft, Що стосуються IE, наприклад, UAC, режим Protected Mode, рівні цілісності і т.д., мабуть, все ще існує можливість некоректною налаштування IE. І справа не тільки в некоректних конфігураціях: після моєї останньої поїздки з лекціями про інформаційну безпеку Windows по Сполученим Штатам мені стало ясно, що є певне нерозуміння налаштувань Advanced Security в IE. У цій статті розповім про те, що означають ці налаштування, і надам яке-ніяке керівництво на тему, як краще за все з ними працювати.


Де знаходяться настройки Advanced Security


Може виникнути питання, про які такі настройках в IE я кажу, так що давайте роз’яснимо цей момент. Установки безпеки, про які я буду розповідати, знаходяться в меню Tools – Internet Options в IE. Коли відкриється діалогове вікно Internet Options, клацніть на вкладку Advanced. У ній перейдіть до тих пір, поки не побачите розділ Security, що показано на Малюнку 1.


*


Рисунок 1: Розділ налаштувань Advanced Security для Internet Explorer


Саме про це наборі настройок я буду говорити в цій статті.


Налаштування Advanced Security IE в GPO


Такі настройки Advanced Security для IE пропонуються декільком версіями IE при використанні групової політики. У списку підтримуваних версій IE – 5-а, 6-а, 7-а і 8-а.


Щоб отримати доступ до цих налаштувань IE за допомогою GPO, вам потрібно отримати Group Policy Preferences (GPP). Щоб побачити GPP, ви повинні працювати з Windows Server 2008, Vista SP1, 7 або Windows Server 2008 R2. Більш детальну інформацію про отримання GPP можна знайти в цій статті на WindowSecurity.com.


Конкретні параметри безпеки

Allow active content from CDs to run on my computer(Дозволяти запуск активного вмісту компакт-дисків на моєму комп’ютері)

Активний вміст включає елементи керування ActiveX і доповнення веб-браузерів, що використовуються багатьма Інтернет-сайтами. Ці програми зазвичай блокуються, бо вони можу завдати шкоди вашому комп’ютеру, крім того, хакери можуть скористатися ними для запуску програм без вашого відома.


За замовчуванням: відключена


Рекомендується: відключити

Allow active content to run in files on my computer(Дозволити запуск активного вмісту файлів на моєму комп’ютері)

Аналогічно попередній настройці, тільки з файлами замість CD.


За замовчуванням: відключена


Рекомендується: відключити

Allow software to run or install even if the signature is invalid(Дозволяти виконання або установку програми, що має неприпустиму підпис)

З конкретними додатками можуть бути пов’язані підпису, що вказують на виробника. Це допомагає перевіряти “правильність” додатка і дізнатися, чи не є воно підробленим.


За замовчуванням: відключена


Рекомендується: відключити

Check for publisher”s certificate revocation(Перевіряти анулювання сертифікатів видавців)

Нерідко доводиться відкликати сертифікат через скомпрометованого приватного ключа або завершення терміну дії сертифіката. Така настройка буде перевіряти, чи не відкликання сертифіката, перед тим, як вирішити його використання.


За замовчуванням: включена


Рекомендується: включити

Check for server certificate revocation(Перевірити відкликання сертифіката сервера)

За замовчуванням: включена


Рекомендується: включити

Check for signatures on downloaded programs(Перевірка підпису для завантажених програм)

Нерідко доводиться відкликати сертифікат через скомпрометованого приватного ключа або завершення терміну дії сертифіката. Така настройка буде перевіряти, чи не відкликання сертифіката, перед тим, як вирішити його використання.


За замовчуванням: включена


Рекомендується: включити

Do not save encrypted pages to disk(Не зберігати зашифровані сторінки на диск)

Якщо дані з’єднання з веб-сайтом через HTTPS зберігаються на вашому диску, це може піддати ваші дані небезпеки з боку потенційного зловмисника через збережені дані в папці Temporary Internet. Безумовно, зберігати ці дані на диску для майбутнього доступу до веб-сайту – означає працювати швидше і ефективніше. Але відмова від зберігання цих зашифрованих даних безпечніше.


За замовчуванням: відключена


Рекомендується: відключити

Empty temporary files folder when browser is closed(Видаляти всі файли з папки тимчасових файлів Інтернету при закритті оглядача)

У папці тимчасових файлів Інтернету IE зберігає багато даних з кожного відвіданого вами сайту. Ця інформація кешується на вашому диску для прискорення доступу до цього сайту, коли ви наступного разу до нього звернетеся. Однак черв’яки, віруси та інші шкідливі програми можуть також потрапити в цю папку разом з нешкідливими даними. Тому регулярне очищення цих файлів збільшує вашу безпеку.


За замовчуванням: відключена


Рекомендується: включити

Enable DOM storage(Включити сховище DOM)

Сховище DOM (Document Object Model – Об’єктна модель документа) створено як більш містка, більш надійна і проста альтернатива зберігання інформації в cookies. DOM використовується для програм на зразок JavaScript, щоб забезпечити роботу динамічних веб-сайтів і доставляти налаштовані веб-сторінки користувачам. Така поведінка не варто дозволяти, крім випадку, коли сховище DOM необхідно для ділових завдань в Інтернеті.


За замовчуванням: включена


Рекомендується: відключити

Enable integrated windows authentication(Включити інтегровану аутентифікацію windows)

Змушує IE використовувати Kerberos або NTLM для цілей аутентификации замість використання анонімної аутентифікації, базової аутентифікації або Digest-аутентифікації.


За замовчуванням: включена


Рекомендується: включити

Enable memory protection to help mitigate online attacks(Включити захист пам’яті для зниження ризику атаки з Інтернету)

Ця установка контролює, чи буде IE використовувати DEP (Data Execution Protection – запобігання виконання даних), що допомагає захистити ваш комп’ютер від неадекватних додатків, що можуть нанести шкоду вашого комп’ютера.


За замовчуванням: відключена


Рекомендується: включити

Enable native xmlhttp support(Включити внутрішню підтримку xmlhttp)

Використовується багатьма компаніями як стандарт сьогодні для забезпечення динамічного контролю над даними через багато веб-сайти.


За замовчуванням: включена


Рекомендується: включити

Phishing Filter(Фільтр фішингу)

Фільтр фішингу запобігає можливість потрапляти на сайти та завантажувати дані з сайтів, про які відомо, що на них є шкідливе вміст. Також він допомагає вам уникнути рекламного фішингу соціальної інженерії. Фільтр перевіряє кожен веб-сайт на наявність його в списку відомих фішингових сайтів, перевіряє файли програми в списку відомого шкідливого ПО, а також допомагає запобігти відвідування вами сайтів, які можуть займатися крадіжкою особистої інформації.


За замовчуванням: автоматична перевірка веб-сайтів відключена


Рекомендується: включити автоматичну перевірку веб-сайтів

Use ssl 2.0(Використовувати ssl 2.0)

Коли ви підключаєтеся до комерційного веб-сайту, наприклад, до сайту банку або розповсюджувача квитків, Internet Explorer використовує захищене з’єднання, яке використовує технологію Secure Sockets Layer (SSL) для шифрування транзакції. Це шифрування грунтується на сертифікаті, які видається Internet Explorer разом з інформацією, необхідної йому для безпечної взаємодії з веб-сайтом. Сертифікати також ідентифікують веб-сайт і його власника.


За замовчуванням: відключена


Рекомендується: відключити

Use ssl 3.0(Використовувати ssl 3.0)

Аналогічно використання SSL 2.0, тільки ця версія новіша


За замовчуванням: включена


Рекомендується: включити

Use tls 1.0(Використовувати tls 1.0)

TLS (Transport Layer Security) 1.0 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних з’єднання.


За замовчуванням: включена


Рекомендується: включити

Use tls 1.1(Використовувати tls 1.1)

TLS (Transport Layer Security) 1.1 використовується при відвідуванні SSL-веб-сайтів для захисту і шифрування даних. Включайте тільки в тому випадку, якщо впевнені, що веб-сайт підтримує цю версію TLS.


За замовчуванням: відключена


Рекомендується: відключити

Use tls 1.2(Використовувати tls 1.2)

TLS (Transport Layer Security) 1.2 використовується при відвідуванні SSL-веб-сайтів для захисту і шифрування даних. Включайте тільки в тому випадку, якщо впевнені, що веб-сайт підтримує цю версію TLS.


За замовчуванням: відключена


Рекомендується: відключити

Warn about certificate address mismatch(Попереджати про невідповідність адреси сертифіката)

При включенні з’являються попередження, коли сертифікат веб-сайту не відповідає веб-сайту, який його використовує.


За замовчуванням: включена


Рекомендується: включити

Warn if changing between secure and not secure mode(Попереджати про переключення режиму безпеки)

Якщо на веб-сайті є і HTTP-, і HTTPS-посилання, або якщо вас відправляють з HTTPS-сайту на незахищений, HTTP-, сайт, ви будете попереджені.


За замовчуванням: відключена


Рекомендується: включити

Warn if POST submittal is redirected to a zone that does not permit posts(Попереджати, якщо публікація перенаправляється в зону, для якої не дозволена публікація)

Попереджає вас, якщо ви працюєте над формою в Інтернеті, яка перенаправляє вас за адресою, який відрізняється від того, де розташовується форма. Це допоможе запобігти перенаправлення вашої інформації або вашого оглядача на небезпечні сайти.


За замовчуванням: включена


Рекомендується: включити


Висновок


Налаштування Advanced Security для IE дуже докладні і можуть допомогти захистити ПК і всю мережу від атак і уразливостей. Грамотне їх використання призводить до солідної різниці між захищеним комп’ютером і незахищеним. Можливість роботи з груповою політикою для установки цих налаштувань для версій IE 5, 6, 7 і 8 робить дане рішення ефектним і ефективним.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*