Немає ніяких сумнівів, особливо після паніки з приводу IE минулого місяця, в тому, що кожен комп'ютер, на якому працює Internet Explorer, потрібно замкнути і убезпечити. При всі нововведення від Microsoft. стосуються IE, наприклад, UAC, режим Protected Mode, рівні цілісності і т.д. мабуть, все ще існує можливість некоректного налаштування IE. І справа не тільки в некоректних конфігураціях: після моєї останньої поїздки з лекціями про інформаційну безпеку Windows по Сполученим Штатам мені стало ясно, що є певне нерозуміння налаштувань Advanced Security в IE. У цій статті розповім про те, що означають ці настройки, і надам хоч якесь керівництво на тему, як найкраще з ними працювати.
Де знаходяться настройки Advanced Security
Може виникнути питання, про які такі настройках в IE я говорю, так що давайте роз'яснимо цей момент. Налаштування безпеки, про які я буду розповідати, знаходяться в меню Tools - Internet Options в IE. Коли відкриється діалогове вікно Internet Options, клацніть на вкладку Advanced. У ній перейдіть до тих пір, поки не побачите розділ Security, що показано на рисунку 1.
Малюнок 1: Розділ налаштувань Advanced Security для Internet Explorer
Саме про це наборі налаштувань я буду говорити в цій статті.
Налаштування Advanced Security IE в GPO
Такі настройки Advanced Security для IE пропонуються кількома версіями IE при використанні групової політики. У списку підтримуваних версій IE - 5-а, 6-а, 7-а і 8-а.
Конкретні параметри безпеки
Allow active content from CDs to run on my computer (Дозволяти запуск активного вмісту компакт-дисків на моєму комп'ютері)
Активний вміст включає елементи управління ActiveX і доповнення веб-браузерів, що використовуються багатьма Інтернет-сайтами. Ці програми зазвичай блокуються, бо вони можу завдати шкоди вашому комп'ютеру, крім того, хакери можуть скористатися ними для запуску програм без вашого відома.
За замовчуванням: відключена
Allow active content to run in files on my computer (Дозволити запуск активного вмісту файлів на моєму комп'ютері)
Аналогічно попередній настройці, тільки з файлами замість CD.
За замовчуванням: відключена
Allow software to run or install even if the signature is invalid (Дозволяти виконання або установку програми, що має неприпустиму підпис)
З конкретними додатками можуть бути пов'язані підпису, що вказують на виробника. Це допомагає перевіряти 'правильність' додатки і дізнатися, чи не є воно підробленим.
За замовчуванням: відключена
Check for publisher's certificate revocation (Перевіряти анулювання сертифікатів видавців)
Нерідко доводиться відкликати сертифікат через скомпрометованого приватного ключа або завершення терміну дії сертифіката. Така настройка буде перевіряти, відкликання сертифіката, перед тим, як дозволити його використання.
За замовчуванням: включена
Check for server certificate revocation (Перевірити відкликання сертифіката сервера)
За замовчуванням: включена
Check for signatures on downloaded programs (Перевірка підпису для завантажених програм)
Нерідко доводиться відкликати сертифікат через скомпрометованого приватного ключа або завершення терміну дії сертифіката. Така настройка буде перевіряти, відкликання сертифіката, перед тим, як дозволити його використання.
За замовчуванням: включена
Do not save encrypted pages to disk (Не зберігати зашифровані сторінки на диск)
Якщо дані з'єднання з веб-сайтом через HTTPS зберігаються на вашому диску, це може поставити під ваші дані небезпеки з боку потенційного зловмисника через збережені дані в папці Temporary Internet. Безумовно, зберігати ці дані на диску для майбутнього доступу до веб-сайту - означає працювати швидше і ефективніше. Але відмова від зберігання цих зашифрованих даних безпечніше.
За замовчуванням: відключена
Empty temporary files folder when browser is closed (Видаляти всі файли з папки тимчасових файлів Інтернету при закритті оглядача)
В папці тимчасових файлів Інтернету IE зберігає багато даних з кожного відвіданого вами сайту. Ця інформація кешується на вашому диску для прискорення доступу до цього сайту, коли ви наступного разу до нього звернетеся. Однак черв'яки, віруси і інші шкідливі програми можуть також потрапити в цю папку разом з нешкідливими даними. Тому регулярне очищення цих файлів збільшує вашу безпеку.
За замовчуванням: відключена
Enable DOM storage (Включити сховище DOM)
За замовчуванням: включена
Enable integrated windows authentication (Включити інтегровану аутентифікацію windows)
Змушує IE використовувати Kerberos або NTLM для цілей аутентифікації замість використання анонімної аутентифікації, базової аутентифікації або Digest-аутентифікації.
За замовчуванням: включена
Enable memory protection to help mitigate online attacks (Увімкнути захист пам'яті для зниження ризику атаки з Інтернету)
Ця установка контролює, чи буде IE використовувати DEP (Data Execution Protection - запобігання виконання даних), що допомагає захистити ваш комп'ютер від неадекватних додатків, що можуть завдати шкоди вашому комп'ютеру.
За замовчуванням: відключена
Enable native xmlhttp support (Включити внутрішню підтримку xmlhttp)
Використовується багатьма компаніями в якості стандарту сьогодні для забезпечення динамічного контролю над даними через багато веб-сайти.
За замовчуванням: включена
Phishing Filter (Фільтр фішингу)
За замовчуванням: автоматична перевірка веб-сайтів відключена
Рекомендується: включити автоматичну перевірку веб-сайтів
Use ssl 2.0 (Використовувати ssl 2.0)
Коли ви підключаєтеся до комерційного веб-сайту, наприклад, до сайту банку або розповсюджувача квитків, Internet Explorer використовує захищене з'єднання, яке використовує технологію Secure Sockets Layer (SSL) для шифрування транзакції. Це шифрування грунтується на сертифікаті, які видається Internet Explorer разом з інформацією, необхідної йому для безпечного взаємодії з веб-сайтом. Вони також повинні бути ідентифікують веб-сайт і його власника.
За замовчуванням: відключена
Use ssl 3.0 (Використовувати ssl 3.0)
Аналогічно використанню SSL 2.0, тільки ця версія більш нова
За замовчуванням: включена
Use tls 1.0 (Використовувати tls 1.0)
TLS (Transport Layer Security) 1.0 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних з'єднання.
За замовчуванням: включена
Use tls 1.1 (Використовувати tls 1.1)
TLS (Transport Layer Security) 1.1 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних. Включайте тільки в тому випадку, якщо впевнені, що веб-сайт підтримує цю версію TLS.
За замовчуванням: відключена
Use tls 1.2 (Використовувати tls 1.2)
TLS (Transport Layer Security) 1.2 використовується при відвідуванні SSL-веб-сайтів для захисту та шифрування даних. Включайте тільки в тому випадку, якщо впевнені, що веб-сайт підтримує цю версію TLS.
За замовчуванням: відключена
При включенні з'являються попередження, коли сертифікат веб-сайту не відповідає веб-сайту, який його використовує.
За замовчуванням: включена
Warn if changing between secure and not secure mode (Попереджати про переключення режиму безпеки)
Якщо на веб-сайті є і HTTP-, і HTTPS-посилання, або якщо вас відправляють з HTTPS-сайту на незахищений, HTTP-, сайт, ви будете попереджені.
За замовчуванням: відключена
За замовчуванням: включена
висновок
Налаштування Advanced Security для IE дуже докладні і можуть допомогти захистити ПК і всю мережу від атак і вразливостей. Грамотне їх використання призводить до солідної різниці між захищеним комп'ютером та незахищеним. Можливість роботи з груповою політикою для установки цих параметрів для версій IE 5, 6, 7 і 8 робить дане рішення ефектним і ефективним.