Руководство по безопасности Internet Explorer®8
Набор средств для управления соответствием требованиям безопасности
Версия 1.0
Дата опубликования: октябрь 2009 г.
Последние изменения см. на microsoft.com/ssa
Copyright © 2009 Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны авторских прав. Используя настоящую документацию или предоставляя отзыв на нее, вы соглашаетесь со следующим лицензионным соглашением.
Если эта документация используется исключительно в некоммерческих целях внутри ВАШЕЙ компании или организации, то на нее вам предоставляется лицензия Creative Commons Attribution-NonCommercial License. Копию текста этой лицензии можно получить на веб-сайте http://creativecommons.org/licenses/by-nc/2.5/ или отправив запрос по адресу Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Настоящая документация предоставляется исключительно в целях ознакомления и исключительно по принципу «как есть» («AS IS»). Использование вами настоящей документации не может расцениваться как полноценная замена тем услугам и информационным материалам, что корпорация Майкрософт может разработать и предоставить вам, отталкиваясь от ваших специфических условий работы. В максимальной степени, разрешенной законом, КОРПОРАЦИЯ МАЙКРОСОФТ ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ, И НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ВОЗНИКШИЙ В СВЯЗИ С ДАННЫМИ МАТЕРИАЛАМИ ИЛИ ЛЮБОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТЬЮ, СОДЕРЖАЩЕЙСЯ В НИХ.
На материалы, содержащиеся в этой документации, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Без отдельного соглашения с корпорацией Майкрософт использование этого документа не предоставляет вам никаких прав на эти патенты, товарные знаки или иные объекты интеллектуальной собственности.
Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-сайты, могут быть изменены без предварительного уведомления. Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное.
Microsoft, Access, Active Directory, ActiveX, Authenticode,Excel, InfoPath, Internet Explorer, Internet Explorer 8, JScript,MSDN,Outlook, PowerPoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и (или) в других странах.
Упомянутые названия реально существующих компаний и продуктов могут быть торговыми марками их владельцев.
Вы не обязаны предоставлять в Майкрософт какие бы то ни было комментарии, предложения или иные отзывы («Отзывы») по данной документации. Однако, если вы представляете в Майкрософт какой-либо Отзыв, вы тем самым безвозмездно наделяете Майкрософт правом использовать этот Отзыв, передавать его другим лицам и извлекать из него прибыль, любым способом и с любой целью. Вы также безвозмездно предоставляете третьим лицам любые патентные права, необходимые, чтобы их продукты, технологии или услуги могли использовать или взаимодействовать с любыми частями программного обеспечения или услуг Майкрософт, включающими этот Отзыв. Вы не можете представить Отзыв, который подразумевает обязанность Майкрософт в случае использования этого Отзыва в каком-либо ее продукте или документации передавать этот продукт или документацию третьим лицам только по лицензии.
Содержание
Обзор 4
Кому адресовано это руководство 6
Навыки и уровень подготовки 6
Назначение и область применимости руководства 6
Аннотация к главам 7
Способы оформления 9
Дополнительные сведения 9
Поддержка и отзывы 9
Благодарности 10
Авторский коллектив 10
Приняли участие 10
Глава 1. Создание базовой конфигурации безопасности для Internet Explorer 8 12
Ограничивайте привилегии пользователей 13
Среда корпоративных клиентов 13
Среды с особыми параметрами безопасности и ограниченной функциональностью 14
Администрирование Internet Explorer 8 14
Основные сведения о зонной модели 16
Изменение параметров зон 19
Определение зоны 19
За пределами зонной модели: общие параметры безопасности 20
Проектирование подразделений для применения политик безопасности Internet Explorer 8 20
Подразделение отдела 21
Подразделение пользователей Windows 7 21
Подразделение компьютеров с Windows 7 22
Схема объектов групповой политики для политик безопасности 22
Средства обеспечения безопасности и конфиденциальности в Internet Explorer 8 24
Фильтр SmartScreen 24
Защита от фишинга и вредоносных программ 25
Защита от ClickJacking 26
Фильтр запуска сценариев между узлами (XSS) 27
Выделение домена 27
Защищенный режим Internet Explorer 27
Явное согласие на запуск элементов ActiveX 28
Просмотр в режиме InPrivate 29
Фильтрация InPrivate 30
Дополнительные сведения 30
Отзывы 30
Глава 2. Рекомендации по обеспечению безопасности Internet Explorer 8 31
Управление надстройками 31
Ограничение элементов ActiveX 32
Управление настройками ActiveX на уровне узла 32
Использование элементов ActiveX, подключаемых модулей и предварительно утвержденных списков 33
Отключение активных сценариев 34
Поддержка сценариев 35
Включение ограничений безопасности для обрабатываемых сценариями окон 35
Обеспечение безопасности с помощью зон 37
Включение защиты от повышения уровня зоны 37
Не разрешайте пользователям добавлять в зону узлы или удалять узлы из зоны 38
Не разрешайте пользователям изменять политики для зон безопасности 39
Обеспечение безопасности с помощью сертификатов 40
Запрещайте пользователям доступ к узлам с ошибочными сертификатами 40
Понижение уровня привилегий приложения 41
Включайте защищенный режим 42
Используйте приложение DropMyRights в Windows XP 43
Прочие параметры безопасности 43
Возможность пробной проверки MIME 43
Ограничение безопасности для MK-протокола 44
Не сохраняйте зашифрованные страницы на диске 45
Задавайте параметры прокси для компьютера, а не для пользователя 47
Отключайте обнаружение аварийных сбоев 47
Включайте ограничение загрузки файлов 48
Запрещайте загрузку файлов для зоны «Ограниченные узлы» 49
Пользуйтесь функцией защиты кэшируемых объектов 51
Разрешения Java 51
Дополнительные сведения 52
Отзывы 53
Глава 3. Рекомендации по настройке конфиденциальности 54
Просмотр в режиме InPrivate 55
Фильтрация InPrivate 55
Удаление истории обзора 57
Перемещение ползунка конфиденциальности в положение «Средний» или «Умеренно высокий» 57
Автоматическая очистка папки временных файлов Интернета 58
Отключение автоматического заполнения форм 59
Задание параметров входа для каждой зоны 61
Включение фильтра SmartScreen 64
Фильтр запуска сценариев между узлами (XSS) 67
Дополнительные сведения 68
Отзывы 68
Приложение А. Контрольный список параметров безопасности Internet Explorer 8 69
Дополнительные сведения 70
Отзывы 70
Обзор
Приглашаем вас ознакомиться с Руководством по безопасности Internet Explorer 8. В настоящем руководстве содержатся инструкции и рекомендации о том, как повысить безопасность настольных и портативных компьютеров, на которые установлен обозреватель Windows®Internet Explorer® 8.
Одна из самых сложных проблем при определении задаваемых по умолчанию параметров веб-обозревателя заключается в том, как соблюсти баланс между необходимой функциональностью и сопряженными с этой функциональностью рисками. Если установленные по умолчанию параметры обозревателя излишне ограничительны, то пользователь постоянно будет испытывать при работе различные помехи и сложности из-за несовместимости и потому просто перестанет обращать внимание на предупреждения и уведомления. Если же параметры недостаточно ограничительны, то пользователь уязвим для атак со стороны многочисленных эксплойтов. Отыскание разумного баланса между двумя вышеупомянутыми аспектами исключительно важно для обеспечения безопасности и простоты работы.
Разработчики веб-обозревателей обычно определяют действующие по умолчанию параметры безопасности, так чтобы обеспечить максимальное удобство работы при точно рассчитанном риске. Принимая решения с учетом известных сценариев атак, взвешивая факторы, необходимые для эксплуатации потенциальных уязвимостей, разработчик подбирает параметры безопасности по умолчанию, которые позволяли бы обозревателю работать в широком диапазоне условий. Параметров обозревателя по умолчанию обычно достаточно для удовлетворения потребностей большинства пользователей домашних компьютеров и защиты их от большей части атак.
Однако у некоторых потребителей и корпоративных пользователей могут возникать специфические требования, обусловленные особенностями бизнеса, законодательством или внутриведомственными инструкциями. Например, иногда сотрудники крупных организаций обязаны соблюдать постановления правительства о защите тех финансовых данных и информации о клиентах, которая хранится на сетевых серверах.
Параметры безопасности и конфиденциальности в Internet Explorer 8 спроектированы для работы при самых разных требованиях, что еще больше упрочивает лидирующие позиции корпорации Майкрософт в сфере безопасности. Мы принимаем во внимание как право пользователей на защиту частной жизни, так и потребность организаций в контроле над использованием данных, и вытекающий отсюда спрос на рекомендации по соблюдению баланса между тем и другим. Internet Explorer 8 предлагает улучшенные средства обеспечения безопасности по сравнению с предыдущими версиями обозревателя, а также новые возможности по обеспечению конфиденциальности, позволяющие пользователю управлять своими личными данными. Дополнительные сведения о новых средствах и параметрах можно найти на веб-узле Internet Explorer 8.
В настоящем руководстве рассматриваются некоторые средства и параметры, изменив которые, можно организовать более «защищенную от изменений» конфигурацию безопасности, необходимую части пользователей и предприятий. Здесь вы не найдете полного обзора всех параметров безопасности обозревателя, а предлагаемые рекомендации отнюдь не эквивалентны тем, что реализованы в конфигурации Internet Explorer Enhanced Server Configuration (IE ESC) в операционных системах Windows Server® 2003 и Windows Server® 2008. Для обсуждения в настоящем руководстве отобраны те параметры и средства, которые могут быть полезны максимально широкой аудитории пользователей и администраторов на предприятиях, нуждающихся в повышенной безопасности.
Здесь обсуждаются параметры безопасности Internet Explorer® 8 для Windows® 7, Windows Vista® и Windows® XP. ИТ-профессионалы могут воспользоваться настоящим руководством для усиления параметров безопасности обозревателя в соответствии с потребностями предприятия.
Примечание: Во многих случаях администраторы могут воспользоваться набором средством Internet Explorer Administration Kit (IEAK), чтобы создать заказную сборку Internet Explorer, развернуть ее на предприятии и затем организовать принудительное применение новых параметров с помощью групповой политики. В этом руководстве набор средств IEAK подробно не рассматривается, но многие из описанных здесь параметров можно использовать при создании заказного пакета.
Кому адресовано это руководство
Руководство по безопасности Internet Explorer 8 адресовано, прежде всего, ИТ-специалистам широкого профиля, специалистам в области безопасности, проектировщикам сетей, консультантам и других сотрудникам сферы ИТ, кто занят проектированием или развертывания приложений либо инфраструктуры на настольных и портативных ПК с одной из поддерживаемых клиентских операционных Windows в широком спектре организаций.
Навыки и уровень подготовки
Руководство рассчитано на читателей, занятых разработкой, развертыванием и обеспечением безопасности клиентских компьютеров с установленным обозревателем Internet Explorer 8, обладающих следующих навыками и опытом:
Сертификация MCSE по Windows Server 2003 или более поздняя и опыт работы не менее двух лет в области обеспечения безопасности, либо эквивалентный уровень подготовки.
Глубокое понимание домена предприятия и рабочей среды Active Directory.
Опыт работы с консолью управления групповой политикой (GPMC).
Опыт администрирования групповой политики с помощью консоли GPMC, единого инструмента по управлению всеми задачами, связанными с групповой политикой.
Опыт работы с такими средствами администрирования, как консоль управления (MMC), Gpupdate и Gpresult.
Опыт развертывания приложений и клиентских компьютеров в корпоративной среде.
Назначение и область применимости руководства
Основные цели настоящего руководства:
предоставить готовые методики эффективного создания и внедрения проверенных параметров безопасности с помощью групповой политики;
объяснить причины, стоящие за теми или иными рекомендуемыми параметрами безопасности, а также последствия от их установки;
выявить и рассмотреть типичные сценарии обеспечения безопасности и показать, как заложенные в Internet Explorer 8 средства позволяют реагировать на них в конкретной среде.
Руководство построено так, чтобы можно было с успехом изучить лишь ту его часть, что актуальна для конкретного предприятия. Однако наибольшую пользу читатель получит, ознакомившись с руководством целиком. Оно посвящено вопросу создания и поддержания безопасной среды для компьютеров с установленным Internet Explorer 8. Здесь же описываются различные этапы обеспечения безопасности двух совершенно различных сред. В руководстве содержатся как предписания, так и рекомендации. На клиентском компьютере может быть установлена операционная система Windows 7 или Windows Vista с пакетом обновлений SP1 или выше. Однако на компьютере, с которого производится управление клиентскими компьютерами, должна быть установлена ОС Windows Server 2008, Windows Server 2003 R2 или Windows Server 2003 SP2.
Имеются различия между параметрами, присутствующими в редакторе групповых политик и в окне конфигурации Internet Explorer – Свойства обозревателя. Так, многие параметры, реализуемые с помощью групповых политик, отсутствуют в окне Свойства обозревателя, например, все параметры в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows \Internet Explorer\Панель управления обозревателем\Страница безопасности\Заблокированная зона Интернета.
Отметим также, что многие параметры, присутствующие в папке «Административные шаблоны» редактора групповых политик, хранятся в специальных разделах реестра:
HKEY_LOCAL_MACHINE\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM
Настройки, установленные в окне Свойства обозревателя, сохраняются в другом разделе, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1. Групповая политика устроена таким образом для того, чтобы избежать проблем, связанных с параметрами, составляющими постоянную сигнатуру системы (tattoo). Однако такое соглашение может вводить в заблуждение при попытке сравнить результаты конфигурирования с помощью групповых политик и окна Свойства обозревателя.
Примечание. Термин постоянная сигнатура в этом контексте описывает ситуацию, когда некоторые параметры групповых политик продолжают действовать даже после того, как компьютер или учетная запись пользователя вышли из области действия групповой политики. Например, все настройки в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности входят в состав постоянной сигнатуры системы, если она конфигурируется посредством доменной групповой политики.
Аннотация к главам
Руководство по безопасности Internet Explorer 8 состоит из трех глав и одного приложения.
|