Дополнительные сведения
Подробнее о вопросах безопасности Internet Explorer 8 можно узнать из следующих источников на Microsoft.com:
Домашняя страница Internet Explorer 8.
Поддержка и отзывы
Группа Solution Accelerators – Security and Compliance (SA–SC) ценит все отзывы об этом и других своих продуктах.
Просьба направлять замечания по следующему адресу:
Электронная почта secwish@microsoft.com.
Нам очень важно ваше мнение.
Благодарности
Группа Solution Accelerators – Security and Compliance (SA–SC) выражает благодарность группе, работавшей над созданием Руководства по безопасности Internet Explorer 8. Следующие лица принимали непосредственное участие или внесли значительный вклад в написание, разработку и тестирование настоящего решения.
Авторский коллектив
Авторы текста
Курт Диллард (Kurt Dillard) – kurtdillard.com
Ричард Харрисон (Richard Harrison) – Content Master Ltd.
Разработчики
Барри Хартман (Barry Hartmann)
Джеральд Гербо (Gerald Herbaugh)
Хай Кун Чжан (Haikun Zhang) – Beijing ZZZGroup Co. Ltd
Джефф Сигман (Jeff Sigman)
Джим Гроувз (Jim Groves)
Жозе Маллдонадо (José Maldonado)
Майкл Тэн (Michael Tan)
Жи Киянь Юань (ZhiQiang Yuan) – Beijing ZZZGroup Co. Ltd
Редакторы
Джон Кобб (John Cobb) – Wadeware LLC
Стив Уэкер (Steve Wacker) – Wadeware LLC
Менеджеры группы
Мишель Арни (Michelle Arney)
Шрути Кала (Shruti Kala)
Стефани Чачарон (Stephanie Chacharon) – Xtreme Consulting Group Inc.
Руководитель проекта
Том Клоуорд (Tom Cloward)
Выпускающие менеджеры
Чери Альбек (Cheri Ahlbeck) – Aquent LLC
Карина Ларсон (Karina Larson)
Менеджер по тестированию
Саммит Парих (Sumit Parikh)
Тестеры
Жайдип Бахадур (Jaideep Bahadur) – Infosys Technologies Ltd.
Манси Шарма (Mansi Sharma) – Infosys Technologies Ltd.
Раксит Гайяр (Raxit Gajjar) – Infosys Technologies Ltd.
Приняли участие
Арон Маргосис (Aaron Margosis), Блейк Франц (Blake Frantz) – Center for Internet Security, Дэн Фокс (Dan Fox), Дэниэл Тэйлор (Daniel Taylor), Агентство по оборонным информационным системам (DISA), Фиделис Экезю (Fidelis Ekezue), Грег Коттингэм (Greg Cottingham), Гай Хант (Guy Hunt), Кэти Ламберт (Kathy Lambert), Лори Кингери (Lori Kingery), Мэнди Тидвелл (Mandy Tidwell), Нэйт Морин (Nate Morin), Пит Лепаж (Pete LePage), Рик Манк (Rick Munck), Роджер Граймс (Roger Grimes), Роджер Подвоски (Roger Podwoski), Сьюзан Фоссельман (Susan Fosselman), Стивен Рольник (Steven Rolnick), Тим Кларк (Tim Clark), Ти-Джей Онишил (TJ Onishile), Юнь Чоу (Yung Chou)
Примечание. По просьбе Майкрософт в рецензировании этого руководства принимал участие директорат информационной безопасности Агентства национальной безопасности США, замечания которого были учтены в опубликованной версии.
Примечание. В разработке настоящего руководства и соответствующих параметров безопасности приняли участие члены сообщества Center for Internet Security, чьи замечания были учтены в опубликованной версии.
Глава 1. Создание базовой конфигурации безопасности для Internet Explorer 8
Версия Windows® Internet Explorer® 8 базируется на усовершенствованиях в области безопасности, которые были включены в Internet Explorer 7. В очередную версию корпорация Майкрософт включила несколько новых средств и проектных решений, например защищенный режим и функцию ActiveX® Opt-In, чтобы обеспечить несколько уровней защиты в соответствие с концепцией глубоко эшелонированной обороны. Другие новые функции, например фильтр фишинга, помогают защитить пользователя от атак, направленных на получение личной информации. Подробное описание усовершенствований в области безопасности, появившихся в предыдущих версиях Internet Explorer, выходит за рамки настоящего руководства. Дополнительные сведения об этих усовершенствованиях см. на веб-странице Internet Explorer TechCenter.
Улучшения, включенные в Internet Explorer 8, направлены на защиту пользователей от многих новейших сетевых угроз и предоставление более простого и понятного интерфейса, облегчающего принятие решений о безопасности. Настройки, установленные в Internet Explorer 8 по умолчанию, призваны обеспечить соотношение между удобством работы и безопасностью, подходящее для широкого круга пользователей по всему миру. Кроме того, в Internet Explorer 8 добавлен совершенно новый набор средств и элементов управления конфиденциальностью, которые дают пользователю возможность контролировать свои действия в сети и сохраняемую о них информацию.
В настоящем руководстве рассматриваются способы повысить безопасность работы с обозревателем путем изменения параметров, разбитые на шесть основных категорий:
элементы управления ActiveX;
элементы управления конфиденциальностью;
прочие настройки безопасности;
зоны безопасности;
настройки безопасности (safety settings);
фильтр SmartScreen.
В настоящем руководстве упор делается на параметры безопасности в Internet Explorer 8. Однако любой документ, посвященный оптимальной настройке безопасности конкретного приложения, обязательно должен включать сведения о безопасности на уровне всего компьютера. Этой теме посвящены руководства по безопасности Windows® 7 и Windows Vista®. Кроме того, чтобы не стать жертвой уязвимости в обозревателе, надстройках над ним и операционной системе, необходимо регулярно обновлять их. Мы рекомендуем устанавливать все обновления операционной системы с помощью таких средств, как Windows Server® Update Services (WSUS), Systems Management Server (SMS) 2003, System Center Configuration Manager 2007 или «Автоматическое обновление», поддерживая систему в актуальном состоянии. Добавим еще, что клиентам рекомендуется подписаться на рассылку технической информации по вопросам безопасности с веб-узла Microsoft Technical Security Notifications. Дополнительные сведения см. в приложении A «Контрольный список параметров безопасности для Internet Explorer 8».
Ужесточить заданную по умолчанию конфигурацию обозревателя позволяют объекты групповой политики (GPO). Все рекомендованные параметры групповой политики документированы в файле Excel® Internet Explorer 8 Security Baseline Settings.xls, прилагаемом к настоящему руководству.
Для развертывания параметров, описанных в этой главе, понадобится:
создать нужную структуру подразделений (OU);
с помощью средства GPOAccelerator создать нужные объекты групповой политики;
с помощью консоли управления групповой политикой (GPMC) связать и упорядочить объекты групповой политики.
Внимание! Необходимо тщательно протестировать созданные подразделения и объекты групповой политики перед их развертывание их в производственной среде.
Базовые объекты GPO, прилагаемые к настоящему руководству, содержат сочетание проверенных настроек, которые повышают уровень безопасности клиентских компьютеров с установленной ОС Windows 7 в следующих двух средах с разными требованиями к безопасности:
Корпоративный клиент (Enterprise Client, EC)
Особые параметры безопасности и ограниченная функциональность (Specialized Security – Limited Functionality, SSLF)
|