Администрирование Internet Explorer 8
В зависимости от размера и сложности структуры предприятия можно воспользоваться одним из двух основных способов централизованного администрирования параметров Internet Explorer 8: набор средств Internet Explorer Administration Kit (IEAK) 8 и объекты групповой политики (GPO) в инфраструктуре Active Directory. Существуют параметры, которые можно задать с помощью либо IEAK, либо GPO, но не того и другого одновременно. Однако в этом руководстве мы всюду, где возможно, будем сообщать информацию, применимую к обоим способам.
Для выбора оптимального способа задания параметров администратор должен знать о том и другом подходе. В общем случае IEAK лучше приспособлен к нуждам тех организаций, в которых администрирование среды выполняется без привлечения инфраструктуры Active Directory, или тех, которым требуется заказная версия обозревателя вместе со всеми параметрами и дополнениями. IEAK позволяет администратору без особого труда создать файл со специальными параметрами, который будет использован на этапе установки. Администратор, который применяет IEAK для создания заказных пакетов, может задать значения многих, но не всех параметров Internet Explorer 8. В продукте, установленном с помощью пакета, созданного в IEAK, параметры сохраняются лишь до тех пор, пока их не изменит пользователь. Если пакет создан в режиме внутреннего дистрибутива для корпоративной интрасети, то можно применять настройки IEAK с заданным интервалом, чтобы конфигурация клиентских компьютеров гарантированно соответствовала определенным на предприятии стандартам. Применение новой функции Сброс параметров настройки Internet Explorer восстанавливает заказные настройки, определенные на предприятии, возвращает заданные по умолчанию параметры ActiveX Opt-In и деактивирует, но не удаляет все панели инструментов и расширения, установленные на компьютере.
Применение объектов групповой политики открывает возможность создавать конфигурации, которые регулярно копируются средствами политики на компьютеры пользователей, чтобы воспрепятствовать их изменению. С помощью объектов групповой политики можно управлять сотнями различных параметров Internet Explorer 8. Но работать с параметрами, задаваемыми в GPO, сложнее, чем использовать IEAK. После того как шаблон GPO определен и применен, заданная в нем конфигурация распространяется на все системы, подпадающие под его действие, пока не будет изменена администратором. Многие попытки пользователя внести изменения просто игнорируются или запрещаются. Значения некоторых параметров все же можно изменить, но они будут возвращены в исходное состояние при очередном применении политики.
Мы рекомендуем корпоративным клиентам по возможности применять GPO в инфраструктуре Active Directory, чтобы гарантировать неизменность заданных параметров безопасности.
Основные сведения о зонной модели
Internet Explorer предлагает администраторам уникальное средство контроля безопасности, отсутствующее в большинстве других обозревателей: возможность определять параметры безопасности для различных классов веб-узлов. В отличие от многих других обозревателей, Internet Explorer определяет уровень безопасности данной веб-страницы, исходя из того, к какой зоне безопасности относится ее адрес URL.
Всего существует пять зон безопасности: Локальный компьютер (не видна в пользовательском интерфейсе Internet Explorer), Интернет, Местная интрасеть, Надежные узлы и Ограниченные узлы. Все веб-узлы на данном компьютере попадают в зону «Локальный компьютер», удаленные серверы относятся к зоне «Интернет», а веб-узлы в пределах локальной сети – к зоне «Местная интрасеть». Веб-узлы, которые пользователь или администратор счел потенциально опасными, помещаются в зону «Ограниченные узлы». Веб-узлы, которые пользователь или администратор счел надежными, помещаются в зону «Надежные узлы».
Примечание. Для компьютеров, которые не входят в домен, зона «Местная интрасеть» отключена, и те узлы, которые при обычных условиях попали бы в эту зону, оказываются в зоне «Интернет». Зона «Локальный компьютер» отсутствует в пользовательском интерфейсе Internet Explorer.
Для каждой зоны определяются соответствующие ей параметры безопасности. Чтобы упростить решение этой задачи, в Internet Explorer используются шаблоны зон безопасности. По умолчанию имеется пять шаблонов: высокий, выше среднего, средний, ниже среднего и низкий. Между зонами безопасности и шаблонами устанавливается следующее соответствие, помогающее определить уровень безопасности.
Таблица 1.1. Соответствие между зонами безопасности и шаблонами
Зона безопасности
|
Уровень безопасности (шаблон, соответствующий зоне)
|
Описание
|
Локальный компьютер
|
Другой
|
Содержимое, находящееся на компьютере пользователя (за исключением того, что Internet Explorer кэшировал на локальной системе), считается заслуживающим полного доверия. Эту зону невозможно конфигурировать в Internet Explorer.
|
Интернет
|
Выше среднего
|
В зону «Интернет» входят все веб-узлы, не включенные в другие зоны.
|
Местная интрасеть (доступна только для компьютеров, входящих в домен)
|
Ниже среднего
|
Все узлы, помещенные в эту зону, должны находиться за брандмауэром, а прокси-серверы должны быть сконфигурированы так, чтобы ни одно внешнее DNS-имя не попадало в эту зону.
|
Надежные узлы
|
Средний
|
Узлам в зоне «Надежные узлы» разрешено выполнять более широкий спектр операций, чем другим Интернет-узлам, и у пользователя реже запрашивается разрешение. Внешние узлы следует помещать в эту зону, только если вы доверяете их содержимому и уверены, что они не станут выполнять операций, способных нанести вред находящимся в вашем ведении компьютерам.
|
Ограниченные узлы
|
Высокий
|
Эта зона предназначена для узлов, не заслуживающих никакого доверия. По умолчанию настройки для нее заданы так, что некоторые возможности веб ограничены, но доступ к узлам не заблокирован полностью. Узлы в эту зону могут добавляться как пользователем, так и групповой политикой.
|
Помимо этих зон, существуют соответствующие им заблокированные зоны, которые не видны в пользовательском интерфейсе Internet Explorer. Настройки заблокированных зон для зоны локального компьютера используются впервые появившейся в Windows XP SP2 функцией, которая называется «Блокировка зоны локального компьютера» (Local Machine Zone Lockdown – LMZL). Если зона локального компьютера заблокирована, то по умолчанию при открытии любого находящегося в ней узла применяются более ограничительные параметры. По умолчанию параметры в режиме LMZL отключают элементы ActiveX и выполнение сценариев. Если страница попытается выполнить элемент ActiveX или сценарий, то появится информационная панель с вопросом пользователю, следует ли разрешить эту операцию. Если пользователь разрешит доступ к заблокированному содержимому, то Internet Explorer будет применять обычные, менее ограничительные параметры зоны локального компьютера, начиная с этого момента и вплоть до закрытия соответствующей вкладки обозревателя, если речь идет об Internet Explorer 7 или Internet Explorer 8, либо до закрытия окна обозревателя в случае Internet Explorer 6. Прочие заблокированные зоны используются в протоколах, заданных параметром Блокирование сетевых протоколов в групповой политике.
Значения параметров хранятся в одном из нескольких разделах реестра в зависимости от того, каким образом параметр был задан и применяется ли он к конкретному пользователю или к компьютеру (см. таблицу ниже).
Таблица 1.2. Разделы реестра, в которых хранятся параметры зон
Параметр для пользователя
|
Параметр для компьютера
|
Задан с помощью групповой политики
|
Задан в окне «Свойства обозревателя»
|
Раздел реестра
|
|
|
|
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
|
|
|
|
|
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Zones\
|
|
|
|
|
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Lockdown_Zones\
|
|
|
|
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
|
|
|
|
|
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
|
|
|
|
|
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\LockdownZones\
|
В каждом из этих разделов есть подразделы, соответствующие отдельным зонам безопасности.
Эти подразделы кодируются следующим образом:
0 = зона «Локальный компьютер»
1 = зона «Местная интрасеть»
2 = зона «Надежные узлы»
3 = зона «Интернет»
4 = зона «Ограниченные узлы»
Шаблоны зон безопасности определяют, какие действия разрешено выполнять веб-странице. Например, шаблон «Высокий» (уровень безопасности) запрещает веб-странице запускать элементы ActiveX и сценарии. По умолчанию, пользователь, посетивший страницу, находящуюся в зоне «Ограниченные узлы», не сможет воспользоваться этой функциональностью. Дополнительные сведения о зонах безопасности и шаблонах см. в статье MSDN® «О зонах безопасности URL» (на английском языке).
|
