Руководство по безопасности Internet Explorer




НазваниеРуководство по безопасности Internet Explorer
страница1/28
Дата конвертации13.12.2012
Размер1.06 Mb.
ТипРуководство
  1   2   3   4   5   6   7   8   9   ...   28


solacc_covertitle

Руководство по безопасности Internet Explorer®8

Набор средств для управления соответствием требованиям безопасности

Версия 1.0

Дата опубликования: октябрь 2009 г.

Последние изменения см. на microsoft.com/ssa

Copyright © 2009 Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны авторских прав. Используя настоящую документацию или предоставляя отзыв на нее, вы соглашаетесь со следующим лицензионным соглашением.

Если эта документация используется исключительно в некоммерческих целях внутри ВАШЕЙ компании или организации, то на нее вам предоставляется лицензия Creative Commons Attribution-NonCommercial License. Копию текста этой лицензии можно получить на веб-сайте http://creativecommons.org/licenses/by-nc/2.5/ или отправив запрос по адресу Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Настоящая документация предоставляется исключительно в целях ознакомления и исключительно по принципу «как есть» («AS IS»). Использование вами настоящей документации не может расцениваться как полноценная замена тем услугам и информационным материалам, что корпорация Майкрософт может разработать и предоставить вам, отталкиваясь от ваших специфических условий работы. В максимальной степени, разрешенной законом, КОРПОРАЦИЯ МАЙКРОСОФТ ОТКАЗЫВАЕТСЯ ОТ ЛЮБЫХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ, И НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ВОЗНИКШИЙ В СВЯЗИ С ДАННЫМИ МАТЕРИАЛАМИ ИЛИ ЛЮБОЙ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТЬЮ, СОДЕРЖАЩЕЙСЯ В НИХ.

На материалы, содержащиеся в этой документации, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Без отдельного соглашения с корпорацией Майкрософт использование этого документа не предоставляет вам никаких прав на эти патенты, товарные знаки или иные объекты интеллектуальной собственности.

Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-сайты, могут быть изменены без предварительного уведомления. Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное.

Microsoft, Access, Active Directory, ActiveX, Authenticode,Excel, InfoPath, Internet Explorer, Internet Explorer 8, JScript,MSDN,Outlook, PowerPoint, Visual Basic, Windows, Windows Server, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и (или) в других странах.

Упомянутые названия реально существующих компаний и продуктов могут быть торговыми марками их владельцев.

Вы не обязаны предоставлять в Майкрософт какие бы то ни было комментарии, предложения или иные отзывы («Отзывы») по данной документации. Однако, если вы представляете в Майкрософт какой-либо Отзыв, вы тем самым безвозмездно наделяете Майкрософт правом использовать этот Отзыв, передавать его другим лицам и извлекать из него прибыль, любым способом и с любой целью. Вы также безвозмездно предоставляете третьим лицам любые патентные права, необходимые, чтобы их продукты, технологии или услуги могли использовать или взаимодействовать с любыми частями программного обеспечения или услуг Майкрософт, включающими этот Отзыв. Вы не можете представить Отзыв, который подразумевает обязанность Майкрософт в случае использования этого Отзыва в каком-либо ее продукте или документации передавать этот продукт или документацию третьим лицам только по лицензии.

Содержание


Обзор 4

Кому адресовано это руководство 6

Навыки и уровень подготовки 6

Назначение и область применимости руководства 6

Аннотация к главам 7

Способы оформления 9

Дополнительные сведения 9

Поддержка и отзывы 9

Благодарности 10

Авторский коллектив 10

Приняли участие 10

Глава 1. Создание базовой конфигурации безопасности для Internet Explorer 8 12

Ограничивайте привилегии пользователей 13

Среда корпоративных клиентов 13

Среды с особыми параметрами безопасности и ограниченной функциональностью 14

Администрирование Internet Explorer 8 14

Основные сведения о зонной модели 16

Изменение параметров зон 19

Определение зоны 19

За пределами зонной модели: общие параметры безопасности 20

Проектирование подразделений для применения политик безопасности Internet Explorer 8 20

Подразделение отдела 21

Подразделение пользователей Windows 7 21

Подразделение компьютеров с Windows 7 22

Схема объектов групповой политики для политик безопасности 22

Средства обеспечения безопасности и конфиденциальности в Internet Explorer 8 24

Фильтр SmartScreen 24

Защита от фишинга и вредоносных программ 25

Защита от ClickJacking 26

Фильтр запуска сценариев между узлами (XSS) 27

Выделение домена 27

Защищенный режим Internet Explorer 27

Явное согласие на запуск элементов ActiveX 28

Просмотр в режиме InPrivate 29

Фильтрация InPrivate 30

Дополнительные сведения 30

Отзывы 30

Глава 2. Рекомендации по обеспечению безопасности Internet Explorer 8 31

Управление надстройками 31

Ограничение элементов ActiveX 32

Управление настройками ActiveX на уровне узла 32

Использование элементов ActiveX, подключаемых модулей и предварительно утвержденных списков 33

Отключение активных сценариев 34

Поддержка сценариев 35

Включение ограничений безопасности для обрабатываемых сценариями окон 35

Обеспечение безопасности с помощью зон 37

Включение защиты от повышения уровня зоны 37

Не разрешайте пользователям добавлять в зону узлы или удалять узлы из зоны 38

Не разрешайте пользователям изменять политики для зон безопасности 39

Обеспечение безопасности с помощью сертификатов 40

Запрещайте пользователям доступ к узлам с ошибочными сертификатами 40

Понижение уровня привилегий приложения 41

Включайте защищенный режим 42

Используйте приложение DropMyRights в Windows XP 43

Прочие параметры безопасности 43

Возможность пробной проверки MIME 43

Ограничение безопасности для MK-протокола 44

Не сохраняйте зашифрованные страницы на диске 45

Задавайте параметры прокси для компьютера, а не для пользователя 47

Отключайте обнаружение аварийных сбоев 47

Включайте ограничение загрузки файлов 48

Запрещайте загрузку файлов для зоны «Ограниченные узлы» 49

Пользуйтесь функцией защиты кэшируемых объектов 51

Разрешения Java 51

Дополнительные сведения 52

Отзывы 53

Глава 3. Рекомендации по настройке конфиденциальности 54

Просмотр в режиме InPrivate 55

Фильтрация InPrivate 55

Удаление истории обзора 57

Перемещение ползунка конфиденциальности в положение «Средний» или «Умеренно высокий» 57

Автоматическая очистка папки временных файлов Интернета 58

Отключение автоматического заполнения форм 59

Задание параметров входа для каждой зоны 61

Включение фильтра SmartScreen 64

Фильтр запуска сценариев между узлами (XSS) 67

Дополнительные сведения 68

Отзывы 68

Приложение А. Контрольный список параметров безопасности Internet Explorer 8 69

Дополнительные сведения 70

Отзывы 70


Обзор

Приглашаем вас ознакомиться с Руководством по безопасности Internet Explorer 8. В настоящем руководстве содержатся инструкции и рекомендации о том, как повысить безопасность настольных и портативных компьютеров, на которые установлен обозреватель Windows®Internet Explorer® 8.

Одна из самых сложных проблем при определении задаваемых по умолчанию параметров веб-обозревателя заключается в том, как соблюсти баланс между необходимой функциональностью и сопряженными с этой функциональностью рисками. Если установленные по умолчанию параметры обозревателя излишне ограничительны, то пользователь постоянно будет испытывать при работе различные помехи и сложности из-за несовместимости и потому просто перестанет обращать внимание на предупреждения и уведомления. Если же параметры недостаточно ограничительны, то пользователь уязвим для атак со стороны многочисленных эксплойтов. Отыскание разумного баланса между двумя вышеупомянутыми аспектами исключительно важно для обеспечения безопасности и простоты работы.

Разработчики веб-обозревателей обычно определяют действующие по умолчанию параметры безопасности, так чтобы обеспечить максимальное удобство работы при точно рассчитанном риске. Принимая решения с учетом известных сценариев атак, взвешивая факторы, необходимые для эксплуатации потенциальных уязвимостей, разработчик подбирает параметры безопасности по умолчанию, которые позволяли бы обозревателю работать в широком диапазоне условий. Параметров обозревателя по умолчанию обычно достаточно для удовлетворения потребностей большинства пользователей домашних компьютеров и защиты их от большей части атак.

Однако у некоторых потребителей и корпоративных пользователей могут возникать специфические требования, обусловленные особенностями бизнеса, законодательством или внутриведомственными инструкциями. Например, иногда сотрудники крупных организаций обязаны соблюдать постановления правительства о защите тех финансовых данных и информации о клиентах, которая хранится на сетевых серверах.

Параметры безопасности и конфиденциальности в Internet Explorer 8 спроектированы для работы при самых разных требованиях, что еще больше упрочивает лидирующие позиции корпорации Майкрософт в сфере безопасности. Мы принимаем во внимание как право пользователей на защиту частной жизни, так и потребность организаций в контроле над использованием данных, и вытекающий отсюда спрос на рекомендации по соблюдению баланса между тем и другим. Internet Explorer 8 предлагает улучшенные средства обеспечения безопасности по сравнению с предыдущими версиями обозревателя, а также новые возможности по обеспечению конфиденциальности, позволяющие пользователю управлять своими личными данными. Дополнительные сведения о новых средствах и параметрах можно найти на веб-узле Internet Explorer 8.

В настоящем руководстве рассматриваются некоторые средства и параметры, изменив которые, можно организовать более «защищенную от изменений» конфигурацию безопасности, необходимую части пользователей и предприятий. Здесь вы не найдете полного обзора всех параметров безопасности обозревателя, а предлагаемые рекомендации отнюдь не эквивалентны тем, что реализованы в конфигурации Internet Explorer Enhanced Server Configuration (IE ESC) в операционных системах Windows Server® 2003 и Windows Server® 2008. Для обсуждения в настоящем руководстве отобраны те параметры и средства, которые могут быть полезны максимально широкой аудитории пользователей и администраторов на предприятиях, нуждающихся в повышенной безопасности.

Здесь обсуждаются параметры безопасности Internet Explorer® 8 для Windows® 7, Windows Vista® и Windows® XP. ИТ-профессионалы могут воспользоваться настоящим руководством для усиления параметров безопасности обозревателя в соответствии с потребностями предприятия.

Примечание:  Во многих случаях администраторы могут воспользоваться набором средством Internet Explorer Administration Kit (IEAK), чтобы создать заказную сборку Internet Explorer, развернуть ее на предприятии и затем организовать принудительное применение новых параметров с помощью групповой политики. В этом руководстве набор средств IEAK подробно не рассматривается, но многие из описанных здесь параметров можно использовать при создании заказного пакета.

Кому адресовано это руководство


Руководство по безопасности Internet Explorer 8 адресовано, прежде всего, ИТ-специалистам широкого профиля, специалистам в области безопасности, проектировщикам сетей, консультантам и других сотрудникам сферы ИТ, кто занят проектированием или развертывания приложений либо инфраструктуры на настольных и портативных ПК с одной из поддерживаемых клиентских операционных Windows в широком спектре организаций.

Навыки и уровень подготовки


Руководство рассчитано на читателей, занятых разработкой, развертыванием и обеспечением безопасности клиентских компьютеров с установленным обозревателем Internet Explorer 8, обладающих следующих навыками и опытом:

  • Сертификация MCSE по Windows Server 2003 или более поздняя и опыт работы не менее двух лет в области обеспечения безопасности, либо эквивалентный уровень подготовки.

  • Глубокое понимание домена предприятия и рабочей среды Active Directory.

  • Опыт работы с консолью управления групповой политикой (GPMC).

  • Опыт администрирования групповой политики с помощью консоли GPMC, единого инструмента по управлению всеми задачами, связанными с групповой политикой.

  • Опыт работы с такими средствами администрирования, как консоль управления (MMC), Gpupdate и Gpresult.

Опыт развертывания приложений и клиентских компьютеров в корпоративной среде.

Назначение и область применимости руководства


Основные цели настоящего руководства:

  • предоставить готовые методики эффективного создания и внедрения проверенных параметров безопасности с помощью групповой политики;

  • объяснить причины, стоящие за теми или иными рекомендуемыми параметрами безопасности, а также последствия от их установки;

  • выявить и рассмотреть типичные сценарии обеспечения безопасности и показать, как заложенные в Internet Explorer 8 средства позволяют реагировать на них в конкретной среде.

Руководство построено так, чтобы можно было с успехом изучить лишь ту его часть, что актуальна для конкретного предприятия. Однако наибольшую пользу читатель получит, ознакомившись с руководством целиком. Оно посвящено вопросу создания и поддержания безопасной среды для компьютеров с установленным Internet Explorer 8. Здесь же описываются различные этапы обеспечения безопасности двух совершенно различных сред. В руководстве содержатся как предписания, так и рекомендации. На клиентском компьютере может быть установлена операционная система Windows 7 или Windows Vista с пакетом обновлений SP1 или выше. Однако на компьютере, с которого производится управление клиентскими компьютерами, должна быть установлена ОС Windows Server 2008, Windows Server 2003 R2 или Windows Server 2003 SP2.

Имеются различия между параметрами, присутствующими в редакторе групповых политик и в окне конфигурации Internet Explorer – Свойства обозревателя. Так, многие параметры, реализуемые с помощью групповых политик, отсутствуют в окне Свойства обозревателя, например, все параметры в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows \Internet Explorer\Панель управления обозревателем\Страница безопасности\Заблокированная зона Интернета.

Отметим также, что многие параметры, присутствующие в папке «Административные шаблоны» редактора групповых политик, хранятся в специальных разделах реестра:

HKEY_LOCAL_MACHINE\Software\Policies

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

Настройки, установленные в окне Свойства обозревателя, сохраняются в другом разделе, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1. Групповая политика устроена таким образом для того, чтобы избежать проблем, связанных с параметрами, составляющими постоянную сигнатуру системы (tattoo). Однако такое соглашение может вводить в заблуждение при попытке сравнить результаты конфигурирования с помощью групповых политик и окна Свойства обозревателя.

Примечание.  Термин постоянная сигнатура в этом контексте описывает ситуацию, когда некоторые параметры групповых политик продолжают действовать даже после того, как компьютер или учетная запись пользователя вышли из области действия групповой политики. Например, все настройки в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности входят в состав постоянной сигнатуры системы, если она конфигурируется посредством доменной групповой политики.

Аннотация к главам


Руководство по безопасности Internet Explorer 8 состоит из трех глав и одного приложения.
  1   2   3   4   5   6   7   8   9   ...   28

Похожие:

Руководство по безопасности Internet Explorer iconWindows Internet Explorer 8 Описание продукта Март 2009 г
Кроме того, новые функциональные возможности Internet Explorer 8 предлагают более быстрые, простые и безопасные способы навигации...
Руководство по безопасности Internet Explorer iconРуководство по ознакомлению Март 1999 г
Интернета Internet Explorer. Этот документ призван помочь в изучении обозревателя Internet Explorer Особое внимание уделено информации...
Руководство по безопасности Internet Explorer iconНастройка браузера Internet Explorer 
Запустите Internet Explorer и выберите пункт меню «Сервис\Свойства обозревателя» 
Руководство по безопасности Internet Explorer iconНастройка Internet Explorer
Для настройки Internet Explorer рекомендуем добавить сайт сервиса 1cfresh com к списку надежных 
Руководство по безопасности Internet Explorer icon1. Выполните настройки программы Internet Explorer на компьютере, с которого будет осуществляться доступ к видеорегистратору
В internet Explorer откройте меню Сервис (Tools), разверните пункт Блокирование
Руководство по безопасности Internet Explorer iconНастройки обозревателя Microsoft Internet Explorer
Для работы в ссо используется Microsoft Internet Explorer 0 или более поздней версии
Руководство по безопасности Internet Explorer icon6 Специальные настройки безопасности для Internet Explorer X  
Предварительные условия   
Руководство по безопасности Internet Explorer icon1. Подготовка к работе Настройки обозревателя Microsoft Internet Explorer
Для обеспечения полноценного функционирования системы Web-сбора, необходимо выполнить следующие настройки обозревателя Microsoft...
Руководство по безопасности Internet Explorer iconНастройки обозревателя Microsoft Internet Explorer
Установить для зоны «Надежные узлы» особый уровень безопасности, который позволяет использовать
Руководство по безопасности Internet Explorer iconРуководство по сайту Содержание
Управление содержимым сайта на системе управления V. Cms осуществляется с помощью обычного браузера, например, Internet Explorer
Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница