Безпечна робота з Internet Explorer, Windows IT Pro

Розширені функції безпеки XP SP2 для IE

Основна клієнтська операційна система компанії Microsoft - Windows XP - від початку була улюбленою мішенню зломщиків. Пакет виправлень XP Service Pack 1 (SP1) містить важливі виправлення для усунення програмних помилок, але не вносить фундаментальних змін до механізму безпеки клієнта. Після випуску XP SP1 розробники Microsoft оптимізували процес застосування виправлень для безпеки, запропонувавши вдосконалений механізм дистрибуції та автоматизованої установки. Оптимізація процесу встановлення виправлень корисна, проте рівень безпеки підвищується, лише якщо користувачі застосовують ці виправлення. XP SP2 був доповнений важливими функціями захисту для недисциплінованих користувачів, які легковажно ставляться до встановлення виправлень. Завдяки інтелектуальному механізму автоматичного налаштування конфігурації та строгому режиму безпеки, який призначається за умовчанням, навіть машини без виправлень дуже надійно захищені від атак.

Версія Microsoft Internet Explorer (IE) зі складу XP SP2 містить важливі вдосконалення в галузі безпеки. Найбільш помітні з них - диспетчер модулів розширення, механізм блокування вікон, що спливають, і ізоляція зони безпеки Local Machine.

Інтелектуальний диспетчер модулів розширення

На екрані 1 показано новий диспетчер модулів розширення. Можна отримати доступ до нього через функцію Manage Add-ons у меню Tools або вибрати Tools, Internet Options, а потім перейти до вкладки Programs і клацнути на кнопці Manage Add-ons. Інший спосіб – відкрити діалогове вікно програми Internet Options з панелі керування Windows. З списку, що розкривається, можнавибрати модулі розширення, що відображаються на екрані: Add-ons currently loaded in Internet Explorer (завантажені в даний час) або Add-ons that have been used by Internet Explorer (використані браузером). Останній варіант показує модулі, які встановлені, але зараз не завантажені. Щоб активувати або блокувати модуль розширення, потрібно виділити його, потім вибрати параметр Enable або Disable у розділі Settings у лівій нижній частині діалогового вікна. Щоб оновити модуль розширення ActiveX, натисніть Update ActiveX у розділі Update у правій верхній області діалогового вікна.

робота

Адміністратори можуть використовувати параметри реєстру для керування роботою диспетчера модулів або доступом користувачів до його параметрів. Наприклад, щоб заборонити користувачеві керувати модулями розширення, слід присвоїти параметру NoExtensionManagement (тип REG_DWORD) значення 0 у розділі HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftInternet ExplorerRestrictions або у розділі HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions. За допомогою параметрів реєстру AllowList та DenyList можна скласти явні списки заборонених та дозволених модулів. При використанні AllowList IE забороняє застосовувати всі модулі розширення, крім зазначених у параметрі AllowList. При використанні параметра DenyList, IE дозволяє використовувати всі модулі розширення, за винятком зазначених у параметрі DenyList. Щоб унікально ідентифікувати модулі розширення у параметрах AllowList та DenyList, слід використовувати ідентифікатор класу (CLSID) модуля розширення. У таблиці показані параметри реєстру для управління модулями, в тому числі AllowList і DenyList.

windows

internet

Блокування спливаючих вікон

Виявившиспливаюче вікно, SP2 IE автоматично виводить на екран панель Information Bar вгорі браузера і піктограму попередження в рядку стану IE в нижній частині браузера (екран 4). Клацнувши на панелі або піктограмі, можна виконати одну з наступних дій: показати заблоковане вікно, дозволити прийом спливаючих вікон із даного сайту (URL вузла вноситься до списку дозволених модулів розширення, який буде розглянуто нижче), блокувати спливаюче вікно або відкрити діалогове вікно Pop-up Blocker Settings.

безпечна

Інший спосіб – відкрити діалогове вікно Pop-up Blocker Settings за допомогою функції Pop-up Blocker із меню Tools. Можна також перейти в меню Tools і вибрати пункт Internet Options або відкрити утиліту Internet Options панелі керування, а потім перейти на вкладку Privacy, вибрати пункт Block pop-ups і натиснути Settings у розділі Pop-up blocker (екран 5), щоб відкрити діалогове вікно.

робота

Приховані зміни системи безпеки IE

У внутрішніх механізмах безпеки XP SP2 IE також з'явилися цікаві нововведення. Найважливішими з них є безпечніше кешування об'єктів, обмеження для вікон, заборона розширення повноважень зон та ізоляція зони Local Machine.

Безпека кешування об'єктів підвищується, оскільки Web-сторінкам заборонено звертатися до контенту, записаному в кеші Web-сторінками з інших доменів (у даному контексті домен представлений повним доменним ім'ям машини - FQDN). Наприклад, IE може блокувати веб-сторінки, що містять сценарії для моніторингу таких подій, як введення користувачами номерів кредитних карток на веб-сторінках, що стосуються інших доменів. Режим безпечного кешування об'єктів у SP2 активується за умовчанням, і ним можна керувати через розділ реєстру HKEY_LOCAL_MACHINESOFTWARE MicrosoftInternet ExplorerMainFeature ControlFEATURE_OBJECT_CACHINGIexplore.exe (значення 1 визначає режим безпечного кешування). Централізовано керувати цією функцією можна за допомогою параметрів GPO в контейнері User Configuration Administrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesObject Caching Protection.

У попередніх версіях IE обмеження Web-контенту в зоні безпеки Local Machine були незначними. Web-контент автоматично ставився до зони Local Machine, якщо він зберігався в локальній файловій системі, навіть якщо він був щойно записаний браузером у кеш. Як згадувалося вище, зломщики використали цю особливість, щоб підняти рівень повноважень та заволодіти комп'ютером. У SP2 Web-контент у зоні безпеки Local Machine має менше повноважень. Кожного разу, коли Web-контент намагається виконати дію, не дозволену в зоні Local Machine, в панелі Information Bar з'являється текстове повідомлення: Якщо ви вірите цій сторінці, натисніть тут, щоб отримати доступ до свого комп'ютера. Режим блокування Local Machine активується за умовчанням для процесів IE, і керувати цією функцією можна через розділ реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeature ControlFEATURE_LOCALMACHINE_LOCKDOWNIexplore.exe (функція активна, якщо значення дорівнює 1). Для централізованого керування можна використовувати параметри з контейнера User ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesLocal Machine Zone Lockdown Security.

Удосконалені функції безпеки XP SP2 є важливими як для користувачів, так і для програмістів. Головна зміна - гнучкість захисту: рівеньбезпеки підвищується навіть у тих машинах, на яких не встановлено нові виправлення системи безпеки. XP SP2 – перший крок Microsoft до активного захисту своїх платформ та додатків.

Жан де Клерк([email protected]) - співробітник підрозділу Security Office компанії HP. Спеціалізується на продуктах Microsoft

Поділіться матеріалом з колегами та друзями