Управління безпекою Internet Explorer

Архів номерів / 2005 / Випуск №4 (29) / Управління безпекою Internet Explorer

НАТАЛІЯ МЕЛЬНИКОВА

Управління безпекою Internet Explorer

Проблема захисту клієнтського робочого місця стає все більш актуальною. Це пов'язано з низкою причин, але насамперед – зі зміщенням вектора атак із серверного на клієнтське програмне забезпечення. Статистика інцидентів показує, що більший відсоток порушень комп'ютерної безпеки як у корпоративному, так і приватному секторі відбувається саме за допомогою компрометації робочих місць користувача.

На жаль, проблемі захисту програм користувача приділяється менше уваги, ніж захисту серверів. У сучасних корпоративних інформаційних системах більшість засобів захисту сконцентровано на периметрі мережі, і якщо вони були обійдені, мережа стає беззахисною. Зловмисник отримує доступ до робочої станції та відповідно до всіх ресурсів мережі, з якими може працювати користувач. Цього цілком достатньо для вирішення широкого спектру завдань – від розсилки спаму та збору конфіденційної інформації до промислового шпигунства.

Однак при спробі замінити Internet Explorer у корпоративних мережах адміністратору доводиться зіткнутися із деякими проблемами. Перша – відсутність необхідних функціональних можливостей. Багато поширених серверних програм, таких як Outlook Web Access, SharePoint Portal Server активно використовують різні розширення DHTML, реалізовані тільки в Internet Explorer. Багато клієнтських програм також використовують COM-об'єкти Internet Explorer для формування інтерфейсу користувача. Таким чином, на клієнтському робочому місці надається дві програми для роботи з WEB –Internet Explorer для звернення до корпоративних додатків та альтернативний браузер для виходу в Інтернет. Це знижує зручність використання і підвищує ймовірність виникнення помилок користувача. Крім того, виникає низка додаткових проблем.

Ускладнюється завдання керування мережею. Оскільки більшість альтернативних програм роботи з WWW не підтримує функції централізованого управління (тиражування конфігураційних файлів через групові політики – не найзручніший шлях), підвищуються витрати підтримки клієнтських машин. Знову постає завдання управління оперативними оновленнями, оскільки міф про відсутність помилок в альтернативних браузерах, як і передбачалося [3], швидко розвіяли. Виходять оновлення та нові версії програм, але сучасні засоби управління оновленнями (і пошуку вразливостей) їх не підтримують, і адміністратору доводиться стежити за актуальністю версій програм самостійно.

Крім того, в мережі на основі Active Directory часто відбувається зниження рівня безпеки, оскільки замість звичних протоколів автентифікації NTLMv2 та Kerberos починають використовуватися набагато більш уразливі механізми Digest або Basic. Не завжди добре працює автентифікація за допомогою клієнтських сертифікатів зі сховища Windows або Smartcard.

Враховуючи все перераховане вище, цілком імовірно припустити, що зниження ризиків, яке обіцяє перехід на альтернативні браузери, не окупить підвищення витрат на експлуатацію.

Давайте розглянемо стандартні можливості налаштування Internet Explorer, використання яких дозволяє підняти рівень захищеності клієнтських робочих місць на досить високий рівень. Додатковою перевагою використання даних налаштувань є те, що вони легко тиражуються за допомогоюстандартних засобів управління корпоративною мережею на базі Windows, таких як Active Directory.

За промовчанням Internet Explorer зчитує налаштування з гілки HKCU, проте цю поведінку можна змінити. Встановлення значення Enabled у параметрі об'єкта групової політики (ОДП) Computer Configuration\Administrative Templates\ Windows Components\Internet Explorer\Security Zones: Use only machine settings надає значення параметру реєстру. HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\ Internet Settings\Security_HKLM_only дорівнює 1, після чого Internet Explorer починає використовувати налаштування з гілки HKLM.

Оскільки дозволи на гілку HKLM забороняють користувачеві модифікувати значення, що містяться в розділах нижче, то у нього не буде можливості змінити параметри, призначені адміністратором. У більшості випадків рекомендується використовувати це налаштування, оскільки користувач або шкідливе програмне забезпечення, що працює в його контексті безпеки, може змінювати налаштування браузера, знижуючи рівень захищеності. Прикладом може бути троянська програма Win32.Secdrop.C [4], яка при установці дозволяє завантаження і запуск непідписаних компонентів ActiveX з Internet.

Якщо ця настройка задіяна, всі параметри Internet Explorer необхідно змінювати у гілки HKLM (або розділі Computer Configuration ОДП). Відповідно, якщо для зміни параметрів будуть задіяні сценарії, необхідно використовувати ті з них, які виконуються з достатніми привілеями, а саме – Startup Script і Shutdown Script. Крім того, для застосування параметрів необхідно, щоб відпрацювала групова політика рівня комп'ютера, що в деяких випадках потребує перезавантаження. Ще однією потенційною проблемою є те, щозникає можливість персоніфікувати налаштування Internet Explorer для різних користувачів одного і того ж комп'ютера. Однак необхідність різних налаштувань IE для різних користувачів є скоріше винятком, ніж правилом.

Для налаштування зон безпеки використовуються такі підрозділи: HKLM(HKKU)\Software\Microsoft\Windows\CurrentVersion\Internet Settings:

  • TemplatePolicies
  • ZoneMap
  • Zones

Розділ TemplatePolicies містить певні рівні безпеки, які надалі можуть використовуватися для налаштування зон. Цей розділ міститься лише у гілці HKLM, і модифікувати його не рекомендується, оскільки така операція ускладнить процес відновлення стандартних налаштувань у разі виникнення збоїв.

У розділі ZoneMap описується прив'язка вузлів та доменів до зон безпеки. Підрозділ Domains містить ієрархічну структуру, в якій як ключі виступають імена доменів і вузлів, параметри описують протоколи, а значення параметрів вказують на номер зони безпеки. Нижченаведена структура розділів реєстру вказує на те, що при зверненні до сервера www.isc2.org за протоколом https буде задіяно налаштування другої зони безпеки (Trusted Sites, Довірені вузли): ZoneMap –> Domains –> sc2.org –> www –> https (DWORD) = 2.

Структура може бути складнішою. Наприклад, наступний варіант приписує при використанні будь-якого вузла в домені *.microsoft.com за протоколом https використовувати зону безпеки Trusted Sites. Для обробки вмісту сторінок на сервері www.microsoft.com, отриманих за протоколом http, використовуватимуться налаштування зони Internet: ZoneMap –> Domains –> microsoft.com –> https (DWORD) = 2, www - & gt; http(DWORD) = 3.

Якщо клієнтом є Microsoft Windows Server 2003 та задіяна опція Internet Explorer Enhanced Security Configuration, то налаштування слід зберігати у підрозділі EscDomains, а не Domains.

У підрозділі ProtocolDefaults описується, яка зона буде задіяна у разі використання того чи іншого протоколу, якщо додаткові правила не застосовуються. За замовчуванням більшість протоколів використовують зону 3 – Internet.

Крім наведених параметрів впливати на те, яка зона безпеки буде використовуватися для обробки вмісту того чи іншого сервера, може значення параметра Flags, що міститься в розділі, що описує зону.

Наприклад, за замовчуванням цей параметр для зони 1 (Intranet) має значення 219: HKLM(HKCU)\Software\Micro-soft\Windows\CurrentVersion\Internet Settings\Zones\1:

Це значення формується на основі параметрів бітової маски (таблиця 1) і містить значення 128, 16 і 8. Відповідно до зони Intranet автоматично включатимуться ті вузли, звернення до яких відбулося на ім'я Net BIOS і вузли, що працюють не через Proxy-сервер (параметр HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride).