Настройка расширенных возможностей IE с помощью групповой политики

Нет никаких колебаний, в особенности после паники по поводу IE в прошедшем месяце, в том, что каждый компьютер, на котором работает Internet Explorer, требуется запереть и обезопасить. При всех инновациях от Microsoft, касающихся IE, к примеру, UAC, режим Protected Mode, уровни целостности и т.д., по-видимому, все еще существует возможность неправильной опции IE. И дело не только лишь в неправильных конфигурациях: после моей последней поездки с лекциями об информационной безопасности Windows по Соединенным Штатам мне стало ясно, что есть некое недопонимание опций Advanced Security в IE. В этой статье расскажу о том, что значат эти опции, и предоставлю какое-никакое управление на тему, как идеальнее всего с ними работать.

Где находятся опции Advanced Security

Может появиться вопрос, о каких таких настройках в IE я говорю, так что давайте разъясним этот момент. Опции безопасности, о которых я буду говорить, находятся в меню Tools – Internet Options в IE. Когда раскроется диалоговое окно Internet Options, щелкните на вкладку Advanced. В ней прокрутите вниз до того времени, пока не увидите раздел Security, что показано на Рисунке 1.

Настройка расширенных способностей IE при помощи групповой политики

Набросок 1: Раздел опций Advanced Security для Internet Explorer

Конкретно об этом наборе опций я буду гласить в этой статье.

Опции Advanced Security IE в GPO

Такие опции Advanced Security для IE предлагаются нескольким версиям IE при использовании групповой политики. В перечне поддерживаемых версий IE – 5-я, 6-я, 7-я и 8-я.

Чтоб получить доступ к этим настройкам IE при помощи GPO, вам необходимо получить Group Policy Preferences (GPP). Чтоб узреть GPP, вы должны работать с Windows Server 2008, Vista SP1, 7 либо Windows Server 2008 R2. Более подробную информацию о получении GPP можно отыскать в этой статье на WindowSecurity.com.

Определенные опции безопасности

Allow active content from CDs to run on my computer(Разрешать пуск активного содержимого компакт-дисков на моем компьютере)

Активное содержимое включает элементы управления ActiveX и дополнения веб-браузеров, применяемые многими Интернет-сайтами. Эти программки обычно блокируются, так как они могу нанести вред вашему компу, не считая того, хакеры могут пользоваться ими для пуска программ без вашего ведома.

По дефлоту: отключена

Рекомендуется: отключить

Allow active content to run in files on my computer(Разрешить пуск активного содержимого файлов на моем компьютере)

Аналогично предшествующей настройке, только с файлами заместо CD.

По дефлоту: отключена

Рекомендуется: отключить

Allow software to run or install even if the signature is invalid(Разрешать выполнение либо установку программки, имеющую недопустимую подпись)

С определенными приложениями могут быть связаны подписи, указывающие на производителя. Это помогает инспектировать ‘корректность’ приложения и выяснить, не является ли оно поддельным.

По дефлоту: отключена

Рекомендуется: отключить

Check for publisher’s certificate revocation(Инспектировать аннулирование сертификатов издателей)

Часто приходится отзывать сертификат из-за скомпрометированного личного ключа либо окончания срока деяния сертификата. Такая настройка будет инспектировать, не отозван ли сертификат, перед тем, как разрешить его внедрение.

По дефлоту: включена

Рекомендуется: включить

Check for server certificate revocation(Проверить, не отозван ли сертификат сервера)

По дефлоту: включена

Рекомендуется: включить

Check for signatures on downloaded programs(Проверка подписи для загруженных программ)

Часто приходится отзывать сертификат из-за скомпрометированного личного ключа либо окончания срока деяния сертификата. Такая настройка будет инспектировать, не отозван ли сертификат, перед тем, как разрешить его внедрение.

По дефлоту: включена

Рекомендуется: включить

Do not save encrypted pages to disk(Не сохранять зашифрованные странички на диск)

Если данные соединения с сайтом через HTTPS хранятся на вашем диске, это может подвергнуть ваши данные угрозы со стороны потенциального злодея через сохраненные данные в папке Temporary Internet. Непременно, хранить эти данные на диске для грядущего доступа к сайту – значит работать резвее и эффективнее. Но отказ от хранения этих зашифрованных данных безопаснее.

По дефлоту: отключена

Рекомендуется: отключить

Empty temporary files folder when browser is closed(Удалять все файлы из папки временных файлов Веба при закрытии обозревателя)

В папке временных файлов Веба IE хранит много данных с каждого посещенного вами веб-сайта. Эта информация кэшируется на вашем диске для ускорения доступа к этому веб-сайту, когда вы в последующий раз к нему обратитесь. Но червяки, вирусы и другие вредные программки могут также попасть в эту папку совместно с безобидными данными. Потому постоянная чистка этих файлов наращивает вашу безопасность.

По дефлоту: отключена

Рекомендуется: включить

Enable DOM storage(Включить хранилище DOM)

Хранилище DOM (Document Object Model – Объектная модель документа) сотворено как более емкая, более надежная и обычная кандидатура хранению инфы в cookies. DOM употребляется для программ вроде JavaScript, чтоб обеспечить работу динамических сайтов и доставлять настроенные интернет-страницы юзерам. Такое поведение не стоит разрешать, не считая варианта, когда хранилище DOM нужно для деловых задач в Вебе.

По дефлоту: включена

Рекомендуется: отключить

Enable integrated windows authentication(Включить интегрированную аутентификацию windows)

Принуждает IE использовать Kerberos либо NTLM для целей аутентификации заместо использования анонимной аутентификации, базисной аутентификации либо Digest-аутентификации.

По дефлоту: включена

Рекомендуется: включить

Enable memory protection to help mitigate online attacks(Включить защиту памяти для понижения риска атаки из Веба)

Эта настройка держит под контролем, будет ли IE использовать DEP (Data Execution Protection – предотвращение выполнения данных), что помогает защитить ваш компьютер от неадекватных приложений, способных нанести вред вашему компу.

По дефлоту: отключена

Рекомендуется: включить

Enable native xmlhttp support(Включить внутреннюю поддержку xmlhttp)

Употребляется многими компаниями в качестве эталона сейчас для обеспечения динамического контроля над данными через многие сайты.

По дефлоту: включена

Рекомендуется: включить

Phishing Filter(Фильтр фишинга)

Фильтр фишинга предутверждает возможность попадать на веб-сайты и загружать данные с веб-сайтов, про которые понятно, что на их есть вредное содержимое. Также он помогает вам избежать маркетингового фишинга социальной инженерии. Фильтр инспектирует каждый сайт на наличие его в перечне узнаваемых фишинговых веб-сайтов, инспектирует загружаемые программки в перечне известного вредного ПО, также помогает предупредить посещение вами веб-сайтов, которые могут заниматься кражей личной инфы.

По дефлоту: автоматическая проверка сайтов отключена

Рекомендуется: включить автоматическую проверку сайтов

Use ssl 2.0(Использовать ssl 2.0)

Когда вы подключаетесь к коммерческому сайту, к примеру, к веб-сайту банка либо распространителя билетов, Internet Explorer употребляет защищенное соединение, которое употребляет технологию Secure Sockets Layer (SSL) для шифрования транзакции. Это шифрование основывается на сертификате, которые выдается Internet Explorer совместно с информацией, нужной ему для неопасного взаимодействия с сайтом. Сертификаты также идентифицируют сайт и его обладателя.

По дефлоту: отключена

Рекомендуется: отключить

Use ssl 3.0(Использовать ssl 3.0)

Аналогично использованию SSL 2.0, только эта версия более новенькая

По дефлоту: включена

Рекомендуется: включить

Use tls 1.0(Использовать tls 1.0)

TLS (Transport Layer Security) 1.0 применяется при посещении SSL-веб-сайтов для защиты и шифрования данных соединения.

По дефлоту: включена

Рекомендуется: включить

Use tls 1.1(Использовать tls 1.1)

TLS (Transport Layer Security) 1.1 применяется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте исключительно в том случае, если убеждены, что сайт поддерживает эту версию TLS.

По дефлоту: отключена

Рекомендуется: отключить

Use tls 1.2(Использовать tls 1.2)

TLS (Transport Layer Security) 1.2 применяется при посещении SSL-веб-сайтов для защиты и шифрования данных. Включайте исключительно в том случае, если убеждены, что сайт поддерживает эту версию TLS.

По дефлоту: отключена

Рекомендуется: отключить

Warn about certificate address mismatch(Предупреждать о несоответствии адреса сертификата)

При включении возникают предупреждения, когда сертификат сайта не соответствует сайту, который его употребляет.

По дефлоту: включена

Рекомендуется: включить

Warn if changing between secure and not secure mode(Предупреждать о переключении режима безопасности)

Если на сайте есть и HTTP-, и HTTPS-ссылки, либо если вас посылают с HTTPS-сайта на незащищенный, HTTP-, веб-сайт, вы будете предупреждены.

По дефлоту: отключена

Рекомендуется: включить

Warn if POST submittal is redirected to a zone that does not permit posts(Предупреждать, если публикация перенаправляется в зону, для которой не разрешена публикация)

Предупреждает вас, если вы работаете над формой в Вебе, которая перенаправляет вас по адресу, который отличается от того, где размещается форма. Это поможет предупредить перенаправления вашей инфы либо вашего обозревателя на опасные веб-сайты.

По дефлоту: включена

Рекомендуется: включить

Заключение

Опции Advanced Security для IE очень подробны и могут посодействовать защитить ПК и всю сеть от атак и уязвимостей. Грамотное их внедрение приводит к хорошей разнице меж защищенным компом и незащищенным. Возможность работы с групповой политикой для установки этих опций для версий IE 5, 6, 7 и 8 делает данное решение красивым и действенным.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.