На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита зоны Internet

Чтобы настроить зону Internet, на вкладке Security (Безопасность) аплета Internet Options (Свойства обозревателя) в разделе выбора зоны необходимо выбрать зону Internet, как показано на 3. Нажмите кнопку Default (По умопчанию), переместите бегунок вверх до уровня High (Высокий), после этого нажмите кнопку Custom Level (Другой) и вручную отключите все активное содержимое страниц, а также сделайте еще несколько полезных настроек, как показано втабл. 13.1.
ца 13.
»^ендуе#|Шастройкй56езопасност1 >льзовательские настройки делаются по гэновлен высокий уровень безопасное
я зоны Internet
го, как юлчанй
Категория
Название настройки
Рекомендуемое значение
Комментарии
Элементы управления ActiveX и
подключаемые модули Cookies
Загрузка
Сценарии
Элементы управления Ас-' tiveX с пометной "safe for scripting"
Разрешить использование во время сеанса файлов cookie (из сети)
File Download (Загрузка файлов)
Active Scripting (Активные сценарии)
Disabled (Отключить) Enabled (Разрешить) Enabled (Разрешить) Enabled (Разрешить)
Возможно использование 'безопасных' элементов управления клиента
Менее безопасно, но более удобно для пользователей
IE автоматически будет предлагать загрузить файл в зависимости от его расширения
Менее безопасно, но более удобно для пояьаоватепей
Плохо, что если в зоне безопасности отключить столько функций, то при входе на некоторые узлы, использующие эти функции, пользователь будет получать несколько предупреждающих сообщений. Кроме того, будут недоступны функциональные возможности, отключенные в результате настройки.
Хороший пример узла, на который мы рекомендуем заглядывать почаще — узел Microsoft Windows Update (WU), на нем технология ActiveX используется для сканирования машины пользователя, загрузки и установки необходимых заплат. Узел WU — прекрасный ресурс, он помогает сохранить огромное количество времени, которое нужно на поиски и установку отдельных заплат (особенно касающихся системы безопасности!). На узле автоматически определяется, установлены ли у вас правильные версии программ. Но если пользователи отключат использование элементов ActiveX для зоны Internet в соответствии с нашими рекомендациями, то узел WU не сможет нормально функционировать. Еще одна неприятность, возникающая после отключения активных сценариев, — не работает механизм автоматического поиска, который преобразует введенную строку "трЗ" в адрес http: //www.mp3 .сот. Какие же решения доступны для борьбы с возникающими неудобствами?
Добавьте "безопасные" узлы в зону надежных узлов
Несмотря на возникающие проблемы, мы не считаем, что из-за одного удобного узла нужно оставлять включенными элементы ActiveX. Одно из возможных решений — вручную включать поддержку ActiveX перед посещением надежного узла, а затем снова отключать ее. Умнее будет использовать с этой целью зону безопасности Trusted Sites (Надежные узлы). Установите для этой зоны менее жесткий уровень безопасности (мы рекомендуем Medium (Средний)) и добавьте в нее надежные узлы, такие как WU. В результате при посещении узла WU используются менее жесткие настройки безопасности, и функции узла, основанные на
386 Часть IV. Использование уязвимых служб и клиентов
элементах ActiveX, будут нормально работать. Чтобы работал поиск из строки ввода адреса, в зону доверяемых узлов нужно добавить узел auto.search.msn.com. Теперь вы видите, насколько удобно пользоваться зонами безопасности.
ЦцЩЩ] Будьте осторожны и вносите в зону надежных узлов только полностью проверенные узлы. Даже вполне "респектабельные" узлы могут быть взломаны хакерами, или может оказаться, что кто-то из разработчиков узла решил поинтересоваться вашей информацией.
Защита зоны ограниченных узлов и ее использование для программ Outlook/OE
Самое важное, что нужно сделать после настройки зон безопасности, — установить одну из них как зону для безопасного чтения почты в программах Outlook/Outlook Express. В программах Outlook/OE нужно выбрать, какую из зон использовать при чтении почты, зону Internet или зону Restricted Sites (Ограниченные узлы). Конечно, мы рекомендуем использовать зону ограниченных узлов (обновление Outlook 2000 Security Update делает это автоматически). Проверьте, чтобы в зоне ограниченных узлов было отключено все активное содержимое (это было описано выше). Для этого необходимо открыть аплет Internet Options (Свойства обозревателя), как показано на 3, выберите зону ограниченных узлов, переместите бегунок в значение "High" (Высокий), а затем нажмите кнопку "Custom Level" (Допопнительно), чтобы отключить все функции, которые остались включенными после установки высокого уровня безопасности (если отключить функцию нельзя, установите ее в наиболее безопасное значение). На 4 показано, как настроить программу Outlook для использования зоны ограниченных узлов. Показанное диалоговое окно открывается при использовании команды Tools'^Options (Сервис^Параметры), вкладка Security (Безопасность).
Установка максимальных ограничений для программы Outlook имееттсжс недостатки, что и в случае с программой Internet Ezplorcr. Однако активное содержимое, когда оно приходит в виде письма электронной почты, может доставить еще больше хлопот, и опасность от его интерпретации намного превышает эстетические преимущества. Если вы нам не верите, перечитайте главу еще раз! Преимущество использования зон безопасности в том, что программу Outlook можно настроить на еще более консервативное поведение, чем Web-браузер. Гибкость обеспечивает большую безопасность, если вы умеете правильно настроить свои программы.
Распространение настроек IE с помощью пакета IEAK
Пакет программ Internet Explorer Administration Kit (IEAK) является мощным средством централизованного конфигурирования программы IE и распространения сделанных настроек. Для крупных организаций это обязательный инструмент, программа, которая поможет следить за обновлением всех клиентов и соответствием их настроек корпоративной политике.
Пакет IEAK состоит из двух компонентов, мастера настройки Customization Wizard и диспетчера профилей Profile Manager. Мастер настройки позволяет администраторам создавать индивидуальные инсталляционные пакеты, которые затем распространяются на переносных носителях информации или доступны по сети. Диспетчер профилей позволяет управлять компонентами IE и конфигурациями.
Обе утилиты позволяют настроить почти все возможные функции программы IE. Если пользователи устанавливают программы из индивидуальных инсталляций, созданных в утилите Customization Wizard, то их браузеры будут по умолчанию настроены в соответствии с конфигурацией, определенной администратором.
После того, как браузер распространен, администраторы по-прежнему имеют возможность управлять настройками с помощью утилиты Profile Manager, в которой для изменения настроек IE используется простой и понятный графический интерфейс. На 5 показано окно программы Profile Manager во время настройки автоматической конфигурации для IE. Обратите внимание, что эта же настройка отображается с помощью аплета панели управления Internet Options (Свойства обозреватепя), если выбрать вкладку Connections (Подключения), нажать кнопку LAN Settings (Настройка LAN) в разделе Automatic Configuration (Автоматическая настройка).
Часть IV. Использование уязвимых служб и клиентов
После того как в Profile Manager определены все настройки программы 1Е, их можно сохранить в файл с расширением . ins, сделать этот файл общедоступным и загружать на пользовательские системы при каждом запуске браузера или через установленные интервалы вре­мени, в соответствии с установками раздела Automatic Configuration (Автоматическая настройка). Таким образом, администраторы могут постоянно изменять пользовательские настройки с центрального сервера, и распространять среди пользователей согласованные конфигурации зон безопасности становится очень просто.
Некоторые настройки Windows 2000 Internet Explorer нельзя изменить с помощью утилиты Profile Manager из пакета 1ЕДК. В частности, в утилите Profile Manager под Windows 2000 недоступен раздел Restrictions (Ограничения), где определены настройки, которые пользователь может изменять сам. Для установки ограничений в системах Windows 2000 используется политика групп (см. главу 16, "Возможности и средства защиты в системах Windows"). Также в утилите Profile Manager под Windows 2000 недоступны настройки для цифровых подписей, так как в Windows 2000 имеются встроенные функции управления цифровыми подписями.
Конечно, пакет IEAK — прекрасное средство для поддержки одинаковых настроек безопасности в больших организациях, где для работы с Internet используются программы Internet Explorer и Outlook/Outlook Express. Используйте ее, но помните, что опытный пользователь, если он работает с привилегиями системного администратора, всегда может переопределить сделанные вами настройки.
НА ЗАМЕТКУ
В системах Windows 2003 для центрапизованного управления параметрами безопасности Internet Exp tore г могут использоваться настройки Internet Explorer Enhanced Security Configuration.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика