Безопасна работа с Internet Explorer, Windows IT Pro

XP SP2 подобрени функции за сигурност за IE

Основната клиентска операционна система на Microsoft, Windows XP, е любима цел на хакерите от самото начало. XP Service Pack 1 (SP1) съдържа важни корекции за корекции на грешки, но не прави фундаментални промени в механизма за защита на клиента. След пускането на XP SP1, Microsoft рационализира процеса на корекция на сигурността, като предостави подобрено разпространение и механизъм за автоматизирана инсталация. Въпреки че рационализирането на процеса на инсталиране на корекция е полезно, сигурността се подобрява само ако потребителите прилагат корекциите. XP SP2 е подобрен с важни функции за сигурност за необузданите потребители, които са небрежни към корекцията. Благодарение на интелигентния автоматичен механизъм за конфигуриране и стандартния строг режим на защита, дори машини без корекции са много добре защитени от атаки.

Версията на Microsoft Internet Explorer (IE) на XP SP2 съдържа важни подобрения в сигурността. Най-забележителните от тях са мениджърът на добавките, механизмът за блокиране на изскачащи прозорци и изолацията на зоната за сигурност на локалната машина.

Интелигентен мениджър на модули за разширение

Фигура 1 показва новия мениджър на добавки. Можете да получите достъп до него чрез функцията Управление на добавки в менюто Инструменти или изберете Инструменти, Опции за интернет и след това отидете в раздела Програми и щракнете върху бутона Управление на добавките. Друг начин е да отворите диалоговия прозорец на приложението Internet Options от контролния панел на Windows. От падащия списък можетеизберете добавките, показани на екрана: Добавки, заредени в момента в Internet Explorer (текущо заредени) или Добавки, които са били използвани от Internet Explorer (използвани от браузъра). Последната опция показва модули, които са инсталирани, но не са заредени в момента. За да активирате или деактивирате добавка, изберете я, след което изберете опцията Активиране или Деактивиране в раздела Настройки в долния ляв ъгъл на диалоговия прозорец. За да актуализирате добавката ActiveX, щракнете върху Актуализиране на ActiveX в секцията Актуализация в горната дясна част на диалоговия прозорец.

internet

Администраторите могат да използват настройките на системния регистър, за да контролират поведението на модулния мениджър или потребителския достъп до неговите настройки. Например, за да попречите на даден потребител да управлява модули за разширения, задайте NoExtensionManagement (тип REG_DWORD) на 0 в ключа HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftInternet ExplorerRestrictions или в ключа HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions. С помощта на записите в системния регистър AllowList и DenyList можете да създавате изрични списъци на забранени и разрешени модули. Когато използвате параметъра AllowList, IE предотвратява използването на всички добавки, различни от посочените в параметъра AllowList. Когато използвате параметъра DenyList, IE позволява да бъдат активирани всички добавки, с изключение на посочените в параметъра DenyList. За уникално идентифициране на разширителни модули в параметрите AllowList и DenyList, използвайте идентификатора на класа (CLSID) на разширителния модул.Таблицатапоказва настройките на регистъра за управление на модули, включително AllowList и DenyList.

работа

работа

Блокиране на изскачащи прозорци

Откриванеизскачащ прозорец, SP2 IE автоматично показва информационната лента в горната част на браузъра и предупредителната икона в лентата на състоянието на IE в долната част на браузъра (Фигура 4). Като щракнете върху лентата или иконата, можете да направите едно от следните неща: да покажете блокиран прозорец, да разрешите изскачащи прозорци от този сайт (URL адресът на хоста е включен в списъка с разрешени добавки, който ще бъде обсъден по-долу), да блокирате изскачащ прозорец или да отворите диалоговия прозорец Настройки за блокиране на изскачащи прозорци.

работа

Друг начин е да отворите диалоговия прозорец Настройки за блокиране на изскачащи прозорци, като използвате функцията Блокиране на изскачащи прозорци от менюто Инструменти. Можете също да отидете в менюто Инструменти и да изберете Опции за интернет или да отворите помощната програма Опции за интернет на контролния панел, след това отидете в раздела Поверителност, изберете Блокиране на изскачащи прозорци и щракнете върху Настройки под Блокирането на изскачащи прозорци (Фигура 5), за да отворите диалоговия прозорец.

безопасна

Скрити промени в сигурността на IE

Функциите за вътрешна сигурност на XP SP2 IE също имат някои интересни нови функции. Най-важните от тях са по-сигурно кеширане на обекти, ограничения за прозорци, липса на ескалация на зони и изолиране на зоната на локалната машина.

Кеширането на обекти е по-сигурно, тъй като на уеб страниците е възпрепятстван достъп до съдържание, кеширано от уеб страници от други домейни (в този контекст домейнът е представен от напълно квалифицираното име на домейн (FQDN) на машината). Например, IE може да блокира уеб страници, съдържащи скриптове за наблюдение на събития като потребители, въвеждащи номера на кредитни карти на уеб страници, принадлежащи на други домейни. Режимът на защитено кеширане на обекти на SP2 е активиран по подразбиране и може да се контролира чрез ключа на системния регистър HKEY_LOCAL_MAКИТАЙСКИ СОФТУЕР MicrosoftInternet ExplorerMainFeature ControlFEATURE_OBJECT_CACHINGIexplore.exe (стойност 1 указва защитен режим на кеширане). Можете централно да управлявате тази функция чрез настройките на GPO в контейнера Административни шаблони за потребителска конфигурация, Компоненти на Windows, Internet Explorer, Функции за сигурност, Защита на кеширане на обекти.

В предишните версии на IE имаше малко ограничения върху уеб съдържанието в зоната за сигурност на локалната машина. Уеб съдържанието се присвоява автоматично на зоната на локалната машина, ако се съхранява в локалната файлова система, дори ако току-що е било кеширано от браузъра. Както бе споменато по-горе, кракерите използваха тази функция, за да повишат нивото на авторитет и да превземат компютъра. В SP2 уеб съдържанието в зоната за сигурност на локалната машина има по-малко привилегии. Всеки път, когато уеб съдържание се опита да извърши действие, което не е разрешено в зоната на локалната машина, в информационната лента се появява текстово съобщение: Тази страница е ограничена от стартиране на активно съдържание, което може да има достъп до вашия компютър. Ако имате доверие на тази страница, щракнете тук, за да й разрешите достъп до вашия компютър. Режимът за заключване на локална машина е активиран по подразбиране за процеси на IE и може да се контролира чрез ключа на системния регистър HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeature ControlFEATURE_LOCALMACHINE_LOCKDOWNIexplore.exe (функцията е активирана, когато е зададена на 1). За централизирано управление можете да използвате настройките от Конфигурация на потребителя, Административни шаблони, Компоненти на Windows, Internet Explorer, Функции за сигурност, Блокиране на зона на локална машина, Защитен контейнер.

Подобрените функции за сигурност на XP SP2 са важни както за потребителите, така и за програмистите. Основната промяна е гъвкавостта на защитата: нивотосигурността е подобрена дори на машини, които нямат инсталирани най-новите корекции за сигурност. XP SP2 е първата стъпка на Microsoft в активната защита на своите платформи и приложения.

Жан дьо Клерк([email protected]) е служител на отдела за сигурност на HP. Специализира в продукти на Microsoft

Споделяйте материал с колеги и приятели