Управление на сигурността на Internet Explorer

Архив на броя / 2005 / Брой #4 (29) / Управление на сигурността на Internet Explorer

НАТАЛИЯ МЕЛНИКОВА

Проблемът за защита на работното място на клиента става все по-актуален. Това се дължи на редица причини, но главно поради изместването на вектора на атаката от сървърния към клиентския софтуер. Статистиката за инциденти показва, че по-голям процент от пробиви в компютърната сигурност както в корпоративния, така и в частния сектор се случват именно чрез компрометиране на потребителски работни станции.

За съжаление проблемът със защитата на потребителските приложения е получил по-малко внимание от защитата на сървърите. В днешните корпоративни информационни системи повечето защити са концентрирани в периметъра на мрежата и ако бъдат прескочени, мрежата става беззащитна. Нападателят получава достъп до работната станция и съответно до всички мрежови ресурси, с които потребителят може да работи. Това е напълно достатъчно за решаване на широк спектър от задачи - от изпращане на спам и събиране на поверителна информация до индустриален шпионаж.

Въпреки това, когато се опитва да замени Internet Explorer в корпоративни мрежи, администраторът трябва да се сблъска с някои проблеми. Първият е липсата на необходимата функционалност. Много общи сървърни приложения като Outlook Web Access, SharePoint Portal Server активно използват различни DHTML разширения, реализирани само в Internet Explorer. Много клиентски приложения също използват COM обекти на Internet Explorer, за да формират потребителския интерфейс. Така на работното място на клиента има две програми за работа с WEB -Internet Explorer за достъп до корпоративни приложения и алтернативен браузър за достъп до Интернет. Това намалява използваемостта и увеличава вероятността от потребителски грешки. Освен това възникват редица допълнителни проблеми.

Задачата за управление на мрежата става по-сложна. Тъй като повечето от алтернативните програми за работа с WWW не поддържат функции за централизирано управление (репликирането на конфигурационни файлове чрез групови политики не е най-удобният начин), разходите за поддръжка на клиентски машини се увеличават. Задачата за управление на актуализациите на живо отново възниква, тъй като митът за липсата на грешки в алтернативните браузъри, както се очакваше [3], беше бързо разсеян. Пускат се актуализации и нови версии на програми, но съвременните инструменти за управление на актуализации (и търсене на уязвимости) не ги поддържат и администраторът трябва сам да следи уместността на версиите на програмата.

Освен това мрежата, базирана на Active Directory, често страда от влошаване на сигурността, тъй като се използват много по-уязвими механизми Digest или Basic вместо познатите протоколи за удостоверяване NTLMv2 и Kerberos. Удостоверяването с помощта на клиентски сертификати от магазина на Windows или Smartcard не винаги работи добре.

Като се има предвид всичко казано по-горе, е вероятно намаляването на риска, което обещава преминаването към алтернативни браузъри, да не оправдае увеличението на оперативните разходи.

Нека да разгледаме стандартните настройки на Internet Explorer, чието използване ви позволява да повишите нивото на сигурност на клиентските работни станции до доста високо ниво. Допълнително предимство от използването на тези настройки е, че те лесно се копират с помощтастандартни базирани на Windows инструменти за корпоративно мрежово управление като Active Directory.

По подразбиране Internet Explorer чете настройките от клона на HKCU, но това поведение може да бъде променено. Задаване на стойността Активирано в настройката на обекта на груповата политика (GPO) Конфигурация на компютъра\Административни шаблони\ Компоненти на Windows\Internet Explorer\Зони за сигурност: Използване само на настройките на машината присвоява стойност на настройката на системния регистър. HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\ Internet Settings\Security_HKLM_only до 1, след което Internet Explorer започва да използва настройките от HKLM клона.

Тъй като разрешенията на клона на HKLM не позволяват на потребителя да променя стойностите, съдържащи се в основните секции, потребителят няма да може да промени настройките, зададени от администратора. В повечето случаи се препоръчва да активирате тази настройка, тъй като потребителят или злонамереният софтуер, работещ в неговия контекст на сигурност, може да промени настройките на браузъра, намалявайки нивото на сигурност. Такъв пример е троянският кон Win32.Secdrop.C [4], който след инсталиране позволява изтегляне и стартиране на неподписани ActiveX компоненти от Интернет.

Ако тази настройка е активирана, всички настройки на Internet Explorer трябва да бъдат променени в клона HKLM (или раздела за компютърна конфигурация на UGP). Съответно, ако се използват скриптове за промяна на параметрите, тогава е необходимо да се използват тези, които се изпълняват с достатъчно привилегии, а именно Startup Script и Shutdown Script. Освен това, за да приложите настройките, е необходимо груповата политика на ниво компютър да работи, което в някои случаи изисква рестартиране. Друг потенциален проблем е, чевъзможността за персонализиране на настройките на Internet Explorer за различни потребители на един и същи компютър изчезва. Но необходимостта от различни настройки на IE за различните потребители е по-скоро изключение, отколкото правило.

Следните подключове се използват за конфигуриране на зони за сигурност: HKLM(HKKU)\Software\Microsoft\Windows\CurrentVersion\Internet Settings:

Правила за шаблони
Карта на зони
Зони

Разделът TemplatePolicies съдържа предварително дефинирани нива на сигурност, които по-късно могат да се използват за конфигуриране на зони. Този раздел се съдържа само в клона на HKLM и не се препоръчва да го променяте, тъй като подобна операция ще затрудни възстановяването на настройките по подразбиране в случай на повреди.

Разделът ZoneMap описва как хостове и домейни се нанасят на зони за сигурност. Подразделът Домейни съдържа йерархична структура, в която имената на домейни и хостове действат като ключове, параметрите описват протоколи, а стойностите на параметрите показват номер на зона за сигурност. Следната структура на ключ на регистъра показва, че при достъп до сървъра www.isc2.org чрез https протокола ще се използват настройките на втората зона за сигурност (Доверени сайтове, Доверени сайтове): ZoneMap –> Домейни -> sc2.org-> www -> https (DWORD)=2.

Структурата може да бъде по-сложна. Например следната опция казва на всеки сайт в домейна *.microsoft.com да използва https протокола, за да използва зоната за сигурност на надеждни сайтове. За обработка на съдържанието на страниците на сървъра www.microsoft.com, получени чрез http протокола, ще се използват настройките на интернет зоната: ZoneMap –> Домейни -> microsoft.com -> https (DWORD)=2, www –> http(DWORD)=3.

Ако клиентът е Microsoft Windows Server 2003 и опцията Internet Explorer Enhanced Security Configuration е активирана, тогава настройките трябва да се съхраняват под подключа EscDomains, а не под домейни.

Подразделът ProtocolDefaults описва коя зона ще се използва, ако се използва определен протокол, ако не са приложими допълнителни правила. По подразбиране повечето протоколи използват зона 3 - Интернет.

В допълнение към описаните параметри, стойността на параметъра Flags, съдържащ се в раздела, описващ зоната, може да повлияе коя зона за сигурност ще се използва за обработка на съдържанието на конкретен сървър.

Например стойността по подразбиране за зона 1 (интранет) е 219: HKLM(HKCU)\Software\Micro-soft\Windows\CurrentVersion\Internet Settings\Zones\1:

Тази стойност се формира въз основа на параметрите на битовата маска (Таблица 1) и съдържа стойностите 128, 16 и 8. Съответно интранет зоната автоматично ще включва онези хостове, достъпни чрез името на Net BIOS, и хостове, които не работят през прокси сървъра (параметър HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride).