- Налаштування параметрів відображення HTML і складу зон
- Налаштування відображення для пошти
- Блокування вікон налаштування в інтерфейсі
- висновок
Коли мова заходить про забезпечення безпеки користувачів корпоративної мережі під час доступу в Internet, в першу чергу все згадують про засоби захисту периметра - міжмережевих екранах (укупі з підключаються антивірусними програмами та системами контролю контенту) і системах виявлення атак. Потім замислюються про всілякі засобах захисту для електронної пошти: тих же віруси, системах контролю контенту і ще будь-яких системах боротьби зі спамом.
Безперечно, це важливі елементи захисту, але обмежуватися ними не слід. Адже дані не тільки проходять через міжмережевий екран, не тільки акумулюються на поштових серверах і кешуючих proxy-серверах. Якщо засоби контролю контенту встановлено та налаштовано правильно, з їх допомогою вдасться уникнути чималої частини загроз, які може нести в собі HTML-код, складений невідомо ким. Але для цього такі засоби як мінімум повинні бути придбані, а в ідеалі - бездоганно налаштовані, щоб можна було витягти максимум із закладених в них можливостей.
Тим часом в кінцевому рахунку і Web-сторінки, і листи в форматі HTML потрапляють на комп'ютери користувачів і обробляються саме там, причому в 95% випадків для відображення даних в форматі HTML використовується движок Internet Explorer. В основному саме про його налаштуваннях і піде мова.
Отже, давайте поговоримо:
- про параметри відображення HTML-сторінок в Internet Explorer (на прикладі версії 6.0) і листів в форматі HTML в Microsoft Outlook (на прикладі Microsoft Office Outlook 2003);
- про відмінності в налаштуванні параметрів відображення HTML для різних зон і про управління складом зон;
- про позбавлення користувачів можливості змінювати налаштування, які для них встановлені централізовано.
Як відомо, засобом централізованої настройки цих (і багатьох інших) параметрів в середовищі Active Directory є групові політики.
Налаштування параметрів відображення HTML і складу зон
Це діалогове вікно, зображене на дисплеї 1, знайоме всім, хто хоч раз переглядав параметри Internet Explorer. Тут для кожної із запропонованих зон (Internet, Restricted Sites, Trusted Sites, Local Intranet) можна налаштовувати параметри відображення сторінок: ввімкнути або вимкнути сценарії, cookies, компоненти ActiveX і .NET Framework, Java-аплети, здійснювати завантаження елементів сторінки з інших доменів і т. п. Щоб побачити весь перелік, досить натиснути кнопку Custom (див. екран 2).
Цей перелік змінюється від версії до версії Internet Explorer, але всі елементи, які в ньому фігурують, докладно описані в спеціальній літературі, і ми не будемо зупинятися на них в даній статті. Є зумовлені варіанти налаштувань, відповідні більшого або меншого рівня довіри вмісту сторінки, - High, Medium, Medium-low і Low. За замовчуванням, ці налаштовано для зон Restricted Sites, Internet, Trusted Sites і Local Intranet відповідно.
У зону Internet за замовчуванням потрапляють всі сайти, які явно не вказані в списках сайтів для зон Restricted Sites, Trusted Sites і Local Intranet.
Ми звикли встановлювати ці настройки на своєму комп'ютері локально, через Internet Explorer (меню Tools - Internet Options). Але можна встановити їх централізовано, через групові політики: гілка User Configuration - Internet Explorer Maintenance - Security, параметр Security Zones and Content Rating, (див. Екран 3).
Якщо в даному об'єкті групової політики цей параметр заданий ні, настройки копіюються з того комп'ютера, на якому запущено редактор групової політики. Після цього можна їх змінити: при натисканні кнопки Modify відображається те ж саме діалогове вікно налаштувань. У груповій політиці можна вказувати і параметри відображення, і списки сайтів (як тих, яким надано особливу довіру, що входять в зони Trusted Sites і Local Intranet, так і тих, яким висловлено явне недовіру, - зона Restricted Sites). Які настройки для яких зон встановлювати і які сайти в які зони включати, вирішується в залежності від ситуації. Що стосується налаштувань відображення, то тут розумними представляються ті міркування, якими, мабуть, керувалися розробники Windows Server 2003 Internet Explorer Enhanced Security.
Оскільки в зону Internet потрапляють за замовчуванням всі сайти, серед них можуть опинитися і сайти, про загрозу з боку яких ми просто не знаємо, тобто сайти, чиї сторінки можуть містити шкідливий код. Якщо залишити параметри за замовчуванням, цей код запуститься: настройки відображення зумовленого рівня Medium допускають відображення і виконання активних компонентів. А методи соціальної інженерії, які можуть застосовувати зловмисники для того, щоб заманити користувача на таку сторінку, ще ніхто не відміняв. Тому, щоб застрахуватися від подібних ситуацій, розумно для зони Internet, як і для зони Restricted Sites, встановити настройки відображення зумовленого рівня High, в якому весь активний контент відключений, так само як і будь-які сценарії.
Точно так же Internet Explorer Enhanced Security трохи менше довіри в порівнянні з параметрами за замовчуванням надає і тим сайтам, які ми не вважаємо чужими і тому включили в зони Trusted Sites і Local Intranet. Для зони Trusted Sites встановлений рівень Medium, а для зони Local Intranet - Medium Low. Ці настройки дозволяють відносно комфортно взаємодіяти з сайтами, що містять активний контент. Залишається вирішити, які сайти включати в зони Restricted Sites, Trusted Sites і Local Intranet.
З приводу зони Restricted Sites треба сказати, що якщо і для зони Internet, і для зони Restricted Sites параметри відображення однаково жорсткі, то і список сайтів зони Restricted Sites можна залишити порожнім.
На жаль, розробники сайтів, в тому числі і цілком благонадійних, люблять активні компоненти - вони дозволяють додавати всілякі візуальні ефекти, які Web-майстрам здаються доречними (і в деяких випадках так воно і є). Дивитися такі сайти з параметрами відображення рівня захисту High іноді буває легко неможливо. Подібні сайти потрібно включати в список Trusted Sites. Причому наповнення списку Trusted Sites теж доцільно вести централізовано, за заявками користувачів, розробивши відповідну бюрократичну процедуру. При спадкуванні групових політик цей список, так само як і весь набір налаштувань відображення HTML-сторінок, заміщається цілком, тому для різних користувачів можна складати різні списки, включивши користувачів в різні організаційні підрозділи (OU) і прив'язавши до цих підрозділам різні об'єкти групових політик, де настройки безпеки Internet включають різні списки.
Що стосується зони Local Intranet, то, як видно з назви, замислювалася ця зона для сайтів внутрішньої мережі. Інше питання, наскільки ми довіряємо всім сайтам внутрішньої мережі. А довіряти їм слід тільки в тій мірі, в якій ми в змозі взаємодіяти з персоналом, що підтримує даний сайт. У мережі невеликої організації, де всі один одного знають, можна спокійно включати всі сайти внутрішньої мережі в цей список. У великій же мережі така взаємодія може бути складно в силу організаційних проблем. Наприклад, якщо є філія в іншому місті і з персоналом цієї філії можна оперативно спілкуватися тільки по телефону, електронній пошті або через службу миттєвих повідомлень. Комп'ютери мережі філії можуть виявитися заражені вірусом через Internet незалежно від мережі головного офісу. Навіщо ж допускати ризик підчепити від них цей вірус, якщо він увійшов на сторінки їх внутрішнього сайту?
Тому в налаштуваннях Internet для філії в список Local Intranet слід включити сайти внутрішньої мережі філії, а для головного офісу в список Local Intranet - сайти внутрішньої мережі головного офісу. Сайти інших підрозділів можна включити в зону Trusted Sites, якщо з ними необхідно працювати.
Ще раз хочу звернути увагу читачів на той факт, що весь набір налаштувань, включаючи і параметри відображення, і списки сайтів в кожній із зон, зберігається в об'єкті групової політики як єдиний параметр, при спадкуванні групових політик він заміщається цілком. У той же час це один з небагатьох параметрів, які має сенс ставити на рівні групової політики для сайту, так як в межах кожної з територіальних локальних мереж, що становлять єдину мережу організації, ці параметри, швидше за все, схожі. Всі комп'ютери територіальної локальної мережі з'єднуються з Internet через один і той же міжмережевий екран.
Налаштування відображення для пошти
Крім того що параметри відображення HTML-сторінки за допомогою браузера Internet Explorer для відображення сторінок, ці ж параметри застосовують Microsoft Outlook і Outlook Express: в їх налаштуваннях можна вказати, параметри якої зони слід задіяти при відображенні листів в HTML-форматі (за замовчуванням - Restricted Sites ). Крім того, до недавнього часу користувачам Outlook і Outlook Express багато клопоту завдавало використання області попереднього перегляду, при відображенні якої спрацьовували всі включені в документ HTML-сценарії. Тепер цей недолік усунуто, але на випадок використання більш старих версій програм (і виявлення нових уразливих місць в механізмі відображення IE нової версії) залишаються актуальними дві рекомендації: відключити область перегляду і відображати листи в форматі HTML як текст. Також слід встановити параметри, які не мають на увазі автоматичного відкриття листів (при видаленні проглядається листи, при відкритті і т. П.), - існує можливість налаштувати програму таким чином, щоб просто відбувалося повернення в папку Inbox.
Ці настройки (за винятком області попереднього перегляду) зберігаються в реєстрі комп'ютера, в розділі HKEY_CURRENT_USER, значить, їх теж можна налаштувати через групові політики, використовуючи адміністративні шаблони.
Для Office 2003 існує набір готових адміністративних шаблонів, які можна застосовувати для централізованого управління найрізноманітнішими параметрами входять до складу пакета додатків, в тому числі параметрами відображення в Outlook. Цей набір входить до складу пакета Office 2003 Resource Kit Tools, який можна завантажити з сайту Microsoft, як і аналогічні пакети для попередніх версій Office - 2000 і XP.
Після установки пакета Office Resource Kit Tools можна, редагуючи будь-який об'єкт групової політики, додати в розділ User Configuration - Administrative Templates шаблон Outlk11.adm (для попередніх версій Office - Outlk10.adm або Outlk9.adm). При цьому поряд з іншими додаються параметри:
? User Configuration - Administrative Templates - Microsoft Office Outlook 2003 - Tools | Options ... - Preferences - E-mail options - Message Handling: настройка повернення в папку Inbox;
? User Configuration - Administrative Templates - Microsoft Office Outlook 2003 - Tools | Options ... - Preferences - E-mail options - Read email as plain text: налаштувати зовнішній вигляд листів в форматі HTML як тексту.
Інші параметри, що додаються в цьому адміністративному шаблоні, відповідають практично всіх налаштувань, доступним через вікна налаштувань Outlook 2003, за винятком вибору зони, параметри відображення HTML для якої використовуються при відображенні листів в форматі HTML. Цією доброю традицією Microsoft слід починаючи з Resource Kit до Office 2000 (для Office 97 я просто не дивився, але ж в ту пору не було ще ні групових політик, ні адміністративних шаблонів). Тому для даної настройки потрібно створити окремий шаблон. Приклад такого шаблону наведено в лістингу 1 .
Після його додавання показуватиме встановлений User Configuration - Administrative Templates - MS Outlook 2003 - Render HTML zone settings, в якій можна буде вибрати зі списку один з двох варіантів: Internet або Restricted Sites. Нескладна модифікація цього шаблону дозволить задіяти його і з іншими версіями Microsoft Office (найменування розділу реєстру має відповідати версії Office).
Блокування вікон налаштування в інтерфейсі
Якщо користувач матиме доступ до вікон налаштувань, він зможе змінити всі налаштування, які встановлені централізовано, послабити все ті обмеження, які для нього задані, і тоді всі наші централізовано встановлені жорсткі настройки не будуть коштувати ламаного гроша. Оскільки всі параметри, про які йшла мова, налаштовуються саме для користувачів, за замовчуванням користувачі мають доступ до їх налаштування.
Найпростіше йде справа з параметрами Outlook, що встановлюються через шаблон Outlk11.adm: як тільки якісь параметри встановлені в груповій політиці, вони автоматично стають недоступні для зміни у вікні настройки. Це властиво і попередніх версій Outlook, починаючи з 2000. Крім того, можна позбавити користувачів і деяких інших можливостей щодо самостійного налаштування програми, а також використання окремих небезпечних функцій в ній, за допомогою розділу того ж адміністративного шаблону Disable Items in User Interface.
Що стосується параметра вибору зони в Outlook 2003, то він у вікні настройки залишається доступним для зміни, але програма ці зміни ігнорує: при наступному виклику вікна програма показує значення параметра, встановлене через групову політику, а головне - керується налаштуванням, заданої через групову політику. Втім, така поведінка може додати клопоту співробітникам, які займаються підтримкою користувачів і змушені пояснювати здивованим колегам причини такої дивної поведінки поштового клієнта.
Якщо по відношенню до Outlook все ясно, то в Internet Explorer у користувачів залишається можливість змінювати параметри безпеки і склад сайтів в зонах, додаючи все, що їм заманеться, в зону Trusted Sites. Цією можливості потрібно користувачів позбавити, змінивши в груповій політиці параметр User Configuration - Administrative Templates - Windows Components - Internet Explorer - Internet Control Panel - Disable the Security Page. Необхідно встановити значення параметра Enabled, і з вікна налаштувань Internet Explorer вкладка Security відображатися не буде. У цій же гілці групової політики можна відключити і інші вкладки вікна налаштування Internet Explorer, позбавивши тим самим користувачів можливості зіпсувати настройки системи.
висновок
Описану техніку не можна вважати панацеєю від можливих дій зловмисників із зовнішнього мережі. Вона дозволяє налаштувати тільки ті функції захисту, які вбудовані в Internet Explorer. Точно так само не є абсолютним захистом і найсучасніший міжмережевий екран, оснащений усіма можливостями для аналізу контенту. Але і нехтувати цією методикою не варто - в будь-якому випадку, це ще одна лінія захисту.
Але як бути користувачам інших програм для роботи з Internet? Тут існує кілька варіантів.
Якщо застосовується інший браузер, який використовує движок Internet Explorer, наприклад MyIE або FlashPeak, то для нього підійдуть установки, як так, як було описано вище.
Якщо використовується програма, що зберігає настройки в реєстрі, то для цих налаштувань доведеться або звернутися до розробників, щоб вони виготовили відповідний адміністративний шаблон, або розробити його своїми силами, провівши певне дослідження програми: які налаштування, в якому вигляді і як записуються в реєстр.
На жаль, для інших популярних механізмів відображення (Opera і Netscape / Mozilla) даний підхід не підійде, так як ці програми зберігають свої налаштування не в реєстрі, а в файлах налаштувань. Для таких програм можна застосувати інший підхід: поширювати заздалегідь підготовлені файли налаштувань через сценарії входу користувачів.
Олексій Соцький - викладач навчального центру, має сертифікати MCSE, MCT. З ним можна зв'язатися за адресою: [email protected]
Навіщо ж допускати ризик підчепити від них цей вірус, якщо він увійшов на сторінки їх внутрішнього сайту?Але як бути користувачам інших програм для роботи з Internet?