Расширенные функции безопасности XP SP2 для IE
Основная клиентская операционная система компании Microsoft — Windows XP — с самого начала была излюбленной мишенью взломщиков. Пакет исправлений XP Service Pack 1 (SP1) содержит важные исправления для устранения программных ошибок, но не вносит фундаментальных изменений в механизм безопасности клиента. После выпуска XP SP1 разработчики Microsoft оптимизировали процесс применения исправлений для системы безопасности, предложив усовершенствованный механизм дистрибуции и автоматизированной установки. Оптимизация процесса установки исправлений полезна, однако уровень безопасности повышается, только если пользователи применяют эти исправления. XP SP2 был дополнен важными функциями защиты в расчете на недисциплинированных пользователей, которые легкомысленно относятся к установке исправлений. Благодаря интеллектуальному механизму автоматической настройки конфигурации и строгому режиму безопасности, который назначается по умолчанию, даже машины без исправлений весьма надежно защищены от атак.
Версия Microsoft Internet Explorer (IE) из состава XP SP2 содержит важные усовершенствования в области безопасности. Наиболее заметные из них — диспетчер модулей расширения, механизм блокировки всплывающих окон и изоляция зоны безопасности Local Machine.
Во время подготовки данной статьи выпуск SP2 был запланирован на август 2004 г. В конце 2004 или в начале 2005 г. компания Microsoft планирует выпустить аналогичный пакет безопасности для текущей серверной версии операционной системы, Windows Server 2003 SP1.
Интеллектуальный диспетчер модулей расширения
Модули расширения браузера представляют собой элементы управления ActiveX, вспомогательные объекты и расширения инструментальной панели, которые намеренно или неосознанно устанавливаются пользователями. Модули расширения могут быть установлены самими пользователями при запуске выполняемого файла либо без их ведома при просмотре Web-страниц. Применение модулей расширения обоих типов связано с риском, но самоустанавливающиеся модули особенно опасны, — например, сотрудники предприятия могут случайно установить модуль расширения, который записывает пароль и имя пользователя и пересылает его на сервер в Internet. С помощью диспетчера модулей расширения XP SP2 IE пользователи могут просматривать, активизировать, блокировать и обновлять все модули расширения IE. Благодаря функции обновления, пользователь может связаться с Web-узлом издателя модуля и загрузить последнюю его версию. Кроме того, в диспетчере предусмотрена функция обнаружения аварийных ситуаций, вызванных модулями расширения. Если сбой IE происходит из-за модуля расширения, браузер предлагает пользователю отключить такой модуль.
На экране 1 показан новый диспетчер модулей расширения. Можно получить доступ к нему через функцию Manage Add-ons в меню Tools или выбрать Tools, Internet Options, а затем перейти к вкладке Programs и щелкнуть на кнопке Manage Add-ons. Другой способ — открыть диалоговое окно приложения Internet Options из панели управления Windows. Из раскрывающегося списка можно выбрать отображаемые на экране модули расширения: Add-ons currently loaded in Internet Explorer (загруженные в настоящее время) или Add-ons that have been used by Internet Explorer (использованные браузером). Последний вариант показывает модули, которые установлены, но в данный момент не загружены. Чтобы активизировать или блокировать модуль расширения, нужно выделить его, затем выбрать параметр Enable или Disable в разделе Settings в левой нижней части диалогового окна. Чтобы обновить модуль расширения ActiveX, следует щелкнуть на Update ActiveX в разделе Update в правой верхней области диалогового окна.
Экран 1. Управление модулями расширения IE |
Администраторы могут задействовать параметры реестра для управления работой диспетчера модулей или доступом пользователей к его параметрам. Например, чтобы запретить пользователю управлять модулями расширения, следует присвоить параметру NoExtensionManagement (тип REG_DWORD) значение 0 в разделе HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftInternet ExplorerRestrictions или в разделе HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions. С помощью параметров реестра AllowList и DenyList можно составить явные списки запрещенных и разрешенных модулей. При использовании параметра AllowList IE запрещает применять все модули расширения, кроме указанных в параметре AllowList. При использовании параметра DenyList, IE разрешает задействовать все модули расширения, за исключением указанных в параметре DenyList. Чтобы уникально идентифицировать модули расширения в параметрах AllowList и DenyList, следует использовать идентификатор класса (CLSID) модуля расширения. В таблице показаны параметры реестра для управления модулями, в том числе AllowList и DenyList.
С помощью параметров Group Policy Object (GPO) можно централизованно контролировать параметры реестра, показанные в табл. Открыв редактор Group Policy Editor (GPE), можно найти параметры GPO в контейнере User ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer. Чтобы обновить существующие объекты GPO с помощью новых параметров административного шаблона inetres.adm из пакета XP SP2, необходимо зарегистрироваться на системе XP SP2 из учетной записи, которая входит в группу безопасности Domain Administrators, Enterprise Administrators или Group Policy Creator Owners. В редакторе GPE следует щелкнуть правой кнопкой мыши на User ConfigurationAdministrative Templates и выбрать пункт Add/Remove Templates. В диалоговом окне Add/Remove Templates нужно выбрать новый файл inetres.adm из пакета XP SP2 и загрузить его в существующие GPO.
Экран 2. Усовершенствованное окно загрузки модулей расширения IE |
В SP2 были усовершенствованы диалоговые окна загрузки и установки модулей расширения IE. Теперь в них содержатся предупреждения об опасности, связанной с установкой модулей расширения IE. На экране 2 показано предупреждение, выдаваемое при попытке пользователя загрузить файл из Web; на экране 3 показано предупреждение, адресованное посетителю Web-узла, который пытается установить модули расширения (например, элементы управления ActiveX) от непроверенного издателя. Непроверенные издатели — это провайдеры Web-контента, который не заверен действительной цифровой сигнатурой. По умолчанию браузер IE из пакета SP2 с неизвестным контентом не работает. Параметр реестра RunInvalidSignatures в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDownload или в разделе HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload управляет режимом приема контента и имеет стандартное значение 0.
Экран 3. Усовершенствованное окно установки модулей расширения IE |
Блокировка всплывающих окон
Всплывающие окна автоматически появляются в браузере при просмотре Web и обычно содержат рекламу. Естественно, они доставляют массу хлопот пользователям Internet. До появления XP SP2 пользователям IE приходилось устанавливать дополнительные программы для блокировки всплывающих окон (например, инструментальные панели Google Toolbar и MSN Toolbar, которые предоставляют эту услугу, можно бесплатно загрузить из http://toolbar.google.com и http://toolbar.msn.com, соответственно). Но в версии IE из пакета XP SP2 предусмотрена встроенная функция блокировки, которая активна по умолчанию.
Обнаружив всплывающее окно, SP2 IE автоматически выводит на экран панель Information Bar вверху браузера и пиктограмму предупреждения в строке состояния IE в нижней части браузера (экран 4). Щелкнув на панели или пиктограмме, можно выполнить одно из следующих действий: показать заблокированное окно, разрешить прием всплывающих окон с данного сайта (URL узла вносится в список разрешенных модулей расширения, который будет рассмотрен ниже), блокировать всплывающее окно или открыть диалоговое окно Pop-up Blocker Settings.
Экран 4. Блокирование всплывающих окон IE |
Другой способ — открыть диалоговое окно Pop-up Blocker Settings с помощью функции Pop-up Blocker из меню Tools. Можно также перейти в меню Tools и выбрать пункт Internet Options или открыть утилиту Internet Options панели управления, а затем перейти на вкладку Privacy, выбрать пункт Block pop-ups и щелкнуть на Settings в разделе Pop-up blocker (экран 5), чтобы открыть диалоговое окно.
Экран 5. Настройка блокировщика всплывающих окон IE |
Параметры настройки блокировщика всплывающих окон позволяют задать правила блокировки и исключить из этих правил некоторые Web-узлы. IE можно настроить на выдачу звукового сигнала и показ панели Information Bar при блокировании всплывающего окна. Можно назначить правила блокировки для ссылок конкретного Web-узла. Если активизировать режим Block pop-ups opened from links I click, то можно нажать клавишу Alt одновременно со щелчком на ссылке, чтобы отменить блокирование. Чтобы исключить Web-узел из числа блокируемых сайтов, следует ввести URL в поле адреса и щелкнуть на кнопке Add. В результате URL будет добавлен в список Allowed sites, который хранится в разделе реестра HKEY_CURRENT_USERSoftwareMicrosoft Internet ExplorerNew WindowsAllow. Этот раздел не входит в новый файл шаблона inetres.adm, но с помощью шаблона можно централизованно активизировать или отменить управление всплывающими окнами на настольных компьютерах пользователей. Для этого следует задействовать параметр Disable pop-up management and its setting в контейнере User ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer. Этот параметр влияет на раздел реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictionsNoPopupManagement.
Блокировщик всплывающих окон SP2 IE не блокирует окон, которые появляются по щелчку на Web-ссылке или URL (если только такое поведение не задано администратором, как описано выше). Не блокируются также всплывающие окна с Web-узлов в зонах IE Trusted Sites и Local Intranet. Поведением IE при просмотре этих зон можно управлять на вкладке Security диалогового окна Internet Options.
Скрытые изменения системы безопасности IE
Во внутренних механизмах системы безопасности XP SP2 IE также появились интересные новшества. Самые важные из них — более безопасное кэширование объектов, ограничения для окон, запрет расширения полномочий зон и изоляция зоны Local Machine.
Безопасность кэширования объектов повышается, так как Web-страницам запрещено обращаться к контенту, записанному в кэше Web-страницами из других доменов (в данном контексте домен представлен полным доменным именем машины — FQDN). Например, IE может блокировать Web-страницы, содержащие сценарии для мониторинга таких событий, как ввод пользователями номеров кредитных карточек на Web-страницах, относящихся к другим доменам. Режим безопасного кэширования объектов в SP2 активизируется по умолчанию, и им можно управлять через раздел реестра HKEY_LOCAL_MA CHINESOFTWARE MicrosoftInternet ExplorerMainFeature ControlFEATURE_OBJECT_CACHINGIexplore.exe (значение 1 задает режим безопасного кэширования). Централизованно управлять этой функцией можно с помощью параметров GPO в контейнере User Configuration Administrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesObject Caching Protection.
В окнах IE ограничена возможность сценариев программным путем открывать новые окна, изменять размеры существующих окон и удалять панель заголовка или статуса окна. Это нововведение эффективно блокирует окна, которые пытаются подменить объекты «рабочего стола» или наложить собственную панель адреса. Кроме того, пользователи IE могут всегда видеть зону безопасности Web-страницы. Оконные ограничения действуют по умолчанию для процессов IE, а управлять ими можно с помощью раздела реестра HKEY_LOCAL_MACHINE SOFTWAREMicrosoftInternet ExplorerMain FeatureControl FEATURE_WINDOWS_RESTRICTIONSIexplore.exe (значение 1 вводит ограничения для окон). Централизованно управлять ограничениями можно через параметры GPO в контейнере User ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesScripted Window Security Restrictions.
Благодаря запрету изменений параметров зоны Web-страницы не могут вызывать страницы, относящиеся к зоне безопасности с менее строгими правилами. Этот прием часто используют хакеры, создающие подобные Web-страницы, чтобы расширить свои полномочия на локальной машине. В данном контексте зоны безопасности IE разделяются по следующим категориям (от самых строгих до самых свободных): Restricted Sites, Internet, Local Intranet, Trusted Sites и Local Machine. Следует помнить, что зона безопасности Web-страницы определяется ее местоположением. Например, страницы Internet автоматически относятся к зоне безопасности Internet.
В предыдущих версиях IE ограничения для Web-контента в зоне безопасности Local Machine были незначительными. Web-контент автоматически относился к зоне Local Machine, если он хранился в локальной файловой системе, даже если он был только что записан браузером в кэш. Как упоминалось выше, взломщики использовали эту особенность, чтобы поднять уровень полномочий и завладеть компьютером. В SP2 Web-контент в зоне безопасности Local Machine имеет меньше полномочий. Каждый раз, когда Web-контент пытается выполнить действие, не разрешенное в зоне Local Machine, в панели Information Bar появляется текстовое сообщение: This page has been restricted from running active content that might be able to access your computer. If you trust this page, click here to allow it to access your computer. Режим блокировки Local Machine активизируется по умолчанию для процессов IE, и управлять этой функцией можно через раздел реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainFeature ControlFEATURE_LOCALMACHINE_LOCKDOWNIexplore.exe (функция активна, если значение равно 1). Для централизованного управления можно использовать параметры из контейнера User ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesLocal Machine Zone Lockdown Security.
Усовершенствованные функции безопасности XP SP2 важны как для пользователей, так и для программистов. Главное изменение — гибкость защиты: уровень безопасности повышается даже в тех машинах, на которых не установлены новейшие исправления для системы безопасности. XP SP2 — первый шаг Microsoft к активной защите своих платформ и приложений.
Жан де Клерк (jan.declercq@hp.com) — сотрудник подразделения Security Office компании HP. Специализируется на продуктах Microsoft