Настройка параметров безопасности браузера Internet Explorer

[Saule]

Зоны безопасности в IE

Настройка параметров безопасности браузера Internet Explorer 6

Internet Explorer разделяет все сайты на четыре зоны, каждая из которых обеспечивает различный уровень защиты:

• Интернет (Internet) - сюда автоматически включаются все веб-сайты, если они не входят в какую-либо другую зону IE (уровень безопасности по умолчанию: средний).
  
• Местная интрасеть (Local Intranet) - эта зона в первую очередь вмещает в себя локальные сайты интрасети, которые, как предполагается, являются безопасными и не содержат вредоносных программ для нападения на компьютеры пользователя (уровень безопасности по умолчанию: ниже среднего).
  
• Надежные узлы (Trusted sites) - сюда вносятся сайты, которым вы доверяете относительно всего их содержимого (уровень безопасности по умолчанию: низкий).
  
• Ограниченные узлы (Restricted Sites) - эта зона предназначена для сайтов, которые рассматриваются вами как опасные (уровень безопасности по умолчанию: высокий).
  

Уровень безопасности каждой из этих зон регулируется с помощью установки различных ограничений на функциональные возможности браузера. Параметры этих ограничений могут быть индивидуально изменены согласно требованиям пользователя. И особого внимания в этом плане заслуживает зона безопасности "Интернет" ("Internet").

Для того, чтобы открыть настройки параметров этой зоны, нужно выполнить следующее:

В верхнем меню браузера:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Безопасность (Security) > нажать на зону "Интернет" ("Internet") > кнопка "Другой..." ("Custom Level...")

Параметры, которые рекомендуется изменить для зоны "Интернет" ("Internet"):

Разное (Miscellaneous):

• Доступ к источникам данных за пределами домена (Access data sources across domains) - Отключить (Disable).
  
• Запуск приложений и файлов в окне IFRAME (Launching programs and files in an IFRAME) - Отключить (Disable).
  
• Перетаскивание или копирование и вставка файлов (Drag and drop or copy and paste files) - Отключить (Disable).
  
• Переход между кадрами через разные домены (Navigate sub-frames across different domains) - Отключить (Disable).
  
• Разрешения канала програмного обеспечения (Software channel permissions) - Высокая безопасность (High safety).
  
• Установка элементов рабочего стола (Installation of desktop items) - Отключить (Disable).
  
• Устойчивость данных пользователя (Userdata persistence) - Отключить (Disable).
  

Сценарии (Scripting):

• Выполнять сценарии приложений Java (Scripting of Java applets) - Отключить (Disable).
  
• Разрешить операции вставки из сценария (Allow paste operations via script) - Отключить (Disable).
  

Элементы ActiveX и модули подключения (ActiveX controls and plug-ins):

• Загрузка подписанных элементов ActiveX (Download signed ActiveX controls) - Предлагать (Prompt) - и в дальнейшем, при появлении сообщения с предложением установки и запуска какой-либо программы, никогда не нажимайте 'OK', не убедившись в том, что предлагаемая программа действительно вам нужна.
  
• Загрузка неподписанных элементов ActiveX (Download unsigned ActiveX controls) - Отключить (Disable).
  
• Использование элементов ActiveX, не помеченных как безопасные (Initialize and script ActiveX controls not marked as safe) - Отключить (Disable).
  

После внесения изменений нажимаем на кнопку 'OK' - появиться запрос о подтверждении изменений - нажимаем "Да" ("Yes). И снова на кнопку 'OK'.

------------------

Помимо этого, для повышения общего уровня безопасности и защиты компьютера от каких-либо несанкционированных загрузок, вы можете использовать возможность занесения небезопасных сайтов в зону "Ограниченные узлы" ("Restricted sites").

Доступ к занесенным сюда сайтам не блокируется. Ограничиваются только их функциональные возможности (такие как элементы управления ActiveX, аплеты Java, сценарии и загрузки данных).

Чтобы добавить сайт в зону "Ограниченные узлы" ("Restricted sites"), сделайте следующее:

В верхнем меню браузера:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Безопасность (Security) > нажать на зону "Ограниченные узлы" ("Restricted sites") > кнопка "Узлы..." ("Sites...") > введите адрес веб-сайта и нажмите на кнопку "Добавить" ("Add")

Чтобы не заниматься таким добавлением исключительно вручную, можно воспользоваться, к примеру, бесплатной программой SpywareBlaster от JavaCool, - своеобразная "прививка" от паразитов, которая автоматически занесет в настройки IE список более, чем из 7000 потенциально опасных веб-сайтов.

Механизм работы с программой достаточно прост. Сначала выбираем в левом меню модуль "Update" и нажимаем на кнопку "Check for Updates", чтобы установить все доступные обновления. Затем отправляемся в модуль "Protection" и ставим галочки во всех возможных закладках: "Internet Explorer", "Restricted Sites" и "Mozilla/Firefox" (разумеется, галка в последней закладке нужна только в том случае, если у вас в системе, помимо IE, установлен и браузер Mozilla).

После чего программу смело можно выключить и на какое-то время о ней даже забыть.

------------------

И последнее, на что нужно обратить внимание: не стоит спешить с добавлением сайтов, которым вы доверяете, в зону "Надежные узлы" ("Trusted sites"), без какой-либо на то необходимости.

[Saule]

Параметры конфиденциальности в IE

Настройка параметров безопасности браузера Internet Explorer 6

Следующие настройки, имеющие прямое отношение к безопасности, будут находиться в закладке "Конфиденциальность" ("Privacy"):

В верхнем меню браузера:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Конфиденциальность (Privacy)

По умолчанию уровень конфиденциальности здесь установлен в позицию "Средний" ("Medium"). Желательно поднять его, как минимум, до значения "Умеренно высокий" ("Medium-High"). Это очень существенно уменьшит количество сохраняемых на вашем компьютере файлов 'cookie' и почти никак не отразиться на функциональности просматриваемых вами веб-сайтов. Так как определенные сайты, 'cookie' которых вы не хотите блокировать, можно занести в исключения с помощью кнопки "Узлы..." ("Sites..."): для этого на неё нужно нажать, ввести адрес сайта и выбрать желаемое для него действие - "Разрешить" ("Allow") или, наоборот, "Блокировать" ("Block").

Примечание:

исключения не будут работать в том случае, если уровень конфиденциальности установлен в позицию "Принимать все cookie" ("Accept All Cookies") или "Блокировать все cookie" ("Block All Cookies").

-------------------

Далее переходим в закладку "Содержание" ("Content"):

В верхнем меню браузера:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Содержание (Content)

Нажмите на кнопку "Автозаполнение" ("AutoComplete") и отключите автозаполнение для веб-адресов ("Web addresses"), форм ("Forms"), имен пользователей и паролей в формах ("User names and passwords on forms"), если не хотите, чтобы браузер сохранял соответствующую информацию.

С одной стороны эта функция облегчает вашу последующую работу с IE - данные вводятся в формы автоматически. Но с другой - это небезопасно с точки зрения конфиденциальности, так как однажды кто-нибудь может воспользоваться вашим паролем.

Использование функции "Автозаполнение"

Также не следует использовать приложение "Профиль" ("Profile Assistant"), данные для которого создаются в этой же вкладке:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Содержание (Content) > Профиль (My Profile)

Дело в том, что введенные сюда персональные данные предоставляются некоторым веб-сайтам, запрашивающим информацию о своих посетителях.

Чтобы совсем отключить эту функцию, нужно зайти в верхнем меню браузера:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Дополнительно (Advanced) > в области "Безопасность" ("Security") убираем галочку с опции "Задействовать профиль" ("Enable Profile Assistant")

В этой же закладке - "Дополнительно" ("Advanced") - находится последняя группа параметров безопасности, с которыми следует ознакомиться.

Итак, в верхнем меню браузера:

Сервис (Tools) > Свойства обозревателя (Internet Options) > Дополнительно (Advanced) > раздел "Безопасность" ("Security")

Найдите раздел "Безопасность" ("Security") и измените настройки так, как рекомендуется ниже:

• SSL 2.0 (Use SSL 2.0) - отмечено.
  
• SSL 3.0 (Use SSL 3.0) - отмечено.
  
• TLS 1.0 (Use TLS 1.0) - отмечено в том случае, если ваша система была сконфигурирована с включенным параметром безопасности "Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания" (System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing). В противном случае галочка не нужна.
  
• Включить интегрированную проверку подлинности Windows (Enable Integrated Windows Authentication) - не отмечено.
  
• Задействовать профиль (Enable Profile Assistant) - не отмечено.
  
• Не сохранять зашифрованные страницы на диске (Do not save encrypted pages to disk) - отмечено в том случае, если вы хотите, чтобы зашифрованные страницы не кэшировались так же, как и обычные, в папке временных файлов IE.
  
• Предупреждать о недействительных сертификатах узлов (Warn about invalid site certificates) - отмечено.
  
• Предупреждать о переключении режима безопасности (Warning if changing between secure and not secure mode) - отмечено.
  
• Предупреждать при переадресации передаваемых форм (Warn if forms submittal is being redirected) - отмечено.
  
• Проверка подписи для загруженных программ (Check for signatures on downloaded programs) - не отмечено.
  
• Проверять аннулирование сертификатов издателей (Check for publisher's certificate revocation) - отмечено.
  
• Проверять аннулирование сертификатов серверов (Check for server certificate revocation) - отмечено.
  
• Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя (Empty Temporary Internet Files folder when browser is closed) - по своему усмотрению.
  Дополнительные параметры, добавленные в Windows XP после выхода Service Pack 2:
  
• Разрешать запуск активного содержимого компакт-дисков (Allow active content from CDs to run on My Computer) - не отмечено.
  
• Разрешать запуск активного содержимого файлов на моем компьютере (Allow active content to run in files on My Computer) - не отмечено.
  
• Разрешить запуск или установку программ, даже если подпись недопустима (Allow software to run or install even if the signature is invalid) - не отмечено.
  

После сделанных изменений, не забудьте нажать на кнопку 'OK'.

Настройки групповой политики

После того, как все функции безопасности браузера будут настроены, было бы очень разумно защитить их от каких-либо изменений в дальнейшем.

Если у вас установлена Windows XP Professional, то сделать это можно с помощью редактора групповой политики, который открывается следующим образом:

Пуск (Start) > Выполнить (Run) > вводим команду 'gpedit.msc' > нажимаем 'ОК' или клавишу 'ENTER'

Параметры Internet Explorer, главным образом, содержатся в следующих разделах:

• Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Компоненты Windows (Windows Components) > Internet Explorer - здесь находятся конфигурации, позволяющие блокировать параметры безопасности по отношению ко всей системе.
  
• Конфигурация пользователя (User Configuration) > Административные шаблоны (Administrative Templates) > Компоненты Windows (Windows Components) > Internet Explorer - более детальные параметры для создания ограничений пользовательского уровня. Здесь можно установить запреты на изменение каких-то отдельных настроек IE (например, запрет на изменение домашней страницы).
  
• Конфигурация пользователя (User Configuration) > Конфигурация Windows (Windows Settings) > Настройка Internet Explorer (Internet Explorer Maintenance) - с точки зрения безопасности, здесь следует обратить внимание на два подраздела: "Программы" ("Programs") и "Безопасность" ("Security").
  
• Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Система (System) > Параметры связи через Интернет (Internet Communication Management) - в этом разделе существует возможность отключить взаимодействие с Интернет некоторых компонентов системы (SP2).
  

Изменено 2 сентября, 2007 пользователем Saule