Настройка безопасности в Internet Explorer
🕛 13.04.2009, 19:28
В WS2K3 включен новый инструмент, называемый Internet Explorer Enhanced Security Configuration. После его установки, он меняет настройки безопасности в Internet Explorer, уменьшая подверженность потенциально вредному коду, который может быть найден в Web и прикладных скриптах.Internet Explorer Enhanced Security Configuration по умолчанию устанавливается для всех групп пользователей WS2K3, если вы не добавили роль терминального сервера - конфигурация Internet Explorer Enhanced Security Configuration на терминальном сервере зависит от метода установки операционной системы:
Тип установки Enhanced Security Configuration Administrators Power Users Limited Users Restricted Users
Обновление ОС Yes Yes N- No
Тихая инсталляция ОС Yes Yes N- No
Ручная инсталляция Terminal Services Yes Yes Prompt Prompt
При ручной установке роли Terminal Services, мастер Configure Your Server Wizard предлагает запретить Internet Explorer Enhanced Security Configuration для групп Limited Users и Restricted Users. Это улучшает браузинг в интернет для этих пользователей и защита полагается на разрешения файловой системы, а ОС предотвращает таким пользователям выполнять или инсталлировать вредный код.
Независимо от разрешения или запрещения Internet Explorer Enhanced Security Configuration, группам Limited Users и Restricted Users запрещается инсталлировать на терминальный сервер элементы ActiveX. Администратор должен вручную инсталлировать необходимые компоненты на сервере.
Чтобы вручную разрешить или запретить Internet Explorer Enhanced Security Configuration, используйте Add/Remove Programs в панели управления:
Если вы хотите разрешить Internet Explorer Enhanced Security Configuration для всех пользователей, отметьте соответствующую опцию. Чтобы указать группы, к которым будет применяться Internet Explorer Enhanced Security Configuration, щелкните Details. В появившемся окне вы можете применить расширенную безопасность к администраторам и прочим группам. На терминальном сервере лучше всего разрешить для администраторов и запретить для остальных групп.
Изменения, вносимые Internet Explorer Enhanced Security Configuration
Internet Explorer Enhanced Security Configuration меняет настройки зоны для IE, повышая безопасность:
Зона Уровень по умолчанию Уровень, устанавливаемый Internet Explorer Enhanced Security Configuration
Internet Zone Medium High
Local Intranet Zone Medium Low Medium Low
Trusted Sites Zone Low Medium
Restricted Sites Zone High High
Помимо изменения уровня безопасности зон, Internet Explorer Enhanced Security Configuration меняет зону для всех веб-сайтов интранет. По умолчнию все сайты интранет (определяемые вашим суффиксом DNS), находятся в локальной зоне интранет (Local Intranet Zone). При включенном Internet Explorer Enhanced Security Configuration, сайты интранет помещаются в зону Интернет (Internet Zone) и обрабатываются с уровнем безопасности High, если вы вручную не добавили их в зону Local Intranet Zone. Единственные сайты в локальной зоне Local Intranet Zone при использовании Internet Explorer Enhanced Security Configuration - это локальные сайты (http://localhost, https://localhost, hcp://system). Локальные сайты должны находиться в локальной зоне интранет для правильной работы различных утилит. Internet Explorer Enhanced Security Configuration также меняет расширенные свойства:
Свойство Параметр Новое
значение Результат
Browsing Вывод диалога конфигурации расширенной безопасности On Выводит окно с предупреждением, что сайт интернет пытается использовать скрипт или ActiveX.
Browsing Enable Browser Extensions Off Запрет всех особенностей, которые вы инсталлировали для использования с IE и которые созданы компаниями, отличными от Microsoft.
Browsing Enable Install On Demand (Internet Explorer) Off Запрет установки компонентов IE, если это запрашивается веб-страницей.
Browsing Enable Install On Demand (Other) Off Запрет установки компонентов, если это запрашивается веб-страницей.
Microsoft VM JIT compiler for virtual machine enabled (requires restart) Off Запрет компилятора Microsoft VM.
Multimedia Don't display online content in the media bar On Запрет воспроизведения содержимого в полосе IE.
Multimedia Play sounds in Web pages Off Запрет музыки и прочих звуков
Multimedia Play animations in Web pages Off Запрет анимации
Multimedia Play videos in Web pages Off Запрет видеоклипов
Security Check for server certificate revocation (requires restart) On Автоматически проверяет - не аннулирован ли сертификат веб-сайта перед тем, как принять сертификат.
Security Check for signatures on downloaded programs On Автоматически проверяет и отображает идентичность загружаемых программ.
Security Do not save encrypted pages to disk On Запрет сохранения ащищенной информации в папке Temporary Internet Files.
Security Empty Temporary Internet Files folder when browser is closed On Автоматическая очистка папки Temporary Internet Files при закрытии браузера.
Браузинг может быть чрезмерно ограничен, если вы примените Internet Explorer Enhanced Security Configuration. Если вы используете инструменты на основе Web, или Web-станицы с активным содержимым для системного администрирования, вам следует добавить эти сайты либо в зону Local Intranet Zone, либо в зону Trusted Sites Zone. Для облегчения изменения зон, Microsoft добавила в IE в меню File элемент Add this site to… (если разрешен Internet Explorer Enhanced Security Configuration). Тогда если вам попадется веб-страница с активным содержимым, то появится окно с предупреждением и кнопкой, позволяющей добавить сайт в список доверенных сайтов.
Управление разрешенными элементами ActiveX
Независимо от Internet Explorer Enhanced Security Configuration, группам Limited Users и Restricted Users запрещена установка любых элементов ActiveX и другого активного кода на терминальном сервере - члены этих групп просто не имеют прав записи в каталоги, где хранятся активные элементы.
Однако, иногда необходимо разрешить пользователям доступ к веб-страницам, использующих активный код. Вам, как администратору, необходимо управлять такими элементами. Вы можете делать это разными способами. Для ручной инсталляции элементов для пользователей:
1. Зарегистрируйтесь на терминальном сервере под администратором и откройте в IE веб-страницу с активным содержимым.
2. Если разрешен Internet Explorer Enhanced Security Configuration, вы получите предупреждение. Щелкните Add… для добавления сайта в список доверенных сайтов, либо выберите из меню File пункт Add this site to… для добавления сайта в локальную зону интранет
3. Появится еще одно окно, предлагающее установить активный элемент; выберите опцию Always trust… и щелкните OK.
4. Элемент теперь установлен для пользователей терминального сервера.
При администрировании большого числа терминальных серверов вам вряд ли захочется инсталлировать элементы на каждом сервере. Для автоматизации этого процесса вы можете либо включить элементы в основной образ (если используете клонирование и Sysprep), или можете перехватить файлы и упаковать их в пакеты MSI, а затем использовать групповые политики для инсталлции их на терминальных серверах.
Internet Explorer Enhanced Security Configuration применяется только к IE. Если вы используете другие браузеры интернет, вам необходимо применять другую модель безопасности.