Средства обеспечения безопасности в Internet Explorer 8 Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com Безопасность Microsoft Internet Explorer Internet Explorer 8 Windows 7 Наиболее безопасный браузер, который когда-либо выпускала компания Microsoft ! IE zero-day flaw leaks out; Exploit code published http://blogs.zdnet.com/security/?p=5666 (3/10/10) Internet Explorer 8 неуязвимый New Attack Fells Internet Explorer http://www.pcworld.com/article/182821/new_ attack_fells_internet_explorer.html (11/22/09) Internet Explorer 8 неуязвимый 2 Подтверждено исследованиями Количество уязвимостей 6% различных браузеров 15% 44% 35% Источник: Cenzic Web Application Security Report – Q1-Q2 2009 3 Блокирование вредоносного ПО, использующего методы социальной инженерии источник: NSS Labs Socially Engineered Malware Test Report 4 Блокирование фишинговых атак Источник: NSS Labs Phishing Test Report 5 Нововведения Internet Explorer 8 • Безопасность • • • • • • Подсветка имени домена (Domain Highlighting) Фильтр SmartScreen™ Data Execution Prevention (DEP) ActiveX Controls Lockdown Фильтры Cross Site Scripting (XSS) XDomainRequest (XDM) • Приватность • • • • Контроль и возможность вибора передаваемой информации Удаление истории посещений сайтов (Browsing History) InPrivate™ Browsing InPrivate Blocking Защита с помощью фильтраSmartScreen Лучшая защита от… фишинговых атак и вредоносного ПО Блокирует более 3 миллионов вредоносных программ ежедневно Заблокировано более 125 миллионов фишинговых сайтов Заблокировано более 560 миллионов сайтов с вредоносным ПО 7 Сравнение Internet Explorer 8 Internet Explorer 8 Firefox 3.6 Chrome 4 Safari 4 Защита от фишинга ● ◒ ◔ ○ Защита от вирусов ● ◒ ◔ ◒ Выделение домена ● ○ ○ ○ Поддержка EV сертификатов ● ● ● ● CrossSite Scripting фильтр ● ◔* ○ ○ Защита от ClickJacking ● ○ ○ ○ DEP/NX, ASLR и SafeSEH ● ● ● ◒ Защищенный режим ● н/д н/д н/д LCIE ● н/д н/д н/д toStaticHTML() ● ○ ○ ○ XDM та XDR ● ● ● ● InPrivate Browsing ● ● ◒ ○ InPrivate Filtering ● ◒ ○ ○ ● Полная защита ◒ Частичная защита ◔ Базовая ○ Нет защиты 8 Средства обеспечения безопасности в Internet Explorer 8 Что такое фильтр SmartScreen? • проверяет веб-сайты по динамически обновляемому списку заявленных случаев фишинга и сайтов; • проверяет загружаемые программы по динамически обновляемому списку заявленных сайтов с вредоносными программами; • помогает предотвратить посещение фишинговых веб-сайтов и других содержащих вредоносные программы веб-сайтов, так как это может привести к краже идентификационных данных. Включить SmartScreen Три способа защиты от мошеннических и вредоносных узлов • Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится • Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов • Отправка адреса сайта, на который пользователь собирается зайти, онлайн службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц Параметры групповой политики Объект политики Использовать фильтр SmartScreen Описание Этот параметр политики определяет, следует ли фильтру SmartScreen проверять страницы в этой зоне на наличие вредоносного содержимого. Если этот параметр включен, фильтр SmartScreen будет проверять страницы в этой зоне на наличие вредоносного содержимого. Если этот параметр отключен, фильтр SmartScreen не будет проверять страницы в этой зоне на наличие вредоносного содержимого. По умолчанию пользователю разрешено задавать этот параметр. Глобальные параметры фильтра SmartScreen Объект политики Отключить управление фильтром SmartScreen Описание Позволяет пользователю включить фильтр SmartScreen, который будет предупреждать о том, что посещаемый вебузел может собирать личные сведения мошенническим путем или содержит вредоносное программное обеспечение. Если включить этот параметр, пользователь не увидит предложения включить фильтр SmartScreen; при этом адреса всех веб-узлов, отсутствующих в списке разрешенных узлов фильтра, автоматически направляются корпорации Microsoft, не спрашивая согласия пользователя Если функция отключена или этот параметр не задан, пользователю будет предложено определить режим работы фильтра SmartScreen при первом запуске обозревателя. Предотвращение блокировки предупреждений фильтра SmartScreen Этот параметр управляет поведением фильтра SmartScreen. Если этот параметр включен, пользователю запрещается переходить на узлы, определенные фильтром SmartScreen как небезопасные. Если этот параметр отключен или не задан, пользователь может пропустить предупреждения фильтра SmartScreen и перейти на небезопасные узлы. SmartScreen® SmartScreen Защита от вредоносного ПО и фишинга Отсылка отчета о вредоносных сайтах в Microsoft Предупреждение о блокировании вредоносного ПО Предупреждение о фишинговом сайте 15 Защита от ClickJacking • С целью обнаружения и предотвращения ClickJacking фильтр SmartScreen включает новую функцию, которая является частью основного кода Internet Explorer 8. По умолчанию данная функция всегда включена и не может быть выключена. Фильтр запуска сценариев между узлами (XSS) • Данная функция предназначена для защиты пользователя от некоторых видов атак на серверные приложения. Данные атаки зазываются «атаки типа 1» или «атаки отражением». Как правило при этом некоторый код в форме сценария передается на веб-сервер, а затем возвращается пользователю. Параметры фильтра запуска сценариев между узлами (XSS) Объект политики Включить фильтр запуска сценариев между узлами (XSS) Описание Этот параметр определяет, должен ли фильтр запуска сценариев между узлами (XSS) обнаруживать и предотвращать запуск сценария между узлами в этой зоне. Если этот параметр включен, фильтр XSS будет пытаться блокировать запуск сценариев между узлами в этой зоне. Если этот параметр отключен, фильтр XSS разрешает запуск сценариев между узлами в этой зоне. Выделение домена • При использовании Internet Explorer 8 пользователь прежде всего увидит изменение во внешнем виде адресной строки. Функция выделение домена автоматически выделяет черным цветом ту часть адресной строки, которую она считает основным доменом просматриваемого узла. Выделение строки включено всегда и отключить эту функцию нельзя. Защищенный режим Internet Explorer • Данный режим доступен на компьютерах под управлением Windows 7 и Windows Vista. Защищённый режим реализует дополнительные меры защиты, разрешая приложению доступ только к определенным участкам файловой системы и реестра. Кроме того, этот режим не дает вредоносному программному обеспечению перехватить управление обозревателем и выполнить код с повышенными привилегиями. Явное согласие на запуск элементов ActiveX • Перед использованием нового элемента ActiveX, Internet Explorer сообщает об этом пользователю на панели информации. Далее пользователь может либо разрешить либо запретить доступ к каждому отдельному ActiveX. Объект политики Расположение Процессы Internet Explorer (ограничение установки элементов ActiveX) Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Ограничение установки элементов ActiveX Просмотр в режиме InPrivate • Данный режим предназначен прежде всего для сохранения конфиденциальности просмотра и позволяет запретить Internet Explorer 8 сохранение истории, файлов cookie и прочих данных. Просмотр в режиме InPrivate • отключаются модули поддержки обозревателя (BHO) и панели инструментов; • не сохраняются новые файлы cookie; • если веб-узел пытается создать сохраняемый файл cookie, то обозреватель преобразует его в сеансовый и удаляет по завершении сеанса; Просмотр в режиме InPrivate • ранее сохраненные файлы cookie не считываются и не отправляются серверу; • новая функция хранилища DOM ведет себя аналогично; • в историю обзора не добавляются новые записи; Просмотр в режиме InPrivate • вновь созданные временные файлы Интернета удаляются после закрытия окна просмотра InPrivate; • не сохраняются данные форм; • не сохраняются пароли; Просмотр в режиме InPrivate • не сохраняются адреса, введенные в адресной строке; • не сохраняются запросы, введенные в поле поиска. Просмотр в режиме InPrivate • Просмотр InPrivate можно сделать режимом по умолчанию, если в командную строку запуска обозревателя добавить флаг -private, например: • C:\Program Files\Internet Explorer\iexplore.exe" –private Фильтрация InPrivate • Данная функция предлагает пользователю дополнительные средства контроля над сторонними узлами, которым он согласен передавать данные о своём поведении в Интернет. Параметры InPrivate Наименование Описание Отключить фильтрацию InPrivate Этот параметр политики позволяет отключить режим фильтрации InPrivate. Функция фильтрации InPrivate помогает пользователям контролировать автоматический сбор сторонними сайтами информации о посещенных веб-сайтах. Функция фильтрации InPrivate предоставляет данную возможность с помощью определения стороннего содержимого, используемого веб-сайтами, которые посещают пользователи. Если данная политика включен, во всех сеансах просмотра режим фильтрации InPrivate будет отключен и данные фильтрации InPrivate собираться не будут. При отключении этой политики функция фильтрации InPrivate будет доступна для использования. Параметры InPrivate Наименование Описание Выключить просмотр InPrivate Этот параметр политики позволяет отключить функцию просмотра InPrivate. Функция просмотра InPrivate предотвращает сохранение данных о сеансах просмотра пользователей программой Internet Explorer. Такие данные включают в себя файлы cookie, временные файлы Интернета, журнал и другие сведения. Если этот параметр политики включен, функция просмотра InPrivate будет неактивна. При отключении этого параметра политики функция просмотра InPrivate будет доступна для использования. Параметры InPrivate Наименование Описание Не собирать данные фильтрации InPivate Этот параметр политики позволяет отключить сбор данных, используемых в автоматическом режиме фильтрации InPrivate. Данные включают в себя URL-адреса содержимого сторонних вебсайтов, а также данные об основных веб-сайтах, ссылающихся на него. Данные собираются во время обычных сеансов просмотра (не связанных с режимом просмотра InPrivate). Если этот параметр политики включен, функция сбора данных фильтрации InPrivate будет неактивна. При отключении этого параметра политики будет выполняться сбор данных фильтрации InPrivate. Если этот параметр не задан, сбор данных фильтрации InPrivate можно включить или отключить. Для этого необходимо перейти на вкладку "Конфиденциальность" в окне "Свойства браузера" или нажать кнопку "Безопасность", а затем выбрать пункт "Фильтрация InPrivate", доступный только во время сеансов просмотра InPrivate. Параметры InPrivate Наименование Описание Отключать Этот параметр политики позволяет настроить загрузку панели панелей инструментов и вспомогательных объектов инструментов браузера (BHO) по умолчанию во время сеансов просмотра и расширения InPrivate. при запуске Панели инструментов и объекты BHO могут сохранять просмотра данные о сеансе просмотра веб-страниц пользователем. По InPrivate умолчанию они отключены в режиме просмотра InPrivate. Если эта политика включена, панели инструментов и объекты BHO не будут загружаться по умолчанию во время сеансов просмотра InPrivate. При отключении данной политики панели инструментов и объекты BHO будут загружаться по умолчанию в режиме просмотра InPrivate. Если этот параметр не задан, его можно настроить на вкладке "Конфиденциальность" в окне свойств браузера. Параметры InPrivate Наименование Пороговое значение фильтрации InPrivate Описание Данный параметр политики позволяет настроить пороговое значение для автоматического режима фильтрации InPrivate. Пороговое значение определяет предельное количество основных веб-сайтов, на которые может ссылаться определенный сторонний элемент до фильтрации. Установка минимального порогового значения помогает предотвратить получение дополнительными сторонними веб-сайтами сведений о сеансах просмотра пользователей, однако может также вызвать возникновение проблем совместимости на некоторых веб-сайтах. Допустимые значения находятся в диапазоне 3-30. При включении данной политики будет применено выбранное значение. Если этот параметр отключен или не задан, пороговое значение фильтрации InPrivate можно настроить, нажав кнопку "Безопасность" и выбрав пункт "Фильтрация InPrivate", доступный только во время сеансов просмотра InPrivate. Отключение автоматического заполнения форм • Данная функция предназначена для автоматического запоминания введенных в форму данных. • Параметры этой функции задаются в диалоговом окне Настройка автозаполнения, для открытия которого нужно нажать кнопку Параметры в области Автозаполнение на вкладке Содержание в окне Свойства обозревателя. • Посмотреть и настроить этот параметр можно в папке редактора объектов групповой политики Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer. Параметры автозаполнения Объект политики Отключить автозаполнение для форм Описание Этот параметр предлагает возможные варианты при заполнении форм пользователями. Если этот параметр включен, пользователям не будут предлагаться варианты заполнения форм. Пользователь не сможет изменить его. Если этот параметр отключен, пользователям будут предлагаться возможные варианты заполнения форм. Пользователь не сможет изменить его. По умолчанию пользователь имеет право включить или отключить функцию автозаполнения для форм. Параметры автозаполнения Объект политики Включить автозаполнение для имен пользователей и паролей в формах Описание Этот параметр управляет функцией автозаполнения в Internet Explorer, которая запоминает и предлагает пользователю имена и пароли в формах. Если этот параметр включен, пользователь получит доступ к этой функции и не сможет изменить параметры Имя и пароль пользователя в формах или Запрашивать сохранение пароля. При включенном параметре пользователь сам должен решить, устанавливать ли флажок Запрашивать сохранение пароля. Если этот параметр отключен, пользователь не получит доступа к этой функции и не сможет изменить параметры. Если этот параметр не задан, пользователь сможет включить автозаполнение для ввода имен и паролей в формы. Пользователь может включить эти функции, нажав кнопку Параметры на вкладке Содержание в диалоговом окне Свойства обозревателя, которое доступно с помощью меню Сервис. DEP (Data Execution Protection/NX) • DEP (Data Execution Protection/NX) – технология, запрещающая выполнение кода из областей памяти, содержащих неисполняемые данные, т.е. помеченных как «неисполняемые». Таким образом, при попытке использовать переполнение буфера для запуска вредоносного кода программа, содержащая подобную уязвимость, будет закрыта. Случайное распределение адресного пространства • Данная технология Address Space Layout Randomization перемещает бинарный образ исполняемого кода в случайную область памяти (при этом поддерживается до 255 различных адресов), что значительно снижает проведение некоторых атак со стороны злоумышленников. Как включить защищенный режим в IE 8? • В IE8 есть защищенный режим, который позволяет защитить браузер, уменьшив число адресов, доступных для записи в реестре и файловой системе. Если вы, работая от имени администратора, включите защищенный режим, то работая с учетной записью обычного пользователя, не сможете этот режим отключить. При этом браузер не записывает информацию в реестр Windows. Как включить защищенный режим в IE 8? • Также можно включить этот режим с помощью следующего параметра реестра • [HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\I nternet Settings\Zones\3] “2500″=dword:00000003 • 3 – включить • 0 – отключить Средства обеспечения безопасности в Internet Explorer 8 Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor vladb@windowslive.com http://vladbez.spaces.live.com