Internet Explorer 8

реклама
Средства обеспечения
безопасности в Internet Explorer 8
Безмалый Владимир
MVP Consumer Security
Microsoft Security Trusted Advisor
vladb@windowslive.com
http://vladbez.spaces.live.com
Безопасность Microsoft Internet Explorer
Internet Explorer 8
Windows 7
Наиболее безопасный браузер, который
когда-либо выпускала компания Microsoft !
IE zero-day flaw leaks out; Exploit code published
http://blogs.zdnet.com/security/?p=5666 (3/10/10)
Internet Explorer 8 неуязвимый
New Attack Fells Internet Explorer
http://www.pcworld.com/article/182821/new_
attack_fells_internet_explorer.html (11/22/09)
Internet Explorer 8 неуязвимый
2
Подтверждено исследованиями
Количество
уязвимостей
6%
различных браузеров
15%
44%
35%
Источник: Cenzic Web Application Security Report – Q1-Q2 2009
3
Блокирование вредоносного ПО, использующего
методы социальной инженерии
источник: NSS Labs Socially Engineered Malware Test Report
4
Блокирование фишинговых атак
Источник: NSS Labs Phishing Test Report
5
Нововведения Internet Explorer 8
• Безопасность
•
•
•
•
•
•
Подсветка имени домена (Domain Highlighting)
Фильтр SmartScreen™
Data Execution Prevention (DEP)
ActiveX Controls Lockdown
Фильтры Cross Site Scripting (XSS)
XDomainRequest (XDM)
• Приватность
•
•
•
•
Контроль и возможность вибора передаваемой информации
Удаление истории посещений сайтов (Browsing History)
InPrivate™ Browsing
InPrivate Blocking
Защита с помощью фильтраSmartScreen
Лучшая защита от…
фишинговых атак и вредоносного ПО
Блокирует более 3 миллионов
вредоносных программ
ежедневно
Заблокировано более 125
миллионов фишинговых
сайтов
Заблокировано более 560
миллионов сайтов с
вредоносным ПО
7
Сравнение Internet Explorer 8
Internet
Explorer 8
Firefox 3.6
Chrome 4
Safari 4
Защита от фишинга
●
◒
◔
○
Защита от вирусов
●
◒
◔
◒
Выделение домена
●
○
○
○
Поддержка EV сертификатов
●
●
●
●
CrossSite Scripting фильтр
●
◔*
○
○
Защита от ClickJacking
●
○
○
○
DEP/NX, ASLR и SafeSEH
●
●
●
◒
Защищенный режим
●
н/д
н/д
н/д
LCIE
●
н/д
н/д
н/д
toStaticHTML()
●
○
○
○
XDM та XDR
●
●
●
●
InPrivate Browsing
●
●
◒
○
InPrivate Filtering
●
◒
○
○
● Полная защита
◒ Частичная защита
◔ Базовая
○ Нет защиты
8
Средства обеспечения безопасности
в Internet Explorer 8
Что такое фильтр SmartScreen?
• проверяет веб-сайты по динамически
обновляемому списку заявленных случаев
фишинга и сайтов;
• проверяет загружаемые программы по
динамически обновляемому списку
заявленных сайтов с вредоносными
программами;
• помогает предотвратить посещение
фишинговых веб-сайтов и других содержащих
вредоносные программы веб-сайтов, так как
это может привести к краже
идентификационных данных.
Включить SmartScreen
Три способа защиты от мошеннических и
вредоносных узлов
• Сравнение адреса посещаемого сайта со списком
известных сайтов. Если сайт найден в этом списке,
больше проверок не производится
• Анализ сайта на предмет наличия признаков,
характерных для мошеннических сайтов
• Отправка адреса сайта, на который пользователь
собирается зайти, онлайн службе Microsoft, которая
ищет сайт в списке фишинговых и вредоносных
сайтов. При этом доступ к онлайн службе
производится асинхронно по SSL-соединению, так что
это не сказывается на скорости загрузки страниц
Параметры групповой политики
Объект политики
Использовать
фильтр
SmartScreen
Описание
Этот параметр политики определяет, следует
ли фильтру SmartScreen проверять страницы в
этой зоне на наличие вредоносного
содержимого.
Если этот параметр включен, фильтр
SmartScreen будет проверять страницы в этой
зоне на наличие вредоносного содержимого.
Если этот параметр отключен, фильтр
SmartScreen не будет проверять страницы в
этой зоне на наличие вредоносного
содержимого.
По умолчанию пользователю разрешено
задавать этот параметр.
Глобальные параметры фильтра
SmartScreen
Объект политики
Отключить управление
фильтром SmartScreen
Описание
Позволяет пользователю включить фильтр SmartScreen,
который будет предупреждать о том, что посещаемый вебузел может собирать личные сведения мошенническим путем
или содержит вредоносное программное обеспечение.
Если включить этот параметр, пользователь не увидит
предложения включить фильтр SmartScreen; при этом адреса
всех веб-узлов, отсутствующих в списке разрешенных узлов
фильтра, автоматически направляются корпорации Microsoft,
не спрашивая согласия пользователя
Если функция отключена или этот параметр не задан,
пользователю будет предложено определить режим работы
фильтра SmartScreen при первом запуске обозревателя.
Предотвращение
блокировки
предупреждений
фильтра SmartScreen
Этот параметр управляет поведением фильтра SmartScreen.
Если этот параметр включен, пользователю запрещается
переходить на узлы, определенные фильтром SmartScreen
как небезопасные.
Если этот параметр отключен или не задан, пользователь
может пропустить предупреждения фильтра SmartScreen и
перейти на небезопасные узлы.
SmartScreen®
SmartScreen
Защита от вредоносного ПО и фишинга
Отсылка отчета о вредоносных сайтах в Microsoft
Предупреждение о
блокировании
вредоносного ПО
Предупреждение о фишинговом
сайте
15
Защита от ClickJacking
• С целью обнаружения и
предотвращения ClickJacking фильтр
SmartScreen включает новую функцию,
которая является частью основного
кода Internet Explorer 8. По умолчанию
данная функция всегда включена и не
может быть выключена.
Фильтр запуска сценариев между узлами
(XSS)
• Данная функция предназначена для
защиты пользователя от некоторых
видов атак на серверные
приложения. Данные атаки
зазываются «атаки типа 1» или
«атаки отражением». Как правило
при этом некоторый код в форме
сценария передается на веб-сервер,
а затем возвращается
пользователю.
Параметры фильтра запуска сценариев
между узлами (XSS)
Объект
политики
Включить
фильтр запуска
сценариев
между узлами
(XSS)
Описание
Этот параметр определяет, должен ли
фильтр запуска сценариев между узлами
(XSS) обнаруживать и предотвращать
запуск сценария между узлами в этой
зоне.
Если этот параметр включен, фильтр
XSS будет пытаться блокировать запуск
сценариев между узлами в этой зоне.
Если этот параметр отключен, фильтр
XSS разрешает запуск сценариев между
узлами в этой зоне.
Выделение домена
• При использовании Internet Explorer 8
пользователь прежде всего увидит
изменение во внешнем виде адресной
строки. Функция выделение домена
автоматически выделяет черным цветом
ту часть адресной строки, которую она
считает основным доменом
просматриваемого узла. Выделение
строки включено всегда и отключить эту
функцию нельзя.
Защищенный режим Internet Explorer
• Данный режим доступен на компьютерах
под управлением Windows 7 и Windows
Vista. Защищённый режим реализует
дополнительные меры защиты,
разрешая приложению доступ только к
определенным участкам файловой
системы и реестра. Кроме того, этот
режим не дает вредоносному
программному обеспечению перехватить
управление обозревателем и выполнить
код с повышенными привилегиями.
Явное согласие на запуск элементов
ActiveX
• Перед использованием нового элемента ActiveX,
Internet Explorer сообщает об этом пользователю на
панели информации. Далее пользователь может либо
разрешить либо запретить доступ к каждому
отдельному ActiveX.
Объект политики
Расположение
Процессы Internet
Explorer
(ограничение
установки
элементов
ActiveX)
Конфигурация
компьютера\Административные
шаблоны\Компоненты
Windows\Internet Explorer\Средства
безопасности\Ограничение установки
элементов ActiveX
Просмотр в режиме InPrivate
• Данный режим предназначен
прежде всего для сохранения
конфиденциальности
просмотра и позволяет
запретить Internet Explorer 8
сохранение истории, файлов
cookie и прочих данных.
Просмотр в режиме InPrivate
• отключаются модули поддержки
обозревателя (BHO) и панели
инструментов;
• не сохраняются новые файлы cookie;
• если веб-узел пытается создать
сохраняемый файл cookie, то
обозреватель преобразует его в
сеансовый и удаляет по завершении
сеанса;
Просмотр в режиме InPrivate
• ранее сохраненные файлы
cookie не считываются и не
отправляются серверу;
• новая функция хранилища DOM
ведет себя аналогично;
• в историю обзора не
добавляются новые записи;
Просмотр в режиме InPrivate
• вновь созданные временные
файлы Интернета удаляются
после закрытия окна
просмотра InPrivate;
• не сохраняются данные
форм;
• не сохраняются пароли;
Просмотр в режиме InPrivate
• не сохраняются адреса,
введенные в адресной
строке;
• не сохраняются запросы,
введенные в поле поиска.
Просмотр в режиме InPrivate
• Просмотр InPrivate можно
сделать режимом по умолчанию,
если в командную строку
запуска обозревателя добавить
флаг -private, например:
• C:\Program Files\Internet
Explorer\iexplore.exe" –private
Фильтрация InPrivate
• Данная функция предлагает
пользователю
дополнительные средства
контроля над сторонними
узлами, которым он согласен
передавать данные о своём
поведении в Интернет.
Параметры InPrivate
Наименование Описание
Отключить
фильтрацию
InPrivate
Этот параметр политики позволяет отключить режим
фильтрации InPrivate.
Функция фильтрации InPrivate помогает пользователям
контролировать автоматический сбор сторонними сайтами
информации о посещенных веб-сайтах. Функция
фильтрации InPrivate предоставляет данную возможность с
помощью определения стороннего содержимого,
используемого веб-сайтами, которые посещают
пользователи.
Если данная политика включен, во всех сеансах просмотра
режим фильтрации InPrivate будет отключен и данные
фильтрации InPrivate собираться не будут.
При отключении этой политики функция фильтрации
InPrivate будет доступна для использования.
Параметры InPrivate
Наименование Описание
Выключить
просмотр
InPrivate
Этот параметр политики позволяет отключить
функцию просмотра InPrivate.
Функция просмотра InPrivate предотвращает
сохранение данных о сеансах просмотра
пользователей программой Internet Explorer. Такие
данные включают в себя файлы cookie, временные
файлы Интернета, журнал и другие сведения.
Если этот параметр политики включен, функция
просмотра InPrivate будет неактивна.
При отключении этого параметра политики функция
просмотра InPrivate будет доступна для
использования.
Параметры InPrivate
Наименование
Описание
Не собирать
данные
фильтрации
InPivate
Этот параметр политики позволяет отключить сбор данных,
используемых в автоматическом режиме фильтрации InPrivate.
Данные включают в себя URL-адреса содержимого сторонних вебсайтов, а также данные об основных веб-сайтах, ссылающихся на
него. Данные собираются во время обычных сеансов просмотра (не
связанных с режимом просмотра InPrivate).
Если этот параметр политики включен, функция сбора данных
фильтрации InPrivate будет неактивна.
При отключении этого параметра политики будет выполняться сбор
данных фильтрации InPrivate.
Если этот параметр не задан, сбор данных фильтрации InPrivate
можно включить или отключить. Для этого необходимо перейти на
вкладку "Конфиденциальность" в окне "Свойства браузера" или
нажать кнопку "Безопасность", а затем выбрать пункт "Фильтрация
InPrivate", доступный только во время сеансов просмотра InPrivate.
Параметры InPrivate
Наименование Описание
Отключать
Этот параметр политики позволяет настроить загрузку
панели
панелей инструментов и вспомогательных объектов
инструментов браузера (BHO) по умолчанию во время сеансов просмотра
и расширения InPrivate.
при запуске
Панели инструментов и объекты BHO могут сохранять
просмотра
данные о сеансе просмотра веб-страниц пользователем. По
InPrivate
умолчанию они отключены в режиме просмотра InPrivate.
Если эта политика включена, панели инструментов и
объекты BHO не будут загружаться по умолчанию во время
сеансов просмотра InPrivate.
При отключении данной политики панели инструментов и
объекты BHO будут загружаться по умолчанию в режиме
просмотра InPrivate.
Если этот параметр не задан, его можно настроить на
вкладке "Конфиденциальность" в окне свойств браузера.
Параметры InPrivate
Наименование
Пороговое
значение
фильтрации
InPrivate
Описание
Данный параметр политики позволяет настроить пороговое
значение для автоматического режима фильтрации InPrivate.
Пороговое значение определяет предельное количество основных
веб-сайтов, на которые может ссылаться определенный сторонний
элемент до фильтрации. Установка минимального порогового
значения помогает предотвратить получение дополнительными
сторонними веб-сайтами сведений о сеансах просмотра
пользователей, однако может также вызвать возникновение
проблем совместимости на некоторых веб-сайтах. Допустимые
значения находятся в диапазоне 3-30.
При включении данной политики будет применено выбранное
значение.
Если этот параметр отключен или не задан, пороговое значение
фильтрации InPrivate можно настроить, нажав кнопку
"Безопасность" и выбрав пункт "Фильтрация InPrivate", доступный
только во время сеансов просмотра InPrivate.
Отключение автоматического заполнения
форм
• Данная функция предназначена для автоматического
запоминания введенных в форму данных.
• Параметры этой функции задаются в диалоговом окне
Настройка автозаполнения, для открытия которого
нужно нажать кнопку Параметры в области
Автозаполнение на вкладке Содержание в окне
Свойства обозревателя.
• Посмотреть и настроить этот параметр можно в папке
редактора объектов групповой политики Конфигурация
пользователя\Административные
шаблоны\Компоненты Windows\Internet Explorer.
Параметры автозаполнения
Объект политики
Отключить
автозаполнение
для форм
Описание
Этот параметр предлагает возможные варианты
при заполнении форм пользователями. Если этот
параметр включен, пользователям не будут
предлагаться варианты заполнения форм.
Пользователь не сможет изменить его.
Если этот параметр отключен, пользователям
будут предлагаться возможные варианты
заполнения форм. Пользователь не сможет
изменить его.
По умолчанию пользователь имеет право
включить или отключить функцию автозаполнения
для форм.
Параметры автозаполнения
Объект политики
Включить
автозаполнение для
имен пользователей и
паролей в формах
Описание
Этот параметр управляет функцией автозаполнения в
Internet Explorer, которая запоминает и предлагает
пользователю имена и пароли в формах. Если этот
параметр включен, пользователь получит доступ к этой
функции и не сможет изменить параметры Имя и
пароль пользователя в формах или Запрашивать
сохранение пароля. При включенном параметре
пользователь сам должен решить, устанавливать ли
флажок Запрашивать сохранение пароля.
Если этот параметр отключен, пользователь не получит
доступа к этой функции и не сможет изменить
параметры.
Если этот параметр не задан, пользователь сможет
включить автозаполнение для ввода имен и паролей в
формы. Пользователь может включить эти функции,
нажав кнопку Параметры на вкладке Содержание в
диалоговом окне Свойства обозревателя, которое
доступно с помощью меню Сервис.
DEP (Data Execution Protection/NX)
• DEP (Data Execution Protection/NX) –
технология, запрещающая выполнение
кода из областей памяти, содержащих
неисполняемые данные, т.е. помеченных
как «неисполняемые». Таким образом,
при попытке использовать переполнение
буфера для запуска вредоносного кода
программа, содержащая подобную
уязвимость, будет закрыта.
Случайное распределение адресного
пространства
• Данная технология Address Space
Layout Randomization перемещает
бинарный образ исполняемого кода
в случайную область памяти (при
этом поддерживается до 255
различных адресов), что
значительно снижает проведение
некоторых атак со стороны
злоумышленников.
Как включить защищенный режим в IE 8?
• В IE8 есть защищенный режим, который
позволяет защитить браузер, уменьшив
число адресов, доступных для записи в
реестре и файловой системе. Если вы,
работая от имени администратора,
включите защищенный режим, то
работая с учетной записью обычного
пользователя, не сможете этот режим
отключить. При этом браузер не
записывает информацию в реестр
Windows.
Как включить защищенный режим в IE 8?
• Также можно включить этот режим с помощью
следующего параметра реестра
•
[HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\I
nternet Settings\Zones\3]
“2500″=dword:00000003
• 3 – включить
• 0 – отключить
Средства обеспечения
безопасности в Internet Explorer 8
Безмалый Владимир
MVP Consumer Security
Microsoft Security Trusted Advisor
vladb@windowslive.com
http://vladbez.spaces.live.com
Скачать