Средства обеспечения безопасности в Internet Explorer 8 Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor

Безопасность Microsoft Internet Explorer 2 Наиболее безопасный браузер, который когда-либо выпускала компания Microsoft ! Internet Explorer 8 Windows 7 IE zero-day flaw leaks out; Exploit code published (3/10/10) Internet Explorer 8 неуязвимый New Attack Fells Internet Explorer attack_fells_internet_explorer.html (11/22/09) Internet Explorer 8 неуязвимый

Подтверждено исследованиями 3 Источник: Cenzic Web Application Security Report – Q1-Q2 2009Cenzic Web Application Security Report – Q1-Q2 2009

Блокирование вредоносного ПО, использующего методы социальной инженерии 4 источник: NSS Labs Socially Engineered Malware Test ReportNSS Labs Socially Engineered Malware Test Report

Блокирование фишинговых атак 5 Источник: NSS Labs Phishing Test ReportNSS Labs Phishing Test Report

Нововведения Internet Explorer 8 Безопасность Подсветка имени домена (Domain Highlighting) Фильтр SmartScreen Data Execution Prevention (DEP) ActiveX Controls Lockdown Фильтры Cross Site Scripting (XSS) XDomainRequest (XDM) Приватность Контроль и возможность вибора передаваемой информации Удаление истории посещений сайтов (Browsing History) InPrivate Browsing InPrivate Blocking

Лучшая защита от… фишинговых атак и вредоносного ПО Защита с помощью фильтраSmartScreen 7 Блокирует более 3 миллионов вредоносных программ ежедневно Заблокировано более 125 миллионов фишинговых сайтов Заблокировано более 560 миллионов сайтов с вредоносным ПО

Сравнение Internet Explorer 8 8 Internet Explorer 8 Firefox 3.6Chrome 4Safari 4 Защита от фишинга Защита от вирусов Выделение домена Поддержка EV сертификатов CrossSite Scripting фильтр * Защита от ClickJacking DEP/NX, ASLR и SafeSEH Защищенный режимн/д LCIEн/д toStaticHTML() XDM та XDR InPrivate Browsing InPrivate Filtering Полная защита Частичная защита Базовая Нет защиты

Средства обеспечения безопасности в Internet Explorer 8

Что такое фильтр SmartScreen? проверяет веб-сайты по динамически обновляемому списку заявленных случаев фишинга и сайтов; проверяет загружаемые программы по динамически обновляемому списку заявленных сайтов с вредоносными программами; помогает предотвратить посещение фишинговых веб-сайтов и других содержащих вредоносные программы веб-сайтов, так как это может привести к краже идентификационных данных.

Включить SmartScreen

Три способа защиты от мошеннических и вредоносных узлов Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов Отправка адреса сайта, на который пользователь собирается зайти, онлайн службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц

Параметры групповой политики Объект политикиОписание Использовать фильтр SmartScreen Этот параметр политики определяет, следует ли фильтру SmartScreen проверять страницы в этой зоне на наличие вредоносного содержимого. Если этот параметр включен, фильтр SmartScreen будет проверять страницы в этой зоне на наличие вредоносного содержимого. Если этот параметр отключен, фильтр SmartScreen не будет проверять страницы в этой зоне на наличие вредоносного содержимого. По умолчанию пользователю разрешено задавать этот параметр.

Глобальные параметры фильтра SmartScreen Объект политикиОписание Отключить управление фильтром SmartScreen Позволяет пользователю включить фильтр SmartScreen, который будет предупреждать о том, что посещаемый веб- узел может собирать личные сведения мошенническим путем или содержит вредоносное программное обеспечение. Если включить этот параметр, пользователь не увидит предложения включить фильтр SmartScreen; при этом адреса всех веб-узлов, отсутствующих в списке разрешенных узлов фильтра, автоматически направляются корпорации Microsoft, не спрашивая согласия пользователя Если функция отключена или этот параметр не задан, пользователю будет предложено определить режим работы фильтра SmartScreen при первом запуске обозревателя. Предотвращение блокировки предупреждений фильтра SmartScreen Этот параметр управляет поведением фильтра SmartScreen. Если этот параметр включен, пользователю запрещается переходить на узлы, определенные фильтром SmartScreen как небезопасные. Если этот параметр отключен или не задан, пользователь может пропустить предупреждения фильтра SmartScreen и перейти на небезопасные узлы.

SmartScreen® SmartScreen Защита от вредоносного ПО и фишинга Отсылка отчета о вредоносных сайтах в Microsoft Предупреждение о фишинговом сайте Предупреждение о блокировании вредоносного ПО 15

Защита от ClickJacking С целью обнаружения и предотвращения ClickJacking фильтр SmartScreen включает новую функцию, которая является частью основного кода Internet Explorer 8. По умолчанию данная функция всегда включена и не может быть выключена.

Фильтр запуска сценариев между узлами (XSS) Данная функция предназначена для защиты пользователя от некоторых видов атак на серверные приложения. Данные атаки зазываются «атаки типа 1» или «атаки отражением». Как правило при этом некоторый код в форме сценария передается на веб-сервер, а затем возвращается пользователю.

Параметры фильтра запуска сценариев между узлами (XSS) Объект политики Описание Включить фильтр запуска сценариев между узлами (XSS) Этот параметр определяет, должен ли фильтр запуска сценариев между узлами (XSS) обнаруживать и предотвращать запуск сценария между узлами в этой зоне. Если этот параметр включен, фильтр XSS будет пытаться блокировать запуск сценариев между узлами в этой зоне. Если этот параметр отключен, фильтр XSS разрешает запуск сценариев между узлами в этой зоне.

Выделение домена При использовании Internet Explorer 8 пользователь прежде всего увидит изменение во внешнем виде адресной строки. Функция выделение домена автоматически выделяет черным цветом ту часть адресной строки, которую она считает основным доменом просматриваемого узла. Выделение строки включено всегда и отключить эту функцию нельзя.

Защищенный режим Internet Explorer Данный режим доступен на компьютерах под управлением Windows 7 и Windows Vista. Защищённый режим реализует дополнительные меры защиты, разрешая приложению доступ только к определенным участкам файловой системы и реестра. Кроме того, этот режим не дает вредоносному программному обеспечению перехватить управление обозревателем и выполнить код с повышенными привилегиями.

Явное согласие на запуск элементов ActiveX Перед использованием нового элемента ActiveX, Internet Explorer сообщает об этом пользователю на панели информации. Далее пользователь может либо разрешить либо запретить доступ к каждому отдельному ActiveX. Объект политикиРасположение Процессы Internet Explorer (ограничение установки элементов ActiveX) Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Ограничение установки элементов ActiveX

Просмотр в режиме InPrivate Данный режим предназначен прежде всего для сохранения конфиденциальности просмотра и позволяет запретить Internet Explorer 8 сохранение истории, файлов cookie и прочих данных.

Просмотр в режиме InPrivate отключаются модули поддержки обозревателя (BHO) и панели инструментов; не сохраняются новые файлы cookie; если веб-узел пытается создать сохраняемый файл cookie, то обозреватель преобразует его в сеансовый и удаляет по завершении сеанса;

Просмотр в режиме InPrivate ранее сохраненные файлы cookie не считываются и не отправляются серверу; новая функция хранилища DOM ведет себя аналогично; в историю обзора не добавляются новые записи;

Просмотр в режиме InPrivate вновь созданные временные файлы Интернета удаляются после закрытия окна просмотра InPrivate; не сохраняются данные форм; не сохраняются пароли;

Просмотр в режиме InPrivate не сохраняются адреса, введенные в адресной строке; не сохраняются запросы, введенные в поле поиска.

Просмотр в режиме InPrivate Просмотр InPrivate можно сделать режимом по умолчанию, если в командную строку запуска обозревателя добавить флаг -private, например: C:\Program Files\Internet Explorer\iexplore.exe" –private

Фильтрация InPrivate Данная функция предлагает пользователю дополнительные средства контроля над сторонними узлами, которым он согласен передавать данные о своём поведении в Интернет.

Параметры InPrivate НаименованиеОписание Отключить фильтрацию InPrivate Этот параметр политики позволяет отключить режим фильтрации InPrivate. Функция фильтрации InPrivate помогает пользователям контролировать автоматический сбор сторонними сайтами информации о посещенных веб-сайтах. Функция фильтрации InPrivate предоставляет данную возможность с помощью определения стороннего содержимого, используемого веб-сайтами, которые посещают пользователи. Если данная политика включен, во всех сеансах просмотра режим фильтрации InPrivate будет отключен и данные фильтрации InPrivate собираться не будут. При отключении этой политики функция фильтрации InPrivate будет доступна для использования.

Параметры InPrivate НаименованиеОписание Выключить просмотр InPrivate Этот параметр политики позволяет отключить функцию просмотра InPrivate. Функция просмотра InPrivate предотвращает сохранение данных о сеансах просмотра пользователей программой Internet Explorer. Такие данные включают в себя файлы cookie, временные файлы Интернета, журнал и другие сведения. Если этот параметр политики включен, функция просмотра InPrivate будет неактивна. При отключении этого параметра политики функция просмотра InPrivate будет доступна для использования.

Параметры InPrivate НаименованиеОписание Не собирать данные фильтрации InPivate Этот параметр политики позволяет отключить сбор данных, используемых в автоматическом режиме фильтрации InPrivate. Данные включают в себя URL-адреса содержимого сторонних веб- сайтов, а также данные об основных веб-сайтах, ссылающихся на него. Данные собираются во время обычных сеансов просмотра (не связанных с режимом просмотра InPrivate). Если этот параметр политики включен, функция сбора данных фильтрации InPrivate будет неактивна. При отключении этого параметра политики будет выполняться сбор данных фильтрации InPrivate. Если этот параметр не задан, сбор данных фильтрации InPrivate можно включить или отключить. Для этого необходимо перейти на вкладку "Конфиденциальность" в окне "Свойства браузера" или нажать кнопку "Безопасность", а затем выбрать пункт "Фильтрация InPrivate", доступный только во время сеансов просмотра InPrivate.

Параметры InPrivate НаименованиеОписание Отключать панели инструментов и расширения при запуске просмотра InPrivate Этот параметр политики позволяет настроить загрузку панелей инструментов и вспомогательных объектов браузера (BHO) по умолчанию во время сеансов просмотра InPrivate. Панели инструментов и объекты BHO могут сохранять данные о сеансе просмотра веб-страниц пользователем. По умолчанию они отключены в режиме просмотра InPrivate. Если эта политика включена, панели инструментов и объекты BHO не будут загружаться по умолчанию во время сеансов просмотра InPrivate. При отключении данной политики панели инструментов и объекты BHO будут загружаться по умолчанию в режиме просмотра InPrivate. Если этот параметр не задан, его можно настроить на вкладке "Конфиденциальность" в окне свойств браузера.

Параметры InPrivate НаименованиеОписание Пороговое значение фильтрации InPrivate Данный параметр политики позволяет настроить пороговое значение для автоматического режима фильтрации InPrivate. Пороговое значение определяет предельное количество основных веб-сайтов, на которые может ссылаться определенный сторонний элемент до фильтрации. Установка минимального порогового значения помогает предотвратить получение дополнительными сторонними веб-сайтами сведений о сеансах просмотра пользователей, однако может также вызвать возникновение проблем совместимости на некоторых веб-сайтах. Допустимые значения находятся в диапазоне При включении данной политики будет применено выбранное значение. Если этот параметр отключен или не задан, пороговое значение фильтрации InPrivate можно настроить, нажав кнопку "Безопасность" и выбрав пункт "Фильтрация InPrivate", доступный только во время сеансов просмотра InPrivate.

Отключение автоматического заполнения форм Данная функция предназначена для автоматического запоминания введенных в форму данных. Параметры этой функции задаются в диалоговом окне Настройка автозаполнения, для открытия которого нужно нажать кнопку Параметры в области Автозаполнение на вкладке Содержание в окне Свойства обозревателя. Посмотреть и настроить этот параметр можно в папке редактора объектов групповой политики Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer.

Параметры автозаполнения Объект политикиОписание Отключить автозаполнение для форм Этот параметр предлагает возможные варианты при заполнении форм пользователями. Если этот параметр включен, пользователям не будут предлагаться варианты заполнения форм. Пользователь не сможет изменить его. Если этот параметр отключен, пользователям будут предлагаться возможные варианты заполнения форм. Пользователь не сможет изменить его. По умолчанию пользователь имеет право включить или отключить функцию автозаполнения для форм.

Параметры автозаполнения Объект политикиОписание Включить автозаполнение для имен пользователей и паролей в формах Этот параметр управляет функцией автозаполнения в Internet Explorer, которая запоминает и предлагает пользователю имена и пароли в формах. Если этот параметр включен, пользователь получит доступ к этой функции и не сможет изменить параметры Имя и пароль пользователя в формах или Запрашивать сохранение пароля. При включенном параметре пользователь сам должен решить, устанавливать ли флажок Запрашивать сохранение пароля. Если этот параметр отключен, пользователь не получит доступа к этой функции и не сможет изменить параметры. Если этот параметр не задан, пользователь сможет включить автозаполнение для ввода имен и паролей в формы. Пользователь может включить эти функции, нажав кнопку Параметры на вкладке Содержание в диалоговом окне Свойства обозревателя, которое доступно с помощью меню Сервис.

DEP (Data Execution Protection/NX) DEP (Data Execution Protection/NX) – технология, запрещающая выполнение кода из областей памяти, содержащих неисполняемые данные, т.е. помеченных как «неисполняемые». Таким образом, при попытке использовать переполнение буфера для запуска вредоносного кода программа, содержащая подобную уязвимость, будет закрыта.

Случайное распределение адресного пространства Данная технология Address Space Layout Randomization перемещает бинарный образ исполняемого кода в случайную область памяти (при этом поддерживается до 255 различных адресов), что значительно снижает проведение некоторых атак со стороны злоумышленников.

Как включить защищенный режим в IE 8? В IE8 есть защищенный режим, который позволяет защитить браузер, уменьшив число адресов, доступных для записи в реестре и файловой системе. Если вы, работая от имени администратора, включите защищенный режим, то работая с учетной записью обычного пользователя, не сможете этот режим отключить. При этом браузер не записывает информацию в реестр Windows.

Как включить защищенный режим в IE 8? Также можно включить этот режим с помощью следующего параметра реестра [HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\I nternet Settings\Zones\3] 2500=dword: – включить 0 – отключить

Средства обеспечения безопасности в Internet Explorer 8 Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor