WinPedia - электронная энциклопедия windows
   Вы здесь: Главная arrow 16. Microsoft Internet Explorer 6 arrow Политика безопасности   

Авторизация

Политика безопасности Печать

Браузер Microsoft Internet Explorer позволяет настроить внутреннюю политику безопасности с целью ограничить как поступление информации из внешнего Интернета на ваш компьютер, в частности файлов, автоматически загружаемых с некоторых web-узлов, так и обратный поток данных с вашего компьютера в Интернет. Внутренняя политика безопасности Microsoft Internet Explorer органично дополняет систему безопасности, организуемую посредством брандмауэра подключения к Интернету (см. раздел «Брандмауэр подключения к Интернету» глава 15), однако следует понимать, что брандмауэр обеспечивает безопасность всей локальной сети или одного компьютера при использовании Интернета всеми пользовательскими программами и сервисами, а внутренняя политика безопасности накладывает определенные ограничения только на использование программы Microsoft Internet Explorer. Чтобы настроить внутреннюю политику безопасности, откройте диалоговое окно Свойства: Интернет (Internet Properties) с помощью команд Пуск->Панель управления->Сеть и подключения к Интернету->Свойства обозревателя (Start->Control Panel->Network and Internet Connections-> Internet Options) и перейдите ко вкладке Безопасность (Security).

Для удобства настройки политики безопасности все сетевые ресурсы, с которыми может работать браузер Microsoft Internet Explorer, разделены на несколько логических зон:

  • Интернет (Internet)- в эту зону входят все ресурсы глобальной сети Интернет, за исключением тех, которые вы поместили в другие зоны;
  • Местная интрасеть (Local intranet)- группа, объединяющая все ресурсы, входящие в локальную сеть, из которой вы подключаетесь к Интернету;
  • Надежные узлы (Trusted sites)- данная зона представляет собой список, куда вы можете внести все web-узлы, администрации которых вы доверяете и которые, как вам кажется, не могут причинить вред вашему компьютеру;
  • Ограниченные узлы (Restricted sites)- список ресурсов Интернета, администрации которых вы не доверяете и которые могут нанести вред вашей системе. На обмен данными с такими узлами будут наложены определенные ограничения.

Для того чтобы настроить политику безопасности при работе браузера внутри вашей локальной сети, выделите в поле Выберите зону Интернета, чтобы присвоить ей политику безопасности (Select a Web content zone to specify its security settings) пункт Местная интрасеть (Local intranet) и нажмите на кнопку Узлы (Sites). В появившемся окне Местная интрасеть (Local intranet) вам необходимо указать, какие именно узлы браузер должен считать ресурсами локальной сети, для чего следует установить (или сбросить) соответствующие флажки:

  • Все узлы интрасети, не перечисленные в других зонах (Include all local (intranet) sites not listed in other zones)- к этой категории относятся все ресурсы, которые администратор вашей локальной сети установил в качестве локальных, кроме тех, которые вы намерено внесли в список других зон;
  • Все узлы, подключаемые минуя прокси-сервер (Include all sites that bypass the proxy server)- в данную категорию могут попасть не только ресурсы вашей локальной сети, но также узлы, которые в настройках соединения указаны в качестве подключаемых напрямую, минуя прокси. Чтобы просмотреть список этих узлов, откройте диалоговое окно Свойства: Интернет (Internet Properties), перейдите ко вкладке Подключения (Connections), в поле Настройка удаленного доступа и виртуальных частных сетей (Dial-up settings) выделите щелчком мыши текущее соединение, после чего щелкните мышью на расположенной справа кнопке Настройка (Settings);
  • Все сетевые пути (UNC) (Include all network paths (UNCs))- к данной группе относятся все ресурсы, вызываемые с использованием сетевых путей.

Нажав на кнопку Дополнительно (Advanced), вы сможете перейти к редактированию адресов узлов, относящихся к зоне вашей интрасети. Диалоговое окно, управляющее списками узлов, принадлежащих к отдельным сетевым зонам, идентично для зон Местная интрасеть (Local intranet), Надежные узлы (Trusted sites) и Ограниченные узлы (Restricted sites). Чтобы добавить в выбранную зону новый ресурс, введите его адрес в поле Добавить узел в зону (Add this Web site to the zone), после чего щелкните мышью на кнопке Добавить (Add). Указанный вами адрес появится в расположенном ниже списке Веб-узлы (Web sites). Чтобы удалить сервер из списка, выделите его щелчком мыши и нажмите на кнопку Удалить (Remove). Если связь со всеми узлами данной зоны должна осуществляться по защищенному протоколу с проверкой серверов сети, установите флажок Для всех узлов этой зоны требуется проверка серверов (https) (Require server verification (https) for all sites in this zone). Учтите, что далеко не все ресурсы сети Интернет поддерживают работу с протоколом HTTPS, поэтому при включении данного режима большинство из них может стать недоступно.

Составив список узлов, принадлежащих различным сетевым зонам, вы можете настроить для каждой из них собственную политику безопасности. Чтобы выполнить эту задачу, выделите требуемую зону в списке и щелкните мышью на расположенной в нижней части вкладки Безопасность (Security) диалогового окна Свойства: Интернет (Internet Properties) кнопке Другой (Custom level). На экране откроется диалоговое окно Параметры безопасности (Security settings).

В нижней части данного окна расположено меню, предлагающее выбрать один из стандартных уровней безопасности для отмеченной зоны: Высокий (High), Средний (Medium), Ниже среднего (Medium-Low) и Низкий (Low). В верхней части окна располагается рабочее поле, где отображается список различных событий, которые могут происходить в процессе обмена данными с удаленным узлом, а также способ обработки этих событий. Таких способов существует четыре: Разрешить (Enable) - обработка события разрешена без ограничений; Отключить (Disable) - обработка события запрещена во всех случаях; Предлагать (Prompt) - при возникновении события на экран будет выведено системное предупреждение, и пользователь должен будет подтвердить свое согласие на обработку события либо запретить его; Допущенные администратором (Administrator approved) - событие обрабатывается только тогда, когда это разрешено администратором компьютера в настройках обработчика. В описании некоторых событий варианты Предлагать и Допущенные администратором отсутствуют. Для того чтобы выбрать требуемый вариант обработки события, установите расположенный под описанием события переключатель в соответствующее положение. При помощи данного окна можно настроить обработку следующих событий:

  • загрузка файлов из Интернета;
  • загрузка недостающих шрифтов для корректного отображения содержимого web-страниц;
  • запуск программ;
  • доступ к каким-либо объектам за пределами вызываемого домена;
  • запрос цифровых сертификатов узлов при их отсутствии;
  • отображение разнородного содержимого в пределах одного документа;
  • передача на удаленный сервер незашифрованных данных из интерактивных форм;
  • перетаскивание, копирование и вставка файлов в окнах Internet Explorer;
  • переход между различными доменами в одном фрейме;
  • установка элементов Рабочего стола;
  • обработка сценариев Java;
  • обработка приложений Active X.

Здесь же вы можете настроить механизм входа в сеть при подключении к удаленным ресурсам Интернета:

  • Автоматический вход в сеть с текущим именем пользователя и паролем (Automatic logon with current username and password);
  • Автоматический вход в сеть только в зоне интрасети (Automatic logon only in Intranet zone);
  • Анонимный вход (Anonymous logon);
  • Запрос имени пользователя и пароля (Prompt for username and password).

Для настройки дополнительных параметров безопасности прейдите ко вкладке Дополнительно (Advanced) окна Свойства: Интернет (Internet Properties) и установите в разделе Безопасность (Security) меню Параметры (Settings) флажки, соответствующие функциям безопасности, которые вы желаете включить. Среди этих функций необходимо отметить следующие:

  • SSL2.0- поддержка обмена данными с защищенными узлами посредством стандартного протокола шифрованной передачи информации SSL2 (Secure Sockets Layer Level 2);
  • SSL3.0- поддержка обмена данными с защищенными узлами посредством протокола шифрованной передачи информации SSL3 (Secure Sockets Layer Level 3), имеющего (по заявлениям разработчиков) более высокую степень защиты, чем SSL2. Данный протокол может не поддерживаться некоторыми ресурсами Интернета;
  • TLS- поддержка обмена секретными данными посредством открытого протокола защиты данных TLS (Transport Layer Secure), аналогичного по своим характеристиками протоколу SSL3. Данный протокол может не поддерживаться некоторыми ресурсами Интернета;
  • Включить интегрированную проверку подлинности Windows (Enable Integrated Windows Authentication)- данный флажок активизирует встроенный в Windows XP программный механизм проверки подлинности содержимого удаленных узлов. После включения этой функции потребуется перезагрузка операционной системы;
  • Задействовать профиль (Enable Profile Assistant)- некоторые ресурсы Интернета могут потребовать у вашего компьютера передать им ваш профиль, содержащий сведения о вашем адресе электронной почты, а возможно, и о вашем домашнем, служебном адресе, а также номера ваших телефонов и даже имена членов вашей семьи (см. раздел «Настройка собственного профиля» главы15). Если флажок установлен, эти сведения будут передаваться удаленным узлам, если сброшен, запросивший ваш профиль сервер получит отказ в доступе к этой информации;
  • Не сохранять зашифрованные данные на диск (Do not save encrypted pages to disk)- некоторые страницы Интернета, доступные по протоколам, использующим шифрование, могут содержать некоторые приватные данные пользователя: например, анкеты с введенной демографической информацией, реквизиты банковских карт ит.д. Если флажок сброшен, такие страницы будут кэшироваться на диск наравне с прочими и любой пользователь данного компьютера, проявив определенную смекалку, может получить к ним доступ. Чтобы запретить сохранение таких документов в кэш браузера, установите этот флажок;
  • Предупреждать о недействительных сертификатах узлов (Warn about invalid site sertificates)- в процессе соединения с удаленными серверами Интернета Windows будет проверять их цифровые сертификаты (см. далее в этом разделе) и выдаст предупреждение, если в сертификате сервера, с которым выполняется соединение, указаны неверные (ошибочные) данные;
  • Проверять аннулирование сертификатов издателей (Check for publisher's certificates revocation)- по результатам проверки цифровых сертификатов издателя ресурса, с которым выполняется соединение, будут выдаваться предупреждения, если сертификат аннулирован;
  • Проверять аннулирование сертификатов узлов (Check for server certificates revocation)- по результатам проверки цифровых сертификатов сервера, с которым выполняется соединение, будут выдаваться предупреждения, если сертификат аннулирован. После включения этой функции потребуется перезагрузка операционной системы;
  • Предупреждать о переключении режима безопасности (Warn if changing between secure and not secure mode)- при переходе от просмотра узла, относящегося к безопасной зоне, к просмотру узла, адрес которого значится в списке зоны Ограниченные узлы (Restricted sites), будет выводиться системное предупреждение;
  • Предупреждать о переадресации передаваемых форм (Warn if form submittal being redirected)- в случае если сервер попытается передать данные из заполненной вами интерактивной формы на другой узел сети Интернет (информация будет направлена не на тот сервер, содержимое которого вы просматриваете в настоящий момент), Windows выдаст вам соответствующее предупреждение. В этот момент вы сможете прервать передачу данных;
  • Проверка подписи для загружаемых программ (Check for signatures in downloaded programs)- при попытке загрузить из Интернета какую-либо программу Internet Explorer проверит ее цифровую подпись и выведет результаты этой проверки в отдельном окне;
  • Удалять все файлы из папки временных файлов Интернета при закрытии обозревателя (Empty Temporary Internet Files folder when browser is closed)- если флажок установлен, при каждом закрытии окна программы Microsoft Internet Explorer содержимое временной папки для хранения загружаемых из Интернета файлов- кэша браузера (папки Termporary Internet Files) будет уничтожено.

Для проверки подлинности и надежности различных узлов сети Интернет существует специальная технология, называемая цифровыми сертификатами. Сертификаты - это специальные шифрованные цифровые файлы, предназначенные для проверки подлинности как пользователей Интернета, так и целых web-сайтов. Выдачу и регистрацию сертификатов осуществляют специальные организации - так называемые центры сертификации, и большинство пользователей Интернета, так же как и многие ресурсы Сети, могут не иметь цифрового сертификата вообще. Сертификаты безопасных узлов Интернета несколько отличаются от сертификатов частных пользователей. Эти сертификаты содержат определенные сведения о безопасности узла (полученные в ходе его проверки экспертами) и выдаются серверу на определенный срок. Сертифицированные серверы обязаны «предъявлять» свои сертификаты программе Microsoft Internet Explorer при выполнении каких-либо потенциально опасных действий, например отправки из формы данных, которые могут содержать номера банковских карт пользователя, пароли или какую-нибудь иную секретную информацию. Microsoft Internet Explorer проверяет содержащуюся в сертификате информацию, и если она неверна, сертификат просрочен или аннулирован, выдает пользователю соответствующее предупреждение. Тот, в свою очередь, может прервать отправку данных из формы. Поэтому проверка сертификатов узлов в целом не нужна при простом просмотре их содержимого, но может быть полезна при передаче через Интернет приватной информации и совершении на этих узлах каких-либо операций с высокой степенью риска, например платежей.

Вы можете настроить политику проверки цифровых сертификатов узлов программой Microsoft Internet Explorer, для чего следует перейти ко вкладке Содержание (Content) окна Свойства: Интернет (Internet Properties) и нажать на кнопку Сертификаты (Certificates). В меню Назначение (Intended purpose) выберите назначение сертификата, например, Проверка подлинности клиента (Client Authentication) или Защищенная электронная почта (Secure Email).

Ниже располагается несколько вкладок, в которых рассортированы хранящиеся на данном компьютере сертификаты по признаку их назначения и источника получения. Сертификаты представлены в форме перечня, имеющего вид таблицы с несколькими значащими полями, определяющими характеристики сертификата: Кому выдан (Issued To), Кем выдан (Issued by), Срок действия (Expiration date), Понятное имя (Friendly Name). Вы можете импортировать сертификаты в список, нажав на кнопку Импорт (Import), экспортировать сертификаты в файл нажатием на кнопку Экспорт (Export), а также удалять сертификаты нажатием на кнопку Удалить (Delete). Чтобы просмотреть сертификат, дважды щелкните на его значке в списке.

Щелкнув мышью на кнопке Дополнительно (Advanced), вы можете настроить некоторые дополнительные параметры обработки сертификатов на вашем компьютере. В меню Назначение сертификата (Certificate purposes) можно настроить признаки областей применения электронных сертификатов, установив или сбросив соответствующие флажки. Ниже, в меню Формат экспорта (Export format), вам предлагается указать файловый формат, в который Windows будет сохранять цифровые сертификаты при выполнении операции экспорта.

Вернувшись во вкладку Содержание (Content) диалогового окна Свойства: Интернет (Internet Properties) и нажав на кнопку Издатели (Publishers), вы можете настроить список сертификатов для web-издателей, с которыми работаете в сети Интернет. Нажатие на кнопку Очистить SSL (Clear SSL State) удаляет все цифровые сертификаты, хранящиеся в кэше защищенного протокола SSL.

Наконец, имеет смысл сказать несколько слов об еще одной функции, имеющей непосредственное отношение к безопасности вашей информации. В процессе работы с различными ресурсами сети Интернет пользователю достаточно часто приходится заполнять разные формы, поля для ввода паролей и интерактивные анкеты. В Microsoft Internet Explorer имеется специальный механизм, автоматически подставляющий нужные значения в поля форм, если ранее они уже были заполнены хотя бы единожды, например, вводя в соответствующее поле имя своей регистрационной записи на сервере электронной почты, вы увидите, что поле для ввода пароля уже заполнено. Эта функция называется автозаполнением. Она действительно позволяет заметно ускорить работу в Интернете, но становится опасной, если за вашим компьютером работает более одного человека, поскольку другие пользователи вряд ли упустят хорошую возможность получить несанкционированный доступ к чьим-либо личным данным. Поэтому, строго говоря, автозаполнение относится скорее к элементам внутренней безопасности компьютера, чем к безопасности сетевой.

По умолчанию автозаполнение в браузере Microsoft Internet Explorer включено. Чтобы отключить его, перейдите ко вкладке Содержание (Content) диалогового окна Свойства: Интернет (Internet Properties) и нажмите на кнопку Автозаполнение (AutoComplete). В открывшемся окне Настройки автозаполнения (AuthComplete Settings) установите или сбросьте флажки для тех компонентов, для которых вы хотите включить или отключить данную функцию: Веб-адреса (Web addresses), Формы (Forms), а также Имена пользователей и пароли в формах (User names and passwords on forms). Если вы хотите, чтобы Microsoft Internet Explorer всякий раз спрашивал вас, следует ли сохранять имя пользователя и пароль на каждом отдельно взятом сайте, установите флажок Запрос на сохранение пароля (Prompt me to save passwords). Чтобы очистить хранящееся в памяти браузера содержимое интерактивных форм, щелкните на кнопке Очистить формы (Clear forms). Чтобы удалить все хранящиеся в памяти Microsoft Internet Explorer пароли, щелкните мышью на кнопке Очистить пароли (Clear passwords).

Щелкните мышью на кнопке ОК, чтобы зафиксировать внесенные вами изменения.

 
« Пред.   След. »





© 2018 WinPedia.RU - Электронная энциклопедия Windows. Контент, дизайн, верстка - Валентин Холмогоров. All Rights Reserved