Nové bezpečnostní prvky se týkají především koncového uživatele, který používá Internet Explorer 8 pro surfování na internetu. Zapracovány jsou zde prvky, které používala již předchozí verze Internet Exploreru, a to SmartScreen® Filtr a Protected mód ve spolupráci s User Account Control. Systém však nabízí i nové možnosti, jako je například procházení InPrivate, které zabraňuje ukládání jakýchkoliv informací při prohlížení internetu. Díky němu nejsou při práci na internetu do počítače ukládány žádné informace.
Bezpečné prohlížení internetu
Mezi hlavní bezpečnostní prvky patří nastavení bezpečnostních zón internetu. V Internet Exploreru 8 je celkem 5 zón, které zajišťují různá nastavení prohlížeče v závislosti na tom, kde se prohlížená stránka nachází. Tyto zóny jsou místní počítač (zóna není v nastavení Internet Exploreru 8 viditelná), internet, místní intranet, důvěryhodné zóny a omezené stránky na internetu.
Rozdílná bezpečnostní nastavení jsou aplikována při přístupu na stránky, které odpovídají jednotlivým zónám:
Bezpečnostní zóna |
Úroveň zabezpečení |
Popis |
Lokální počítač |
Vlastní nastavení |
Obsah uložený na počítači uživatele vyjma obsahu, který Internet Explorer ukládá do mezipaměti na počítači, je označen jako důvěryhodný obsah. Tato zóna nemůže být konfigurována z Internet Exploreru. |
Internet |
Střední–vyšší |
Zóna internet obsahuje všechny stránky, které nejsou obsaženy v ostatních zónách. |
Místní intranet |
Střední–nižší |
Všechny stránky v této zóně by měly být uvnitř místní sítě. Externí DNS servery by neměly mít možnost provést překlad jména z této zóny. |
Důvěryhodné stránky |
Střední |
Stránkám v zóně důvěryhodné stránky je umožněno provádět více operací. Uživatel není dotazován v takové míře a nemusí dělat velké množství „bezpečnostních rozhodnutí“. Do této zóny by měly být umístěny pouze stránky, kterým uživatel či správce IT plně důvěřuje a zná jejich obsah. |
Omezené stránky |
Vysoká |
Tato zóna je určena pro stránky, které jsou označeny jako nedůvěryhodné. Výchozí nastavení této zóny blokuje téměř všechny možnosti stránek, ale stále umožňuje zobrazení jejich obsahu. Stránka tedy není blokovaná. Jednotlivé stránky lze přidávat pomocí skupinových politik a vynutit tak nastavení uživatele. |
Internet Explorer 8 rovněž obsahuje tzv. SmartScreen filtr, který napomáhá ochránit uživatele před různými formami sociálního inženýrství, např. phishing či ochrana proti clickjackingu. Ten může být použit pro zaznamenávání kláves, jež uživatel stiskne během prohlížení. Součástí SmartScreen filtru je také ochrana proti cross-site scripting, tedy spouštění skriptů na stránkách, kde tyto skripty pracují – přijímají či odesílají data – ze stránek umístěných na jiném doménovém jméně.
Ochrana proti phishingu a malware je zajištěna při přístupu na webovou stránku, kde je analyzován obsah stránky na přítomnost známých phishingových technik. Kontrolována je také adresa webu v databázi škodlivých stránek. Nastavení kontroly stránek vůči centrální databázi je volitelné a při prvním spuštění Internet Exploreru 8 je uživatel dotazován, zda tyto kontroly chce provádět, či nikoliv. Další možností je centrální nastavení pomocí skupinových politik.
SmartScreen Filtr také kontroluje tzv. clickjacking. Tato funkce je součástí základního kódu Internet Exploreru a není možné ji vypnout. Clickjacking je útok, který navádí uživatele na otevření stránky, kde je obsah následně zobrazen z úplně jiné domény, než bylo uvedeno v odkazu. Díky této jiné doméně se předchází zobrazení bezpečnostních hlášení.
Prohlížení InPrivate přináší uživatelům nové možnosti při prohlížení stránek, ze kterých nemá být na počítači uchována jakákoliv informace o jejich návštěvě. Při každodenním prohlížení stránek bez zapnutého módu InPrivate jsou běžně na počítačích uchovány informace, jako jsou soubory cookies, dočasné soubory, které slouží pro rychlejší načítání stránek, historie prohlížení, a pokud si to uživatel zvolí, tak také informace z vyplňovaných formulářů. V případě povoleného prohlížení webu InPrivate nejsou žádné z těchto informací na počítači uchovávány a uživatel tak nemusí pro své bezpečí po ukončení prohlížení tyto informace z počítače odstraňovat. Při prohlížení v módu InPrivate je vždy otevřena nová instance prohlížeče a mód InPrivate je identifikován v adresním řádku.
Při použití módu InPrivate je nastavení následující:
• Browser Helper Objekty (BHOs) a lišty s nástroji jsou zakázané.
• Všechny nové cookies budou označeny jako session cookies a smazány po ukončení procházení.
• Existující cookies nebudou použity.
• Nové zápisy do historie nebudou uloženy.
• Nové dočasné soubory budou odstraněny po ukončení procházení v módu InPrivate.
• Data formulářů nebudou uložena.
• Hesla nebudou uložena.
• Adresy zapisované do adresního řádku nebudou uloženy.
• Dotazy zapsané do vyhledávacího pole nebudou uloženy.
• Navštívené odkazy nebudou uloženy.
Dalším bezpečnostním prvkem je zvýrazňování domén. Tato funkce se týká především stránek, které jsou zabezpečeny pomocí digitálních certifikátů. V případě použití zabezpečeného přístupu na stránky (https) je přímo na adresním řádku zobrazena informace o digitálním certifikátu. Uživatel tak ihned pozná, zda je digitální certifikát platný, či nikoliv. Když není digitální certifikát platný nebo jeho platnost nemůže být ověřena, je uživatel ještě před vstupem na stránky dotázán, zda digitálnímu certifikátu důvěřuje.
Pokud uživatel i tak souhlasí a stránku otevře, je změněna barva adresního řádku. Uživatel je také v přehledné formě informován o existenci problému se zabezpečením těchto stránek.
Internet Explorer Protected mód využívá funkcionalitu User Account Control. V případě zapnutého Protected módu není umožněn přístup k aplikacím, které jsou provozovány v rámci Internet Exploreru, v operačním systému. Prohlížeč tak může zapisovat pouze do určených oblastí – dočasné soubory a soubory cookies. Zapnutý Protected mód pozná uživatel například ve chvíli, kdy si přeje na stránku nahrát dokument a otevře tedy okno pro zvolení souboru, ve kterém si přeje soubor přejmenovat. Vzhledem k tomu, že se jedná o zápis (změna názvu souboru), je uživatel dotázán, zda s touto akcí souhlasí.
Při povoleném Protected módu je Internet Explorer spuštěn ještě s nižším uživatelským oprávněním, než je skutečné uživatelské oprávnění přihlášeného uživatele. I v případě výskytu škodlivého kódu na stránce nedojde k automatickému rozšíření škodlivého kódu do celého počítače. Samozřejmě pokud s tím uživatel nesouhlasí – je předem dotázán.
Centrální správa zabezpečení v organizacích
Pokud je počítač součástí doménové infrastruktury, mají organizace možnost centrálně nastavovat chování prohlížeče pomocí skupinových politik. Mohou také provádět nastavení pomocí lokálních politik, a to v případech, kdy jsou počítače pouze v pracovní skupině a doména Active Directory není k dispozici.
Pro centrální správu a nastavení se používá rovněž nástroj Internet Explorer Administration Kit (IEAK), o kterém jsme psali v předchozím článku.
Pravděpodobně nejsilnější stránkou provozu Internet Exploreru a jeho centrální konfigurace pomocí skupinových politik je nastavení jednotlivých zón. Díky tomu, že jakékoliv nastavení pomocí skupinových politik je vždy mandatorní, nemá uživatel možnost tyto zóny upravovat. Tím je zajištěn jednak funkční přístup k důvěryhodným serverům, kde je nutná nižší konfigurace zabezpečení, ale také zajištění konfigurace potenciálně nebezpečných stránek centrálně.
V rámci Internet Exploreru jsou také již dlouhou řadu let používána rozšíření, která se nazývají AciveX prvky. Tyto prvky je možné centrálně instalovat pomocí skupinových politik. Administrátor může případně definovat, které ActiveX prvky mohou či naopak nesmějí být instalovány, a to včetně stránek, kde se tyto prvky vyskytují. Přizpůsobení prvků na situ je opět možné nastavovat pomocí skupinových či lokálních politik, případně přímo v registrech operačního systému. Povolené domény jsou ukládány vždy v nastavení daného uživatele ve větvi registry:
HKEY_CURRENT_USER, úplná cesta je pak HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CLSID} \iexplore\AllowedDomains\{Domain nebo *}.
{CLSID} reprezentuje Class ID prvku a {Domain nebo *} pak představuje doménu, kde je prvek povolený. Pokud je zapsána hvězdička (*), je prvek povolený ve všech doménách.
Centrální nastavení pomocí skupinových politik je doporučeno provést tak, aby uživatel neměl možnost vypínat například Protected mód, či kontrolu SmartScreen Filtr. Díky tomuto centrálnímu nastavení se předejde potenciálnímu vstupu škodlivého kódu do organizace. Existuje celá řada doporučeného nastavení, které se týká zabezpečení Internet Exploreru v organizacích. Mezi tato nastavení patří například:
• zakázat automatické doplňování,
• smazat dočasné soubory po ukončení Internet Exploreru,
• vynutit XSS filtr – cross-site skriptování,
• neukládat šifrované stránky na disk (https),
• nastavit proxy na počítač, nikoliv na uživatele,
• vypnutí Crash Protection,
• omezení stahování souborů pro Restricted zóny.
Kompletní reference o nastavení Internet Exploreru pomocí skupinových politik jsou dostupné jako dokument ke stažení na adrese http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=AB4655F2-0A3C-42EB-974D-24B2790BF592&displaylang=en.
Dalším zajímavým dokumentem, jenž popisuje „hardening“ Internet Exploreru 8, je dokument „IE8 Hardening FAQ“ na stránkách http://nsslabs.com/general/ie8-hardening-faq.html.
Ondřej Výšek