Когда речь заходит об обеспечении безопасности пользователей корпоративной сети при доступе в Internet, в первую очередь все вспоминают о средствах защиты периметра — межсетевых экранах (вкупе с подключаемыми антивирусными программами и системами контроля контента) и системах обнаружения атак. Затем задумываются о всевозможных средствах защиты для электронной почты: тех же антивирусах, системах контроля контента и еще каких-либо системах борьбы со спамом.

Бесспорно, это важные элементы защиты, но ограничиваться ими не следует. Ведь данные не только проходят через межсетевой экран, не только аккумулируются на почтовых серверах и кэширующих proxy-серверах. Если средства контроля контента установлены и настроены правильно, с их помощью удастся избежать немалой части угроз, которые может нести в себе HTML-код, составленный неизвестно кем. Но для этого такие средства как минимум должны быть приобретены, а в идеале — безупречно настроены, чтобы можно было извлечь максимум из заложенных в них возможностей.

Между тем в конечном счете и Web-страницы, и письма в формате HTML попадают на компьютеры пользователей и обрабатываются именно там, причем в 95% случаев для отображения данных в формате HTML используется движок Internet Explorer. В основном именно о его настройках и пойдет речь.

Итак, давайте поговорим:

  • о параметрах отображения HTML-страниц в Internet Explorer (на примере версии 6.0) и писем в формате HTML в Microsoft Outlook (на примере Microsoft Office Outlook 2003);
  • о различиях в настройке параметров отображения HTML для разных зон и об управлении составом зон;
  • о лишении пользователей возможности изменять настройки, которые для них установлены централизованно.

Как известно, средством централизованной настройки этих (и многих других) параметров в среде Active Directory являются групповые политики.

Настройка параметров отображения HTML и состава зон

Экран 1. Настройки безопасности Internet

Это диалоговое окно, изображенное на экране 1, знакомо всем, кто хоть раз просматривал параметры Internet Explorer. Здесь для каждой из предлагаемых зон (Internet, Restricted Sites, Trusted Sites, Local Intranet) можно настраивать параметры отображения страниц: включать и отключать сценарии, cookies, компоненты ActiveX и .NET Framework, Java-апплеты, осуществлять загрузку элементов страницы из других доменов и т. п. Чтобы увидеть весь перечень, достаточно нажать кнопку Custom (см. экран 2).

Экран 2. Настройки параметров отображения HTML

Этот перечень меняется от версии к версии Internet Explorer, но все элементы, которые в нем фигурируют, подробно описаны в специальной литературе, и мы не будем останавливаться на них в данной статье. Есть предопределенные варианты настроек, соответствующие большему или меньшему уровню доверия содержимому страницы, — High, Medium, Medium-low и Low. По умолчанию, эти настройки установлены для зон Restricted Sites, Internet, Trusted Sites и Local Intranet соответственно.

В зону Internet по умолчанию попадают все сайты, которые явным образом не указаны в списках сайтов для зон Restricted Sites, Trusted Sites и Local Intranet.

Мы привыкли устанавливать эти настройки на своем компьютере локально, через Internet Explorer (меню Tools — Internet Options). Но можно установить их централизованно, через групповые политики: ветвь User Configuration — Internet Explorer Maintenance — Security, параметр Security Zones and Content Rating, (см. экран 3).

Экран 3. Настройки параметров Internet в групповой политике

Если в данном объекте групповой политики этот параметр задан не был, настройки копируются с того компьютера, на котором запущен редактор групповой политики. После этого можно их изменить: при нажатии кнопки Modify отображается то же самое диалоговое окно настроек. В групповой политике можно указывать и параметры отображения, и списки сайтов (как тех, которым оказано особое доверие, входящих в зоны Trusted Sites и Local Intranet, так и тех, которым выражено явное недоверие, — зона Restricted Sites). Какие настройки для каких зон устанавливать и какие сайты в какие зоны включать, решается в зависимости от ситуации. Что касается настроек отображения, то здесь разумными представляются те соображения, которыми, по-видимому, руководствовались разработчики Windows Server 2003 Internet Explorer Enhanced Security.

Поскольку в зону Internet попадают по умолчанию все сайты, среди них могут оказаться и сайты, об угрозе со стороны которых мы просто не знаем, то есть сайты, чьи страницы могут содержать вредоносный код. Если оставить параметры по умолчанию, этот код запустится: настройки отображения предопределенного уровня Medium допускают отображение и исполнение активных компонентов. А методы социальной инженерии, которые могут применять злоумышленники для того, чтобы заманить пользователя на такую страницу, еще никто не отменял. Поэтому, чтобы застраховаться от подобных ситуаций, разумно для зоны Internet, как и для зоны Restricted Sites, установить настройки отображения предопределенного уровня High, в котором весь активный контент отключен, равно как и любые сценарии.

Точно так же Internet Explorer Enhanced Security чуть меньше доверия по сравнению с параметрами по умолчанию оказывает и тем сайтам, которые мы не считаем чужими и поэтому включили в зоны Trusted Sites и Local Intranet. Для зоны Trusted Sites установлен уровень Medium, а для зоны Local Intranet — Medium Low. Эти настройки позволяют относительно комфортно взаимодействовать с сайтами, содержащими активный контент. Остается решить, какие сайты включать в зоны Restricted Sites, Trusted Sites и Local Intranet.

По поводу зоны Restricted Sites надо сказать, что если и для зоны Internet, и для зоны Restricted Sites параметры отображения одинаково жесткие, то и список сайтов зоны Restricted Sites можно оставить пустым.

К сожалению, разработчики сайтов, в том числе и вполне благонадежных, любят активные компоненты — они позволяют добавлять всевозможные визуальные эффекты, которые Web-мастерам кажутся уместными (и в некоторых случаях так оно и есть). Смотреть такие сайты с параметрами отображения уровня защиты High иногда бывает просто невозможно. Подобные сайты нужно включать в список Trusted Sites. Причем наполнение списка Trusted Sites тоже целесообразно вести централизованно, по заявкам пользователей, разработав соответствующую бюрократическую процедуру. При наследовании групповых политик этот список, равно как и весь набор настроек отображения HTML-страниц, замещается целиком, поэтому для разных пользователей можно составлять различные списки, включив пользователей в разные организационные подразделения (OU) и привязав к этим подразделениям разные объекты групповых политик, где настройки безопасности Internet включают разные списки.

Что касается зоны Local Intranet, то, как видно из названия, задумывалась эта зона для сайтов внутренней сети. Другой вопрос, насколько мы доверяем всем сайтам внутренней сети. А доверять им следует только в той степени, в какой мы в состоянии взаимодействовать с персоналом, поддерживающим данный сайт. В сети небольшой организации, где все друг друга знают, можно спокойно включать все сайты внутренней сети в этот список. В большой же сети такое взаимодействие может быть затруднено в силу организационных проблем. Например, если имеется филиал в другом городе и с персоналом этого филиала можно оперативно общаться только по телефону, электронной почте или через службу мгновенных сообщений. Компьютеры сети филиала могут оказаться заражены вирусом через Internet независимо от сети головного офиса. Зачем же допускать риск подцепить от них этот вирус, если он внедрился на страницы их внутреннего сайта?

Поэтому в настройках Internet для филиала в список Local Intranet следует включить сайты внутренней сети филиала, а для головного офиса в список Local Intranet — сайты внутренней сети головного офиса. Сайты других подразделений можно включить в зону Trusted Sites, если с ними необходимо работать.

Еще раз хочу обратить внимание читателей на тот факт, что весь набор настроек, включая и параметры отображения, и списки сайтов в каждой из зон, хранится в объекте групповой политики как единый параметр, при наследовании групповых политик он замещается целиком. В то же время это один из немногих параметров, которые имеет смысл задавать на уровне групповой политики для сайта, так как в пределах каждой из территориальных локальных сетей, составляющих единую сеть организации, эти параметры, скорее всего, похожи. Все компьютеры территориальной локальной сети соединяются с Internet через один и тот же межсетевой экран.

Настройки отображения для почты

Кроме того что параметры отображения HTML-страниц используются в Internet Explorer для отображения страниц, эти же параметры применяют Microsoft Outlook и Outlook Express: в их настройках можно указать, параметры какой зоны следует задействовать при отображении писем в HTML-формате (по умолчанию — Restricted Sites). Кроме того, до недавнего времени пользователям Outlook и Outlook Express много хлопот доставляло использование области предварительного просмотра, при отображении которой срабатывали все включенные в документ HTML-сценарии. Теперь этот недостаток устранен, но на случай использования более старых версий программ (и обнаружения новых уязвимых мест в механизме отображения IE новой версии) остаются актуальными две рекомендации: отключить область просмотра и отображать письма в формате HTML как текст. Также следует установить параметры, не подразумевающие автоматического открытия писем (при удалении просматриваемого письма, при открытии и т. п.), — существует возможность настроить программу таким образом, чтобы просто происходил возврат в папку Inbox.

Эти настройки (за исключением области предварительного просмотра) сохраняются в реестре компьютера, в разделе HKEY_CURRENT_USER, значит, их тоже можно настроить через групповые политики, используя административные шаблоны.

Для Office 2003 существует набор готовых административных шаблонов, которые можно применять для централизованного управления самыми разными параметрами входящих в состав пакета приложений, в том числе параметрами отображения в Outlook. Этот набор входит в состав пакета Office 2003 Resource Kit Tools, который можно загрузить с сайта Microsoft, как и аналогичные пакеты для предыдущих версий Office — 2000 и XP.

После установки пакета Office Resource Kit Tools можно, редактируя любой объект групповой политики, добавить в раздел User Configuration — Administrative Templates шаблон Outlk11.adm (для предыдущих версий Office — Outlk10.adm или Outlk9.adm). При этом наряду с другими добавляются параметры:

?User Configuration — Administrative Templates — Microsoft Office Outlook 2003 — Tools | Options... — Preferences — E-mail options — Message Handling: настройка возврата в папку Inbox;

?User Configuration — Administrative Templates — Microsoft Office Outlook 2003 — Tools | Options... — Preferences — E-mail options — Read email as plain text: настройка отображения писем в формате HTML как текста.

Другие параметры, добавляемые в этом административном шаблоне, соответствуют практически всем настройкам, доступным через окна настроек Outlook 2003, за исключением выбора зоны, параметры отображения HTML для которой используются при отображении писем в формате HTML. Этой доброй традиции Microsoft следует начиная с Resource Kit к Office 2000 (для Office 97 я просто не смотрел, да ведь в ту пору не было еще ни групповых политик, ни административных шаблонов). Поэтому для данной настройки требуется создать отдельный шаблон. Пример такого шаблона приведен в листинге 1.

После его добавления появится настройка User Configuration — Administrative Templates — MS Outlook 2003 — Render HTML zone settings, в которой можно будет выбрать из списка один из двух вариантов: Internet или Restricted Sites. Несложная модификация этого шаблона позволит задействовать его и с другими версиями Microsoft Office (наименование раздела реестра должно соответствовать версии Office).

Блокировка окон настройки в пользовательском интерфейсе

Если пользователь будет иметь доступ к окнам настроек, он сможет изменить все настройки, которые установлены централизованно, ослабить все те ограничения, которые для него заданы, и тогда все наши централизованно установленные жесткие настройки не будут стоить ломаного гроша. Поскольку все параметры, о которых шла речь, настраиваются именно для пользователей, по умолчанию пользователи имеют доступ к их настройке.

Проще всего обстоит дело с параметрами Outlook, устанавливаемыми через шаблон Outlk11.adm: как только какие-то параметры установлены в групповой политике, они автоматически становятся недоступны для изменения в окне настройки. Это свойственно и предыдущим версиям Outlook, начиная с 2000. Кроме того, можно лишить пользователей и некоторых других возможностей в отношении самостоятельной настройки программы, а также использования отдельных небезопасных функций в ней, с помощью раздела того же административного шаблона Disable Items in User Interface.

Что касается параметра выбора зоны в Outlook 2003, то он в окне настройки остается доступным для изменения, но программа эти изменения игнорирует: при следующем вызове окна программа показывает значение параметра, установленное через групповую политику, а главное — руководствуется настройкой, заданной через групповую политику. Впрочем, такое поведение может прибавить хлопот сотрудникам, которые занимаются поддержкой пользователей и вынуждены объяснять удивленным коллегам причины столь странного поведения почтового клиента.

Если в отношении Outlook все ясно, то в Internet Explorer у пользователей остается возможность менять параметры безопасности и состав сайтов в зонах, добавляя все, что им заблагорассудится, в зону Trusted Sites. Этой возможности нужно пользователей лишить, изменив в групповой политике параметр User Configuration — Administrative Templates — Windows Components — Internet Explorer — Internet Control Panel — Disable the Security Page. Необходимо установить значение параметра Enabled, и в окне настроек Internet Explorer вкладка Security отображаться не будет. В этой же ветви групповой политики можно отключить и остальные вкладки окна настройки Internet Explorer, лишив тем самым пользователей возможности испортить настройки системы.

Заключение

Описанную технику нельзя считать панацеей от возможных действий злоумышленников из внешней сети. Она позволяет настроить только те функции защиты, которые встроены в Internet Explorer. Точно так же не является абсолютной защитой и самый современный межсетевой экран, оснащенный всеми возможностями для анализа контента. Но и пренебрегать данной методикой не стоит — в любом случае, это еще одна линия защиты.

Но как быть пользователям других программ для работы с Internet? Здесь существует несколько вариантов.

Если применяется другой браузер, использующий движок Internet Explorer, например MyIE или FlashPeak, то для него подойдут настройки, установленные так, как было описано выше.

Если используется программа, хранящая настройки в реестре, то для этих настроек придется либо обратиться к разработчикам, чтобы они изготовили соответствующий административный шаблон, либо разработать его своими силами, проведя некое исследование программы: какие настройки, в каком виде и как записываются в реестр.

К сожалению, для других популярных механизмов отображения (Opera и Netscape/Mozilla) данный подход не подойдет, так как эти программы хранят свои настройки не в реестре, а в файлах настроек. Для таких программ можно применить другой подход: распространять заранее подготовленные файлы настроек через сценарии входа пользователей.

Алексей Сотский — преподаватель учебного центра, имеет сертификаты MCSE, MCT. С ним можно связаться по адресу: alex100@infosec.ru

Поделитесь материалом с коллегами и друзьями