Управление безопасностью Internet Explorer

НАТАЛЬЯ МЕЛЬНИКОВА

Управление безопасностью Internet Explorer

Проблема защиты клиентского рабочего места становится всё более и более актуальной. Это связано с рядом причин, но в первую очередь – со смещением вектора атак с серверного на клиентское программное обеспечение. Статистика инцидентов показывает, что больший процент нарушений компьютерной безопасности как в корпоративном, так и в частном секторе, происходит именно посредством компрометации рабочих мест пользователя.

К сожалению, проблеме защиты приложений пользователя уделяется меньше внимания, чем защите серверов. В современных корпоративных информационных системах большинство средств защиты сконцентрировано на периметре сети, и если они были обойдены, сеть становится беззащитной. Злоумышленник получает доступ к рабочей станции и соответственно ко всем ресурсам сети, с которыми может работать пользователь. Этого вполне достаточно для решения широкого спектра задач – от рассылки спама и сбора конфиденциальной информации до промышленного шпионажа.

Конечно, индустрия не стоит на месте, и появляются новые методы и продукты для защиты приложений пользователя. Однако, как показывает практика, на настоящий момент их недостаточно. Недавно опубликованное исследование российских специалистов в области информационной безопасности [1] показывает, что для обхода большинства современных средств защиты клиентских приложений достаточно умения работы с программой «Блокнот» и элементарных навыков программирования на VBScript.

Наиболее часто рассматриваемым в данном контексте приложением является браузер Internet Explorer. Его возможности не только обеспечивают создание многофункциональных интерактивных веб-приложений, но позволяют злоумышленнику повышать свои привилегии на рабочей станции пользователя. В связи с большим количеством уязвимостей в IE, опубликованных во второй половине прошлого года, в сообществе специалистов в области безопасности довольно бурно обсуждается идея перехода на альтернативные программы работы с World Wide Web. Даже такая уважаемая организация, как CERT, не удержалась от спекуляций на эту тему [2].

Однако при попытке заменить Internet Explorer в корпоративных сетях администратору приходится столкнуться с некоторыми проблемами. Первая – отсутствие необходимых функциональных возможностей. Многие распространенные серверные приложения, такие как Outlook Web Access, SharePoint Portal Server активно используют различные расширения DHTML, реализованные только в Internet Explorer. Многие клиентские приложения также используют COM-объекты Internet Explorer для формирования интерфейса пользователя. Таким образом, на клиентском рабочем месте оказывается две программы для работы с WEB – Internet Explorer для обращения к корпоративным приложениям, и альтернативный браузер для выхода в Интернет. Это снижает удобство использования и повышает вероятность возникновения пользовательских ошибок. Кроме того, возникает ряд дополнительных проблем.

Усложняется задача управления сетью. Поскольку большинство из альтернативных программ работы с WWW не поддерживает функции централизованного управления (тиражирование конфигурационных файлов через групповые политики – не самый удобный путь), повышаются затраты на поддержку клиентских машин. Вновь встает задача управления оперативными обновлениями, поскольку миф об отсутствии ошибок в альтернативных браузерах, как и предполагалось [3], был быстро развеян. Выходят обновления и новые версии программ, но современные средства управления обновлениями (и поиска уязвимостей) их не поддерживают, и администратору приходится следить за актуальностью версий программ самостоятельно.

Кроме того, в сети на основе Active Directory часто происходит снижение уровня безопасности, поскольку вместо привычных протоколов аутентификации NTLMv2 и Kerberos начинают использоваться гораздо более уязвимые механизмы Digest или Basic. Не всегда хорошо работает аутентификация с использованием клиентских сертификатов из хранилища Windows или Smartcard.

Учитывая все вышеперечисленное, вполне вероятно предположить, что снижение рисков, которое сулит переход на альтернативные браузеры, не окупит повышения затрат на эксплуатацию.

Давайте рассмотрим стандартные возможности настройки Internet Explorer, использование которых позволяет поднять уровень защищенности клиентских рабочих мест на довольно высокий уровень. Дополнительным преимуществом использования данных настроек является то, что они легко тиражируются с помощью стандартных средств управления корпоративной сетью на базе Windows, таких как Active Directory.

Основным средством настройки безопасности интернет-приложений Microsoft были и остаются зоны безопасности. Зоны безопасности представляют собой группы адресов (URL), которым соответствуют те или иные настройки подсистемы безопасности. Настройки Internet Explorer сохраняются в разделах HKLM(HKCU) Software\Microsoft\Windows\ CurrentVersion\Internet Settings.

По умолчанию Internet Explorer считывает настройки из ветви HKCU, однако это поведение можно изменить. Установка значения Enabled в параметре объекта групповой политики (ОГП) Computer Configuration\Administrative Templates\ Windows Components\Internet Explorer\Security Zones: Use only machine settings присваивает значение параметру реестра. HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\ Internet Settings\Security_HKLM_only равным 1, после чего Internet Explorer начинает использовать настройки из ветви HKLM.

Поскольку разрешения на ветвь HKLM запрещают поль-зователю модифицировать значения, содержащиеся в нижележащих разделах, то у него не будет возможности изменить параметры, назначенные администратором. В большинстве случаев рекомендуется задействовать данную настройку, поскольку пользователь или вредоносное программное обеспечение, работающее в его контексте безопасности, может менять настройки браузера, снижая уровень защищенности. Примером может являться троянская программа Win32.Secdrop.C [4], при установке разрешающая загрузку и запуск неподписанных компонентов ActiveX из Internet.

В случае если задействована эта настройка, все параметры Internet Explorer необходимо изменять в ветви HKLM (или разделе Computer Configuration ОГП). Соответственно, если для изменения параметров будут задействованы сценарии, то необходимо использовать те из них, которые выполняются с достаточными привилегиями, а именно – Startup Script и Shutdown Script. Кроме того, для применения параметров необходимо, чтобы отработала групповая политика уровня компьютера, что в некоторых случаях требует перезагрузки. Ещё одной потенциальной проблемой является то, что исчезает возможность персонифицировать настройки Internet Explorer для разных пользователей одного и того же компьютера. Однако необходимость в различных настройках IE для разных пользователей является скорее исключением, чем правилом.

Для настройки зон безопасности используются следующие подразделы: HKLM(HKKU)\Software\Microsoft\Windows\CurrentVersion\Internet Settings:

• TemplatePolicies
• ZoneMap
• Zones

Раздел TemplatePolicies содержит предопределенные уровни безопасности, которые в дальнейшем могут использоваться для настройки зон. Этот раздел содержится только в ветке HKLM, и модифицировать его не рекомендуется, поскольку такая операция затруднит процесс восстановления стандартных настроек в случае возникновения сбоев.

В разделе ZoneMap описывается привязка узлов и доменов к зонам безопасности. Подраздел Domains содержит иерархическую структуру, в которой в качестве ключей выступают имена доменов и узлов, параметры описывают протоколы, а значения параметров указывают на номер зоны безопасности. Нижеприведенная структура разделов реестра указывает на то, что при обращении к серверу www.isc2.org по протоколу https будут задействованы настройки второй зоны безопасности (Trusted Sites, Доверенные узлы): ZoneMap –> Domains –> sc2.org –> www –> https (DWORD)=2.

Структура может быть более сложной. Например, следующий вариант предписывает при обращении к любому узлу в домене *.microsoft.com по протоколу https использовать зону безопасности Trusted Sites. Для обработки содержимого страниц на сервере www.microsoft.com, полученных по протоколу http, будут использоваться настройки зоны Internet: ZoneMap –> Domains –> microsoft.com –> https (DWORD)=2, www –> http (DWORD)=3.

Если клиентом является Microsoft Windows Server 2003 и задействована опция Internet Explorer Enhanced Security Configuration, то настройки следует сохранять в подразделе EscDomains, а не Domains.

В случае если разграничение уровня безопасности происходит не на основе FQDN, а с помощью IP-адресов, задействуется подраздел Ranges.

Нижеприведенная структура описывает ситуацию, когда для IP-адресов, принадлежащих сети 10.1.1.0/24, используется зона безопасности Trusted Sites: ZoneMap –> Ranges –> Range1 –> * (DWORD)=2, :Range (SZ)=10.1.1.1-10.1.1.254.

В подразделе ProtocolDefaults описывается, какая зона будет задействована в случае использования того или иного протокола, если дополнительные правила не применимы. По умолчанию большинство протоколов используют зону 3 – Internet.

Кроме описанных параметров оказывать влияние на то, какая зона безопасности будет использоваться для обработки содержимого того или иного сервера, может значение параметра Flags, содержащегося в разделе, описывающем зону.

Например, по умолчанию этот параметр для зоны 1 (Intranet) имеет значение 219: HKLM(HKCU)\Software\Micro-soft\Windows\CurrentVersion\Internet Settings\Zones\1:

Flags(DWORD)= 219

Это значение формируется на основе параметров битовой маски (таблица 1) и содержит значения 128, 16 и 8. Соответственно в зону Intranet будут автоматически включаться те узлы, обращение к которым произошло по имени Net BIOS и узлы, работающие не через Proxy-сервер (параметр HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\ProxyOverride).

Таблица 1. Значение параметра Flags

Функции зон безопасности

В подразделе Zones содержатся непосредственно настройки безопасности каждой из зон. Стандартно Windows содержит 5 зон безопасности (таблица 2). Каждая из этих зон содержит настройки параметров безопасности, подробное описание которых доступно в статье KB182569.

Таким образом, сайты, не принадлежащие зоне безопасности Local Intranet, обрабатываются в контексте зоны Internet. В случае если эти настройки чрезмерно жесткие, можно включить сервер или домен в зону Trusted Sites. Если сервер является потенциально опасным, он включается в зону Restricted Sites.

Этот подход не соответствует текущим реалиям, поскольку весь Internet является слабо доверенной системой. Кроме того, администратор ограничен в настройках, поскольку у него есть только два уровня доверия – Internet и Trusted Sites. Он не может разрешить выполнение сценариев для одной группы серверов, включить поддержку ActiveX для второй и отключить активное содержимое для остальных.

Таблица 2

Чтобы решить эту проблему, удобно изменить зону по умолчанию, применяемую для различных протоколов: HKLM (HKKU)SoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapProtocolDefaults:

ftp(DWORD)=4

http(DWORD)=4

https(DWORD)=4

После этого узлы, ранее принадлежащие зоне Internet, автоматически попадут в зону Restricted Sites. Зона Internet станет промежуточной, и в неё будут включаться сервера, для работы которых необходима поддержка сценариев или некоторых компонентов ActiveX. Зона Trusted Sites не изменит своих функций, в неё включаются узлы, работа с которыми требует всех функциональных возможностей Internet Explorer.

Для того чтобы появилась возможность модифицировать состав зоны Internet, параметру Flags для этой зоны необходимо присвоить значение, равное 3.

Настройка зон

Зона безопасности My Computer является основной целью атакующих. Многие опубликованные уязвимости в Internet Explorer нацелены именно на получение возможности обработки данных в контексте этой зоны, что дает возможность обращаться к файловой системе и запускать программы [5]. В Windows XP Service Pack это поведение изменено с помощью механизма «Local Machine Zone Lockdown» [6]. Однако, как показывает практика, задействованные настройки недостаточно строги, поэтому рекомендации по усилению параметров безопасности для XP SP2 также актуальны.

Рекомендуется дополнительно настраивать безопасность для этой зоны, запрещая обработку сценариев и/или компонентов ActiveX. В статье KB833633 описано, как настраивать параметры зоны безопасности с помощью модификации реестра. Однако зачастую удобней предварительную настройку осуществлять с помощью GUI. Для того чтобы зона безопасности отображалась в Internet Explorer, необходимо уменьшить значение параметра Flags для этой зоны на 32: HKLM(HKCU)SoftwareMicrosoftWindowsCurrent VersionInternet Settingsones?:

Flags(DWORD)=1

После этих изменений зона появится на закладке Security приложения Internet Options и станет доступной для модификации через графический интерфейс.

В результате настройки могут возникнуть проблемы при работе с некоторым программным обеспечением, использующим Internet Explorer. Типичным примером являются оснастки управления MMC. Поскольку правая панель в оснастках представляет собой компонент ActiveX, их отключение в зоне безопасности My Computer приводит к неработоспособности некоторых оснасток.

Наиболее приемлемым решением здесь является разрешение использования только одобренных администратором компонентов, для чего необходимо установить параметр безопасности Run ActiveX Controls and Plugins равным Administrator Approved. После этого необходимо описать разрешенные элементы ActiveX, что можно сделать через редактор групповых политик (см. рис. 1) в разделе «User Configuration –> Administrative Templates –> Windows Components –> Internet Explorer –> Administrator Approved Controls».

Рисунок 1. Разрешенные элементы ActiveX

По умолчанию набор компонентов невелик и может не содержать необходимые ActiveX. В этом случае целесообразно изменить административный шаблон %systemroot% infinetres.adm, добавив в него CLSID используемых элементов ActiveX.

Рисунок 2. Редактирование административного шаблона

Аналогичные настройки осуществляются различными утилитами, осуществляющими настройку безопасности компьютера. Например, Qwik-Fix Pro [7] в качестве одного из защитных механизмов устанавливает более строгие разрешения в зоне My Computer.

При использовании описанного выше подхода Restricted Sites является стандартной зоной безопасности для внешних узлов, необходимо ослабить настройки этой зоны. Для нормальной работы большинства пользователей достаточно разрешить загрузку файлов из неё. Ещё одной полезной настройкой является разрешение обработки файлов Cookie в Restricted Sites. Это устранит проблемы со многими серверами, отслеживающими сессию с помощью Cookie.

Включать обработку сценариев для этой зоны не рекомендуется, поскольку она же используется при обработке содержимого почтовых сообщений в программах Outlook и Outlook Express, соответственно чрезмерное ослабление настроек безопасности может привести к снижению общего уровня безопасности. В случае если необходимо разрешить выполнение сценариев для всех узлов, лучше воспользоваться методом расширения набора зон безопасности, описанным далее.

В зоне безопасности Internet обычно разрешается поддержка сценариев и некоторых ActiveX-компонентов, например, Macromedia Flash. Загрузку и инициализацию всех подписанных и неподписанных элементов в этой зоне лучше отключить. Для доверенных узлов (Trusted Sites) можно включить поддержку загрузки подписанных элементов ActiveX.

Желательно отключить формирование состава зоны безопасности Local Intranet на основе сетевой топологии и добавлять узлы или сети в неё вручную. Это защитит от внутренних атак, таких как установка ложных веб-серверов, NTLM Relaying [8] и т. д.

Не забывайте включить в эти зоны адреса Proxy-серверов для корректной работы функции автоматической аутентификации пользователя. В обратном случае возможны различные проблемы, особенно при аутентификации с помощью Smartcard.

Расширение набора зон

При необходимости можно расширить набор зон безопасности, доступный для Internet Explorer. Для этого в реестр добавляется зона с новым номером (например, 5). Самый простой способ произвести подобную операцию – это экспортировать раздел реестра, содержащий наиболее близкую по настройкам зону в текстовый файл, изменить его и импортировать в реестр.

Рисунок 3. Добавление зоны безопасности

Используя этот подход, можно изменить идеологию применения зон. Например, все внешние узлы по умолчанию попадают в зону Internet, в которой запрещена обработка сценариев и компонентов ActiveX. Серверы со средним уровнем доверия включаются в дополнительную зону, выполнение сценариев в которой разрешено. Ну и наиболее функциональные серверы попадают в зону Trusted Sites.

Развертывание и поддержка

Перед внедрением описанного подхода необходимо провести некоторые подготовительные операции. Первая из них – выяснение влияния настроек безопасности на используемое программное обеспечение.

Хорошим примером является раздражающее сообщение об отключенных ActiveX, выскакивающее при обращении к каждой странице, где содержится запрещенный компонент. До выхода Windows XP Service Pack 2 эту проблему приходилось решать путем модификации соответствующего компонента Internet Explorer. Также могут возникнуть проблемы с некоторыми приложениями при изменении настроек безопасности для зоны My Computer.

Наиболее эффективным методом будет настройка предполагаемых параметров для организационного подразделения отдела IT с последующей коррекцией по результатам тестирования. Все крупные эксперименты лучше сначала проводить на себе.

Список доверенных или частично доверенных серверов проще всего формировать на основе журналов межсетевого экрана с последующим согласованием у руководства. Не забывайте про формальную процедуру включения необходимых узлов в зоны безопасности по запросу работников. Эта процедура должна быть документально оформлена, доведена до пользователей и являться не слишком обременительной для них.

Централизованно настраивать параметры безопасности для Internet Explorer удобнее всего через групповые политики. Для этого в соответствующем ОГП необходимо открыть раздел User configuration/Windows settings/IE User configuration/Windows settings/IE Maintenance/Security, дважды щёлкнуть на Security Zones and Content Ratings и поставить переключатель в положение Import the current security zones and privacy settings.

Рисунок 4. Импорт настроек зон безопасности в ОГП

В административном шаблоне, входящем в Windows XP Service Pack 2, настройка зон безопасности была вынесена в отдельную ветку.

Рисунок 5. Настройки зон безопасности в ОГП

Соответственно появилась возможность настройки параметров для всех зон, включая My Computer непосредственно в объекте групповой политики. Для того чтобы применять эти настройки в домене, достаточно импортировать в групповую политику административный шаблон %systemroot%infinetres.adm из дистрибутива Windows XP Service Pack 2.

Хотя распространенность уязвимостей типа «Внедрение сценариев» (Cross-Site Scripting) в веб-серверах делает концепцию разделения уровня безопасности по зонам на основе имен доменов и IP-адресов серверов очень условной, не стоит отказываться от этого механизма защиты.

Описанные настройки позволяют значительно повысить защищенность Internet Explorer от 0day-угроз, т.е. тех уязвимостей, которые ещё не были устранены производителем. Всегда стоит отслеживать новые уязвимости и тестировать свою конфигурацию на подверженность недавно опубликованным проблемам. Кроме того, не стоит забывать о других средствах защиты, таких как управление обновлениями безопасности и фильтрация содержимого. Например, на сервере www.isatools.org можно найти сценарии, настраивающие ISA Server 2004 на блокировку распространенных атак.

Литература:

1. Обход средств защиты клиентских приложений. – http://www.security.nnov.ru/advisories/bypassing.asp.
2. US-CERT. Vulnerability Note VU#713878. – http://www.kb. cert.org/vuls/id/713878.
3. Drew Copley. Switching Software Because of Bugs. – http://www.securityfocus.com/archive/1/367723/2004-06-25/2004-07-01/0.
4. Trojan Win32.Secdrop.C. – http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40225.
5. Internet Explorer «Object Type» vulnerability. – http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0532.
6. Windows XP Service Pack 2 Enhancements to Internet Explorer 6. – http://www.microsoft.com/windows/ieak/techinfo/deploy/60/en/appendix.mspx.
7. Qwik-Fix Pro. – http://www.pivx.com/qwikfix.asp.
8. NTLM и корпоративные сети. – http://www.securitylab.ru/49547.html.