Управління безпекою Internet Explorer :: Журнал СА4.2005
НАТАЛІЯ МЕЛЬНИКОВА
Управління безпекою Internet Explorer
Проблема захисту клієнтського робочого місця стає все більш і більш актуальною. Це пов'язано з рядом причин, але в першу чергу - зі зміщенням вектора атак з серверного на клієнтське програмне забезпечення. Статистика інцидентів показує, що більший відсоток порушень комп'ютерної безпеки як в корпоративному, так і в приватному секторі, відбувається саме за допомогою компрометації робочих місць користувача.
Звичайно, індустрія не стоїть на місці, і з'являються нові методи і продукти для захисту додатків користувача. Однак, як показує практика, на даний момент їх недостатньо. Нещодавно опубліковане дослідження російських фахівців в області інформаційної безпеки [1] показує, що для обходу більшості сучасних засобів захисту клієнтських додатків досить вміння роботи з програмою «Блокнот» і елементарних навичок програмування на VBScript.
Найбільш часто розглядаються в даному контексті додатком є браузер Internet Explorer. Його можливості не тільки забезпечують створення багатофункціональних інтерактивних веб-додатків, але дозволяють зловмисникові підвищувати свої привілеї на робочій станції користувача. У зв'язку з великою кількістю вразливостей в IE, опублікованих у другій половині минулого року, в співтоваристві фахівців в галузі безпеки досить бурхливо обговорюється ідея переходу на альтернативні програми роботи з World Wide Web. Навіть така поважна організація, як CERT, не втрималася від спекуляцій на цю тему [2].
Однак при спробі замінити Internet Explorer в корпоративних мережах адміністратору доводиться зіткнутися з деякими проблемами. Перша - відсутність необхідних функціональних можливостей. Багато поширені серверні додатки, такі як Outlook Web Access, SharePoint Portal Server активно використовують різні розширення DHTML, реалізовані тільки в Internet Explorer. Багато клієнтські програми також використовують COM-об'єкти Internet Explorer для формування інтерфейсу користувача. Таким чином, на клієнтському робочому місці виявляється дві програми для роботи з WEB - Internet Explorer для звернення до корпоративних додатків, і альтернативний браузер для виходу в Інтернет. Це знижує зручність використання і підвищує ймовірність виникнення призначених для користувача помилок. Крім того, виникає ряд додаткових проблем.
Ускладнюється завдання управління мережею. Оскільки більшість з альтернативних програм роботи з WWW не підтримує функції централізованого управління (тиражування конфігураційних файлів через групові політики - не найзручніший шлях), підвищуються витрати на підтримку клієнтських машин. Знову постає завдання управління оперативними оновленнями, оскільки міф про відсутність помилок в альтернативних браузерах, як і передбачалося [3], був швидко розвіяний. Виходять оновлення і нові версії програм, але сучасні засоби управління оновленнями (і пошуку вразливостей) їх не підтримують, і адміністратору доводиться стежити за актуальністю версій програм самостійно.
Крім того, в мережі на основі Active Directory часто відбувається зниження рівня безпеки, оскільки замість звичних протоколів аутентифікації NTLMv2 і Kerberos починають використовуватися набагато більш уразливі механізми Digest або Basic. Не завжди добре працює аутентифікація з використанням клієнтських сертифікатів зі сховища Windows або Smartcard.
З огляду на все перераховане вище, цілком ймовірно припустити, що зниження ризиків, яке обіцяє перехід на альтернативні браузери, не окупить підвищення витрат на експлуатацію.
Давайте розглянемо стандартні можливості налаштування Internet Explorer, використання яких дозволяє підняти рівень захищеності клієнтських робочих місць на досить високий рівень. Додатковою перевагою використання даних налаштувань є те, що вони легко тиражуються за допомогою стандартних засобів управління корпоративною мережею на базі Windows, таких як Active Directory.
Основним засобом настройки безпеки інтернет-додатків Microsoft були і залишаються зони безпеки. Зони безпеки являють собою групи адрес (URL), яким відповідають ті чи інші настройки підсистеми безпеки. Налаштування Internet Explorer зберігаються в розділах HKLM (HKCU) Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings.
За замовчуванням Internet Explorer зчитує налаштування з гілки HKCU, проте це поведінка можна змінити. Установка значення Enabled в параметрі об'єкта групової політики (ОГП) Computer Configuration \ Administrative Templates \ Windows Components \ Internet Explorer \ Security Zones: Use only machine settings привласнює значення параметра реєстру. HKLM \ Software \ Policies \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Security_HKLM_only рівним 1, після чого Internet Explorer починає використовувати налаштування з гілки HKLM.
Оскільки дозволу на гілку HKLM забороняють поль-зователем модифікувати значення, що містяться в нижчих розділах, то у нього не буде можливості змінити параметри, призначені адміністратором. У більшості випадків рекомендується задіяти цю настройку, оскільки користувач або шкідливе програмне забезпечення, яке працює в його контексті безпеки, може змінювати налаштування браузера, знижуючи рівень захищеності. Прикладом може бути троянська програма Win32.Secdrop.C [4], при установці роздільна завантаження і запуск непідписаних компонентів ActiveX з Internet.
У разі якщо задіяна ця настройка, всі параметри Internet Explorer необхідно змінювати в галузі HKLM (або розділі Computer Configuration ОГП). Відповідно, якщо для зміни параметрів будуть задіяні сценарії, то необхідно використовувати ті з них, які виконуються з достатніми привілеями, а саме - Startup Script і Shutdown Script. Крім того, для застосування параметрів необхідно, щоб відпрацювала групова політика рівня комп'ютера, що в деяких випадках вимагає перезавантаження. Ще однією потенційною проблемою є те, що зникає можливість персоніфікувати настройки Internet Explorer для різних користувачів одного і того ж комп'ютера. Однак необхідність в різних настройках IE для різних користувачів є скоріше винятком, ніж правилом.
Для настройки зон безпеки використовуються такі підрозділи: HKLM (HKKU) \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings:
- TemplatePolicies
- ZoneMap
- Zones
Розділ TemplatePolicies містить зумовлені рівні безпеки, які в подальшому можуть використовуватися для настройки зон. Цей розділ міститься тільки в гілці HKLM, і модифікувати його не рекомендується, оскільки така операція ускладнить процес відновлення стандартних налаштувань в разі виникнення збоїв.
У розділі ZoneMap описується прив'язка вузлів і доменів до зон безпеки. Підрозділ Domains містить ієрархічну структуру, в якій в якості ключів виступають імена доменів і вузлів, параметри описують протоколи, а значення параметрів вказують на номер зони безпеки. Наведена нижче структура розділів реєстру вказує на те, що при зверненні до сервера www.isc2.org по протоколу https будуть задіяні настройки другої зони безпеки (Trusted Sites, Довірені вузли): ZoneMap -> Domains -> sc2.org -> www -> https (DWORD) = 2.
Структура може бути більш складною. Наприклад, наступний варіант наказує при зверненні до будь-якого вузла в домені * .microsoft.com по протоколу https використовувати зону безпеки Trusted Sites. Для обробки вмісту сторінок на сервері www.microsoft.com , Отриманих за протоколом http, будуть використовуватися налаштування зони Internet: ZoneMap -> Domains -> microsoft.com -> https (DWORD) = 2, www -> http (DWORD) = 3.
Якщо клієнтом є Microsoft Windows Server 2003 і задіяна опція Internet Explorer Enhanced Security Configuration, то настройки слід зберігати в підрозділі EscDomains, а не Domains.
У разі якщо розмежування рівня безпеки відбувається не на основі FQDN, а за допомогою IP-адрес, задіюється підрозділ Ranges.
Наведена нижче структура описує ситуацію, коли для IP-адрес, що належать мережі 10.1.1.0/24, використовується зона безпеки Trusted Sites: ZoneMap -> Ranges -> Range1 -> * (DWORD) = 2,: Range (SZ) = 10.1.1.1 -10.1.1.254.
У підрозділі ProtocolDefaults описується, яка зона буде задіяна в разі використання того чи іншого протоколу, якщо додаткові правила не застосовні. За замовчуванням більшість протоколів використовують зону 3 - Internet.
Крім описаних параметрів впливати на те, яка зона безпеки буде використовуватися для обробки вмісту того чи іншого сервера, може значення параметра Flags, що міститься в розділі, що описує зону.
Наприклад, за замовчуванням цей параметр для зони 1 (Intranet) має значення 219: HKLM (HKCU) \ Software \ Micro-soft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1:
Flags (DWORD) = 219
Це значення формується на основі параметрів бітової маски (таблиця 1) і містить значення 128, 16 і 8. Відповідно до зони Intranet будуть автоматично включатися ті вузли, звернення до яких відбулося на ім'я Net BIOS і вузли, працюючі через Proxy-сервер (параметр HKLM (HKCU) \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ProxyOverride).
Таблиця 1. Значення параметра Flags
№
опис
1
Дозволити змінювати параметри
2
Дозволити користувачам додавати веб-сайти до цієї зони
4
Вимагати перевірені веб-вузли (протокол https)
8
Включити веб-сайти, які оминають проксі-сервер
16
Включити веб-сайти, не перелічені в інших зонах
32
Чи не показувати зону безпеки у властивостях браузера (стандартне значення для зони "Мій комп'ютер»)
64
Показувати діалогове вікно "Потрібна перевірка сервера»
128
Вважати підключення Universal Naming Connections (UNC) підключеннями інтрамережі
Функції зон безпеки
У підрозділі Zones містяться безпосередньо настройки безпеки кожної із зон. Стандартно Windows містить 5 зон безпеки (таблиця 2). Кожна з цих зон містить налаштування параметрів безпеки, докладний опис яких є в статті KB182569.
Таким чином, сайти, які не належать зоні безпеки Local Intranet, обробляються в контексті зони Internet. У разі якщо ці настройки надмірно жорсткі, можна включити сервер або домен в зону Trusted Sites. Якщо сервер є потенційно небезпечним, він включається в зону Restricted Sites.
Цей підхід не відповідає поточним реаліям, оскільки весь Internet є слабо довіреної системою. Крім того, адміністратор обмежений в настройках, оскільки у нього є тільки два рівня довіри - Internet і Trusted Sites. Він не може дозволити виконання сценаріїв для однієї групи серверів, включити підтримку ActiveX для другої і відключити активний вміст для інших.
Таблиця 2
№
Назва
опис
0
My Computer
У цю зону потрапляють сторінки, збережені на жорсткому диску комп'ютера. Винятком є сторінки, що містять коментар «saved from url», див. KB 833633. За замовчуванням містить демократичні настройки, які дозволяють обробку ActiveX, сценаріїв і т. Д.
1
Local intranet
Сервера локальної мережі. Зазвичай сайти потрапляють в цю зону автоматично на основі настройки мережевої топології. Дозволена обробка сценаріїв, підписаних компонентів ActiveX і автоматична аутентифікація
2
Trusted Sites
Довірені вузли. Формується вручну. За рівнем безпеки налаштувань практично аналогічна зоні 1
3
Internet
Містить вузли, що не входять в інші зони. Рівень безпеки залежить від дистрибутива Windows, але в більшості випадків дозволено використання сценаріїв і підписаних компонентів ActiveX
4
Restricted Sites
Обмежені вузли. Формується вручну. Містить жорсткі настройки, що відключають обробку активного вмісту. Використовується вкрай рідко
Щоб вирішити цю проблему, зручно змінити зону за замовчуванням, яка застосовується для різних протоколів: HKLM (HKKU) SoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapProtocolDefaults:
ftp (DWORD) = 4
http (DWORD) = 4
https (DWORD) = 4
Після цього вузли, які раніше належали зоні Internet, автоматично потраплять в зону Restricted Sites. Зона Internet стане проміжною, і в неї будуть включатися сервера, для роботи яких необхідна підтримка сценаріїв або деяких компонентів ActiveX. Зона Trusted Sites не змінить своїх функцій, в неї включаються вузли, робота з якими вимагає всіх функціональних можливостей Internet Explorer.
Для того щоб з'явилася можливість модифікувати склад зони Internet, параметру Flags для цієї зони необхідно присвоїти значення, що дорівнює 3.
Параметри зон
Зона безпеки My Computer є основною метою атакуючих. Багато опубліковані уразливості в Internet Explorer націлені саме на отримання можливості обробки даних в контексті цієї зони, що дає можливість звертатися до файлової системи і запускати програми [5]. У Windows XP Service Pack це поведінка змінено за допомогою механізму «Local Machine Zone Lockdown» [6]. Однак, як показує практика, задіяні настройки недостатньо суворі, тому рекомендації щодо посилення параметрів безпеки для XP SP2 також актуальні.
Рекомендується додатково налаштовувати безпеку для цієї зони, забороняючи обробку сценаріїв і / або компонентів ActiveX. У статті KB833633 описано, як налаштовувати параметри зони безпеки за допомогою модифікації реєстру. Однак найчастіше зручніше запрограмувати здійснювати за допомогою GUI. Для того щоб зона безпеки відображалася в Internet Explorer, необхідно зменшити значення параметра Flags для цієї зони на 32: HKLM (HKCU) SoftwareMicrosoftWindowsCurrent VersionInternet Settingsones ?:
Flags (DWORD) = 1
Після цих змін зона з'явиться на закладці Security додатки Internet Options і стане доступною для модифікації через графічний інтерфейс.
В результаті настройки можуть виникнути проблеми при роботі з деякими програмним забезпеченням, що використовують Internet Explorer. Типовим прикладом є оснащення управління MMC. Оскільки права панель в оснащеннях є компонент ActiveX, їх відключення в зоні безпеки My Computer призводить до непрацездатності деяких оснасток.
Найбільш прийнятним рішенням тут є дозвіл використання тільки схвалених адміністратором компонентів, для чого необхідно встановити параметр безпеки Run ActiveX Controls and Plugins рівним Administrator Approved. Після цього необхідно описати дозволені елементи ActiveX, що можна зробити через редактор групових політик (див. Рис. 1) в розділі «User Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Administrator Approved Controls».
Малюнок 1. Дозволені елементи ActiveX
За замовчуванням набір компонентів невеликий і може не містити необхідні ActiveX. У цьому випадку доцільно змінити адміністративний шаблон% systemroot% infinetres.adm, додавши в нього CLSID використовуваних елементів ActiveX.
Малюнок 2. Редагування адміністративного шаблону
Аналогічні настройки здійснюються різними утилітами, які здійснюють настройку безпеки комп'ютера. Наприклад, Qwik-Fix Pro [7] в якості одного із захисних механізмів встановлює більш суворі дозволу в зоні My Computer.
При використанні описаного вище підходу Restricted Sites є стандартною зоною безпеки для зовнішніх вузлів, необхідно послабити настройки цієї зони. Для нормальної роботи більшості користувачів достатньо дозволити завантаження файлів з неї. Ще однією корисною налаштуванням є дозвіл обробки файлів Cookie в Restricted Sites. Це усуне проблеми з багатьма серверами, що відстежують сесію за допомогою Cookie.
Включати обробку сценаріїв для цієї зони не рекомендується, оскільки вона ж використовується при обробці вмісту поштових повідомлень в програмах Outlook і Outlook Express, відповідно надмірне ослаблення налаштувань безпеки може призвести до зниження загального рівня безпеки. У разі якщо необхідно дозволити виконання сценаріїв для всіх вузлів, краще скористатися методом розширення набору зон безпеки, описаним далі.
У зоні безпеки Internet зазвичай дозволяється підтримка сценаріїв і деяких ActiveX-компонентів, наприклад, Macromedia Flash. Завантаження і ініціалізацію всіх підписаних і непідписаних елементів в цій зоні краще відключити. Для довірених вузлів (Trusted Sites) можна включити підтримку завантаження підписаних елементів ActiveX.
Бажано відключити формування складу зони безпеки Local Intranet на основі мережевої топології і додавати вузли або мережі в неї вручну. Це захистить від внутрішніх атак, таких як установка неправдивих веб-серверів, NTLM Relaying [8] і т. Д.
Не забувайте включити в ці зони адреси Proxy-серверів для коректної роботи функції автоматичної аутентифікації користувача. У зворотному випадку можливі різні проблеми, особливо при аутентифікації за допомогою Smartcard.
Розширення набору зон
При необхідності можна розширити набір зон безпеки, доступний для Internet Explorer. Для цього до реєстру додається зона з новим номером (наприклад, 5). Найпростіший спосіб зробити подібну операцію - це експортувати розділ реєстру, який містить найбільш близьку з налагодження зону в текстовий файл, змінити його і імпортувати до реєстру.
Малюнок 3. Додавання зони безпеки
Вікорістовуючі цею підхід, можна Изменить ідеологію! Застосування зон. Наприклад, всі зовнішні вузли за замовчуванням потрапляють в зону Internet, в якій заборонена обробка сценаріїв і компонентів ActiveX. Сервери із середнім рівнем довіри включаються в додаткову зону, виконання сценаріїв в якій дозволено. Ну і найбільш функціональні сервери потрапляють в зону Trusted Sites.
Розгортання та підтримка
Перед впровадженням описаного підходу необхідно провести деякі підготовчі операції. Перша з них - з'ясування впливу налаштувань безпеки на використовуване програмне забезпечення.
Хорошим прикладом є подразнюючу повідомлення про відключених ActiveX, вискакує при зверненні до кожної сторінки, де міститься заборонений компонент. До виходу Windows XP Service Pack 2 цю проблему доводилося вирішувати шляхом модифікації відповідного компонента Internet Explorer. Також можуть виникнути проблеми з деякими додатками при зміні налаштувань безпеки для зони My Computer.
Найбільш ефективним методом буде настройка передбачуваних параметрів для організаційного підрозділу відділу IT з подальшим коригуванням за результатами тестування. Всі великі експерименти краще спочатку проводити на собі.
Список довірених або частково довірених серверів найпростіше формувати на основі журналів брандмауера з подальшим погодженням у керівництва. Не забувайте про формальну процедуру включення необхідних вузлів в зони безпеки за запитом працівників. Ця процедура повинна бути документально оформлена, доведена до користувачів і бути не надто обтяжливою для них.
Централізовано налаштовувати параметри безпеки для Internet Explorer найзручніше через групові політики. Для цього у відповідному ОГП необхідно відкрити розділ User configuration / Windows settings / IE User configuration / Windows settings / IE Maintenance / Security, двічі клацнути на Security Zones and Content Ratings і поставити перемикач в положення Import the current security zones and privacy settings.
Малюнок 4. Імпорт налаштувань зон безпеки в ОГП
В адміністративному шаблоні, що входить в Windows XP Service Pack 2, настройка зон безпеки була винесена в окрему гілку.
Малюнок 5. Налаштування зон безпеки в ОГП
Відповідно з'явилася можливість налаштування параметрів для всіх зон, включаючи My Computer безпосередньо в об'єкті групової політики. Для того щоб застосовувати ці налаштування в домені, достатньо імпортувати в групову політику адміністративний шаблон% systemroot% infinetres.adm з дистрибутива Windows XP Service Pack 2.
Хоча поширеність вразливостей типу «Впровадження сценаріїв» (Cross-Site Scripting) в веб-серверах робить концепцію поділу рівня безпеки по зонам на основі імен доменів і IP-адрес серверів дуже умовною, не варто відмовлятися від цього механізму захисту.
Описані налаштування дозволяють значно підвищити захищеність Internet Explorer від 0day-загроз, тобто тих вразливостей, які ще не були усунені виробником. Завжди варто відстежувати нові уразливості і тестувати свою конфігурацію на схильність недавно опублікованими проблем. Крім того, не варто забувати про інші засоби захисту, таких як управління оновленнями безпеки і фільтрація вмісту. Наприклад, на сервері www.isatools.org можна знайти сценарії, налаштовують ISA Server 2004 з блокування поширених атак.
література:
- Обхід засобів захисту клієнтських додатків. - http://www.security.nnov.ru/advisories/bypassing.asp .
- US-CERT. Vulnerability Note VU # 713878. - http: //www.kb. cert.org/vuls/id/713878 .
- Drew Copley. Switching Software Because of Bugs. - http://www.securityfocus.com/archive/1/367723/2004-06-25/2004-07-01/0 .
- Trojan Win32.Secdrop.C. - http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40225 .
- Internet Explorer «Object Type» vulnerability. - http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0532 .
- Windows XP Service Pack 2 Enhancements to Internet Explorer 6. - http://www.microsoft.com/windows/ieak/techinfo/deploy/60/en/appendix.mspx .
- Qwik-Fix Pro. - http://www.pivx.com/qwikfix.asp .
- NTLM і корпоративні мережі. - http://www.securitylab.ru/49547.html .
Cgi?