Webové úterý - Internet Explorer 8 a zabezpečení
Nástupem poslední generace Internet Exploreru, který je přímo součástí operačního systému Windows 7, ale je také možné jej stáhnout pro starší operační systémy Windows XP a Windows Vista, přišla také na trh nová generace zabezpečení procházení internetu.
Nové bezpečnostní prvky se týkají především koncového uživatele, který používá IE8 pro procházení internetu. Zapracovány jsou prvky, které jsou používány již z předchozí verze Internet Exploreru a to SmartScreen® Filtr, Protected mód ve spolupráci s User Account Control, ale také nové možnosti jako je například procházení InPrivate, kde na počítači nejsou ukládány žádné informace při procházení internetu.
Bezpečné procházení internetu
Mezi hlavní bezpečností prvky patří nastavení tzv. bezpečnostních zón internetu. V rámci IE8 je celkem 5 zón, které zajišťují různá nastavení prohlížeče v závislosti na tom, kde se prohlížená stránka nachází. Tyto zóny jsou místní počítač (tato zóna není v nastavení IE8 viditelná), Internet, místní intranet, důvěryhodné zóny a omezené stránky v internetu.
Rozdílná bezpečnostní nastavení jsou aplikována při přístupu na stránky, které odpovídají jednotlivým zónám:
Bezpečnostní zóna |
Úroveň zabezpečení |
Popis |
Lokální počítač |
Vlastní nastavení |
Obsah, který j uložený na uživatelově počítači (vyjma obsahu, který Internet Explorer ukládá do mezipaměti na počítači) je označný jako důvěryhodný obsah. Tato zóna nemůže být konfigurována z Internet Exploreru. |
Internet |
Střední-vyšší |
Zóna internet obsahuje všechny stránky, které nejsou obsaženy v ostatních zónách. |
Místní intranet (dostupné pouze pro počítače připojené do domény) |
Střední-nižší |
Všechny stránky v této zóně by měly být uvnitř místní sítě, externí DNS servery by neměly mít možnost provést překlad jména z této zóny. |
Důvěryhodné stránky |
Střední |
Stránkám v zóně důvěryhodné stránky je umožněno provádět více operací. Uživatel není dotazován v takové míře a nemusí dělat velké množství "bezpečnostních rozhodnutí". Do této zóny by měly být umístěny pouze stránky, kterým uživatel či správce IT plně důvěřuje a zná jejich obsah. |
Omezené stránky |
Vysoká |
Tato zóna je určena pro stránky, které jsou označeny jako nedůvěryhodné. Výchozí nastavení této zóny blokuje téměř všechny možnosti stránek, ale stále umožňuje zobrazení obsahu stránek, stránka tedy není blokovaná. Jednotlivé stránky lze přidávat pomocí skupinových politik a tím vynutit nastavení uživatele. |
Internet Explorer 8 také obsahuje tzv. SmartScreen Filtr, který napomáhá ochránit uživatele před různými formami sociálního inženýrství, např. phishing, ochrana proti "clickjackingu", který může být použitý pro zaznamenávání kláves, které uživatel stiskne během prohlížení. Součástí SmartScreen filtru je ta také ochrana proti Cross-site scripting, tedy spouštění skriptů na stránkách, kde tyto skripty pracují (přijímají či odesílají data) ze stránek umístěných na jiném doménovém jméně.
Ochrana proti phishingu a malware je zajištěna při přístupu na webovou stránku, kde je analyzován obsah stránky na přítomnost známých phishingových technik a také je kontrolována adresa webu v databázi škodlivých stránek. Nastavení kontroly stránek vůči centrální databázi je volitelné a při prvním spuštění IE8 je uživatel dotazován, zdali tyto kontroly chce provádět či nikoliv. Další možností je centrální nastavení pomocí skupinových politik.
SmartScreen Filtr také kontroluje tzv. Clickjacking. Tato funkce je součástí základního kódu Internet Exploreru a není možné ji vypnout. Clickjacking je útok, který navádí uživatele na otevření stránky, kde obsah je následně zobrazen z úplně jiné domény, nežli bylo uvedeno v odkazu (díky této jiné doméně se předchází zobrazení bezpečnostních hlášení).
Prohlížení InPrivate přináší uživatelům nové možnosti při prohlížení stránek, kde nemá být na počítači uchována jakákoliv informace o návštěvě stránek. Při běžném prohlížení stránek bez zapnutého módu InPrivate jsou běžně na počítačích uchovány informace, jako jsou soubory cookies, dočasné soubory, které slouží pro rychlejší načítání stránek, historie prohlížení a pokud uživatel zvolí, tak také informace z vyplňovaných formulářů. Pokud je povolené prohlížení webu InPrivate, nejsou žádné z těchto informací uchovávány na počítači a uživatel tak nemusí pro své bezpečí po ukončení prohlížení tyto informace z počítače odstraňovat. Při prohlížení v módu InPrivate je vždy otevřena nová instance prohlížeče a mód InPrivate je identifikován v adresním řádku.
Při použití módu InPrivate je nastavení následující:
- Browser Helper Objekty (BHOs) a lišty s nátroji jsou zakázané
- Všechny nové cookie budou označeny jako “session” cookie a smazány po ukončení procházení
- Existující cookie nebudou použity
- Nové zápisy do historie nebudou uloženy
- Nové dočasné soubory budou odstraněny po ukončení procházení v módu InPrivate
- Data formulářů nebudou uložena
- Hesla nebudou uložena
- Adresy zapisované do adresního řádku nebudou uloženy
- Dotazy zapsané do vyhledávacího pole nebudou uloženy
- Navštívené odkazy nebudou uloženy
Dalším bezpečnostním prvkem je zvýrazňování domén. Tato funkce se týká především stránek, které jsou zabezpečeny pomocí digitálních certifikátů. Pokud je použit zabezpečený přístup na stránky (https), je přímo na adresním řádku zobrazena informace o digitálním certifikátu tak uživatel ihned pozná, zdali je digitální certifikát platný či nikoliv. V případě, kdy digitální certifikát není platný nebo jeho platnost nemůže být ověřena, je uživatel ještě před vstupem na stránky dotázán, zdali digitálnímu certifikátu důvěřuje.
Pokud i tak uživatel souhlasí a na stránku přistoupí, je změněa barva adresního řádku a uživatel je přehledně infomován o tom, že existuje problém se zabezpečením těcho tránek.
Internet Explorer Protected Mód využívá funkcionalitu User Account Control. V případě zapnutého Protected módu není umožněn přístup aplikacím provozovaných v rámci Internet Exploreru k operačnímu systému jako takovému a prohlížeč může zapisovat pouze do určených oblastí - dočasné soubory a soubory cookies. Zapnutý protected mod uživatel například pozná ve chvíli, kdy si přeje na stránku nahrát dokument, otevře tedy okno pro zvolení souboru a v tomto okně uživatel chce přejmenovat soubor. Vzhledem k tomu, že se jedná o zápis (změna názvu souboru), je uživatel dotázán, zdali s touto akcí souhlasí.
Při povoleném Protected módu je Internet Explorer spuštěn ještě s nižším uživatelským oprávněním, nežli je skutečné uživatelské oprávnění přihlášeného uživatele. Díky tomu, i v případě výskytu škodlivého kódu na stránce, nedojde k automatickému rozšíření škodlivého kódu do celého počítače (samozřejmě pokud s tím uživatel nesouhlasí - je dotázán).
Centrální správa zabezpečení v organizacích
Organizace mají možnost centrálně nastavovat chování prohlížeče pomocí skupinových politik, pokud je počítač součástí doménové infrastruktury. Také je možnost provádět nastavení pomocí lokálních politik a to v případech, kdy jsou počítače pouze v pracovní skupině a doména Active Directory není k dispozici.
Pro centrální správu a nastavení se také používá nástroj Internet Explorer Administration Kit (IEAK), o kterém jsem psal v předchozím článku.
Pravděpodobně nejsilnější stránkou provozu Internet Exploreru a jeho centrální konfigurace pomocí skupinových politik je nastavení jednotlivých zón. Díky tomu, že jakékoliv nastavení pomocí skupinových politik je vždy mandatorní, nemá uživatel možnost tyto zóny upravovat a tím je zajištěn jednak funkční přístup na důvěryhodné servery, kde je nutná nižší konfigurace zabezpečení, ale také zajištění konfigurace potenciálně nebezpečných stránek centrálně.
V rámci Internet Exploreru jsou také již dlouhou řadu let používány rozšíření, které se nazývají AciveX prvky. Je možné tyto prvky centrálně instalovat pomocí skupinových politik, případně administrátor může definovat, které ActiveX prvky mohou či nesmějí být instalovány a to včetně stránek, kde se tyto prvky vyskytují. Nastavení prvků na site je opět možné nastavovat pomocí skupinových či lokálních politik, případně přímo v registry operačního systému. Povolené domény jsou ukládány vždy v nastavení daného uživatele ve větvi registry HKEY_CURRENT_USER, úplná cesta je pak HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CLSID} \iexplore\AllowedDomains\{Domain nebo *}.
{CLSID} reprezentuje Class ID prvku a {Domain nebo *} pak reprezentuje doménu, kde je prvek povolený. Pokud je zapsána hvězdička (*), je prvek povolený ve všech doménách.
Je doporučeno provést centrální nastavení pomocí skupinových politik tak, aby uživatel neměl možnost vypínat například protected mód, či kontrolu SmartScreen Filtr. Díky tomuto centrálnímu nastavení se předejde potenciálnímu vstupu škodlivého kódu do organizace. Existuje celá řada doporučeného nastavení, které se týká zabezpečení Internet Exploreru v organizacích, mezi tato nastavení patří například:
- Zakázat automatické doplňování
- Smazat dočasné soubory po ukončení Internet Exploreru
- Vynutit XSS filtr - cross-site skriptování
- Neukládat šifrované stránky na disk (https)
- Nastavit Proxy na počítač nikoliv na uživatele
- Vypnutí "Crash Protection"
- Omezení stahování souborů pro Restricted zóny
Kompletní reference nastavení Internet Exploreru pomocí skupinových politik je dostupná jako dokument ke stažení zde - https://www.microsoft.com/DOWNLOADS/details.aspx?familyid=AB4655F2-0A3C-42EB-974D-24B2790BF592&displaylang=en.
Dalším zajímavým dokumentem, jenž popisuje "hardening" Internet Exploreru 8, je dokument "IE8 Hardening FAQ" na stránkách https://nsslabs.com/general/ie8-hardening-faq.html.