Настройка зон безопасности IE
Microsoft Internet Explorer (IE) располагает несколькими встроенными зонами безопасности, предназначенными для наложения ограничений на доступ к Web-узлам. Если выбрать пункт Internet Options из меню Tools браузера, а затем щелкнуть на вкладке Security, можно увидеть четыре стандартные зоны: Internet, Local intranet, Trusted sites и Restricted sites. Однако во внешнем интерфейсе IE зона с именем My Computer не показана. Немногие знают о существовании зоны My Computer, и еще меньшему числу пользователей известно о возможности изменить эту зону и организовать специализированные зоны. В данной статье рассматривается скрытая, но важная зона My Computer, способы ее настройки и методы создания специализированных зон для IE 6.x и IE 5.x.
Настройка зоны My Computer
Зона My Computer представляет локальный компьютер; следовательно, все остальные компьютеры — в том числе сайты Internet и корпоративной сети — относятся к другим зонам безопасности. Настройки безопасности для зоны My Computer задаются по умолчанию, но их можно изменить.
Повысить уровень безопасности зоны My Computer — разумное решение. В результате пользователи становятся неуязвимыми для таких угроз, как «троянский конь» Download.Ject и другие опасные программы, которые часто бывают рассчитаны на более мягкий (стандартный) уровень безопасности зоны My Computer. Если повысить безопасность этой зоны, то многие разновидности вредоносных программ станут сравнительно безопасными. Кроме того, надежная защита зоны My Computer позволяет ослабить ограничения для зоны Internet и разрешить запуск сценариев, элементов управления ActiveX и других компонентов, не переступая порога риска.
Как отмечалось выше, My Computer, в отличие от остальных четырех зон, не показана на вкладке Security. Чтобы увидеть зону My Computer, необходимо вручную отредактировать реестр или изменить параметры безопасности зоны с помощью инструмента независимого поставщика.
Экран 1. Зоны безопасности IE в реестре |
Ручное редактирование реестра. Чтобы отредактировать реестр вручную, следует открыть редактор реестра и перейти в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current VersionInternet Settingsones. Как показано на экране 1, в нем имеется пять подразделов:
- Zone 0 (представляет зону My Computer);
- Zone 1 (для зоны Local intranet);
- Zone 2 (для зоны Trusted sites);
- Zone 3 (для зоны Internet);
- Zone 4 (для зоны Restricted sites).
Параметры в этих разделах носят непонятные имена. Без соответствующего описания трудно и утомительно разбираться, какие из этих параметров отключают или активизируют те или иные функции IE. К счастью, в статье Microsoft «Description of Internet Explorer security zones registry entries» (http://support.microsoft.com/?kbid=182569) даны описания каждого параметра и его возможные значения.
В каждом из пяти подразделов имеется параметр Flags, который определяет свойства зоны. Для этого параметра требуется значение типа DWORD, которое вычисляется путем сложения значений, представляющих нужные функции. В таблице 1 показаны возможные функции и соответствующие значения. Для параметра Flags требуется значение типа DWORD, поэтому десятичный результат нужно преобразовать в шестнадцатеричное число.
Таблица 1. Возможные значения параметра Flags |
Например, предположим, что нужно разрешить изменения в специальных параметрах (1), предоставить пользователям право добавлять Web-узлы (2), потребовать верификации Web-узлов (4) и показать диалоговое окно Requires Server Verification (64) для зоны My Computer. Сложение десятичных значений дает сумму 71, что соответствует шестнадцатеричному числу 47. Преобразовать десятичное число в шестнадцатеричное можно с помощью калькулятора Windows. В меню Start следует выбрать пункты Programs, Accessories, Calculator. Программу Calculator нужно перевести в режим Scientific (меню View). С числовой панели следует ввести десятичное значение, затем щелкнуть на переключателе Hex.
Определить функциональность, заданную текущими параметрами реестра, можно с помощью обратного процесса. Шестнадцатеричное значение Flags следует преобразовать в десятичное. Затем с помощью таблицы 1 требуется выяснить, какие параметры были использованы.
Существует более простой способ изменения параметров безопасности зоны My Computer, который зависит от версии IE и Windows: в реестре нужно присвоить параметру Flags подраздела Zone 0 шестнадцатеричное значение 47, после чего зона My Computer появится во вкладке Security браузера. Сделав зону My Computer видимой, можно изменить параметры безопасности с помощью параметров вкладки Security. Более подробно об этом методе рассказано в статье Microsoft «How to Enable the My Computer Security Zone in Internet Options» (http://support.microsoft.com/?kbid=315933).
Приступая к настройке режима работы зоны My Computer, необходимо помнить о возможности нарушения функциональности приложений, в которых используются определенные параметры IE. Следует поэкспериментировать и убедиться, что измененные параметры на другие приложения не влияют.
Инструменты независимых поставщиков. Еще один способ отредактировать параметры безопасности зоны My Computer — использовать инструмент независимого производителя, например, Quik-Fix Pro компании PivX Solutions (http://www.pivx.com). С помощью Quik-Fix Pro можно изменить параметры безопасности зоны My Computer, лишь один раз щелкнув на кнопке, или использовать параметры Quik-Fix Pro в качестве образца и настроить зону вручную. В последнем случае администратор составляет специальные файлы реестра, а затем импортирует эти файлы на компьютеры по своему выбору. Чтобы подготовить импортируемый файл реестра для зоны My Computer, необходимо экспортировать подраздел Zone 0 в файл .reg, изменить нужные параметры, а затем импортировать файл назад в реестр (более подробно об этой процедуре рассказано ниже).
В таблице 2 приведен список изменений для Quik-Fix Pro, которые повышают безопасность зоны. В таблице также указаны стандартные значения этих параметров и значения, рекомендуемые Quik-Fix Pro. Во время подготовки данной статьи изменить параметры, отсутствующие в таблице 2, с помощью программы Quik-Fix Pro было невозможно.
Как говорится в статье Microsoft «Description of Internet Explorersecurity zones registry entries», значение 0 большинства параметров зоны активизирует соответствующую функцию, значение 1 выводит пользователю запрос перед активизацией функции, а значение 3 блокирует соответствующую функцию (значение 2 не используется). Единственное исключение составляет параметр 1E05. Для этого параметра значение 10 000 соответствует высокому уровню безопасности, 20 000 — среднему, а 30 000 — низкому.
Добавление специальных зон
Не составляет труда увеличить число зон безопасности со специализированными параметрами безопасности. Добавляя новые зоны, можно детально управлять уровнем доверия. Например, встроенной зоне Internet можно присвоить высокий уровень безопасности, а затем создать еще две зоны для работы с Internet: одну со средним и вторую со средним-низким уровнем защиты. Затем можно отнести конкретные Web-узлы к каждой из новых зон, в зависимости от того, как администратор оценивает риск конкретного Web-узла. Рассмотрим этапы создания двух новых зон.
Простой способ добавить новую зону в IE — скопировать существующую зону и изменить ее режим безопасности. Чтобы скопировать зону, следует запустить regedit и воспользоваться функцией Export для экспорта раздела зоны в файл .reg. В этом случае экспортируется раздел Zone 4, так как это последняя зона при стандартной установке IE.
Затем требуется открыть файл .reg в текстовом редакторе, например Notepad, и выполнить следующие действия:
- Найти номер зоны в конце пути к разделу реестра. Увеличить номер на 1. В данном примере нужно заменить 4 на 5.
- Заменить значение DisplayName на имя, выбранное для новой зоны.
- Заменить значение Description на понятное описание.
- Чтобы разрешить добавление Web-узлов в зону, нужно изменить параметр Flags. Как показано в таблице 1, если присвоить параметру Flags значение 32, зона не будет показана на вкладке Security. Если присвоить параметру Flags значение 1, то зона будет отображаться во вкладке Security браузера и пользователи смогут включать в нее сайты. Поэтому параметру следует присвоить, по крайней мере, значение 2, чтобы пользователи могли добавлять в зону Web-узлы. К новой зоне можно отнести все сайты, не причисленные явно к другой зоне, присвоив параметру Flags значение 18, которое представляет собой сумму значений 16 (охватить Web-узлы, не отнесенные к другим зонам) и 2 (разрешить пользователям добавлять Web-узлы к этой зоне). Разрешается иметь только одну зону безопасности, в общее значение которой входит число 16.
- Сохранить файл .reg. На экране 2 показан пример измененного файла .reg.
- Создать копию только что сохраненного файла .reg, а затем открыть копию в Notepad. Повторить операции с 1 по 5, изменив номер зоны на 6. На данном этапе получено два .reg-файла, готовых к импорту в реестр. Необходимо запустить regedit и импортировать файлы с помощью функции Import. Следует открыть раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionInternet Settingsones. На экране можно увидеть разделы Zone 5 и Zone 6. Дополнив реестр новыми зонами, нужно завершить настройку параметров безопасности новых зон. Настройку .reg-файла можно выполнить в Notepad, но гораздо проще изменить оставшиеся параметры безопасности на вкладке Security браузера. Наряду с остальными видимыми зонами во вкладке появятся две новые зоны. Способ редактирования параметров безопасности — такой же, как для любой другой зоны. Чтобы использовать эти зоны в других машинах сети, можно экспортировать соответствующие разделы реестра в .reg-файлы, а затем импортировать .reg-файлы в другие компьютеры.
Экран 2. Пример отредактированного .reg-файла |
Таким образом, повысить уровень безопасности, настраивая зону My Computer и добавляя специальные зоны, совсем нетрудно. Для этого достаточно знать несколько секретов, в частности какие разделы реестра использовать, и имена и значения параметров.
Марк Джозеф Эдвардс (mark@ntsecurity.net) — старший редактор Windows IT Pro и ведущий еженедельного электронного бюллетеня Security UPDATE (http://www.windowsitpro.com/email)