Microsoft Internet Explorer (IE) 7.0 — базовый компонент Windows Vista, совместимый с новейшими редакциями Windows XP и Windows Server 2003. Новая версия IE располагает несколькими превосходными новшествами, в том числе более рациональным интерфейсом, усовершенствованным поисковым механизмом, вкладками и расширенными возможностями печати (например, IE 7.0 переформатирует печатный вывод в соответствии с размерами бумаги, а не просто обрезает текст). Кроме того, она совместима с RSS-каналами. Одно из самых существенных улучшений IE 7.0 — меры безопасности, в том числе ограничения для компонентов ActiveX. Механизм защиты от фишинга помогает выявить Web-узлы, которые пытаются собрать личную информацию; представление уровня безопасности стало более наглядным: цвет адресной панели для надежных Web-узлов изменяется на зеленый.
Благодаря улучшениям в системе безопасности IE 7.0 может пригодиться в большинстве компаний, и Microsoft продвигает браузер в качестве высокоприоритетного обновления. Поэтому, если клиентам разрешено автоматически обновлять программы, возможно, администраторам не потребуется развертывать IE 7.0. В ходе автоматического обновления пользователь видит диалоговое окно, показанное на экране 1. Необходимо щелкнуть на одной из кнопок: Ask Me Later, Don’t Install или Install. Если пользователь решает не устанавливать обновление, это можно будет сделать позднее. Сведения об отмене автоматических обновлений приведены во врезке «Отмена автоматического развертывания Internet Explorer 7.0».
Развертываем Internet Explorer 7.0
Если IE 7.0 не был развернут в компании автоматически, его можно загрузить с Web-узла Microsoft (http://www.microsoft.com/windows/ie/downloads/default.mspx). Выпущены редакции IE 7.0 для Windows XP Professional x64 Edition, Windows XP SP2 и различных версий Windows Server 2003 (например, Service Pack 1 — SP1, x64, IA-64). Существует несколько способов установки. Конечный пользователь или администратор может щелкнуть на ссылке, запустить сценарий из загруженного файла или специализированного пакета либо задействовать Windows Server Update Services (WSUS) или Microsoft Systems Management Server (SMS) 2003. Кроме того, пользователи могут вручную установить IE 7.0 с общего сетевого диска или CD-ROM.
Для автоматического развертывания полезны два ключа файла развертывания IE 7.0 для 32-разрядной операционной системы XP (т.е. IE7-WindowsXP-x86-enu.exe). Ключ -passive показывает ход установки IE 7.0, но пользователю не требуется вводить никакой информации. При использовании ключа -quiet никаких диалоговых окон не отображается.
В службе WSUS используется 15-Мбайт накопительный пакет обновления IE 7.0. Настроить развертывание IE 7.0 можно с помощью стандартных процедур WSUS. Браузер развертывается автоматически, и пользователи могут решить, следует установить его, отказаться или временно отложить установку.
Если в компании используется SMS, то инструмент инвентаризации для обновлений Microsoft (ITMU) предоставляет IE 7.0 как часть обычной функциональности Microsoft Software Update Services (SUS). С помощью функций перезагрузки SMS можно контролировать требования процедуры развертывания к перезапуску системы, а не применять параметры установки IE 7.0. Можно также преобразовать загруженный выполняемый файл IE 7.0 в пакет с различными ключами для полностью автоматизированной установки. Или можно использовать комплект Internet Explorer Administration Kit (IEAK), чтобы создать специализированный пакет IE 7.0 для развертывания, который обеспечит оператору более широкие возможности управления.
Комплект IEAK 7.0 можно получить по адресу http://www.microsoft.com/technet/prodtechnol/ie/ieak7/default.mspx. Он состоит из двух основных компонентов — Internet Explorer Customization Wizard и IEAK Profile Manager. В процессе установки пользователь отвечает на вопрос о предстоящем применении инструмента (например, в корпоративной среде или как Internet-провайдер). В данной статье предполагается корпоративная среда.
Чтобы создать специализированный установочный файл IE 7.0 с использованием IEAK, следует запустить мастер Internet Explorer Customization Wizard. Из меню Start выберите пункт Programs, Microsoft IEAK 7, Internet Explorer Customization Wizard. Первый шаг — собрать необходимую информацию для развертывания IE 7.0; щелкните на кнопке Next во вводном диалоговом окне мастера, чтобы приступить к задаче. Откроется диалоговое окно File Locations; в нем следует перейти в папку, в которой будет подготовлена развертываемая сборка. По умолчанию это C:uilds odays date. С помощью кнопки Advanced Options (экран 2) можно организовать автоматическую загрузку компонентов и указать, куда загружать компоненты в процессе сборки. После того как будут заданы эти параметры, щелкните на кнопке Next.
В раскрывающемся списке можно выбрать целевую клиентскую платформу, от которой зависит редакция IE (например, Vista — на основе x86, XP SP2).
Затем следует выбрать язык (по умолчанию — английский). В следующем диалоговом окне можно выбрать тип носителя назначения для специальной настройки: файл, автозапускаемый CD-ROM или только информация о конфигурации (для клиентов, уже работающих с IE 7.0). (Режим конфигурации предназначен для среды без Active Directory — AD; поэтому в данном случае нельзя использовать групповую политику).
Затем мастер отображает список компонентов, подлежащих настройке (экран 3). Если будет применяться групповая политика, нужно выбрать лишь несколько компонентов. Выберите компоненты, которые необходимо настроить, и щелкните на кнопке Next.
Затем требуется выбрать источник, из которого будут загружаться компоненты. Щелкните на кнопке Next во вводном диалоговом окне. Мастер подключится к Web-узлу Microsoft и отыщет самую свежую версию. Если IEAK уже запускался раньше и имеется загруженная сборка, мастер покажет версию, установленную на компьютере. Если локальной сборки нет или существует более новая версия, щелкните на кнопке Synchronize, чтобы загрузить ее, а затем нажмите Next.
При развертывании IE 7.0 можно указать до 10 специализированных компонентов. Эти компоненты можно настроить на запуск до или после установки IE либо при перезапуске компьютера после установки. Добавив специальные компоненты, следует щелкнуть на кнопке Next.
Следующий шаг в создании специализированной установки — настроить инструмент удаления вредных программ на запуск перед установкой IE 7.0, чтобы разрешить установку обновлений. Также необходимо разрешить пользователям настраивать стандартное поведение браузера. Наконец, следует указать, сохранять ли данные для отмены установки на клиентских компьютерах (что занимает ценное пространство на диске).
В зависимости от выбранных параметров для настраиваемых компонентов, может потребоваться указать, должен ли пользователь вводить данные в процессе установки и нужно ли автоматически перезагрузить компьютер. Среди дополнительных настроек — параметры для модулей расширения и программ редактирования HTML. Некоторые режимы, настраиваемые в рамках групповой политики, также доступны через параметры. Следует отметить, что эти предпочтения задаются на этапе настройки процесса установки и не применяются повторно, если пользователь изменил их. Эта особенность — одно из преимуществ использования групповой политики для специализированной настройки.
После того как будут заданы все настройки для создания специализированного пакета, можно применить SMS или другое решение, чтобы развернуть пакет на клиентских компьютерах. В зависимости от выбранных настроек, пользователи могут видеть, как загружаются обновления IE; возможно, им придется щелкнуть мышью, чтобы подтвердить те ли иные запросы. После того как с использованием мастера Internet Explorer Customization Wizard будет создан пакет, с помощью диспетчера IEAK Profile Manager можно отредактировать .ins-файл пакета, чтобы изменить настройки и при необходимости создать новые профили, как показано на экране 4.
Настройка конфигурации Internet Explorer 7.0
Развертывание IE 7.0 для пользователей — лишь половина задачи. Нужно еще, чтобы пользователи умели работать с браузером, а сделанные администратором настройки помогали им. Комплект IEAK полезен для подготовки пакета развертывания с начальными настройками и определенным уровнем защиты. Однако IEAK не позволяет изменять настройки после развертывания браузера. В среде без AD допускается использовать IEAK для начальной настройки (дальнейшие изменения вносятся «проталкиванием» с помощью локальной политики или путем изменений в реестре). Но в среде с AD предпочтительно задействовать групповую политику для управления конфигурацией.
Обновленный шаблон групповой политики для IE 7.0 устанавливается автоматически вместе с браузером. Расширение клиентской стороны (CSE) IE, на которое возложена обработка настроек групповой политики, связанных с браузером, постоянно обновляет и корректирует изменения, противоречащие групповой политике. Ранее заданные настройки IE 7.0 (значения параметров реестра, которые не находятся в стандартных областях групповой политики и считаются фиксированными на клиентском компьютере) превращаются в настоящие политики.
Возможно, администратор не хочет устанавливать IE 7.0 на серверах для получения обновленного файла конфигурации IE (inetres.adm). Существует два альтернативных варианта: скопировать файл из папки C:Windowsinf на клиентском компьютере с установленным IE 7.0, в папку C:Windowsinf на сервере либо отредактировать групповую политику из рабочей станции XP с установленным IE 7.0.
Чтобы увидеть параметры групповой политики для IE 7.0, нужно открыть файл в Notepad или другом текстовом редакторе и найти фрагмент текста !!SUPPORTED_IE7. Здесь присутствуют и фрагменты !!SUPPORTED_IE7Vista; это параметры для IE 7.0 в Vista, они относятся к защищенному режиму, в котором предотвращаются атаки с несанкционированным повышением прав.
При просмотре политики в окне редактора Group Policy Object Editor (экран 5) текст описания показывает, относится ли политика к IE 7.0 или выше. Полезно уделить некоторое время знакомству с областями групповой политики, чтобы понять, как новая функциональность IE 7.0 повлияет на компанию. Необходимо знать политики, пригодные для настройки и управления новыми областями, а также новые методы управления существующей функциональностью.
Одна из новых областей функциональности — RSS-каналы. С помощью групповой политики можно настроить метод обнаружения каналов, что не позволяет IE обозначать или объявлять о наличии RSS-канала на Web-странице. Кроме того, можно запретить пользователям подписываться или отменять подписку на RSS-каналы, а также блокировать загрузку файлов, приложенных к рассылкам. Наконец, несколько базовых функций располагают элементом групповой политики в административном шаблоне IE. Например, можно активизировать защиту от фишинга, чтобы обозначить Web-узлы, с которых мошенники могут попытаться получить информацию.
После развертывания
В IE 7.0 предусмотрено много мер безопасности и полезных функций, благодаря которым браузер будет ценным приобретением для большинства компаний. Если компания не подписана на автоматическое обновление продуктов Microsoft, необходимо составить план развертывания IE 7.0. Просто развернуть браузер недостаточно. Чтобы полностью реализовать преимущества IE 7.0, нужно составить долгосрочный план выполнения настроек и управления браузером.
Джон Сэвилл (jsavill@windowsitpro.com) — директор по технической инфраструктуре компании Geniant, имеет сертификаты CISSP, Security and Messaging MCSE для Windows Server 2003, восьмикратно удостоен звания «самый ценный профессионал» (MVP)
Коротко о решении
Проблема
Развертывание и настройка Internet Explorer (IE) 7.0
Решение
Если компания не подписана на автоматические обновления Microsoft, следует вручную загрузить IE 7.0 и развернуть браузер; затем примените комплект Internet Explorer Administration Kit (IEAK) или групповую политику для настройки и управления.
Требуемые ресурсы
Windows XP или Windows Server 2003; IE 7.0
Уровень сложности
2 из 5
Этапы решения
-
Определите, развертывает ли компания Internet Explorer (IE) 7.0 автоматически.
-
Загрузите IE 7.0 из Web-узла Microsoft.
-
Можно использовать комплект Internet Explorer Administration Kit (IEAK) для создания специализированного пакета развертывания IE 7.0.
-
Используйте Windows Server Update Services (WSUS) или Microsoft Systems Management Server (SMS), чтобы развернуть IE 7.0.
-
Используйте IEAK или групповую политику, чтобы настроить браузер IE 7.0 и управлять им.
Отмена автоматического развертывания Internet Explorer 7.0
Компании, которые используют встроенную функциональность Microsoft Automatic Update, чтобы своевременно обновлять программное обеспечение, могут отложить развертывание Internet Explorer (IE) 7.0 (например, если используются Web-узлы, которые не протестированы на совместимость с IE 7.0 или не работают с IE 7.0). Набор инструментов Internet Explorer 7 Blocker Toolkit позволяет остановить автоматическое развертывание IE 7.0. Инструмент можно загрузить по адресу http://www.microsoft.com/downloads/details.aspx?familyid=4516a6f7-5d44-482b-9dbd-869b4a90159c&displaylang=en. Он функционирует как административный шаблон групповой политики или сценарий. В обоих случаях значение параметра реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSetup7.0DoNotAllowIE70 устанавливается равным 1. Компании, в которых используется Active Directory (AD) и групповая политика, могут применить административный шаблон; компании, которые не создали (или не хотят применять) групповую политику, могут запустить сценарий. Блокировка также останавливает развертывание браузера, если администратор посещает Web-узел Microsoft Windows Update и выбирает режим Express для установки обновлений.
Блокировка действует только в том случае, если IE 7.0 развертывается через клиент Automatic Update и устанавливает непосредственную связь с серверами обновления Microsoft. Даже если блокировка активна, другие методы действуют: например, Windows Server Update Services (WSUS) и Microsoft Systems Management Server (SMS) по-прежнему выполняют развертывание.