В Internet Explorer 7 содержатся следующие функции, повышающие его безопасность. С помощью пакета администрирования Internet Explorer 7 можно настраивать некоторые из этих функций и управлять ими.

Дополнительные сведения о функциях Internet Explorer 7 см. на веб-узле http://go.microsoft.com/fwlink/?linkid=68931.

Междоменные барьеры

Эта функция не позволяет сценарию на веб-странице взаимодействовать с содержимым из других доменов или окон. Эта мера безопасности защищает пользователей, блокируя для вредоносных веб-узлов возможность использовать изъяны в системе безопасности других веб-узлов или заставлять пользователей загружать ненужное содержимое или программное обеспечение.

Обновленный обработчик URL-адресов

Эта функция обеспечивает согласованную обработку URL-адресов и сводит к минимуму возможные уязвимости в системе безопасности. Новый обработчик URL-адресов позволяет централизовать обработку критических данных и повышает согласованность данных в обозревателе Internet Explorer.

Защищенный режим

Обозреватель Internet Explorer 7 в Windows Vista выполняется изолированно от других приложений операционной системы. Пользователь должен явно разрешить программе возможность выполнять запись в любую другую папку, отличную от <системный_диск>\Windows\Temp\Temporary Internet Files.

Зоны безопасности

Параметры безопасности Internet Explorer позволяют относить веб-узлы к различным зонам безопасности в зависимости от степени доверия к содержимому веб-узла.

При установке Internet Explorer по умолчанию определяются следующие зоны безопасности:

  • зона Интернета, содержащая по умолчанию все веб-узлы;

  • зона «Местная интрасеть» для компьютеров, соединенных в локальную сеть;

  • зона «Надежные узлы», в которую помещаются доверяемые веб-узлы;

  • зона «Ограниченные узлы», в которую помещаются сомнительные веб-узлы;

  • зона «Мой компьютер», в которой находятся файлы на локальном компьютере.

    Примечание

    Зону «Мой компьютер» можно настроить только в системном реестре. Эти параметры недоступны в интерфейсе обозревателя. Если в вашей организации нет специальных требований, для этой зоны следует использовать параметры по умолчанию. Дополнительные сведения см. в статье 315933 базы знаний Майкрософт по адресу http://go.microsoft.com/fwlink/?linkid=68964.

Настройки безопасности по умолчанию

Для этих зон можно установить следующие значения уровня безопасности: «Высокий», «Выше среднего», «Средний», «Ниже среднего» и «Низкий». Кроме того, для каждой зоны можно задать пользовательский уровень безопасности. Для просмотра всех параметров безопасности щелкните Свойства обозревателя в панели управления и перейдите на вкладку Безопасность.

Можно задать параметры безопасности и определить, смогут ли пользователи изменять эти параметры. Кроме того, при использовании операционной системы Windows Server 2003 для пользователей можно применить конфигурацию усиленной безопасности Internet Explorer. Эта конфигурация позволяет еще более снизить степень уязвимости сети и ресурсов в ней при угрозах безопасности. Подробные инструкции по применению усиленной конфигурации безопасности для пользователей и компьютеров см. по адресу http://go.microsoft.com/fwlink/?linkid=26091.

Чтобы защитить пользователей от работы в Интернете с небезопасными параметрами, теперь обозреватель Internet Explorer 7 предупреждает, если текущие параметры безопасности могут представлять угрозу. Если для элемента заданы небезопасные значения параметров, на вкладке Безопасность он подсвечивается красным. Помимо оповещений в окнах предупреждений о небезопасных параметрах, пользователь будут получать напоминания до тех пор, пока параметры остаются небезопасными. Можно быстро переустановить параметры безопасности Интернета на «Умеренно высокий» уровень по умолчанию, щелкнув Исправить на панели безопасности.

Зона Интернета

Зона Интернета содержит все веб-узлы, не включенные в другие зоны. По умолчанию для зоны Интернета установлен уровень безопасности «Средний». Если возникают подозрения относительно безопасности работы в Интернете, этот уровень можно изменить на «Высокий» При повышении уровня безопасности некоторым веб-страницам будет запрещено выполнять определенные потенциально опасные операции, хотя при этом, возможно, также будет блокирована работа некоторых полезных функций, и может показаться, что некоторые страницы работают неправильно.

Можно установить пользовательские параметры, чтобы задать для всей зоны поведение системы безопасности по отдельным проблемам. Для этого в меню Пуск выберите пункт Панель управления, щелкните Свойства обозревателя, перейдите на вкладку Безопасность и нажмите кнопку Другой.

Зоны надежных и ограниченных узлов

Отдельные веб-узлы можно поместить в две зоны: «Интернет» и «Местная интрасеть». Чтобы добавить узлы в эти зоны, на вкладке «Безопасность» сначала выберите зону, а затем нажмите кнопку Узлы.

По умолчанию для зоны «Надежные узлы» устанавливается уровень безопасности «Средний». Эта зона предназначена для узлов с высокой степенью доверия, например веб-узлов компаний, с которыми ведутся дела. Если веб-узел помещается в зону надежных узлов, ему позволяется выполнять более сложные операции. Добавляйте веб-узел в эту зону только при полной уверенности, что никакое содержимое на нем никогда не будет представлять опасности. Для зоны надежных узлов следует использовать протокол HTTPS или другим образом обеспечить безопасность подключения к веб-узлам этой зоны.

По умолчанию для зоны «Ограниченные узлы» устанавливается уровень безопасности «Высокий». Если веб-узел помещается в зону ограниченных узлов, ему позволяется выполнять только самые простые безопасные операции. Для обеспечения высокого уровня безопасности для содержимого, не имеющего доверия, многие страницы из этой зоны могут работать с ошибками.

Зона местной интрасети

Для обеспечения безопасности зона «Местная интрасеть» должна настраиваться вместе с прокси-сервером и брандмауэром. Все узлы в этой зоне должны защищаться брандмауэром организации, а в настройке прокси-серверов должно быть указано, что они не могут разрешать DNS-имена для этой зоны. Для настройки этой зоны требуется глубокое знание существующей конфигурации сети, прокси-серверов и безопасных брандмауэров.

По умолчанию зона местной интрасети состоит из локальных доменных имен и доменных имен, заданных в перекрытии прокси на вкладке Подключения в «Свойствах обозревателя». Эти параметры можно задать на странице Параметры подключения. Имейте в виду, что теперь для каждого пользователя можно настроить несколько параметров подключения. Необходимо убедиться, что эти параметры действительно безопасны для установки, либо изменить параметры, чтобы они стали безопасными.

При настройке зоны можно указать, какие типы URL-адресов следует принимать во внимание. Также в зону можно добавить определенные узлы.

Чтобы в обозревателе определить типы URL-адресов для включения в зону
  1. В меню Сервис обозревателя Internet Explorer выберите пункт Свойства обозревателя и перейдите на вкладку Безопасность.

  2. Выберите зону Местная интрасеть и нажмите кнопку Узлы.

  3. Установите нужные флажки.

    • Все узлы интрасети, не перечисленные в других зонах. В именах узлов интрасети нет точек (например, http://local). Узел с именем http://www.microsoft.com/ не является локальным, поскольку содержит точки (.). Этот узел будет помещен в зону «Интернет». Правило имен узлов интрасети применяется и к URL-адресам, начинающимся с «file:» и «http:».

    • Все узлы, подключаемые минуя прокси-сервер . В обычных конфигурациях интрасети для доступа в Интернет используется прокси-сервер с прямым подключением к серверам интрасети. В этом параметре используют эти сведения о конфигурации для различения содержимого интрасети от содержимого Интернета для зон. Если прокси-сервер настроен иначе, следует снять этот флажок и использовать другой параметр для определения файлов, принадлежащих зоне местной интрасети. В системах без прокси-сервера этот параметр ни на что не влияет.

    • Все сетевые пути (UNC) . Сетевые пути (например, \\local\file.txt) часто используются для содержимого локальной сети, которое нужно включить в зону местной интрасети. Если есть сетевые пути, которые не следует включать в зону местной интрасети, нужно снять этот флажок и использовать другие параметры для определения файлов, принадлежащих зоне местной интрасети. Например, в некоторых конфигурациях CIFS сетевой путь может указывать на содержимое в Интернете.

    Примечание

    Чтобы добавить определенный узел в эту зону, нажмите кнопку Дополнительные параметры, введите URL-адрес и нажмите Добавить. Чтобы задать обязательную проверку сервера, установите флажок Для всех узлов этой зоны требуется проверка серверов (https:).

Когда зона местной интрасети оказывается безопасной, рассмотрите возможность изменения уровня безопасности зоны на «Ниже среднего» или «Низкий», что разрешить выполнение большего числа операций. Также возможно настроить отдельные параметры безопасности в диалоговом окне Особые параметры.

Если в интрасети есть сегменты с низким уровнем безопасности или с меньшей степенью доверия, их можно исключить из этой зоны, переместив в зону ограниченных узлов.

Дополнительные ссылки