IRCAR201405218
تاريخ: 72/02/93
در قسمت قبل مكانيزم هاي امنيتي خاص كه در مرورگرIE وجود دارد و نحوه پياده سازي آن ها توضيح داده شد. در اين قسمت، نحوه پيكربندي IE براي داشتن بهترين امنيت شرح داده خواهد شد.
نحوه پيكربندي امنيت در IE
مانند هر مرورگر ديگري، اولين قدم در بهبود امنيتي مرورگر IE، به روز رساني به آخرين نسخه مي باشد. اگر در حال استفاده از ويندوز 7 يا ويندوز 8/8.1مي باشيد يعني از آخرين نسخه مرورگر IE(IE 11) استفاده مي كنيد. اگر در حال استفاده از ويندوز XP هستيد، از IE 8 و بر روي ويندوز ويستا از IE 9 استفاده مي كنيد. اگرچه اگر واقعا به مقوله امنيت اهميت مي دهيد بايد سيستم عامل خود را به نسخه 7 يا 8/8.1 ارتقاء دهيد. خصوصا كاربران ويندوز XP بايد در صورت امكان سريعا نسخه سيستم عامل خود را ارتقاء دهند زيرا شركت مايكروسافت از آوريل سال 2014 ديگر از اين نسخه پشتيباني نمي كند. در نتيجه در اين مقاله به نحوه پيكربندي آخرين نسخه مرورگر IE(IE 11) پرداخته مي شود.
نصب به روز رساني هاي امنيتي
صرف نظر از نسخه مرورگر، دومين قدم در بهبود امنيتي مرورگر IE نصب تمامي به روز رساني هاي موجود مي باشد و بايد هميشه مرورگر را به روز نگه داريد و هنگام انتشار اصلاحيه هاي جديد فورا آن ها را اعمال نماييد. اما به روز نگه داشتن مرورگر به تنهايي كفايت نمي كند. بسياري از سوء استفاده ها بواسطه راه هاي نفوذ مخفي كه در افزونه ها وجود دارد اتفاق مي افتد. بايد توجه داشته باشيد كه چه افزونه ها، پلاگين ها و توسعه دهنده هايي بر روي مرورگر نصب شده اند و اطمينان حاصل نماييد كه هر به روز رساني منتشر شده در رابطه با آنها نيز نصب شده باشد.
به روز رساني ويندوز به شما اطلاع مي دهد كه چه به روز رساني هايي در رابطه با IE در دسترس است كه بر روي سيستم نصب نشده اند اما براي افزونه هايي كه مربوط به شركت هاي ثالث مي باشد بايد ابزار اسكن مرورگر را بر روي هر رايانه اجرا نماييد يا براي كارايي بهتر در محيط هاي سازماني بايد به منظور بررسي به روز رساني هاي مربوط به افزونه ها و پلاگين ها از نرم افزار مديريت اصلاحيه ها استفاده نماييد.
هم چنين ممكن است افزونه هايي بر روي IE نصب شده باشند كه از آن ها استفاده نمي كنيد و يا نيازي به آن ها نداريد. مانند هر سرويس يا نرم افزاري بهترين راه امنيتي، حذف يا غيرفعال كردن افزونه هاي غير ضروري است. هم چنين مي توانيد افزونه ها را از طريق منوي Tools در IE و انتخاب Manage add-ons، مديريت نماييد. اگرچه برخي از افزونه ها را تنها مي توان غيرفعال كرد. اما برخي از افزونه ها را مي توان به كلي حذف نمود.
فعالسازي مكانيزم هاي امنيتي
نسخه هاي جديد IE شامل مكانيزم هاي امنيتي زيادي مي باشد. با توجه به نسخه، برخي از اين مكانيزم ها به طور پيش فرض فعال مي باشند و برخي ديگر غيرفعال هستند. مي توان مكانيزم هايي كه فعال نيستند را فعال كرد و هم چنين تنظيمات مكانيزم هايي كه فعال مي باشند را تغيير داد. براي داشتن بهترين امنيت بايد فناوري هايي از قبيل فيلترينگ SmartScreen، فيلترينگ ActiveX و حفاظت هاي پيگيري را فعال كرد.
در تنظيمات مرورگر IE موارد زير بررسي شود:
- اطمينان حاصل شود كه گزينه Protected Mode فعال است. همانگونه كه در شكل 1 مي بينيد، اين گزينه را مي توان با كليك كردن بر روي آيكون Tools، قسمت Internet Options در تب Security مشاهده كرد.( در قسمت هاي آتي از اين سري مقالات در خصوص انواع ناحيه هاي امنيتي توضيح داده مي شود.). مرورگر IE 11 از گزينه Enhanced Protected Mode پشتيباني مي كند. زماني كه گزينه Enhanced Protected Mode فعال باشد، تنها افزونه هايي اجرا مي شوند كه با Enhanced Protected Mode سازگار باشند.
- امروزه در بسياري از لپ تاپ ها و تبلت ها گزينه خدمات مكان يابي فعال مي باشد كه مي توان از طريق GPS، واي فاي و ارسال راديويي LTE موقعيت دستگاه را ردگيري كرد. مي توان به صورت دستي اين گزينه را براي مرورگر فعال كرد. البته اين مورد كه وب سايت ها بتوانند اطلاعات مكان شما را ببينند يك خط امنيتي محسوب مي شود. همانطور كه در شكل 2 مشاهده مي كنيد، در تب Privacy از Internet Options، مي توانيد گزينه " هرگز به وب سايت ها اجازه نده تا موقعيت جغرافيايي را درخواست دهند" را انتخاب نماييد.
- پاپ آپ ها مي توانند شامل كد خرابكار باشند. شما مي توانيد در قسمت Internet Options تب Privacy، تنظيمات پاپ آپ ها را مشخص نماييد. به طور پيش فرض، گزينه ها به گونه اي انتخاب شده است كه اغلب پاپ آپ هاي خودكار مسدود مي شوند. اما مي توانيد گزينه ها را به گونه اي تغيير دهيد كه تمامي پاپ آپ ها مسدود شده و يا به پاپ آپ هاي برخي سايت هاي امن اجازه فعاليت داده شود. توجه داشته باشيد كه "امن بودن" الزاما به معني "بي خطر بودن" نيست. يك سايت امن سايتي است كه براي رمزگذاري اطلاعات بر روي اينترنت از پروتكل SSL/TLS استفاده مي كند. هر كسي مي تواند از يك مرجع گواهينامه عمومي يك گواهينامه SSL خريداري كند. سايت هايي كه داراي گواهينامه EV مي باشند ( در نوار آدرس با رنگ سبز نشان داده مي شوند) مي توانند هويت صاحب وب سايت را تاييد نمايند. زماني كه شما پاپ آپ ها را مسدود مي كنيد، مي توانيد سايت هاي خاصي كه مورد تاييد شما است و مي خواهيد از پاپ آپ آن ها استفاده كنيد را در فهرست سفيد قرار دهيد.
- همانطور كه در شكل 3 مشاهده مي كنيد، تعدادي تنظيمات در رابطه با امنيت مرورگر درگزينه Internet Options تب Advanced وجود دارد. همانگونه كه قبلا اشاره شد، اين همان جايي است كه گزينه Enhanced Protected Mode را مي توان فعال نمود. اين گزينه در IE 11 به طور پيش فرض غيرفعال است مگر آن كه در حال استفاده از ويندوز 8.1 باشيد و به روز رساني هاي ماه نوامبر 2013 را نصب نكرده باشيد. شركت مايكروسافت EPM را به طور پيش فرض در ويندوز 8.1 فعال كرد و سپس از طريق به روز رساني ماه نوامبر آن را غيرفعال نمود.
تنظيمات امنيتي زير به طرو پيش فرض بررسي مي شود: بررسي اعتبار گواهينامه ناشر، بررسي اعتبار گواهينامه سرور، بررسي امضاي برنامه هاي دانلود شده، بررسي فعال بودن مخزن DOM، بررسي فعال بودن تاييد هويت ويندوز، بررسي فعال بودن پشتيباني از XMLHTTP، بررسي فعال بودن SmartScreen Filter، بررسي ارسال و عدم پيگيري درخواست ها، SSL نسخه 3.0، TLS نسخه هاي 1.0، 1.1 و 1.2.
شما مي توانيد امنيت مرورگر را با فعال سازي مواردي كه به طور پيش فرض غيرفعال مي باشند، ارتقاء دهيد اما به خاطر داشته باشيد كه برخي از اين تنظيمات دسترسي شما به منابع و سايت هاي خاص را با مشكل مواجه مي كند. برخي از مواردي كه به طور پيش فرض بررسي نمي شوند بايد براي داشتن امنيت بيشتر فعال شوند. در زير برخي از مواردي كه بايد تغيير كنند آورده شده است:
- عدم ذخيره سازي صفحات رمز شده بر روي ديسك
- خالي كردن فولدر فايل هاي موقت اينترنت در زمان بستن مرورگر
- فعال كردن اعتبارسنجي Strict P3P
- دادن هشدار در صورت تغيير بين حالت امن بودن و امن نبودن
استفاده از خط مشي گروهي براي كنترل تنظيمات IE
مي توانيد با استفاده از خط مشي گروهي (Group Policy) اطمينان حاصل كنيد كه تنظيمات امنيتي در رابطه با كليه مرورگرهاي IE كه بر روي ماشين هاي شبكه وجود دارند، به نحوي كه شما مي خواهيد پيكربندي مي شوند. مي توانيد اين كار را با استفاده از الگوهاي مديريتي براي ويرايش تنظيمات خط مشي مبتني بر رجيستري انجام دهيد. اطمينان حاصل كنيد كه هنگام نصب IE 11 بر روي ماشين هاي شبكه، تحت حساب كاربري كاربر استاندارد (نه كاربر ادمين) نصب شود بنابراين كاربران قادر نخواهند بود تا تنظيمات خط مشي گروهي را تغيير دهند.
هنگام مديريت IE 11 از طريق خط مشي گروهي، مي توانيد از كنسول مديريت خط مشي گروهي (GPMC)، كنسول پيشرفته مديريت خط مشي گروهي (AGPMC) يا ويرايشگر محلي خط مشي گروهي استفاده نماييد. هم چنين مي توانيد با استفاده از PowerShell مديريت خط مشي گروهي را به صورت خودكار درآوريد.
براي نصب GPMC بر روي ويندوز 8.1 بايد ابتدا ابزار RSAT را براي ويندوز 8.1 دانلود و نصب نماييد. براي ويرايش خط مشي گروهي بايد مجوز ويرايش براي GPO را داشته باشيد. مديران Domain ، مديران Enterprise و اعضاي گروه Group Policy Creator Owners به طور پيش فرض اجازه ويرايش GPO را دارند.
هنگامي كه از ويرايشگر خط مشي گروهي براي تنظيمات IE استفاده مي كنيد بايد اين پيكربندي را از طريق Computer Configuration | Administrative Templates | Windows Components | Internet Explorer انجام دهيد.
در بخش ويژگي هاي امنيتي، مي توانيد تنظيمات مربوط به مديريت افزونه هاي را بيابيد. در اين قسمت مي توانيد فهرستي از افزونه هايي كه مي توانند توسط IE مورد استفاده قرار گيرند يا نمي توانند مورد استفاده قرار گيرند را مشخص نماييد. بايد مشخص نماييد كه IE بايد تمامي افزونه ها به جز آن هايي كه در فهرست allow ذكر شده اند را مسدود نمايد. هم چنين مي توانيد گزينه استفاده از ادوب فلش در IE را غيرفعال كنيد.
ساير تنظيمات ويژگي هاي امنيتي شامل كنترل كردن AJAX، محدوديت هاي امنيتي Binary Behavior، مديريت Consistent MIME، امنيت Local Machine Lockdown و موارد ديگر مي شود.
ساير خط مشي هاي مفيد شامل ممانعت كاربران از تغيير تنظيمات IE و هم چنين فعالسازي و غيرفعالسازي افزونه ها مي باشد.
مطالب مرتبط:
مروري بر امنيت مرورگرهاي وب (بخش اول)
مروري بر امنيت مرورگرهاي وب (بخش دوم)
- 3