IRCAR201306178
تاريخ: 05/04/92
در بخش دوم از اين مجموعه مقالات، به برخي تغييرات سياست گروهي مرتبط با مرورگر IE نگاهي خواهيم انداخت.
مقدمه
در بخش اول اين مجموعه مقالات، بحث در مورد تغييرات و ويژگيهاي جديد سياست گروهي در ويندور سرور 2012، ويندوز 8 و ويندوز RT را آغاز كرديم. به طور خاص در مورد پشتيباني از سياست گروهي محلي در ويندوز RT و محدوديتهاي آن و ويژگي جديد بهروز رساني سياست گروهي از راه دور در ويندوز سرور 2012 صحبت كرديم. در بخشهاي بعدي اين مجموعه، به معرفي اين ويژگيهاي جديد و بهبود يافته ادامه خواهيم داد. در بخش دوم، به تغييرات سياست گروهي مرتبط با IE خواهيم پرداخت.
IE 10: دو محصول با يك هزينه
روش معمول مايكروسافت اين است كه به ازاي هر سيستم عامل جديد، نسخه جديدي از مرورگر IE را نيز عرضه ميكند. به اين ترتيب سيستم عاملهاي ويندوز سرور 2012، ويندوز 8 و ويندوز RT نيز به همراه IE 10 عرضه شدند (البته توجه داشته باشيد كه IE 10 براي نصب بر روي ويندوز 7 نيز قابل دانلود است. اما شما قادر نيستيد نسخههاي قديميتر IE را بر روي ويندوز 8 نصب نماييد).
IE 10 بر روي سيستم عاملهاي ويندوز 8 و ويندوز RT يك تفاوت عمده با نسخههاي پيشين اين مرورگر دارد و آن اين است كه اين IE در حقيقت شامل دو مرورگر است كه نام IE10 به تركيب هردو مرورگر اشاره ميكند. يك نسخه مدرن از IE وجود دارد كه از طريق واسط كاربري مدرن (مشهور به مترو) قابل دسترسي است و يك IE براي دسكتاپ وجود دارد كه بر روي دسكتاپ ويندوز 8 اجرا ميگردد. نسخه مدرن IE بيشتر مبتني بر استفاده لمسي بوده و بسياري از كنترلهايي كه معمولاً در IE وجود دارند را ندارد. نسخه دسكتاپي IE، بيشتر شبيه به نسخههاي پيشين اين مرورگر است و شامل ميله منو، ميله علاقهمنديها (Favorites)، ميله دستورات و غيره است (اگرچه اين ويژگيها بهطور پيشفرض نمايش داده نميشوند، اما فعالسازي آنها ساده است). فقط نسخه دسكتاپي IE 10 قادر به پشتيباني پلاگينها است.
امنيت IE10
نكته مورد توجه در بهبودهاي نسخههاي اخير IE، افزودن عملكردهاي امنيتي است. از جمله اين عملكردها ميتوان به راههاي بهتري براي توسعه دهندگان براي قفل كردن محتوا از طريق سندباكس HTML 5 و يك نسخه پيشرفته ASLR اشاره كرد.
يكي از مهمترين ويژگيهاي مرتبط با امنيت، مود محافظت شده پيشرفته است. مود محافظت شده در IE7 معرفي شد (در ويندوز ويستا) تا از نصب نرمافزار يا تغيير در تنظيمات سيستم از راه دور توسط مهاجمان جلوگيري نمايد. مود محافظت شده پيشرفته همانطور كه نام آن نشان ميدهد، يك گام جلوتر رفته است.
تنظيمات سياست گروهي جديد و تغيير يافته در IE 10
مايكروسافت تنظيمات جديدي را براي سياست گروهي در ويندوز اضافه كرده است تا ويژگيهاي جديد IE 10 را پشتيباني نمايد. در حال حاضر مديران IT در مجموع 1500 گزينه براي تنظيمات سياست گروهي مرتبط با IE در اختيار دارند. مايكروسافت 28 سياست جديد مرتبط با IE و شش سياست تغيير يافته مرتبط با IE را فهرست كرده است.
برخي از سياستهاي جديد مهمتر/مفيدتر عبارتند از:
- فعالسازي مود محافظت شده پيشرفته
مود محافظت شده پيشرفته در IE، محافظت بيشتري در برابر سايتهاي خرابكار ايجاد ميكند. در ويندوز 8، مكانهايي كه IE ميتواند از رجيستري و سيستم فايل بخواند نيز محدود هستند. فعال كردن اين سياست، مود محافظت شده پيشرفته را فعال كرده و از غيرفعال كردن آن توسط كاربران جلوگيري ميكند. - عدم صدور مجوز اجراي كنترلهاي اكتيوايكس در مود محافظت شده در حالت فعال بودن مود محافظت شده پيشرفته
همه ما ميدانيم كه كنترلهاي اكتيوايكس ميتوانند چالشهاي امنيتي ايجاد كنند و داشتن كنترل بيشتر بر روي اكتيوايكس، خبر خوبي براي مديران امنيت است. زماني كه شما اين سياست را فعال ميكنيد، تمامي وبسايتها مجبور هستند در مود محافظت شده پيشرفته اجرا گردند، كنترلهاي اكتيوايكس كه با مود محافظت شده پيشرفته سازگار نيستند اجرا نخواهند شد، و كاربران گزينه غير فعال كردن مود محافظت شده پيشرفته را در اختيار نخواهند داشت تا كنترل را اجرا كنند. - غيرفعال كردن فلش در IE و جلوگيري از برنامههايي كه از تكنولوژي IE براي معرفي اشياي فلش استفاده ميكنند
Adobe Flash به علت جريان ظاهراً بيانتهاي آسيبپذيريهاي امنيتي آن مشهور است. اين مسأله تا حدي است كه اپل پشتيباني فلش را در دستگاههاي iOS خود قرار نداده است و مايكروسافت استفاده از HTML 5 به جاي فلش را ترويج ميكند. به هر حال IE 10 همچنان فلش را با محدوديتهايي پشتيباني مينمايد. اگر شما ميخواهيد از استفاده IE از آن جلوگيري كنيد، ميتوانيد اين سياست را فعال نماييد تا فلش به طور كامل غيرفعال گردد. شما همچنين ميتوانيد فلش را از طريق ليست افزونهها غيرفعال كنيد، اما در اين صورت برنامهها همچنان ميتوانند از تكنولوژي IE براي معرفي اشياي فلش استفاده كنند. - عدم نمايش دكمه افشاي كلمه عبور
هنگاميكه كاربران كلمه عبور را در IE 10 وارد ميكنند، اين گزينه را در اختيار دارند كه با كليك بر روي يك دكمه، محتواي كلمه عبور را مشاهده نمايند. اين مسأله در دستگاههاي موبايل كه صفحه كوچكي دارند و احتمال وقوع خطا در تايپ كلمه عبور بالاست توجيهپذير است. اما در كامپيوترهاي خانگي با صفحه نمايش بزرگ كه ديگران نيز به راحتي قادر هستند از فاصله دور عبارات تايپ شده را مشاهده كنند، اين موضوع ميتواند خطر امنيتي محسوب گردد. شما ميتوانيد اين سياست را براي جلوگيري از نمايش گزينه افشاي كلمه عبور فعال سازيد. - نصب نسخههاي جديد IE بهصورت خودكار
در نسخه دسكتاپي IE 10 كاربران به طور پيشفرض ميتوانند از طريق جعبه گفتگوي About Internet Explorer از منوي Help انتخاب كنند كه نسخههاي جديد IE را نصب نمايند يا خير. اگر شما مايل هستيد كه نصب نسخههاي جديد را اجبار نماييد، ميتوانيد اين سياست را فعال كنيد. - غيرفعالسازي ويژگي حركت به جلو
ويژگي حركت به جلو در IE 10 در ويندوز 8 جديد است و فقط بر روي نسخه مدرن (مترو) IE كار ميكند، نه بر روي نسخه دسكتاپي. اين ويژگي به كاربران اجازه ميدهد كه با كشيدن صفحه، به صفحه بعد بروند كه در دستگاههاي لمسي ويژگي مقبولي است. البته زماني كه اين ويژگي فعال ميشود، سابقه مرور براي مايكروسافت ارسال ميگردد. هدف از اين كار بهبود ويژگي حركت به جلو است، ولي ممكن است شما مايل نباشيد اين اطلاعات را به دليل مسائل امنيتي يا پهناي باند، ارسال نماييد. شما ميتوانيد اين سياست را فعال نماييد تا حركت به جلو غيرفعال گردد و از طريق Settings نيز كاربران را از فعال سازي آن منع كنيد.
برخي از سياستهاي تغيير يافته مهمتر/مفيدتر نيز عبارتند از:
- جلوگيري از دسترسي به حذف سابقه مرور
يك ويژگي جديد در ويندوز 8 به كاربران اجازه ميدهد بر روي گزينه Delete Browsing History در منوي Settings در ميله Charms كليك نمايند. ممكن است برخي سازمانها مايل نباشند كه كاربران قادر به حذف اين اطلاعات باشند. در اين حالت، شما ميتوانيد اين سياست را براي جلوگيري از دسترسي كاربران به Delete Browsing History فعال نماييد. - جلوگيري از تغيير تنظيمات پراكسي
بسياري از سازمانها مايل نيستند كه كاربران مرورگر قادر به تغيير تنظيمات پراكسي باشند. شما ميتوانيد اين سياست را براي جلوگيري از تغيير تنظيمات پراكسي توسط كاربران فعال نماييد. - غيرفعالسازي منوي چاپ
ممكن است شما مايل نباشيد كه كاربران صفحات وب را چاپ نمايند. شما ميتوانيد اين سياست را براي مسدودسازي دسترسي به منوي پرينت براي IE در ويندوز 8 فعال نماييد.
تنظيمات سياست گروهي در بخش Administrative Templates | Windows Components | Internet Explorer در درخت Group Policy قرار دارند. براي افزودن يك تنظيم جديد، IE يك فايل جديد inetres.admx در فولدر PolicyDefinitions در فولدر Windows نصب ميكند و همچنين يك فايل language جديد براي قالب مديريتي جديد نصب مينمايد. - ترجيحات سياست گروهي
علاوه بر سياستهاي جديد و سياستهاي تغيير يافته، ويندوز سرور 2012 و ويندوز 8 همچنين شامل ويژگي جديدي به نام ترجيحات سياست گروهي براي IE10 ميباشند كه چندين روش براي انجام تنظيمات ترجيحات مرورگر را يكي ميكند. شما اكنون به جاي IE Maintenance (IEM) از افزونه ترجيحات IE 10 (يا كيت مديريت IE) براي اعمال تنظيمات IE 10 استفاده ميكنيد كه اين كار قبلاً از طريق IEM مديريت ميشد.
البته متأسفانه برخي تنظيمات مانند جايگزيني لوگوي استاندارد IE در گوشه بالاي سمت راست با لوگوي شخصي سازي شده كاربر كه قبلاً از طريق IEM قابل انجام بودند، اكنون در IE 10 در دسترس نيستند. اما شما ميتوانيد كارهايي مانند وارد كردن تنظيمات ارتباط از يك كامپيوتر ديگر و جلوگيري از افزودن منتشر كنندههاي معتمد توسط كاربران را با استفاده از ترجيحات سياست گروهي انجام دهيد.
خلاصه
در دومين بخش از اين مجموعه مقالات، توجه خود را به تغييرات مرتبط با IE معطوف كرده و برخي از مهمترين تغييرات را به تفصيل بيان كرديم. در بخش سوم، ساير تغييرات سياست گروهي و روش كار آنها در سيستم عاملهاي جديد را شرح خواهيم داد.
- 9