امنیت مرورگرهای وب (بخش سوم)

نحوه پیکربندی IE برای داشتن بهترین امنیت......

در این قسمت، نحوه پیکربندی IE برای داشتن بهترین امنیت شرح داده خواهد شد.

مانند هر مرورگر دیگری، اولین قدم در بهبود امنیتی مرورگر IE، به روز رسانی به آخرین نسخه می باشد. اگر در حال استفاده از ویندوز 7 یا ویندوز 8/8.1می باشید یعنی از آخرین نسخه مرورگر IE(IE 11) استفاده می کنید. اگر در حال استفاده از ویندوز XP هستید، از IE 8 و بر روی ویندوز ویستا از IE 9 استفاده می کنید. اگرچه اگر واقعا به مقوله امنیت اهمیت می دهید باید سیستم عامل خود را به نسخه 7 یا 8/8.1 ارتقاء دهید. خصوصا کاربران ویندوز XP باید در صورت امکان سریعا نسخه سیستم عامل خود را ارتقاء دهند زیرا شرکت مایکروسافت از آوریل سال 2014 دیگر از این نسخه پشتیبانی نمی کند. در نتیجه در این مقاله به نحوه پیکربندی آخرین نسخه مرورگر IE(IE 11) پرداخته می شود.

صرف نظر از نسخه مرورگر، دومین قدم در بهبود امنیتی مرورگر IE نصب تمامی به روز رسانی های موجود می باشد و باید همیشه مرورگر را به روز نگه دارید و هنگام انتشار اصلاحیه های جدید فورا آن ها را اعمال نمایید. اما به روز نگه داشتن مرورگر به تنهایی کفایت نمی کند. بسیاری از سوء استفاده ها بواسطه راه های نفوذ مخفی که در افزونه ها وجود دارد اتفاق می افتد. باید توجه داشته باشید که چه افزونه ها، پلاگین ها و توسعه دهنده هایی بر روی مرورگر نصب شده اند و اطمینان حاصل نمایید که هر به روز رسانی منتشر شده در رابطه با آنها نیز نصب شده باشد.

به روز رسانی ویندوز به شما اطلاع می دهد که چه به روز رسانی هایی در رابطه با IE در دسترس است که بر روی سیستم نصب نشده اند اما برای افزونه هایی که مربوط به شرکت های ثالث می باشد باید ابزار اسکن مرورگر را بر روی هر رایانه اجرا نمایید یا برای کارایی بهتر در محیط های سازمانی باید به منظور بررسی به روز رسانی های مربوط به افزونه ها و پلاگین ها از نرم افزار مدیریت اصلاحیه ها استفاده نمایید.

هم چنین ممکن است افزونه هایی بر روی IE نصب شده باشند که از آن ها استفاده نمی کنید و یا نیازی به آن ها ندارید. مانند هر سرویس یا نرم افزاری بهترین راه امنیتی، حذف یا غیرفعال کردن افزونه های غیر ضروری است. هم چنین می توانید افزونه ها را از طریق منوی Tools در IE و انتخاب Manage add-ons، مدیریت نمایید. اگرچه برخی از افزونه ها را تنها می توان غیرفعال کرد. اما برخی از افزونه ها را می توان به کلی حذف نمود.

نسخه های جدید IE شامل مکانیزم های امنیتی زیادی می باشد. با توجه به نسخه، برخی از این مکانیزم ها به طور پیش فرض فعال می باشند و برخی دیگر غیرفعال هستند. می توان مکانیزم هایی که فعال نیستند را فعال کرد و هم چنین تنظیمات مکانیزم هایی که فعال می باشند را تغییر داد. برای داشتن بهترین امنیت باید فناوری هایی از قبیل فیلترینگ SmartScreen، فیلترینگ ActiveX و حفاظت های پیگیری را فعال کرد.

در تنظیمات مرورگر IE موارد زیر بررسی شود:

·         اطمینان حاصل شود که گزینه Protected Mode فعال است. همانگونه که در شکل 1 می بینید، این گزینه را می توان با کلیک کردن بر روی آیکون Tools، قسمت Internet Options در تب Security مشاهده کرد.( در قسمت های آتی از این سری مقالات در خصوص انواع ناحیه های امنیتی توضیح داده می شود.). مرورگر IE 11 از گزینه Enhanced Protected Mode پشتیبانی می کند. زمانی که گزینه Enhanced Protected Mode فعال باشد، تنها افزونه هایی اجرا می شوند که با Enhanced Protected Mode سازگار باشند. 

·         امروزه در بسیاری از لپ تاپ ها و تبلت ها گزینه خدمات مکان یابی فعال می باشد که می توان از طریق GPS، وای فای و ارسال رادیویی LTE موقعیت دستگاه را ردگیری کرد. می توان به صورت دستی این گزینه را برای مرورگر فعال کرد. البته این مورد که وب سایت ها بتوانند اطلاعات مکان شما را ببینند یک خط امنیتی محسوب می شود. همانطور که در شکل 2 مشاهده می کنید، در تب Privacy از Internet Options، می توانید گزینه " هرگز به وب سایت ها اجازه نده تا موقعیت جغرافیایی را درخواست دهند" را انتخاب نمایید.

·         پاپ آپ ها می توانند شامل کد خرابکار باشند. شما می توانید در قسمت Internet Options تب Privacy، تنظیمات پاپ آپ ها را مشخص نمایید. به طور پیش فرض، گزینه ها به گونه ای انتخاب شده است که اغلب پاپ آپ های خودکار مسدود می شوند. اما می توانید گزینه ها را به گونه ای تغییر دهید که تمامی پاپ آپ ها مسدود شده و یا به پاپ آپ های برخی سایت های امن اجازه فعالیت داده شود. توجه داشته باشید که "امن بودن" الزاما به معنی "بی خطر بودن" نیست. یک سایت امن سایتی است که برای رمزگذاری اطلاعات بر روی اینترنت از پروتکل SSL/TLS استفاده می کند. هر کسی می تواند از یک مرجع گواهینامه عمومی یک گواهینامه SSL خریداری کند. سایت هایی که دارای گواهینامه EV می باشند ( در نوار آدرس با رنگ سبز نشان داده می شوند) می توانند هویت صاحب وب سایت را تایید نمایند. زمانی که شما پاپ آپ ها را مسدود می کنید، می توانید سایت های خاصی که مورد تایید شما است و می خواهید از پاپ آپ آن ها استفاده کنید را در فهرست سفید قرار دهید.

·         همانطور که در شکل 3 مشاهده می کنید، تعدادی تنظیمات در رابطه با امنیت مرورگر درگزینه Internet Options تب Advanced وجود دارد. همانگونه که قبلا اشاره شد، این همان جایی است که گزینه Enhanced Protected Mode را می توان فعال نمود. این گزینه در IE 11  به طور پیش فرض غیرفعال است مگر آن که در حال استفاده از ویندوز 8.1 باشید و به روز رسانی های ماه نوامبر 2013 را نصب نکرده باشید. شرکت مایکروسافت EPM را به طور پیش فرض در ویندوز 8.1 فعال کرد و سپس از طریق به روز رسانی ماه نوامبر آن را غیرفعال نمود.

تنظیمات امنیتی زیر به طرو پیش فرض بررسی می شود: بررسی اعتبار گواهینامه ناشر، بررسی اعتبار گواهینامه سرور، بررسی امضای برنامه های دانلود شده، بررسی فعال بودن مخزن DOM، بررسی فعال بودن تایید هویت ویندوز، بررسی فعال بودن پشتیبانی از XMLHTTP، بررسی فعال بودن SmartScreen Filter، بررسی ارسال و عدم پیگیری درخواست ها، SSL نسخه 3.0، TLS نسخه های 1.0، 1.1 و 1.2.

شما می توانید امنیت مرورگر را با فعال سازی مواردی که به طور پیش فرض غیرفعال می باشند، ارتقاء دهید اما به خاطر داشته باشید که برخی از این تنظیمات دسترسی شما به منابع و سایت های خاص را با مشکل مواجه می کند. برخی از مواردی که به طور پیش فرض بررسی نمی شوند باید برای داشتن امنیت بیشتر فعال شوند. در زیر برخی از مواردی که باید تغییر کنند آورده شده است:

·         عدم ذخیره سازی صفحات رمز شده بر روی دیسک

·         خالی کردن فولدر فایل های موقت اینترنت در زمان بستن مرورگر

·         فعال کردن اعتبارسنجی Strict P3P

·         دادن هشدار در صورت تغییر بین حالت امن بودن و امن نبودن

استفاده از خط مشی گروهی برای کنترل تنظیمات IE

می توانید با استفاده از خط مشی گروهی (Group Policy) اطمینان حاصل کنید که تنظیمات امنیتی در رابطه با کلیه مرورگرهای IE که بر روی ماشین های شبکه وجود دارند، به نحوی که شما می خواهید پیکربندی می شوند. می توانید این کار را با استفاده از الگوهای مدیریتی برای ویرایش تنظیمات خط مشی مبتنی بر رجیستری انجام دهید. اطمینان حاصل کنید که هنگام نصب IE 11 بر روی ماشین های شبکه، تحت حساب کاربری کاربر استاندارد (نه کاربر ادمین) نصب شود بنابراین کاربران قادر نخواهند بود تا تنظیمات خط مشی گروهی را تغییر دهند.

هنگام مدیریت IE 11 از طریق خط مشی گروهی، می توانید از کنسول مدیریت خط مشی گروهی (GPMC)، کنسول پیشرفته مدیریت خط مشی گروهی (AGPMC) یا ویرایشگر محلی خط مشی گروهی استفاده نمایید. هم چنین می توانید با استفاده از PowerShell مدیریت خط مشی گروهی را به صورت خودکار درآورید.

برای نصب GPMC بر روی ویندوز 8.1 باید ابتدا ابزار RSAT را برای ویندوز 8.1 دانلود و نصب نمایید. برای ویرایش خط مشی گروهی باید مجوز ویرایش برای GPO را داشته باشید. مدیران Domain ، مدیران Enterprise و اعضای گروه Group Policy Creator Owners به طور پیش فرض اجازه ویرایش GPO را دارند.

هنگامی که از ویرایشگر خط مشی گروهی برای تنظیمات IE استفاده می کنید باید این پیکربندی را از طریق Computer Configuration | Administrative Templates | Windows Components | Internet Explorer انجام دهید.

در بخش ویژگی های امنیتی، می توانید تنظیمات مربوط به مدیریت افزونه های را بیابید. در این قسمت می توانید فهرستی از افزونه هایی که می توانند توسط IE مورد استفاده قرار گیرند یا نمی توانند مورد استفاده قرار گیرند را مشخص نمایید. باید مشخص نمایید که IE باید تمامی افزونه ها به جز آن هایی که در فهرست allow ذکر شده اند را مسدود نماید. هم چنین می توانید گزینه استفاده از ادوب فلش در IE را غیرفعال کنید.

سایر تنظیمات ویژگی های امنیتی شامل کنترل کردن AJAX، محدودیت های امنیتی Binary Behavior، مدیریت Consistent MIME، امنیت Local Machine Lockdown و موارد دیگر می شود.

سایر خط مشی های مفید شامل ممانعت کاربران از تغییر تنظیمات IE و هم چنین فعالسازی و غیرفعالسازی افزونه ها می باشد.

منبع:

http://fasa_iran.rasekhoonblog.com/show/374349