Cấu hình các thiết lập IE nâng cao bằng Group Policy

Trong bài này chúng tôi sẽ giới thiệu cho các bạn các thiết lập bảo mật nâng cao trong IE và làm thế để cấu hình tốt nhất chúng.

 

Ngoài những tiến bộ của Microsoft đối với IE, chẳng hạn như UAC, Protected Mode, các mức toàn vẹn,... thì dường như vẫn có các cấu hình sai đối với IE, đặc biệt sau một tháng kinh hoàng của IE vừa qua. Không chỉ cấu hình sai mà vẫn còn có một số lộn xộn liên quan đến các thiết lập bảo mật nâng cao Advanced Security có sẵn trong IE. Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn các thiết lập Advanced Security có nghĩa thế nào và cung cấp cho các bạn một số hướng đi để có thể cấu hình tốt nhất cho chúng.

 

Nơi tìm các thiết lập bảo mật nâng cao

Có một số sự lộn xộn đối với các thiết lập bảo mật trong IE mà chúng tôi ám chỉ, vì vậy chúng tôi sẽ làm sáng tỏ những gì còn chưa rõ ràng này cho các bạn. Các thiết lập bảo mật mà chúng tôi nói đến này nằm bên dưới menu Tools - Internet Options bên trong IE. Khi bạn mở hộp thoại Internet Options, bạn có thể kích vào tab Advanced. Bên dưới tab Advanced, bạn có thể kéo xuống cho tới khi thấy tùy chọn Security, xem thể hiện trong hình 1 bên dưới.

Group%20Policy1
Hình 1: Phần các thiết lập Advanced Security cho Internet Explorer

 

Đây là một bộ các thiết lập mà chúng tôi sẽ đề cập đến trong bài viết này.

Các thiết lập IE nâng cao trong GPO

Các thiết lập Advanced Security cho IE này cũng được giới thiệu trong nhiều phiên bản IE thông qua sử dụng Group Policy. Các phiên bản IE được hỗ trợ gồm có 5, 6, 7 và 8.

Với bạn, để truy cập cập các thiết lập Advanced Security của IE này bằng GPO, bạn cần phải có sẵn Group Policy Preferences (GPP). Để có tính năng này bạn phải sử dụng Windows Server 2008, Vista SP1, 7, hoặc Windows Server 2008 R2.

Khi đã cài đặt đúng phiên bản GPMC để có thể xem GPP, bạn sẽ cần vào đúng chính sách để cài đặt các thiết lập bảo mật nâng cao này. Để vào được chính sách này, bạn sẽ vào User Configuration\Preferences\Control Panel Settings\Internet Explorer. Từ đây, bạn có thể bổ sung thêm các chính sách cho tất cả các phiên bản IE thích hợp.

Các thiết lập bản mật cụ thể

Cho phép kích hoạt nội dung từ các CD để chạy trên máy tính

Kích hoạt nội dung gồm có các điều khiển ActiveX và các add-on trình duyệt được sử dụng bởi nhiều website. Các chương trình này thường bị khóa vì chúng có thể trục trặc hoặc kẻ tấn công có thể thực hiện các nhiệm vụ tên máy tính mà bạn không hề hay biết.

Mặc định: Không chọn
Khuyến khích: Không chọn

Cho phép kích hoạt nội dung để chạy trong các file trên máy tính

Cũng giống như thiết lập trước, ngoại trừ từ các file thay vì từ CD

Mặc định: Không chọn
Khuyến khích: Không chọn

Cho phép phần mềm có thể chạy hoặc cài đặt ngay cả không có chữ ký hợp lệ

Các chữ ký có thể được kết hợp với các ứng dụng hay các cài đặt nào đó, trói chúng với nhà sản xuất. Điều này sẽ gips giữ ứng dụng hoặc cài đặt “đúng” và giúp bạn phát hiện được xem ứng dụng hay cài đặt có bị giả mạo hay không.

Mặc định: Không chọn
Khuyến khích: Không chọn

Kiểm tra sự hủy bỏ chứng chỉ của nhà phát hành

Thông thường một chứng chỉ cần được đánh thức nhờ một khóa riêng hoặc chứng chỉ đã hết hạn. Thiết lập này sẽ kiểm tra chứng chỉ  trên danh sách đánh thức trước khi cho phép nó được sử dụng.

Các chứng chỉ mặc định: Chọn
Khuyến kích: Chọn

Kiểm tra sự hủy bỏ chứng chỉ máy chủ

Mặc định: Chọn
Khuyến khích: Chọn

Kiểm tra chữ ký trên các chương trình download

Thông thườn một chứng chỉ cần được đánh thức do khóa riêng bị thỏa hiệp hoặc bị hết hạn. Thiết lập này sẽ kiểm tra chứng chỉ dong danh sách đánh thức trước khi cho phép nó được sử dụng.

Mặc định: Chọn
Khuyến khích: Chọn
Không lưu các trang mã hóa vào đĩa

Nếu dữ liệu từ một kết nối website HTTPS được lưu trên đĩa của bạn, đây là vấn đề một kẻ tấn công có thể lợi dụng để truy cập vào dữ liệu thông qua các dữ liệu đã lưu trong thư mục Temporary Internet. Rõ ràng sẽ hiệu quả hơn và nhanh hơn khi lưu dữ liệu này vào đĩa để truy cập sau này vào website. Tuy nhiên không lưu dữ liệu được mã hóa này sẽ an toàn hơn việc cho phép chúng được lưu.

Mặc định: Không chọn
Khuyến khích: Chọn

Xóa thư mục chứa các file tạm thời khi đóng trình duyệt

Thư mục các file tạm thời cho IE chứa rất nhiều dữ liệu từ các site mà bạn ghé thăm. Các thông tin này được cache trên đĩa của bạn để có thể truy cập nhanh hơn sau này nếu bạn ghé thăm trang lần nữa. Mặc dù vậy, worm, virus và các phần mềm mã độc cũng có thể được lưu cùng với dữ liệu website tốt. Do đó, hãy xóa bỏ tất cả các file theo một định kỳ nào đó là một biện pháp bảo mật an toàn hơn việc lưu chúng.

Mặc định: Không chọn
Khuyến khích: Chọn

Kích hoạt lưu trữ DOM

Lưu trữ DOM (Document Object Model) được thiết kế để cung cấp cách thức dễ sử dụng hơn, an toàn hơn, lớn hơn cho việc lưu các thông tin trong cookies. DOM được sử dụng cho các chương trình như JavaScript để cung cấp các website động và phân phối các trang web mang tính tùy chỉnh đối với người dùng. Hành vi này không nên cho phép trừ khi lưu trữ DOM cần thiết cho nhiệm vụ công việc trên Internet.

Mặc định: Chọn
Khuyến khích: Không chọn

Kích hoạt thẩm định các cửa sổ tích hợp

Ép buộc IE sử dụng thẩm định Kerberos hoặc NTLM thay vì sử dụng thẩm định Basic, Digest hoặc nặc danh.

Mặc định: Chọn
Khuyến khích: Chọn

Kích hoạt bảo vệ bộ nhớ để giúp giảm nhẹ các tấn công trực tuyến
Những điều khiển này dù IE sử dụng DEP (Data Execution Protection) hay không, cũng sẽ giúp bạn bảo vệ máy tính chống lại các ứng dụng có hành vi “ốm yếu” có thể làm hại máy tính của bạn.

Mặc định: Không chọn
Khuyến khích: Chọn
Kích hoạt hỗ trợ xmlhttp nguyên bản

Ngày nay được sử dụng bởi nhiều công ty như một chuẩn để cung cấp điều khiển động cho dữ liệu thông qua nhiều website.

Mặc định: Chọn
Khuyến khích: Chọn

Lọc giả mạo

Phishing Filter sẽ phá vỡ khả năng điều hướng đến và download từ các site được biết có thể có chứa nội dung mã độc. Nó cũng giúp bạn tránh được các website giả mạo và những lừa gạt trên mạng. Bộ lọc sẽ đối chiếu website với một danh sách các site giả mạo đã được báo cáo, đối chiếu các download phần mềm với danh sách các phần mềm độc, giúp bạn tránh ghé thăm các site có thể dẫn đến sự đánh cắp nhận dạng.

Mặc định: Tắt chức năng kiểm tra website tự động
Khuyến khích: Bật chức năng kiểm tra website tự động

Sử dụng ssl 2.0

Khi bạn kết nối với một website thương mại, chẳng hạn như một website của ngân hàng hoặc một website bán hàng trực tuyến nào đó, Internet Explorer sẽ sử dụng một kết nối an toàn (kết nối sử dụng công nghệ Secure Sockets Layer (SSL)) để mã hóa phiên giao dịch. Mã hóa này được dựa trên một chứng chỉ để cung cấp cho Internet Explorer các thông tin cần thiết cho việc truyền thông an toàn với website. Các chứng chỉ cũng nhận dạng website, chủ sở hữu nó hoặc công ty.

Mặc định: Không chọn
Khuyến khích: Không chọn

Sử dụng ssl 3.0

Tương tự như sử dụng SSL 2.0, tuy nhiên đây là công nghệ mới hơn.

Mặc định: Chọn
Khuyến khích: Chọn

Sử dụng tls 1.0

TLS (Transport Layer Security) 1.0 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối.

Mặc định: Chọn
Khuyến khích: Chọn

Sử dụng tls 1.1

TLS (Transport Layer Security) 1.1 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối. Chỉ cho phép với điều kiện là bạn biết các website đó hỗ trợ phiên bản TLS này.

Mặc định: Không chọn
Khuyến khích: Không chọn

Sử dụng tls 1.2

TLS (Transport Layer Security) 1.2 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối. Cho phép chỉ khi bạn biết các website hỗ trợ phiên bản TLS này.

Mặc định: Không chọn
Khuyến khích: Không chọn

Cảnh báo về lỗi kiểu chứng chỉ

Cung cấp các cảnh báo khi chứng chỉ cho một website

Mặc định: Chọn
Khuyến khích: Chọn

Cảnh báo nếu có sự thay đổi giữa chế độ bảo mật và không bảo mật

Nếu một website có lẫn các liên kết HTTP và HTTPS, hoặc bạn được đưa từ một site HTTPS đến một site hay HTTP không an toàn, khi đó bạn sẽ được cảnh báo.

Mặc định: Không chọn
Khuyến khích: Chọn

Cảnh báo nếu POST được gửi gián tiếp đến một vùng khong cho phép post

Cảnh báo nếu bạn đang làm việc trên một biểu mẫu trên Internet có thể gửi bạn đến một địa chỉ khác với địa chỉ đang hosting biểu mẫu. Cách thức này sẽ ngăn chặn được các thông tin hoặc trình duyệt của bạn bị gửi đến một site không an toàn.

Mặc định: Chọn
Khuyến khích: Chọn

Kết luận

Các tính năng bảo mật nâng cao Advanced Security cho IE rất chi tiết và có thể giúp bạn bảo vệ các desktop của mình cũng như toàn bộ mạng, tránh được các tấn công cũng như các lỗ hổng bảo mật. Sử dụng đúng chúng có thể làm cho máy tính của bạn được an toàn hơn từ một máy rất thiếu những biện pháp bảo mật, an toàn. Khả đòn bẩy Group Policy có thể cấu hình các thiết lập này cho các phiên bản IE 5, 6, 7, và 8 làm cho giải pháp này trở nên hiệu quả.

 

(Theo Windowsecurity, QTM)