Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn các thiết lập bảo mật nâng cao trong IE và làm thế để cấu hình tốt nhất chúng.
Ngoài những tiến bộ của Microsoft đối với IE, chẳng hạn như UAC, Protected Mode, các mức toàn vẹn,... thì dường như vẫn có các cấu hình sai đối với IE, đặc biệt sau một tháng kinh hoàng của IE vừa qua. Không chỉ cấu hình sai mà vẫn còn có một số lộn xộn liên quan đến các thiết lập bảo mật nâng cao Advanced Security có sẵn trong IE. Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn các thiết lập Advanced Security có nghĩa thế nào và cung cấp cho các bạn một số hướng đi để có thể cấu hình tốt nhất cho chúng.
Nơi tìm các thiết lập bảo mật nâng cao
Có một số sự lộn xộn đối với các thiết lập bảo mật trong IE mà chúng tôi ám chỉ, vì vậy chúng tôi sẽ làm sáng tỏ những gì còn chưa rõ ràng này cho các bạn. Các thiết lập bảo mật mà chúng tôi nói đến này nằm bên dưới menu Tools - Internet Options bên trong IE. Khi bạn mở hộp thoại Internet Options, bạn có thể kích vào tab Advanced. Bên dưới tab Advanced, bạn có thể kéo xuống cho tới khi thấy tùy chọn Security, xem thể hiện trong hình 1 bên dưới.
Hình 1: Phần các thiết lập Advanced Security cho Internet Explorer
Đây là một bộ các thiết lập mà chúng tôi sẽ đề cập đến trong bài viết này.
Các thiết lập IE nâng cao trong GPO
Các thiết lập Advanced Security cho IE này cũng được giới thiệu trong nhiều phiên bản IE thông qua sử dụng Group Policy. Các phiên bản IE được hỗ trợ gồm có 5, 6, 7 và 8.
Với bạn, để truy cập cập các thiết lập Advanced Security của IE này bằng GPO, bạn cần phải có sẵn Group Policy Preferences (GPP). Để có tính năng này bạn phải sử dụng Windows Server 2008, Vista SP1, 7, hoặc Windows Server 2008 R2.
Khi đã cài đặt đúng phiên bản GPMC để có thể xem GPP, bạn sẽ cần vào đúng chính sách để cài đặt các thiết lập bảo mật nâng cao này. Để vào được chính sách này, bạn sẽ vào User Configuration\Preferences\Control Panel Settings\Internet Explorer. Từ đây, bạn có thể bổ sung thêm các chính sách cho tất cả các phiên bản IE thích hợp.
Các thiết lập bản mật cụ thể
Cho phép kích hoạt nội dung từ các CD để chạy trên máy tính
Kích hoạt nội dung gồm có các điều khiển ActiveX và các add-on trình duyệt được sử dụng bởi nhiều website. Các chương trình này thường bị khóa vì chúng có thể trục trặc hoặc kẻ tấn công có thể thực hiện các nhiệm vụ tên máy tính mà bạn không hề hay biết.
Mặc định: Không chọn
Khuyến khích: Không chọn
Cho phép kích hoạt nội dung để chạy trong các file trên máy tính
Cũng giống như thiết lập trước, ngoại trừ từ các file thay vì từ CD
Mặc định: Không chọn
Khuyến khích: Không chọn
Cho phép phần mềm có thể chạy hoặc cài đặt ngay cả không có chữ ký hợp lệ
Các chữ ký có thể được kết hợp với các ứng dụng hay các cài đặt nào đó, trói chúng với nhà sản xuất. Điều này sẽ gips giữ ứng dụng hoặc cài đặt “đúng” và giúp bạn phát hiện được xem ứng dụng hay cài đặt có bị giả mạo hay không.
Mặc định: Không chọn
Khuyến khích: Không chọn
Kiểm tra sự hủy bỏ chứng chỉ của nhà phát hành
Thông thường một chứng chỉ cần được đánh thức nhờ một khóa riêng hoặc chứng chỉ đã hết hạn. Thiết lập này sẽ kiểm tra chứng chỉ trên danh sách đánh thức trước khi cho phép nó được sử dụng.
Các chứng chỉ mặc định: Chọn
Khuyến kích: Chọn
Kiểm tra sự hủy bỏ chứng chỉ máy chủ
Mặc định: Chọn
Khuyến khích: Chọn
Kiểm tra chữ ký trên các chương trình download
Thông thườn một chứng chỉ cần được đánh thức do khóa riêng bị thỏa hiệp hoặc bị hết hạn. Thiết lập này sẽ kiểm tra chứng chỉ dong danh sách đánh thức trước khi cho phép nó được sử dụng.
Mặc định: ChọnKhông lưu các trang mã hóa vào đĩa
Khuyến khích: Chọn
Nếu dữ liệu từ một kết nối website HTTPS được lưu trên đĩa của bạn, đây là vấn đề một kẻ tấn công có thể lợi dụng để truy cập vào dữ liệu thông qua các dữ liệu đã lưu trong thư mục Temporary Internet. Rõ ràng sẽ hiệu quả hơn và nhanh hơn khi lưu dữ liệu này vào đĩa để truy cập sau này vào website. Tuy nhiên không lưu dữ liệu được mã hóa này sẽ an toàn hơn việc cho phép chúng được lưu.
Mặc định: Không chọn
Khuyến khích: Chọn
Xóa thư mục chứa các file tạm thời khi đóng trình duyệt
Thư mục các file tạm thời cho IE chứa rất nhiều dữ liệu từ các site mà bạn ghé thăm. Các thông tin này được cache trên đĩa của bạn để có thể truy cập nhanh hơn sau này nếu bạn ghé thăm trang lần nữa. Mặc dù vậy, worm, virus và các phần mềm mã độc cũng có thể được lưu cùng với dữ liệu website tốt. Do đó, hãy xóa bỏ tất cả các file theo một định kỳ nào đó là một biện pháp bảo mật an toàn hơn việc lưu chúng.
Mặc định: Không chọn
Khuyến khích: Chọn
Kích hoạt lưu trữ DOM
Lưu trữ DOM (Document Object Model) được thiết kế để cung cấp cách thức dễ sử dụng hơn, an toàn hơn, lớn hơn cho việc lưu các thông tin trong cookies. DOM được sử dụng cho các chương trình như JavaScript để cung cấp các website động và phân phối các trang web mang tính tùy chỉnh đối với người dùng. Hành vi này không nên cho phép trừ khi lưu trữ DOM cần thiết cho nhiệm vụ công việc trên Internet.
Mặc định: Chọn
Khuyến khích: Không chọn
Kích hoạt thẩm định các cửa sổ tích hợp
Ép buộc IE sử dụng thẩm định Kerberos hoặc NTLM thay vì sử dụng thẩm định Basic, Digest hoặc nặc danh.
Mặc định: Chọn
Khuyến khích: Chọn
Kích hoạt bảo vệ bộ nhớ để giúp giảm nhẹ các tấn công trực tuyến
Những điều khiển này dù IE sử dụng DEP (Data Execution Protection) hay không, cũng sẽ giúp bạn bảo vệ máy tính chống lại các ứng dụng có hành vi “ốm yếu” có thể làm hại máy tính của bạn.
Mặc định: Không chọnKích hoạt hỗ trợ xmlhttp nguyên bản
Khuyến khích: Chọn
Ngày nay được sử dụng bởi nhiều công ty như một chuẩn để cung cấp điều khiển động cho dữ liệu thông qua nhiều website.
Mặc định: Chọn
Khuyến khích: Chọn
Lọc giả mạo
Phishing Filter sẽ phá vỡ khả năng điều hướng đến và download từ các site được biết có thể có chứa nội dung mã độc. Nó cũng giúp bạn tránh được các website giả mạo và những lừa gạt trên mạng. Bộ lọc sẽ đối chiếu website với một danh sách các site giả mạo đã được báo cáo, đối chiếu các download phần mềm với danh sách các phần mềm độc, giúp bạn tránh ghé thăm các site có thể dẫn đến sự đánh cắp nhận dạng.
Mặc định: Tắt chức năng kiểm tra website tự động
Khuyến khích: Bật chức năng kiểm tra website tự động
Sử dụng ssl 2.0
Khi bạn kết nối với một website thương mại, chẳng hạn như một website của ngân hàng hoặc một website bán hàng trực tuyến nào đó, Internet Explorer sẽ sử dụng một kết nối an toàn (kết nối sử dụng công nghệ Secure Sockets Layer (SSL)) để mã hóa phiên giao dịch. Mã hóa này được dựa trên một chứng chỉ để cung cấp cho Internet Explorer các thông tin cần thiết cho việc truyền thông an toàn với website. Các chứng chỉ cũng nhận dạng website, chủ sở hữu nó hoặc công ty.
Mặc định: Không chọn
Khuyến khích: Không chọn
Sử dụng ssl 3.0
Tương tự như sử dụng SSL 2.0, tuy nhiên đây là công nghệ mới hơn.
Mặc định: Chọn
Khuyến khích: Chọn
Sử dụng tls 1.0
TLS (Transport Layer Security) 1.0 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối.
Mặc định: Chọn
Khuyến khích: Chọn
Sử dụng tls 1.1
TLS (Transport Layer Security) 1.1 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối. Chỉ cho phép với điều kiện là bạn biết các website đó hỗ trợ phiên bản TLS này.
Mặc định: Không chọn
Khuyến khích: Không chọn
Sử dụng tls 1.2
TLS (Transport Layer Security) 1.2 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối. Cho phép chỉ khi bạn biết các website hỗ trợ phiên bản TLS này.
Mặc định: Không chọn
Khuyến khích: Không chọn
Cảnh báo về lỗi kiểu chứng chỉ
Cung cấp các cảnh báo khi chứng chỉ cho một website
Mặc định: Chọn
Khuyến khích: Chọn
Cảnh báo nếu có sự thay đổi giữa chế độ bảo mật và không bảo mật
Nếu một website có lẫn các liên kết HTTP và HTTPS, hoặc bạn được đưa từ một site HTTPS đến một site hay HTTP không an toàn, khi đó bạn sẽ được cảnh báo.
Mặc định: Không chọn
Khuyến khích: Chọn
Cảnh báo nếu POST được gửi gián tiếp đến một vùng khong cho phép post
Cảnh báo nếu bạn đang làm việc trên một biểu mẫu trên Internet có thể gửi bạn đến một địa chỉ khác với địa chỉ đang hosting biểu mẫu. Cách thức này sẽ ngăn chặn được các thông tin hoặc trình duyệt của bạn bị gửi đến một site không an toàn.
Mặc định: Chọn
Khuyến khích: Chọn
Kết luận
Các tính năng bảo mật nâng cao Advanced Security cho IE rất chi tiết và có thể giúp bạn bảo vệ các desktop của mình cũng như toàn bộ mạng, tránh được các tấn công cũng như các lỗ hổng bảo mật. Sử dụng đúng chúng có thể làm cho máy tính của bạn được an toàn hơn từ một máy rất thiếu những biện pháp bảo mật, an toàn. Khả đòn bẩy Group Policy có thể cấu hình các thiết lập này cho các phiên bản IE 5, 6, 7, và 8 làm cho giải pháp này trở nên hiệu quả.