Это всегда одна и та же история. Для значительного улучшения вашей безопасности необходимо отказаться от некоторой свободы или гибкости. Если ваша среда такая же, как в большинстве организаций, у вас существует потребность в усилении защиты операционных систем настольных станций для обеспечения более безопасной работы
среда для ваших конечных пользователей. Обычный подход администраторов отделов ИТ к задаче обеспечения безопасности рабочей среды заключается в использовании сочетания параметров политике безопасности, разрешений пользователей, списков управления доступом (ACL) к файлам и реестру и ограничений системных служб.
Общей проблемой разработки безопасной рабочей среды является смягчение угроз от вредоносных элементов управления ActiveX® с одновременным обеспечением соответствующего уровня совместимости приложений в среде. Это являлось проблемой настольных операционных систем в течение многих лет. К счастью, новая служба установщика ActiveX (AxIS) в Windows Vista™ решает проблемы управления элементами управления ActiveX в корпоративных средах. AxIS предоставляет простой и управляемый способ установки пользователями элементов управления ActiveX с одобренных веб-узлов, тогда как обычно этим пользователям такая установка не разрешена. Управление AxIS при помощи групповой политики позволяет администраторам отделов ИТ определять, какие элементы управления могут устанавливать пользователи, независимо от их разрешений.
В данной статье мы рассмотрим проблемы администрирования элементов управления ActiveX, решение этих проблем в предыдущих версиях Windows®, а также предоставление в Windows Vista уникального и эффективного способа управления установкой элементов управления ActiveX при помощи AxIS.
Элемент управления ActiveX – это часть исполняемого кода (обычно в файл OCX, упакованный в файле CAB), устанавливаемая и запускаемая пользователем через обозревателем Internet Explorer®. Веб-разработчики создают элементы управления ActiveX для добавления к веб-приложениям функций, которые невозможно осуществить с помощью стандартного кода HTML или простого сценария.
Главной функцией элементов управления ActiveX является их модель развертывания «загрузить и выполнить». Элементы управления ActiveX устанавливаются и выполняются через тег объекта HTML, который имеет атрибут CODEBASE, сообщающий обозревателю Internet Explorer (с помощью URL-адреса) о местонахождении элемента управления, если он еще не установлен на компьютере пользователя. В этом случае Internet Explorer загружает соответствующий пакет установки, выполняет доверенную проверку объекта и запрашивает разрешение пользователя на установку через панель информации Internet Explorer (показана на рис. 1). Во время установки элемент управления регистрируется и выполняется страницей отображения. После установки элемент управления могут запустить все стандартные пользователи. Этот простой механизм распространения и выполнения предоставляет разработчикам простой способ распространения своих компонентов пользователям их веб-приложений. Проблема этого метода распространения заключается в том, что стандартные пользователи не могут устанавливать элементы управления ActiveX напрямую, поскольку для установки необходимы права администратора.
Рис. 1 Панель информации установки элемента управления ActiveXКогда элементы управления ActiveX были впервые представлены в обозревателе Internet Explorer 4.0, Интернет выглядел более дружелюбным местом. Сегодня исполняемый код, распространяемый через Интернет, представляет значительную угрозу, поэтому Windows разрешает установку элементов управления ActiveX только пользователям с правами администраторов при одобрении установки в соответствии с параметрами политики. После установки элемента управления ActiveX администратором его может выполнить любой пользователь системы. Этот процесс упрощается с помощью набора списков ACL для файлов и реестра в Windows. Хотя это препятствует установке элементов управления ActiveX стандартными пользователями, это не снижает риск локальных администраторов и стандартных пользователей (с измененными разрешениями по умолчанию), устанавливающих элементы управления.
Хотя защита в Windows по умолчанию, разрешающая установку только пользователям с правами администраторов, устанавливает управление элементами управления ActiveX на индивидуальном уровне, она не предоставляет способа управления ими в большой организации. Общей проблемой корпоративных сред является разрешение использование элементов управления ActiveX, доверенных ИТ-организацией, с одновременным снижением рисков от внешних недоверенных элементов управления. В конце дня решение установки определенного элемента управления ActiveX, хорошего или плохого, часто оставляется на отдельного пользователя в зависимости от его прав. Для противодействия угрозам некоторые организации блокируют элементы управления ActiveX, тогда как другие позволяют конечным пользователям устанавливать их, но пытаются осуществлять управление установленными вредоносными программами.
Другим способом предотвращения установки вредоносных элементов управления является ограничение прав стандартных пользователей и предварительная установка всех необходимых элементов управления на настольной платформе администратором отдела ИТ. Этот подход является эффективным, если используемые элементы управления ActiveX являются относительно статичными, изменяются с помощью запланированного процесса выпуска в связи с обновлениями рабочей среды или если в организации используется такой механизм распространения программного обеспечения, как Systems Management Server. Однако текущее управление, постоянно меняющиеся потребности разработчиков внутренних приложений и зависимость от внешних элементов управления продолжают являться проблемами этих подходов.
В случаях наличия у пользователей прав администраторов имеется другая проблема; она заключается в том, чтобы пользователи не устанавливали неутвержденные элементы управления. В этих случаях право конечного пользователя на установку элементов управления ActiveX предполагается, поскольку пользователь имеет права администратора. (Имейте в виду, что работа конечных пользователей в качестве локальных администраторов представляет высокую опасность для организации и не рекомендуется для большинства корпоративных сред.)
Одним из решений является использование внутреннего сервера загрузки компонентов Интернета для размещения одобренных элементов управления. Для данного решения требуется изменение строки CodeBaseSearchPath в реестре клиента. Обычно при нахождении на запрашиваемой странице HTML тега объекта с атрибутом CODEBASE клиенты Windows перенаправляются в местоположения, указанные данными CodeBaseSearchPath. По умолчанию данная строка реестра содержит ключевое слово CODEBASE и внутренние URL-адреса Интернета для галереи элементов управления ActiveX. Для реализации сервера загрузки компонентов Интернета необходимо заменить данные по умолчанию в CodeBaseSearchPath URL-адресом внутреннего сервера, на котором размещаются одобренные организацией элементы управления. Как и для предыдущего подхода, для данного решения требуется постоянное управление; оно также приводит к затратам и возникновению сложности размещения внутреннего сервера для элементов управления ActiveX.
Существуют другие решения, например изменение зоны URLActions обозревателя Internet Explorer, указание одобренных администратором элементов управления через групповую политику и блокирование установки всех элементов управления по периметру с помощью правил брандмауэра. Но, как вы видите, все эти подходы имеют собственные проблемы и многие из них в итоге не используются из-за недостаточной гибкости. Что еще хуже, для некоторых из этих решений требуется, чтобы пользователи имели права администраторов. Таким образом, эти изменения решают часть проблемы, например, контроль (или бл
Tags: search, Windows Vista