Security zones: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Kroom (talk | contribs)
Kroom (talk | contribs)
No edit summary
 
(25 intermediate revisions by the same user not shown)
Line 1: Line 1:
=Sissejuhatus''=
=Sissejuhatus''=
Security zones on osa Internet Exploreri turbemeetoditest, mis annab kasutajatele võimalusele mugavalt ja efektiivselt hallata veebikeskkonna turvalisust. Security zones-i tüübid jaguned viieks: internet, local intranet, trusted sites, restricted sites ning my computer. Iga piirkonda saab seadistada vastavalt vajadusele, kasutades olemasolevaid seadistusi vastavalt turvatasemele või kohandades endale sobivate spetsifikatsioonidega turvataseme.
Security zones on osa Internet Exploreri turbemeetoditest, mis annab kasutajatele võimalusele mugavalt ja efektiivselt hallata veebikeskkonna turvalisust. Security zones-i tüübid jaguned viieks: internet, local intranet, trusted sites, restricted sites ning my computer. Iga piirkonda saab seadistada vastavalt vajadusele, kasutades olemasolevaid seadistusi vastavalt turvatasemele või kohandades endale sobivate spetsifikatsioonidega turvataseme.
=Turvapiirkonna struktuur=
Piirkonna struktuur
Kui Inrernet Explorer avab HTML lehekülje, siis dünaamiliste linkide kogum nimega Urimon.dll teeb kindlaks piirkonna, millega lehekülg avati. Selle tagamiseks teeb antud fail järgmised sammud:
*Teeb kindlaks proxy-serveri seose HTML lehega. Kui on seos, siis  automaatselt pannakse leht intraneti piirkonda.
*Kontrollib registrist lehekülje kuuluvust Usaldatud lehtede piirkonda ning määrab vastavalt tulemustele turvapiirkonna.
=Turvapiirkondade tüübid=
=Turvapiirkondade tüübid=


Line 14: Line 21:
==Restrcted Sites==
==Restrcted Sites==
Kõik veebilehed, mis kujutavad endas ohtu, tasub liigitada Restricted Sitesi turvapiirkonda, millel on vaikimisi turvatase seadistatud High peale.
Kõik veebilehed, mis kujutavad endas ohtu, tasub liigitada Restricted Sitesi turvapiirkonda, millel on vaikimisi turvatase seadistatud High peale.
==My Computer==
My Computer piirkonda(sisaldab faile ainult lokaalsest arvutist) saab hallata ainult Internet Explorer Administration Kitiga(IEAK) ning seetõttu antud valikuvõimalust ei ole Internet Exploreri Security Optionsi all. Administraatoritele on soovitatav kasutada algseadistust, kui just organisatsioonil ei ole erisoove.
=Vaikimisi seatud turvataseme muutmine=
Vaikimisi seatud turvaseadme muutmiseks tuleb kõigepealt käivitada Internet Explorer. Seejärel avada Tools menüü(Alt+X), kus asub Internet Options. Kui vajutada security tabi avaneb selline vaade:
[[File:Slevel.JPG]]
Turvataseme muutmine on tehtud väga lihtsaks. Lihtsalt valida sobiv turvapiirkond ning kerida scrollbari vastavalt vajadusele.
=Veebilehtede lisamine turvapiirkonda=
==Internet zone==
Nagu eelpool mainitud ei saa lisada veebilehti Interneti turvapiirkonda, vaid sinna paigutatakse automaatselt kõik saidid, mida pole teistesse turvapiirkondadesse lisatud.
==Local intranet==
A) Valige Local Intranet ning seal vajutage nupule Sites.
[[File:Intranetsites.JPG]]
B) Vaadake üle seaded sisevõrgu lehtedele. Vaikimisi on valitud automaatne intraneti tuvastamine.
[[File:Localintranet2.JPG]]
*Include all local (intranet) sites not listed in other zones.
Intraneti leheküljed näiteks nagu http://local ehk aadressid, mis ei sisalda punkti.
*Include all sites that bypass the proxy server.
Tüüpiline intraneti seadistus kasutab interneti saamiseks proxy serverit ning intraneti serveriga otseühendust. Antud seadistus võimaldab intraneti ja interneti sisud lahus hoida. Kui proxy server ei ole nii konfigureeritud, siis tasub antud kast märgistamata jätta. Ning süsteemidele, mis ei kasuta proxy serverit, ei oma antud seadistus mingit tähtsust.
*Include all network paths(UNCs).
Võrguaadressi näiteks nagu  \\servername\sharename\file.txt kasutatakse tavaliselt lokaalvõrgus, mis tuleks lisada Local intranet-i piirkonda.
==Trusted sites==
A) Valige Trusted sites ning seal vajutage nupule Sites.
[[File:Trusted.JPG]]
B) Sisestage usaldusväärse veebilehe url ning vajutage add nuppu. Kui require server verification (https:) for all sites in this zone on märgitud, siis saab lisada ainult https protokolliga veebilehti.
[[File:Trusted2.JPG]]
==Restricted sites==
A) Valige Restricted sites ning seal vajutage nupule Sites.
[[File:Restricted.JPG]]
B) Sisestage aadress ning vajutage Add nuppu.
[[File:Restricted2.JPG]]


=Turvaseaded=
=Turvaseaded=
Siinkohal on väljatoodud erinevad turvaseaded ning nende staatus(En - lubatud, Dis - keelatud, Pro - üleküsimine, Hi - High, Med - Medium, Lo - Low) vastavas turvatasemes. Seadeid on võimalik muuta piirkonna Custom Leveli alt.
{| {{table}}
{| {{table}}
| align="center" style="background:#f0f0f0;"|'''Security Setting'''
| align="center" style="background:#f0f0f0;"|'''Security Setting'''
Line 40: Line 99:
| Run components signed with Authenticode||En||En||En||En||Dis
| Run components signed with Authenticode||En||En||En||En||Dis
|-
|-
| ActiveX Controls and Plug-Ins|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
| align="center" style="background:#f0f0f0;"|ActiveX Controls and Plug-Ins|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
|-
|-
| Allow previously unused ActiveX controls to run without prompt||En||En||En||Dis||Dis
| Allow previously unused ActiveX controls to run without prompt||En||En||En||Dis||Dis
Line 62: Line 121:
| Script ActiveX controls marked safe for scripting||En||En||En||En||Dis
| Script ActiveX controls marked safe for scripting||En||En||En||En||Dis
|-
|-
| Downloads|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
| align="center" style="background:#f0f0f0;"|Downloads|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
|-
|-
| Automatic prompting for file downloads||En||En||Dis||Dis||Dis
| Automatic prompting for file downloads||En||En||Dis||Dis||Dis
Line 72: Line 131:
| Enable .NET Framework setup||En||En||En||En||Dis
| Enable .NET Framework setup||En||En||En||En||Dis
|-
|-
| Miscellaneous|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
| align="center" style="background:#f0f0f0;"|Miscellaneous|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
|-
|-
| Access data sources across domains||En||Pro||Dis||Dis||Dis
| Access data sources across domains||En||Pro||Dis||Dis||Dis
Line 104: Line 163:
| Open files based on content, not file extension||En||En||En||En||Dis
| Open files based on content, not file extension||En||En||En||En||Dis
|-
|-
| Software channel permissions|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
| align="center" style="background:#f0f0f0;"|Software channel permissions|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
|-
|-
| Submit nonencrypted form data||En||En||En||En||Pro
| Submit nonencrypted form data||En||En||En||En||Pro
Line 116: Line 175:
| Web sites in less privileged web content zone can navigate into this zone||Pro||En||En||En||Dis
| Web sites in less privileged web content zone can navigate into this zone||Pro||En||En||En||Dis
|-
|-
| Scripting|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
| align="center" style="background:#f0f0f0;"|Scripting|| align="center" style="background:#f0f0f0;"|Low||align="center" style="background:#f0f0f0;"|Medium-Low||align="center" style="background:#f0f0f0;"|Medium||align="center" style="background:#f0f0f0;"|Medium-high||align="center" style="background:#f0f0f0;"|High
|-
|-
| Active scripting||En||En||En||En||Dis
| Active scripting||En||En||En||En||Dis
Line 128: Line 187:
| Scripting of Java applets||En||En||En||En||Dis
| Scripting of Java applets||En||En||En||En||Dis
|-
|-
| User Authentication - Logon||Automatic logon with current user name and password||Automatic logon only in Intranet Zone||Automatic logon only in Intranet Zone||Automatic logon only in Intranet Zone||Prompt for user name and password
| align="center" style="background:#f0f0f0;"|User Authentication - Logon||align="center" style="background:#f0f0f0;"|Automatic logon with current user name and password||align="center" style="background:#f0f0f0;"|Automatic logon only in Intranet Zone||align="center" style="background:#f0f0f0;"|Automatic logon only in Intranet Zone||align="center" style="background:#f0f0f0;"|Automatic logon only in Intranet Zone||align="center" style="background:#f0f0f0;"|Prompt for user name and password
|-
|-
|  
|  
|}
|}


=Kokkuvõte=
*En - Enabled, Dis - Disabled, Pro - Prompt, Hi - High, Med - Medium, Lo - Low
 
=Kasutatud kirjandus=
=Kasutatud kirjandus=
*http://www.sevenforums.com/tutorials/144766-internet-explorer-security-zones-add-remove-sites.html
*http://support.microsoft.com/kb/174360
*http://technet.microsoft.com/en-us/library/dd361896.aspx
*http://25yearsofprogramming.com/blog/2008/20080525.htm
=Autor=
=Autor=
Kristjan Rõõm

Latest revision as of 20:38, 10 October 2011

Sissejuhatus

Security zones on osa Internet Exploreri turbemeetoditest, mis annab kasutajatele võimalusele mugavalt ja efektiivselt hallata veebikeskkonna turvalisust. Security zones-i tüübid jaguned viieks: internet, local intranet, trusted sites, restricted sites ning my computer. Iga piirkonda saab seadistada vastavalt vajadusele, kasutades olemasolevaid seadistusi vastavalt turvatasemele või kohandades endale sobivate spetsifikatsioonidega turvataseme.

Turvapiirkonna struktuur

Piirkonna struktuur Kui Inrernet Explorer avab HTML lehekülje, siis dünaamiliste linkide kogum nimega Urimon.dll teeb kindlaks piirkonna, millega lehekülg avati. Selle tagamiseks teeb antud fail järgmised sammud:

  • Teeb kindlaks proxy-serveri seose HTML lehega. Kui on seos, siis automaatselt pannakse leht intraneti piirkonda.
  • Kontrollib registrist lehekülje kuuluvust Usaldatud lehtede piirkonda ning määrab vastavalt tulemustele turvapiirkonna.

Turvapiirkondade tüübid

Internet

Antud piirkonda paigutatakse kõik need veebilehed, mis kuhugi mujale pole liigitatud(seetõttu ei saa ka lisada veebilehti antud piirkonda). Vaikimisi on antud piirkonna turvatase Medium-High.

Local Intranet

Sisaldab kõiki veebilehti, mis asuvad seespool organisatsiooni tulemüüri. Vaikimisi on antud piirkonna turvatase Medium-Low.

Trusted Sites

Piirkonda lisatakse tavaliselt kõige turvalisemad ja usaldusväärsemad lehed, mis soovitatavalt kasutavad https protokolli. Vaikimis on turvatasemeks Medium.

Restrcted Sites

Kõik veebilehed, mis kujutavad endas ohtu, tasub liigitada Restricted Sitesi turvapiirkonda, millel on vaikimisi turvatase seadistatud High peale.

My Computer

My Computer piirkonda(sisaldab faile ainult lokaalsest arvutist) saab hallata ainult Internet Explorer Administration Kitiga(IEAK) ning seetõttu antud valikuvõimalust ei ole Internet Exploreri Security Optionsi all. Administraatoritele on soovitatav kasutada algseadistust, kui just organisatsioonil ei ole erisoove.

Vaikimisi seatud turvataseme muutmine

Vaikimisi seatud turvaseadme muutmiseks tuleb kõigepealt käivitada Internet Explorer. Seejärel avada Tools menüü(Alt+X), kus asub Internet Options. Kui vajutada security tabi avaneb selline vaade:

Turvataseme muutmine on tehtud väga lihtsaks. Lihtsalt valida sobiv turvapiirkond ning kerida scrollbari vastavalt vajadusele.

Veebilehtede lisamine turvapiirkonda

Internet zone

Nagu eelpool mainitud ei saa lisada veebilehti Interneti turvapiirkonda, vaid sinna paigutatakse automaatselt kõik saidid, mida pole teistesse turvapiirkondadesse lisatud.

Local intranet

A) Valige Local Intranet ning seal vajutage nupule Sites.

B) Vaadake üle seaded sisevõrgu lehtedele. Vaikimisi on valitud automaatne intraneti tuvastamine.

  • Include all local (intranet) sites not listed in other zones.

Intraneti leheküljed näiteks nagu http://local ehk aadressid, mis ei sisalda punkti.

  • Include all sites that bypass the proxy server.

Tüüpiline intraneti seadistus kasutab interneti saamiseks proxy serverit ning intraneti serveriga otseühendust. Antud seadistus võimaldab intraneti ja interneti sisud lahus hoida. Kui proxy server ei ole nii konfigureeritud, siis tasub antud kast märgistamata jätta. Ning süsteemidele, mis ei kasuta proxy serverit, ei oma antud seadistus mingit tähtsust.

  • Include all network paths(UNCs).

Võrguaadressi näiteks nagu \\servername\sharename\file.txt kasutatakse tavaliselt lokaalvõrgus, mis tuleks lisada Local intranet-i piirkonda.

Trusted sites

A) Valige Trusted sites ning seal vajutage nupule Sites.

B) Sisestage usaldusväärse veebilehe url ning vajutage add nuppu. Kui require server verification (https:) for all sites in this zone on märgitud, siis saab lisada ainult https protokolliga veebilehti.

Restricted sites

A) Valige Restricted sites ning seal vajutage nupule Sites.

B) Sisestage aadress ning vajutage Add nuppu.

Turvaseaded

Siinkohal on väljatoodud erinevad turvaseaded ning nende staatus(En - lubatud, Dis - keelatud, Pro - üleküsimine, Hi - High, Med - Medium, Lo - Low) vastavas turvatasemes. Seadeid on võimalik muuta piirkonna Custom Leveli alt.

Security Setting
.NET Framework Low Medium-Low Medium Medium-high High
Loose XAML En En En En Dis
XAML browser applications En En En En Dis
XPS documents En En En En Dis
.NET Framework-Reliant Components Low Medium-Low Medium Medium-high High
Permissions for components with manifests Hi Hi Hi Hi Dis
Run components not signed with Authenticode En En En En Dis
Run components signed with Authenticode En En En En Dis
ActiveX Controls and Plug-Ins Low Medium-Low Medium Medium-high High
Allow previously unused ActiveX controls to run without prompt En En En Dis Dis
Allow Scriptlets En En Dis Dis Dis
Automatic prompting for ActiveX controls En En Dis Dis Dis
Binary and script behaviors En En En En Dis
Display video and animation on a webpage that does not use external media player Dis Dis Dis Dis Dis
Download signed ActiveX controls En Pro Pro Pro Dis
Download unsigned ActiveX controls Pro Dis Dis Dis Dis
Initialize and script ActiveX controls not marked as safe for scripting Pro Dis Dis Dis Dis
Run ActiveX controls and plug-Ins En En En En Dis
Script ActiveX controls marked safe for scripting En En En En Dis
Downloads Low Medium-Low Medium Medium-high High
Automatic prompting for file downloads En En Dis Dis Dis
File download En En En En Dis
Font download En En En En Dis
Enable .NET Framework setup En En En En Dis
Miscellaneous Low Medium-Low Medium Medium-high High
Access data sources across domains En Pro Dis Dis Dis
Allow META REFRESH En En En En Dis
Allow scripting of Internet Explorer web browser control En En Dis Dis Dis
Allow script-initiated windows without size or position constraints En En Dis Dis Dis
Allow Web pages to use restricted protocols for active content Pro Pro Pro Pro Dis
Allow websites to open windows without address or status bars En En En Dis Dis
Display mixed content Pro Pro Pro Pro Pro
Don\'t prompt for client certificate selection when no certificates or only one certificate exists En En Dis Dis Dis
Drag and drop or copy and paste files En En En En Pro
Include local directory path when uploading files to a server En En En En Dis
Installation of desktop items En Pro Pro Pro Dis
Launching applications and unsafe files En En Pro Pro Dis
Launching programs and files in an IFRAME En Pro Pro Pro Dis
Navigate sub-frames across different domains En En Dis Dis Dis
Open files based on content, not file extension En En En En Dis
Software channel permissions Low Medium-Low Medium Medium-high High
Submit nonencrypted form data En En En En Pro
Use Phishing Filter Dis Dis En En En
Use Pop-up Blocker Dis Dis En En En
Userdata persistence En En En En Dis
Web sites in less privileged web content zone can navigate into this zone Pro En En En Dis
Scripting Low Medium-Low Medium Medium-high High
Active scripting En En En En Dis
Allow Programmatic clipboard access En En Pro Pro Dis
Allow status bar updates via script En En En Dis Dis
Allow websites to prompt for information using scripted windows En En En Dis Dis
Scripting of Java applets En En En En Dis
User Authentication - Logon Automatic logon with current user name and password Automatic logon only in Intranet Zone Automatic logon only in Intranet Zone Automatic logon only in Intranet Zone Prompt for user name and password
  • En - Enabled, Dis - Disabled, Pro - Prompt, Hi - High, Med - Medium, Lo - Low

Kasutatud kirjandus

Autor

Kristjan Rõõm