0day来袭 利用IE高级安全设置提高IE安全

　　毫无疑问，所有运行IE的计算机都有必要加强安全保护措施，特别是在IE严重威胁曝光后。虽然微软公司的IE有很多高级安全功能，如UAC、保护模式、安全层级(Integrity levels)等等，但似乎用户实际操作时总是存在不正确的配置。甚至还有很多用户对于IE的高级安全设置很混淆，本文中我们将向大家解析这些高级安全何止以及如何以最好的方式配置每个功能。

　　哪里可以找到高级安全设置

　　本文所涉及的高级安全设置位于IE浏览器的工具- 工具选项菜单中，打开Internet选项对话框后，高级选项，在高级选项下面，可以看到安全设置，如下图1所示：

　　图1：IE的高级安全设置框

　　组策略对象(GPO)中的IE高级安全设置

　　通过使用组策略来配置高级安全设置的功能在很多版本的IE中都支持，包括IE5、6、7、8. 使用组策略对象来访问这些高级安全IE设置，您需要组策略首选项(GPP)，而只有使用Windows Server2008、Vista SP1/7或者Windows Server 2008 R2才可以找到组策略首选项。

　　安装了正确版本的组策略管理控制台(GPMC)后才能查看组策略首选项，您需要找到正确的政策来设置高级安全设置，该政策位于：User Configuration\Preferences\Control Panel Settings\Internet Explorer，您可以为所有版本的IE浏览器添加相应的政策。

　　具体安全设置

　　允许CD中的活动内容在计算机中运行

　　活动内容包括ActiveX控制和很多互联网网站使用的web浏览器插件，通常情况下，这些程序是被禁用的，因为它们可能会影响正常运行或者被黑客利用在您不知情的情况下执行计算机任务。

　　默认：未检查

　　推荐：未检查

　　允许文件中的活动内容在计算机中运行

　　与上面相同，不过不是CD中的内容

　　默认：未检查

　　推荐：未检查

　　允许软件运行或者安装，即使签名无效

　　签名是与特定应用程序以及安装相关联的，签名可以帮助用户确定应用程序或者安装是否有效，因此，必须确保签名的有效性才能运行或者安全软件。

　　默认：未检查

　　推荐：未检查

　　检查出版商的证书撤销情况

　　通常情况下，由于密钥破坏或者证书过期，证书需要被撤销，本设置会在使用证书前检查撤销列表中是否有该证书。

　　默认：已检查

　　推荐：已检查

　　检查服务器证书撤销情况

　　默认：已检查

　　推荐：已检查

　　检查下载程序的签名

　　默认：已检查

　　推荐：已检查

　　不要将加密页面保存到磁盘

　　当来自HTTPS网站连接的数据被保存到磁盘时，这可能促使潜在攻击者通过临时Internet文件夹中保存的数据来访问磁盘数据。更快速更有效的方法就是将这些数据保存到磁盘以便日后访问网站，当然，不保存这种加密数据比保存机密数据更加安全。

　　默认：未检查

　　推荐：已检查

　　浏览器关闭时清空临时文件夹

　　IE的临时文件夹存储了用户访问的所有网站的大量数据，这些信息都被缓存在磁盘中以便下次能够更快地访问这些网站。然而，蠕虫病毒、病毒和其他恶意软件可能与良好的网站数据一起缓存在磁盘中。因此，定期清理临时文件夹是更加安全的做法。

　　默认：未检查

　　推荐：已检查

　　启用DOM存储

　　DOM(文档对象模型)存储的目的在于提供更安全和更便捷的方式来存储cookies中的信息，通常情况下，DOM主要用于JavaScript程序来为用户提供动态网站和定制网页。此设置不应该启用，除非DOM存储用于必要的互联网业务。

　　默认：已检查

　　推荐：未检查

　　启用整合windows身份验证

　　迫使IE使用Kerberos或者NTLM来进行身份验证，而不要使用匿名或者简单身份验证。

　　默认：已检查

　　推荐：已检查

　　启用内存保护来帮助减少网络攻击

　　不管IE是否使用DEP(数据执行保护)，这种控制都能够帮助保护计算机免受恶意应用程序的危害。

　　默认：未检查

　　推荐：已检查

　　启用本机xmlhttp支持

　　很多公司都将此设置作为标准来执行，以提供对很多网站间数据的动态控制。

　　默认：已检查

　　推荐：已检查

　　钓鱼网站过滤器

　　钓鱼网站过滤器能够防止导航至已知网站或者从已知网站下载内容来散播恶意内容，还可以帮助阻止社会工程学的恶意钓鱼网站和潜在的网络欺诈。该过滤器会参照已知钓鱼网站列表来检查网站，参照已知恶意软件来检查下载的软件，并有助于防止用户访问可能造成身份信息诈骗的网站。

　　默认：关闭自动网站检查

　　推荐：打开自动网站检查

　　使用ssl 2.0

　　当你连接到电子商务网站时，例如银行或者书商的网站，IE会使用安全连接(利用安全套接字层技术)来加密通信，这种加密是基于证书来进行的，该证书能够提供IE有效信息来与网站进行安全通信。证书还可以用来验证网站的所有者或者公司信息。

　　默认：未检查

　　推荐：未检查

　　使用ssl 3.0

　　与SSL 2.0相同，但是这是更新的版本

　　默认：已检查

　　推荐：已检查

　　使用 tls 1.0

　　TLS(传输层安全)1.0主要用于(访问SSL网站时)保护和加密数据以及连接

　　默认：已检查

　　推荐：已检查

　　使用 tls 1.1

　　TLS(传输层安全)1.1主要用于(访问SSL网站时)保护和加密数据以及连接，仅当网站支持该版本的传输层安全时启用该功能

　　默认：未检查

　　推荐：未检查

　　使用 tls 1.2

　　TLS(传输层安全)1.2主要用于(访问SSL网站时)保护和加密数据以及连接，仅当网站支持该版本的传输层安全时启用该功能

　　默认：未检查

　　推荐：未检查

　　证书地址不匹配时，发出警告

　　当网站证书与对应的网站不匹配时，发出警告

　　默认：已检查

　　推荐：已检查

　　安全模式和非安全模式进行切换时，发出警告

　　如果网站混有HTTP和HTTPS链接，或者HTTPS网站向非安全的HTTP网站转换，将发出警告。

　　默认：已检查

　　推荐：已检查

　　当POST传递被重定向到不允许POST的区域时，发出警告

　　如果你访问的网址将你重定向到完全不同的网址，将发出警告，这将有助于防止你的信息或者浏览器被重定向至非安全网站。

　　默认：已检查

　　推荐：已检查

　　综述

　　本文的IE的高级安全设置非常详细，可以帮助保护计算机和整个网络免受攻击和漏洞的威胁。正确使用这些高级安全设置可以为您提供更安全的保护，而利用组策略配置IE5、6、7和8的安全设置让这个解决方案更加有效和可行。