Internet Explorer 9 – pre každého niečo (IT profesionáli – časť 1.).

Miroslav Kubovčík  /  13. 03. 2011, 00:00

V polovici februára zverejnil Microsoft „Release Candidate“ vydanie nového Internet Explorer-a 9, ktorého „finálku“ očakávame už v polovici marca. A to hneď aj v slovenčine. Čo prináša? Prečo si Microsoft myslí, že surferi v silnom konkurenčnom boji vsadia na IE9? Sily argumentov sú v IE9 zjavne rozvrhnuté tak, aby zaujali technických i netechnických používateľov. V prvej časti sa pozrieme na novinky IE9 pre správcov IT infraštruktúry.

Pre IT profesionálov je dôležitá centrálna správa a hladké nasadenie.

Správcovia IT sú alergickí na telefonáty používateľov s obsahom: “Niečo mi tu nefunguje, môžeš sa prísť na to pozrieť?“ Zväčša nepriklusajú k neposlušnému počítaču fyzicky, ale cez „remote desktop“ zisťujú príčiny a robia nápravy. Tento reaktívny mód je schodný v malých sieťach, pre administrátorov veľkých sietí je oveľa dôležitejší mód proaktívny. Ak nájdem chybu v nastavení, nasadím ju na všetky počítače. A práve preto si Internet Explorer našiel pevné miesto v sieťach s doménovou správou v Active Directory s podporou skupinových politík (Group Policy). Správca IT môže centrálne cez Group Policy meniť nastavenia IE9 na klientskych počítačoch a používateľ si ich samozrejme modifikovať už nemôže. Typickými príkladmi chýb laického surfera na internete sú úplné vypnutie ochrany pred phishingom, či zmeny politík pre bezpečnostné zóny a to len preto, aby mohol bezstarostne „browsovať“ na rôznych všetkosľubujúcich weboch. Nastavenia IE9 cez Group Policy sú pre doménových používateľov kybernetickým zákonníkom, ktorý nedokážu meniť. V porovnaní s možnosťami rozsiahleho nastavovania IE8 v doménach pridáva IE9 sadu dôležitých vylepšení:

  • Ochrana pred zmazaním histórie browsovania

  • Povolenie alternatívnych „kodekov“ pre prehrávanie obsahu v multimediálnych elementoch HTML5

  • Ochrana pred vypnutím ActiveX filtra

  • Možnosť vypnutia geolokácie z prehliadača

  • Konfigurácia zoznamu Tracking Protection

Pre IT špecialistov, ktorí potrebujú pripraviť zmodifikovaný inštalačný balíček IE9 s vlastnou prednastavenou domovskou stránkou, obľúbenými linkami, vyhľadávačom, feedmi, je opäť dostupný nástroj Internet Explorer Administration Kit (IEAK). Môžete si pomocou neho vytvoriť modifikovanú „obrandovanú“ inštaláciu IE9, ktorú ďalej distribuujete cez Active Directory, na CD, prípadne cez web.

Obr.1 - IEAK umožňuje vytvárať inštalačné balíčky Internet Explorer-a s vlastným „brandom“ a nastaveniami.

Špecialitou IE9, ktorú iné prehliadače starostlivo ignorujú, je správa aktualizácií. Po vydaní aktualizácie prehliadača sa život firiem nemení. Zamestnanci prichádzajú do práce približne v tú istú hodinu, približne v rovnakom čase si zapínajú počítače, a teda priam v tom istom čase sa im všetkým inštalujú aktualizácie prehliadačov. A priepustnosť siete trpí. Pre IE9 je pripravený nástroj Blocker Toolkit, ktorý umožňuje posunúť inštaláciu aktualizácií na vhodnejšiu dobu, prípadne ju pozdržať, až pokým ju neodobrí po testoch interné IT oddelenie.

Bezpečnosť vyššej úrovne.

IT špecialisti sú práve tou skupinou, ktorá dodala konceptu bezpečnosti IE9 najviac návrhov na dopracovanie. Práve oni totiž najlepšie poznajú zvyky a zlozvyky koncových používateľov, ktorých ignorovanie sa im vracia ako bumerang vo forme premrhaného času pri riešení ad-hoc problémov.

Dynamická bezpečnostná inteligencia do Internet Explorer-a zabudovanej funkcie SmartScreen Filter úspešne uvedená s IE8 má v „deviatke“ dôležité rozšírenia. Zameriava sa na phishingové útoky a škodlivý kód nielen na webových stránkach, ale navyše sleduje bezpečnostné riziká v častých úkonoch používateľov – už pri zadávaní URL adries a pri „downloadovaní“ softvéru. SmartScreen URL filter rozpracovaný v predchádzajúcej verzii má na konte zablokovanie 1,2 miliardy malvérových útokov už na úrovni kontroly URL. (Zaujímavosťou je, že denne je evidovaných 3 až 5 miliónov útokov .) Internet Explorer 9 do SmartScreen URL filtra pridal kontrolu URL pre blokovanie „downloadov“ zo škodlivých webov, pretože práve pri takýchto zdrojoch laický používateľ veľmi rýchlo podľahne prevzatiu softvéru, ktorý môže mať pre jeho počítač a citlivé dáta nepríjemné dôsledky. Ďalším vylepšením SmartScreen URL filtra je ochrana pred škodlivým kódom prelinkovaným do časti webovej stránky, ktorá je hostovaná na „čistom“ webe. Práve takouto taktikou sa snaží napríklad podvrhnutý reklamný banner nakaziť viacero webov.

 

Obr.2 – Zablokovanie prevzatia súboru už na základe URL.

SmartScreen Filter rozšírenia pre nový Download Manager v IE9 fungujú ako štít proti najzákernejším devastáciám lokálnych dát. Bežný používateľ si prevezme softvér odvšadiaľ a čo „downloadol“ si chce hneď aj vyskúšať napriek varovaniam z prehliadača o rizikovom zdroji. Zobrazenie textového upozornenia – „Tento typ súboru môže poškodiť váš počítač. Ste si istí, že chcete súbor spustiť?“ – je automaticky nasledované kliknutím na „Áno“. Používateľ je pritom nechránený v čase od spustenia útoku po potvrdení „downloadu“ po čas detekovania škodlivého súboru a jeho zablokovanie. Internet Explorer 9 používa technológiu reputácie preberanej aplikácie a preberaný program je najskôr overený voči službe reputácií softvéru a v prípade pozitívnej detekcie problému je v notifikačnom okne alebo v rozhraní Download Manager-a podrobne informovaný o možnom probléme s dôrazným odporučením správnej voľby.

Obr.3 – Odporučenia akcií pre preberané súbory v okne Download Managera.

IE9 ako prvý z internetových prehliadačov obsahuje Tracking Protection (funkciu ochrany pred sledovaním). Pri browsovaní po internetových stránkach si často neuvedomujeme prítomnosť množstva skriptov na ich pozadí, ktoré sledujú a odosielajú históriu nami navštívených stránok, IP adresy a iné informácie tretím subjektom. Tracking Protection umožňuje nastaviť blokovanie trekovacích skriptov na vybraných weboch. Pre laika zložitejší krok, pre IT špecialistu naplnenie zoznamu Tracking Protection, prípadne jeho prevzatie z webu a následné načítanie do nastavení IE9 na používateľských počítačoch. Prvé predpripravené zoznamy pre Tracking Protection sú už dostupné na ietestdrive.com.

Obr.4 – Zoznamy pre ochranu pred sledovaním zvyšujú ochranu súkromia pri „browsovaní“.

 

Internet Explorer 9 používa aj techniku „Data-Execution Prevention-No execute” (DEP/NX), ktorá chráni pred lokálnym spustením škodlivého kódu z webovej stránky. DEP/NX zabezpečuje ochranu pred programami nalinkovanými na webové stránky v prestrojení za obrázky alebo videá.

O vysokej úrovni ochrany používateľov IE9 proti škodlivým kódom na weboch a phishingu svedčí posledný porovnávací test NSS Labs, v ktorom figuruje IE9 ako výrazne najúčinnejší ochranca pred “social engineering-om”.

 

Pre správcov IT je dôležité nasadiť do nimi riadenej infraštruktúry softvér, ktorý dokážu centrálne spravovať a nebude im generovať “helpdeskové” požiadavky pri internetových prehliadačoch často spôsobené bezpečnostnými prehreškami ich používateľov. V oboch smeroch je dnes Internet Explorer 9 na tej najvyššej úrovni.

Neprehliadnite: