Trao đổi với tôi

http://www.buidao.com

2/6/10

[Security] Bảo vệ bạn trước lỗ hổng bảo mật của IE

Cũng như nhiều người dùng IE khác, chắc chắn bạn đã từng nghe thấy cụm từ “Lỗ hổng bảo mật trong IE”! Tuy nhiên đây là một lỗ hổng bảo mật hoàn toàn mới, với lỗ hổng bảo mật này, một website mã độc có thể lợi dụng nó để truy cập vào các file dữ liệu trên máy tính của bạn. Để giúp các bạn tránh được những tấn công lợi dụng lỗ hổng này, chúng tôi giới thiệu một số mẹo nhỏ giúp bạn bảo vệ dữ liệu của mình được an toàn.

Lưu ý rằng các mẹo này chỉ hữu dụng cho các lỗ hổng bảo mật của IE.

Bảo đảm rằng chế độ bảo vệ Protected Mode của bạn đã được kích hoạt

Cũng như hầu hết các lỗ hổng bảo mật của IE, nếu đang chạy Windows 7 hoặc Vista, bạn cần phải kích hoạt Protected Mode, đây là chế độ sẽ chạy Internet Explorer trong một sandbox – để có thể bảo vệ bạn tránh được các trang web mã độc (dù không phải là tất cả).

Hãy vào Internet Options –> tab Security và tích hộp kiểm để kích hoạt chế độ này.

image

Thiết lập ActiveX Controls ở chế độ nhắc nhở (hoặc vô hiệu hóa chúng)

Nếu kéo thanh trượt trong hình trên về phía High, bạn sẽ vô hiệu hóa ActiveX Controls, không cho phép nó tự động chạy.

image

Ảnh hưởng từ khía cạnh không mong muốn là bạn sẽ bị nhắc nhở nhiều hơn khi truy cập các site sử dụng ActiveX Controls. Microsoft khuyến khích bạn nên add các site mà bạn thực sự tin cậy vào danh sách Trusted Sites của mình… và chắc chắn phải hủy chọn hộp kiểm “Require https” nằm ở phía dưới.

Để add thêm một site vào Trusted Sites, kích biểu tượng Trusted Sites có trong hình trên, sau đó kích nút Sites, đánh URL của website, sau đó kích nút Add.

image

Vô hiệu hóa các Plugin không cần thiết

Mở Tools –> Manage Add-ons từ menu IE, sau đó thay đổi trong phần menu sổ xuống bên dưới “Show” thành “All add-ons”. Sau đó bạn sẽ thấy một danh sách tất cả các add-on hiện đã được kích hoạt, vì vậy chúng ta có thể bắt đầu thực hiện vô hiệu hóa các add-on không cần thiết.

image

Tại đây, bạn sẽ có một danh sách khá lớn các add-on và có thể bắt đầu việc vô hiệu hóa bằng cách kích vào chúng, sau đó kích Disable. Lưu ý quan trọng ở đây: Adobe Reader dường như có lỗ hổng bảo mật khác và nếu không thực sự cần đến sự hỗ trợ Java thì bạn cũng có thể vô hiệu hóa nó.

image

Nguyên lý chung của tôi là vô hiệu hóa những gì không cần thiết, hoặc có thể vô hiệu hóa tất sau đó kích hoạt lại các add-on mà bạn cảm thấy thực sự cần. Việc vô hiệu hóa các add-on là cách nhanh nhất để làm cho IE chạy nhanh hơn.

Sử dụng Microsoft FixIt để khắc phục vấn đề

Một trong những thứ tốt nhất là Microsoft đã cung cấp gần đây là tính năng “Fix it” trên site hỗ trợ của họ - với một số vấn đề, bạn có thể khởi chạy tiện ích của Microsoft và để nó tự giải quyết vấn đề của bạn.

Tuy nhiên trong trường hợp này, bạn có thể sử dụng Fix Internet để kích hoạt Network Protocol Lockdown. Bạn có thể kích vào hình ảnh bên dưới để truy cập vào site của Microsoft:

image

Văn Linh (Theo Howtogeek)

Cấu hình các thiết lập IE nâng cao bằng Group Policy

Trong bài này chúng tôi sẽ giới thiệu cho các bạn các thiết lập bảo mật nâng cao trong IE và làm thế để cấu hình tốt nhất chúng.

Ngoài những tiến bộ của Microsoft đối với IE, chẳng hạn như UAC, Protected Mode, các mức toàn vẹn,... thì dường như vẫn có các cấu hình sai đối với IE, đặc biệt sau một tháng kinh hoàng của IE vừa qua. Không chỉ cấu hình sai mà vẫn còn có một số lộn xộn liên quan đến các thiết lập bảo mật nâng cao Advanced Security có sẵn trong IE. Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn các thiết lập Advanced Security có nghĩa thế nào và cung cấp cho các bạn một số hướng đi để có thể cấu hình tốt nhất cho chúng.

Nơi tìm các thiết lập bảo mật nâng cao

Có một số sự lộn xộn đối với các thiết lập bảo mật trong IE mà chúng tôi ám chỉ, vì vậy chúng tôi sẽ làm sáng tỏ những gì còn chưa rõ ràng này cho các bạn. Các thiết lập bảo mật mà chúng tôi nói đến này nằm bên dưới menu Tools - Internet Options bên trong IE. Khi bạn mở hộp thoại Internet Options, bạn có thể kích vào tab Advanced. Bên dưới tab Advanced, bạn có thể kéo xuống cho tới khi thấy tùy chọn Security, xem thể hiện trong hình 1 bên dưới.


Hình 1: Phần các thiết lập Advanced Security cho Internet Explorer

Đây là một bộ các thiết lập mà chúng tôi sẽ đề cập đến trong bài viết này.

Các thiết lập IE nâng cao trong GPO

Các thiết lập Advanced Security cho IE này cũng được giới thiệu trong nhiều phiên bản IE thông qua sử dụng Group Policy. Các phiên bản IE được hỗ trợ gồm có 5, 6, 7 và 8.

Với bạn, để truy cập cập các thiết lập Advanced Security của IE này bằng GPO, bạn cần phải có sẵn Group Policy Preferences (GPP). Để có tính năng này bạn phải sử dụng Windows Server 2008, Vista SP1, 7, hoặc Windows Server 2008 R2.

Khi đã cài đặt đúng phiên bản GPMC để có thể xem GPP, bạn sẽ cần vào đúng chính sách để cài đặt các thiết lập bảo mật nâng cao này. Để vào được chính sách này, bạn sẽ vào User Configuration\Preferences\Control Panel Settings\Internet Explorer. Từ đây, bạn có thể bổ sung thêm các chính sách cho tất cả các phiên bản IE thích hợp.

Các thiết lập bản mật cụ thể

Cho phép kích hoạt nội dung từ các CD để chạy trên máy tính

Kích hoạt nội dung gồm có các điều khiển ActiveX và các add-on trình duyệt được sử dụng bởi nhiều website. Các chương trình này thường bị khóa vì chúng có thể trục trặc hoặc kẻ tấn công có thể thực hiện các nhiệm vụ tên máy tính mà bạn không hề hay biết.

Mặc định: Không chọn
Khuyến khích: Không chọn

Cho phép kích hoạt nội dung để chạy trong các file trên máy tính

Cũng giống như thiết lập trước, ngoại trừ từ các file thay vì từ CD

Mặc định: Không chọn
Khuyến khích: Không chọn

Cho phép phần mềm có thể chạy hoặc cài đặt ngay cả không có chữ ký hợp lệ

Các chữ ký có thể được kết hợp với các ứng dụng hay các cài đặt nào đó, trói chúng với nhà sản xuất. Điều này sẽ gips giữ ứng dụng hoặc cài đặt “đúng” và giúp bạn phát hiện được xem ứng dụng hay cài đặt có bị giả mạo hay không.

Mặc định: Không chọn
Khuyến khích: Không chọn

Kiểm tra sự hủy bỏ chứng chỉ của nhà phát hành

Thông thường một chứng chỉ cần được đánh thức nhờ một khóa riêng hoặc chứng chỉ đã hết hạn. Thiết lập này sẽ kiểm tra chứng chỉ trên danh sách đánh thức trước khi cho phép nó được sử dụng.

Các chứng chỉ mặc định: Chọn
Khuyến kích: Chọn

Kiểm tra sự hủy bỏ chứng chỉ máy chủ

Mặc định: Chọn
Khuyến khích: Chọn

Kiểm tra chữ ký trên các chương trình download

Thông thườn một chứng chỉ cần được đánh thức do khóa riêng bị thỏa hiệp hoặc bị hết hạn. Thiết lập này sẽ kiểm tra chứng chỉ dong danh sách đánh thức trước khi cho phép nó được sử dụng.

Mặc định: Chọn
Khuyến khích: Chọn
Không lưu các trang mã hóa vào đĩa

Nếu dữ liệu từ một kết nối website HTTPS được lưu trên đĩa của bạn, đây là vấn đề một kẻ tấn công có thể lợi dụng để truy cập vào dữ liệu thông qua các dữ liệu đã lưu trong thư mục Temporary Internet. Rõ ràng sẽ hiệu quả hơn và nhanh hơn khi lưu dữ liệu này vào đĩa để truy cập sau này vào website. Tuy nhiên không lưu dữ liệu được mã hóa này sẽ an toàn hơn việc cho phép chúng được lưu.

Mặc định: Không chọn
Khuyến khích: Chọn

Xóa thư mục chứa các file tạm thời khi đóng trình duyệt

Thư mục các file tạm thời cho IE chứa rất nhiều dữ liệu từ các site mà bạn ghé thăm. Các thông tin này được cache trên đĩa của bạn để có thể truy cập nhanh hơn sau này nếu bạn ghé thăm trang lần nữa. Mặc dù vậy, worm, virus và các phần mềm mã độc cũng có thể được lưu cùng với dữ liệu website tốt. Do đó, hãy xóa bỏ tất cả các file theo một định kỳ nào đó là một biện pháp bảo mật an toàn hơn việc lưu chúng.

Mặc định: Không chọn
Khuyến khích: Chọn

Kích hoạt lưu trữ DOM

Lưu trữ DOM (Document Object Model) được thiết kế để cung cấp cách thức dễ sử dụng hơn, an toàn hơn, lớn hơn cho việc lưu các thông tin trong cookies. DOM được sử dụng cho các chương trình như JavaScript để cung cấp các website động và phân phối các trang web mang tính tùy chỉnh đối với người dùng. Hành vi này không nên cho phép trừ khi lưu trữ DOM cần thiết cho nhiệm vụ công việc trên Internet.

Mặc định: Chọn
Khuyến khích: Không chọn

Kích hoạt thẩm định các cửa sổ tích hợp

Ép buộc IE sử dụng thẩm định Kerberos hoặc NTLM thay vì sử dụng thẩm định Basic, Digest hoặc nặc danh.

Mặc định: Chọn
Khuyến khích: Chọn

Kích hoạt bảo vệ bộ nhớ để giúp giảm nhẹ các tấn công trực tuyến
Những điều khiển này dù IE sử dụng DEP (Data Execution Protection) hay không, cũng sẽ giúp bạn bảo vệ máy tính chống lại các ứng dụng có hành vi “ốm yếu” có thể làm hại máy tính của bạn.

Mặc định: Không chọn
Khuyến khích: Chọn
Kích hoạt hỗ trợ xmlhttp nguyên bản

Ngày nay được sử dụng bởi nhiều công ty như một chuẩn để cung cấp điều khiển động cho dữ liệu thông qua nhiều website.

Mặc định: Chọn
Khuyến khích: Chọn

Lọc giả mạo

Phishing Filter sẽ phá vỡ khả năng điều hướng đến và download từ các site được biết có thể có chứa nội dung mã độc. Nó cũng giúp bạn tránh được các website giả mạo và những lừa gạt trên mạng. Bộ lọc sẽ đối chiếu website với một danh sách các site giả mạo đã được báo cáo, đối chiếu các download phần mềm với danh sách các phần mềm độc, giúp bạn tránh ghé thăm các site có thể dẫn đến sự đánh cắp nhận dạng.

Mặc định: Tắt chức năng kiểm tra website tự động
Khuyến khích: Bật chức năng kiểm tra website tự động

Sử dụng ssl 2.0

Khi bạn kết nối với một website thương mại, chẳng hạn như một website của ngân hàng hoặc một website bán hàng trực tuyến nào đó, Internet Explorer sẽ sử dụng một kết nối an toàn (kết nối sử dụng công nghệ Secure Sockets Layer (SSL)) để mã hóa phiên giao dịch. Mã hóa này được dựa trên một chứng chỉ để cung cấp cho Internet Explorer các thông tin cần thiết cho việc truyền thông an toàn với website. Các chứng chỉ cũng nhận dạng website, chủ sở hữu nó hoặc công ty.

Mặc định: Không chọn
Khuyến khích: Không chọn

Sử dụng ssl 3.0

Tương tự như sử dụng SSL 2.0, tuy nhiên đây là công nghệ mới hơn.

Mặc định: Chọn
Khuyến khích: Chọn

Sử dụng tls 1.0

TLS (Transport Layer Security) 1.0 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối.

Mặc định: Chọn
Khuyến khích: Chọn

Sử dụng tls 1.1

TLS (Transport Layer Security) 1.1 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối. Chỉ cho phép với điều kiện là bạn biết các website đó hỗ trợ phiên bản TLS này.

Mặc định: Không chọn
Khuyến khích: Không chọn

Sử dụng tls 1.2

TLS (Transport Layer Security) 1.2 được sử dụng khi ghé thăm các website SSL để bảo vệ và mã hóa dữ liệu cũng như kết nối. Cho phép chỉ khi bạn biết các website hỗ trợ phiên bản TLS này.

Mặc định: Không chọn
Khuyến khích: Không chọn

Cảnh báo về lỗi kiểu chứng chỉ

Cung cấp các cảnh báo khi chứng chỉ cho một website

Mặc định: Chọn
Khuyến khích: Chọn

Cảnh báo nếu có sự thay đổi giữa chế độ bảo mật và không bảo mật

Nếu một website có lẫn các liên kết HTTP và HTTPS, hoặc bạn được đưa từ một site HTTPS đến một site hay HTTP không an toàn, khi đó bạn sẽ được cảnh báo.

Mặc định: Không chọn
Khuyến khích: Chọn

Cảnh báo nếu POST được gửi gián tiếp đến một vùng khong cho phép post

Cảnh báo nếu bạn đang làm việc trên một biểu mẫu trên Internet có thể gửi bạn đến một địa chỉ khác với địa chỉ đang hosting biểu mẫu. Cách thức này sẽ ngăn chặn được các thông tin hoặc trình duyệt của bạn bị gửi đến một site không an toàn.

Mặc định: Chọn
Khuyến khích: Chọn

Kết luận

Các tính năng bảo mật nâng cao Advanced Security cho IE rất chi tiết và có thể giúp bạn bảo vệ các desktop của mình cũng như toàn bộ mạng, tránh được các tấn công cũng như các lỗ hổng bảo mật. Sử dụng đúng chúng có thể làm cho máy tính của bạn được an toàn hơn từ một máy rất thiếu những biện pháp bảo mật, an toàn. Khả đòn bẩy Group Policy có thể cấu hình các thiết lập này cho các phiên bản IE 5, 6, 7, và 8 làm cho giải pháp này trở nên hiệu quả.

ReLink: http://ceh.vn/ceh3/index.php?option=com_content&view=article&id=131:bo-v-bn-trc-l-hng-bo-mt-ca-ie&catid=17:gii-phap-bo-mt&Itemid=106