浏览器管理难题
浏览器管理难题
专用浏览器管理工具之外的一个选择是使用针对操作系统的现有策略工具来部署安装包。这种方法的缺点是,需要专门为部署系统构建一个映像,确保任何附件或者限制策略都添加到了映像中,然后打包、分发到工作站。
如果需要两种或者更多种配置,管理员要做更大的工作量。就Windows系统而言,http://wiki.mozilla.org/Firefox:2.0_Institutional_Deployment指导如何为Firefox构建类似微软安装程序的部署包。本文专门针对Firefox,但过程具有通用性,允许任何浏览器构建映像及部署到网络上。
是否重视浏览器安全?就要限制谁可以访问互联网——这听上去很严厉,但确实是不错的安全做法;采用多层安全机制;设置浏览器只接受“安全”网站;然后为端口80及其他使用的端口锁定防火墙策略,只允许访问已确认“安全”的网站。要采取的其他措施包括:
•监控网络流量,让每个人都知道你在监控。这个久经考验的方法可以阻止不合适的浏览行为。举例说,如果你的策略旨在监控网站访问,监控可以很简单:使用自动扫描器分析防火墙日志,也可以借助全面的外包监控服务。记住:无法自动得到执行的策略会被人忽视。
•强制使用浏览器随带的安全功能,并且使用附加工具来补充,比如Exploit Prevention Labs的LinkScanner、谷歌工具栏、迈克菲的SiteAdvisor和Netcraft的反网络钓鱼工具栏,等等。
•使用策略锁定浏览器,尽可能防止软件附件或者活动组件载入。
•运行网络应用和浏览器时许可权限尽可能要小,最好使用没有权限或者权限受限制的帐户。
•在默认状态下禁用JavaScript,然后通过NoScript这个Firefox插件,只把需要JavaScript的网站加入白名单。
•随时了解贵公司使用的一种或者若干网络浏览器的安全公告。
•教育用户养成安全的浏览习惯和实用技能,比如识别EV证书。查阅SANS Institute的安全时事通讯,把相关信息传达给你的最终用户。该安全公告提供了有关网络钓鱼和骗局的警告内容,每一期都重点介绍“本月安全事件”。今年2月的安全事件是IRS丢失了26盘计算机磁带,里面含有纳税人方面的信息,但有多少人受到了影响并未披露。
网友评论