В этом разделе обсуждаются различные опции, которые влияют на поведение политики ограниченного использования программ. Эти опции изменяют область применения политики или параметры доверия Authenticode для файлов с цифровой подписью.
Опции принудительного применения
Существуют две опции принудительного применения политики ограниченного использования программ: проверка библиотек DLL (DLL checking) и предотвращение применения политики к локальным администраторам (Skip Administrators).
Проверка библиотек DLL (DLL checking)
Некоторые программы, как например Internet Explorer, состоят из исполняемого файла (iexplore.exe) и множества вспомогательных библиотек динамической компоновки (DLL). По умолчанию правила политики ограниченного использования программ не применяются к библиотекам DLL. Этот вариант рекомендован для большинства пользователей по трем причинам:
| Запрет исполняемого файла предотвращает выполнение программы, поэтому нет необходимости запрещать все сопутствующие библиотеки DLL. | |
| Проверка библиотек DLL приводит к снижению производительности. Если пользователь запускает 10 программ во время сеанса работы, политика ограниченного использования программ оценивается 10 раз. Если проверка библиотек DLL включена, политика оценивается при загрузке каждой библиотеки DLL в каждой программе. Если каждая программа использует 20 библиотек DLL, это вызывает 10 проверок исполняемых программ плюс 200 проверок библиотек DLL и таким образом политика ограниченного использования программ оценивается 210 раз. | |
| Если уровнем безопасности по умолчанию является Не разрешено (Disallowed) , то в этом случае должна проверяться не только возможность выполнения исполняемого файла программы, но и всех ее составляющих библиотек DLL, что может негативно влиять на производительность системы. |
Проверка библиотек DLL предоставляется в качестве опции для окружений, в которых необходимо обеспечить максимальный уровень безопасности при выполнении программ. Хотя в основном компьютерные вирусы нацелены на заражение исполняемых файлов, некоторые из них заражают библиотеки DLL. Чтобы убедиться, что программа не заражена вирусом, Вы можете использовать набор правил для хеша который идентифицирует исполняемый файл и все его необходимые библиотеки DLL.
Для включения проверки библиотек DLL:
Рисунок 2 - Установка свойств принудительного режима
Предотвращение применения политики ограниченного использования программ к локальным администраторам (Skip Administrators)
Опции политики ограниченного использования программ позволяют запретить выполнение программ большинством пользователей, но в то же время позволить администраторам выполнять любые программы. Например, клиент может иметь общую машину, к которой пользователи подключаются через сервер терминалов. Администратор может захотеть ограничить пользователей выполнением только определенных приложений на этой машине, но при этом позволить членам группы локальных администраторов запускать любые программы. Чтобы сделать это, используйте опцию предотвращения применения политики к локальным администраторам (Skip Administrators ).
Если политика ограниченного использования программ создана в объекте групповой политики (GPO), присоединенному к объекту Active Directory, то предпочтительный способ для исключения администраторов - это убрать разрешение в свойствах группы GPO, в состав которой входят администраторы.
Чтобы включить предотвращение применения политики к локальным администраторам (Skip Administrators):
Определение исполняемых файлов
В диалоговом окне , изображенном на Рисунке 3, перечислены типы файлов, к которым применяется политика ограниченного использования программ. Назначенные типы файлов – это типы файлов, которые считаются исполняемыми. Например, файл хранителя экрана.SCR считается исполняемым, так как если сделать на нем двойной щелчок мышью в проводнике Windows, он загрузится как программа.
Правила политики ограниченного использования программ применяются только для типов файлов, перечисленных в диалоговом окне Свойства: Назначенные типы файлов (Designated File Types)
. Если в Вашем окружении используются типы файлов, для которых Вы хотите иметь возможность задавать правила, добавьте их в этот список. Например, если Вы используете файлы сценариев Perl, Вы можете добавить файлы *.pl и файлы других типов, связанными с модулями Perl, в список Назначенные типы файлов (Designated File Types)
.
Рисунок 3 - Диалоговое окно
Свойства: Назначенные типы файлов (Designated File Types)
Доверенные издатели
Опции диалогового окна , изображенного на Рисунке 4, позволяют Вам конфигурировать параметры, относящиеся к элементам управления ActiveX® и другому подписанному содержимому.
Рисунок 4 - Настройка параметров Доверенные издатели (Trusted Publishers)
В Таблице 3 перечислены опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers) , относящиеся к элементам управления ActiveX и другому подписанному содержимому.
| Таблица 3 - Доверенные издатели (Trusted Publishers) - задачи и параметры | |
| Задача | Необходимое значение параметра |
| Необходимо разрешить только администраторам домена принимать решения относительно подписанного активного содержимого | Администраторам предприятия (Enterprise Administrators) |
| Необходимо разрешить только администраторам компьютера принимать решения относительно подписанного активного содержимого | Администраторам локального компьютера (Local computer Administrators) |
| Необходимо разрешить любому пользователю принимать решения относительно подписанного активного содержимого | Обычным пользователям (End Users) |
| Необходимо удостовериться, что сертификат, используемый доверенным издателем, не был отозван. | Самого издателя (Publisher) |
| Удостовериться, что сертификат, используемый организацией, которая проставила дату активного содержимого, не был отозван. | Штамп времени (Timestamp) |
Область действия политик ограниченного использования программ
Действие политик ограниченного использования программ не распространяется на:
Проектирование политики ограниченного использования программ
В этом разделе описаны:
Объединение с групповой политикой
Политиками ограниченного использования программ можно управлять с помощью следующих оснасток групповой политики:
Политика домена
Для того, чтобы настроить политику домена
Локальная политика безопасности
Для того, чтобы настроить политику безопасности
Если Вы редактируете объект групповой политики (GPO), Вы можете задать политики ограниченного использования программ для пользователей и компьютеров, как показано на Рисунке 5.
Рисунок 5 - Редактирование политики ограниченного использования программ для пользователей и компьютеров
Если Вы редактируете локальную политику безопасности, расположение параметров политики ограниченного использования программ будет таким, как на Рисунке 6.
Рисунок 6 - Редактирование локальной политики безопасности
Первоначальные действия
При редактировании политики в первый раз Вы увидите сообщение, показанное на Рисунке 7. Это сообщение предупреждает о том, что создание политики установит значения по умолчанию, которые переопределят значения, унаследованные от политик ограниченного использования программ родительских объектов.
Рисунок 7 - Предупреждающее сообщение во время создания новой политики
Для создания политики:
Применение политики ограниченного использования программ к группе пользователей
Политика ограниченного использования программ распространяется через групповую политику на сайт, домен или подразделение. Тем не менее, администратор может столкнуться с необходимостью применить политику ограниченного использования программ к группе пользователей внутри домена. Для этого администратор может использовать фильтрацию объектов групповой политики.
Для получения более подробной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)
Серверы терминалов
Политики ограниченного использования программ являются неотъемлемой частью системы защиты сервера терминалов Windows Server 2003. Администраторы серверов терминалов могут теперь полностью заблокировать доступ программного обеспечения к серверу терминалов. Применение политик ограниченного использования программ является исключительно важным именно на серверах терминалов ввиду потенциально большого количества пользователей на одном компьютере. На однопользовательском клиентском компьютере под управлением Windows XP выполнение нестабильного приложения может помешать только одному пользователю, в то время как выполнение такого приложения на сервере терминалов может доставить неудобства более чем 100 пользователям. Политики ограниченного использования программ предотвращают эту проблему. Эта служба также избавляет от необходимости использования программ, таких как appsec.exe, для ограничения выполнения приложений на сервере терминалов Windows Server 2003.
В дополнение к этому корпорация Microsoft рекомендует ознакомиться с документом Как заблокировать сессию сервера терминалов Windows 2000 (How to Lock Down a Windows 2000 Terminal Server Session)
В некоторых случаях на нескольких серверах терминалов установлено одинаковое программное обеспечение, но администраторы этих серверов хотят предоставить доступ разным группам пользователей к разному программному обеспечению. Часть приложений при этом может быть общей для нескольких групп. Рассмотрим пример, когда юридическая фирма размещает приложения на ферме серверов терминалов. На серверах установлено одинаковое программное обеспечение. Правила доступа к программному обеспечению выглядят следующим образом:
| Любой сотрудник может использовать Microsoft Office и Internet Explorer. Все сотрудники являются членами группы AllEmployees . | |
| Любой сотрудник бухгалтерии может использовать приложения из папки Accounting Software. Сотрудники бухгалтерии являются членами группы AccountingEmployees . | |
| Любой юрист может использовать приложения из папки Law Research software. Юристы являются членами группы Lawyers . | |
| Любой сотрудник внутренней почтовой службы может использовать приложения из папки Mail Room Processing software. Сотрудники внутренней почтовой службы являются членами группы MailRoomEmployees . | |
| Руководители могут использовать любое программное обеспечение, доступное для других сотрудников. Руководители являются членами группы Executives . | |
| Объекты групповой политики не применяются к администраторам. |
Чтобы разграничить доступ к программному обеспечению, администратор создает пять объектов групповой политики с персонально настроенными политиками ограниченного использования программ. Каждый объект групповой политики фильтруется так, чтобы он применялся только к пользователям одной из групп AllEmployees , AccountingEmployees , Lawyers, MailRoomEmployees или Executives (в зависимости от того, для какой группы он предназначен).
Поскольку руководители должны иметь доступ к любому программному обеспечению как на своих рабочих станциях, так и на серверах терминалов, администратор использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются. Более подробная информация по конфигурированию замыкания на себя содержится в документе по групповой политике.
| Объект групповой политики пользователя A1, связан с доменом Law | |
| Фильтр: Для компьютеров домена Law установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %WINDIR% | |
| %PROGRAMFILES%\Common Files | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Internet Explorer | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Windows NT | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Microsoft Office | Неограниченный (Unrestricted) |
| Объект групповой политики пользователя A5, связан с доменом Lab Resource | |
| Фильтр: Для компьютеров домена Law и пользователей группы Executives установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Law Research Software | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Mail Room Program | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Accounting Software | Неограниченный (Unrestricted) |
Пошаговое руководство по проектированию политики ограниченного использования программ
В этом разделе описаны шаги, которые необходимо выполнить в процессе проектирования политики ограниченного использования программ.
Вопросы для рассмотрения
При проектировании политики необходимо определиться со следующими аспектами:
Пошаговое выполнение процесса
Шаг 1. Объект групповой политики или локальная политика безопасности
Должна ли политика применяться ко многим компьютерам или пользователям домена или подразделения, или же она должна применяться только к локальному компьютеру?
Шаг 2. Политика пользователя или политика компьютера
Должна ли политика применяться к пользователям независимо от того, на какой компьютер они входят, или наоборот – к компьютеру независимо от того, кто осуществляет вход?
Шаг 3. Уровень безопасности по умолчанию
Известно ли Вам все программное обеспечение, с которым будут работать пользователи, или они могут устанавливать любое программное обеспечение на свой выбор?
Шаг 4. Дополнительные правила
Идентифицируйте выбранные разрешенные или запрещенные приложения, используя четыре типа правил, рассмотренные выше в разделе Архитектура политики ограниченного использования программ .
Шаг 5. Опции политики
Существует несколько опций политики:
| Если Вы используете локальную политику безопасности и не хотите, чтобы она применялась к администраторам на локальном компьютере, включите опцию предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators ). | |
| Если Вы хотите проверять библиотеки DLL в дополнение к исполняемым файлам и сценариям, включите опцию проверки библиотек DLL (DLL checking ). | |
| Если Вы хотите задать правила для типов файлов, которые по умолчанию не входят в список назначенных типов файлов, считающимися исполняемыми, добавьте дополнительные типы файлов . | |
| Если Вы хотите определить, кто может принимать решения о загрузке управляющих элементов ActiveX и другого подписанного содержимого, установите требуемые опции в окне Свойства: Доверенные издатели (Trusted Publishers) . |
Шаг 6. Связывание политики с сайтом, доменом или подразделением
Чтобы связать объект групповой политики с сайтом.
Чтобы связать объект групповой политики с доменом или подразделением.
Фильтрация
На этом этапе может быть осуществлена фильтрация объектов групповой политики. Путем фильтрации, основанной на членстве в группах, Вы можете определить часть организационного подразделения Active Directory (Organizational Unit, OU), на которую будет действовать объект групповой политики. Вы также можете производить фильтрацию на основе запросов инструментария управления Windows (WMI).
Тестирование политики
Если Вы не хотите ждать следующего интервала обновления групповой политики, а хотите протестировать Вашу политику немедленно, запустите программу gpupdate.exe и выполните повторный вход в систему. После этого Вы можете приступать к тестированию Вашей политики.
В любой организации есть юзвери, которые пытаются использовать ресурсы Сети в
своих целях. В результате, несмотря на установленные антивирусы и брандмауэры,
клиентские системы начинают кишить вирусами, троянами, малварью и левыми
программами, периодически вызывающими сбои в работе Windows. Да и начальство
требует убрать лишнее с компов (игры, чаты, обучалки), контролировать
использование трафика и установить запрет на подключение флешек. Естественно,
хлопоты по разруливанию ситуаций ложатся на плечи админа.
Групповые политики
Групповые политики (GPO) — удобный и функциональный инструмент, позволяющий
управлять настройками безопасности Windows. С его помощью можно настроить
достаточно много параметров ОС. К сожалению, большая их часть скудно описана в
литературе, и начинающие админы часто даже не знают о том, какой потенциал у них
в руках. К тому же, групповые политики постоянно развиваются, и в новых версиях
ОС (а также сервис-паках) GPO получают новые функции. Узнать различия и
доступные параметры довольно просто, - скачай с сайта Microsoft cписок "Group
Policy Settings Reference" для используемой операционки.
В Win2k8 управление GPO осуществляется при помощи консоли Group Policy
Management Console (GPMC.msc) 2.0. Установки безопасности производятся в ветке
"Конфигурация компьютера — Конфигурация Windows — Параметры безопасности" (Computer
Configuration — Windows Settings — Security Settings). Здесь довольно много
настроек, при помощи которых можно определить политики паролей, задать
блокировки учетной записи, назначить права доступа, установить порядок аудита,
политики реестра, файловой системы, NAP, IP-безопасности и многое другое.
Разберем самые интересные из них.
Выбираем в консоли группу политик "Назначение прав пользователя". Политика
"Архивация файлов и каталогов" позволяет игнорировать разрешения файлов при
операциях резервного копирования. Следует четко определиться, кто будет входить
в такую группу, так как права на создание резервных копий, предоставленные кому
попало, могут привести к утечке корпоративных данных. Политика "Загрузка и
выгрузка драйверов устройств" (Load and Unload Device) позволяет устанавливать
драйвера после настройки системы; здесь лучше оставить в списке только
администраторов, чтобы пользователи не могли самостоятельно подключать сторонние
девайсы. Разрешив "Отладку программ", мы предоставим пользователю возможность
подключать отладчик к любому процессу или ядру, а ты сам понимаешь, какой это
риск. По умолчанию сюда входит только группа администраторов, но в организациях,
занимающихся разработкой ПО, хочешь не хочешь, а такое право давать придется.
Соответственно, нужно отслеживать легитимность его применения.
Особое внимание удели политикам в группе "Параметры безопасности", где много
полезных пунктов. Например, мы можем: отключить возможность анонимного доступа к
сетевым ресурсам, переименовать учетную запись гостя (если такая используется и
необходима). В политиках, начинающихся с "Устройства", одним щелчком мышки можно
заблокировать возможность подключения и форматирования сменных устройств,
дискет, компакт дисков и внешних хардов. Впервые политики блокировки сменных
устройств появились в Vista и Win2k8. Ранее для этих целей приходилось
использовать программы сторонних разработчиков вроде DeviceLock. В этой же
вкладке разрешаем или запрещаем подключение принтера выбранной группе
пользователей.
Политики ограниченного использования программ
Одной из самых важных в контексте статьи будет группа объектов GPO "Политики
ограниченного использования программ" (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.
По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
"Политики ограниченного использования программ" (в "Конфигурация компьютера" и
"Конфигурация пользователя" есть свои пункты) и выбрать в контекстном меню
"Создать политику ограниченного использования программ" (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
"Неограниченный" (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку "Уровни
безопасности", где находятся пункты активации еще двух политик – "Запрещено" (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика "Обычный пользователь" (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.
В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
"Запрещено" и в появившемся окне нажимаем кнопку "Установить по умолчанию" (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень -
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку "Дополнительные правила".
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в "Неограниченный". То есть после
активации политики "Запрещено" системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.
Если щелкнуть по ярлыку "Политики ограниченного использования программ",
получим доступ еще к трем настройкам. Выбор политики "Применение" (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.
С помощью политики "Назначенные типы файлов" определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
"Доверенные издатели" задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.
AppLocker
За несколько лет существования технология SRP так и не смогла завоевать
популярность, ведь, как ты мог убедиться из предыдущего раздела, точно настроить
политики — не такая уж и простая задача. Максимум, на что обычно хватало админа,
- запрет отдельных прог и игрушек. В Win7/Win2k8R2 было представлено логическое
продолжение SRP — AppLocker. Впрочем, сам SRP никуда не делся, оставлен в целях
совместимости. В отличие от SRP, Applocker работает не в пользовательском
окружении, а в системном: устанавливаемые политики более эффективны.
Настройки AppLocker находятся во вкладке Security Settings (secpol.msc) —
Application Сontrol Policies. Если раскрыть дерево, то увидим три подпункта, в
которых настраиваются политики в соответствии с типами файлов:
- Executable Rules — правила для файлов с расширением exe, com и src;
- Windows Installer Rules — правила для msi и msp файлов;
- Script Rules — правила для bat, cmd, js, ps1 и vbs скриптов.
По умолчанию используется политика Default, работа которой основывается на
установке GPO. Но для каждого типа правил можно выбрать еще одну из двух
политик:
- Enforced - политики активны, и все, что не описано в правилах,
блокируется; - Audit Only - режим аудита, все события, для которых созданы правила,
вместо блокировки заносятся в журнал. Полезен при знакомстве и
первоначальной отладке работы AppLocker.
Для активации нужного варианта переходим во вкладку "Enforcement" окна
свойств AppLocker. Перейдя в "Advanced" и установив флажок "Enable DLL rule
collection", можно активировать проверку DLL. Как и в случае с SRP, проверка
потребует дополнительных системных ресурсов. По умолчанию правил нет, поэтому
ограничения на запуск программ не накладываются (кроме прав NTFS, естественно),
и в отличие от SRP, рулесеты нужно создать самому. Этот процесс в AppLocker
выглядит несколько проще. Контекстное меню предлагает для этого три варианта:
- Create New Rule — при помощи визарда создаются правила для издателя (Publisher),
пути (Path, каталог или файл) и хеша (File Hash); - Automatically generate Rules — здесь просто указываем на каталог, в
котором находятся установленные проги, и мастер автоматически создает
правила (Path/Hash) для всех исполняемых файлов внутри; - Create Default Rules — создается набор правил по умолчанию.
При выборе последнего пункта будут созданы разрешающие правила для запуска
приложений из каталогов Windows (%WINDIR%) и Program Files (%PROGRAMFILES%);
пользователи, входящие в группу локальных администраторов (BUILTIN\Administrator),
ограничений по запуску не имеют. После того как первые правила в категории
сформированы и выбран вариант Enforced, запуск приложений возможен только в том
случае, если он разрешен политикой. В последующем корректируем имеющиеся правила
и создаем новые. Чтобы отредактировать правило, вызываем его свойства и меняем:
учетные записи и группы, которые попадают под политику, путь к каталогу или
файлу, действие (Action) блокировать или разрешить. Использование учетных
записей и групп в правилах AppLocker группы достаточно удобно, так как можно
создать группу пользователей, которым разрешен запуск офисных приложений, группу
"интернетчиков" и так далее, и затем включать в них отдельных пользователей.
Настройки во вкладке Exceptions позволяют задать исключения для отдельных
объектов. Нажав кнопку Add, указываем отдельный файл, хеш или издателя, которые
не будут подпадать под действие редактируемой политики. Так можно достаточно
тонко указать разрешения для большого количества файлов.
Да, и как ты, наверное, заметил, возможность настройки правила для зоны сети
в AppLocker отсутствует.
После доводки Default Rules приступаем к созданию индивидуальных политик. Для
чего выбором Create New Rule запускаем мастер и в пошаговом режиме производим
нужные настройки. Первое окно пропускаем, во втором задаем действие Allow/Deny и
указываем пользователя или группу, для которых будет действовать политика. Далее
выбираем тип политики Publisher/Path/File Hash и, в зависимости от
произведенного выбора, отмечаем объект. При определении пути AppLocker
использует переменные. То есть, если указать в Проводнике C:\soft, путь будет
преобразован к виду %OSDrive%\soft\*. Кроме того, возможны такие переменные: %WINDIR%,
%SYSTEM32%, %PROGRAMFILES%, %REMOVABLE% (CD/DVD) и %HOT% (USB-устройства).
Причем особо отмечается, что это внутренние переменные AppLocker, а не
системные, хотя некоторые названия совпадают.
Политики созданы, но чтобы они применялись, нужно запустить службу
Application Identity (AppIDSvc). Делается это через консоль Services (services.msc)
или в редакторе групповых политик (Security Settings -> System Services). После
изменений обновляем политики:
> gpupdate /force
Еще один метод контроля за установленным ПО и подключенными девайсами —
использование специальных программ инвентаризации (например, SCCM, о котором
говорилось в статьях " " и " ", опубликованных соответственно в августовском и
сентябрьском номерах ][ за 2009 год). Также не забываем о службе "Управление
приложениями" (AppMgmt), отключив которую, мы блокируем возможность установки
ПО.
Борьба с NAT’ом
С "халявным" интернетом на работе у многих пользователей появляется соблазн
использовать его в своих целях. Конечно, времена, когда к системному блоку
подключался модем и через него выходили в интернет, практически канули в лету
(для некоторых провинциальных городов это все еще актуально), но менеджеры порой
берут работу на дом, а доступ к нужной инфе пытаются получить посредством
диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут
развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает
любителей, и остается удивляться, как народ на выдумки горазд. Кроме
сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь
через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза
(+ может быть похищена конфиденциальная информация).
Методов обнаружения работы клиентов из-за NAT предостаточно — контроль TTL,
анализ идентификатора IP-пакета и диапазона TCP/UDP портов и так далее
(подробнее о методах обнаружения NAT читай в статье Криса " " в ][ #111). Мы же разберем практическую реализацию.
Инструментом номер один здесь является
Wireshark —
мультиплатформенный (Windows, Linux, xBSD, Solaris, Mac OS X и т.д.) снифер и
анализатор в одном флаконе. Возможность использования фильтров и сортировки
делает эту программу весьма удобной для решения многих задач: контроль
определенного типа трафика (аська, сетевые игры, проги для удаленного доступа и
так далее), поиск проблем в сети и анализ безопасности.
Для определения работы из-за NAT нас интересует возможность контроля TTL
(время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое
значение TTL, например, все версии Windows — 128, Linux — 64 (максимально 255),
а при прохождении пакета на каждом роутере отнимается единица. То есть, если
получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о
наличии NAT (виртуальные машины также работают из-за NAT). Открываем список
фильтров и в "IP only" устанавливаем значение поля ip.ttl в отлов всех пакетов,
TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа,
поэтому можно захватить трафик с минимальными ограничениями, а затем
просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.
Кроме графического интерфейса, возможен запуск Wireshark в командой строке.
Смотрим список сетевых интерфейсов по команде "tshark -D", а затем вылавливаем
значение поля TTL в проходящих пакетах.
> tshark -i 1 -e ip.ttl -Tfields
Поддерживаются tcpdump-подобные правила, поэтому можно просто считать
значения нужного поля IP (ip < 64, поле TTL находится в 8-м байте
IP-заголовка).
Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm),
совмещающий в себе функции файрвола и монитора трафика, с возможностью
построения различного рода графиков. Система фильтров позволяет задать любое
правило и затем отслеживать все пакеты, которые под него попадают.
К этому списку можно добавить практически все файрволы, что встретишь в
корпоративной сети: Kerio WinRoute (подробнее о нем читай в статье " ", опубликованной в сентябрьском номере ][ за 2007 год),
UserGate Proxy & Firewall (" ", июльский ][ за 2009 год), ISA Server/Forefront TMG (" ", ноябрьский ][ за 2009 год) и другие, которые также
имеют все необходимое для анализа и блокировки трафика.
Кроме того, не забываем производить периодическое сканирование сети при
помощи Nmap и сравнивать
результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений
в списке открытых портов производим расследование. Это позволит обнаружить
лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так
далее.
Обнаруживаем сниферы
В любой LAN найдется парочка умников, которые захотят знать больше, чем им
положено. Любопытный кекс запускает снифер в надежде поймать пароль, если не
админа, то любого другого пользователя, или почитать инфу, ему не
предназначенную. Для перехвата всех пакетов сетевая карта переводится в
неразборчивый режим (promiscuous mode), обнаружить который можно как локально,
так и удаленно. В первом случае регистрируемся в системе и просматриваем
настройки интерфейсов, во втором — актуальны два способа:
- мониторинг ресурсов на всех хостах сети — при переводе NIC в promiscuous
mode возрастает нагрузка, так как ядру приходится обрабатывать большее
количество информации, быстро заполняется место на харде; - ошибки в реализации — сетевой интерфейс должен "забирать" только свои
пакеты; так и настроены ОС, но поскольку теперь ядро получает инфу обо всех
пакетах, можно попробовать послать ARP-пакет с правильным IP или именем, но
неправильным МАС-адресом.
В последнем случае система может ответить на неправильный пакет. Добавляем
заведомо неверные данные в ARP таблицу и пингуем "подозрительный" хост:
> arp -s hackerhost 00:11:22:33:44:55
> ping hackerhost
Если ответ получен, значит, с большой долей вероятности можно сказать, что
узел находится в режиме прослушивания. Не забываем удалить неправильную запись
после проверки:
> arp -d hackerhost
Удобнее для выявления нарушителей использовать специальные утилиты. Например,
proDETECT ,
которая, правда, уже несколько лет не обновлялась, поэтому грешит багами.
Настройки позволяют задать список узлов и указать периодичность их проверки.
Отчет отправляется на e-mail.
Политики ограниченного использования программ (Software Restriction Policies) - это технология клиентов Windows 7, доступная для Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики ограниченного использования программ управляются при помощи групповой политики. Соответствующий узел находится в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ (Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies ). Для этих политик доступны параметры Неограниченный (Unrestricted ), разрешающий выполнение приложений, и Запрещено (Disallowed ), блокирующий выполнение приложений.
Ограничить выполнение приложений можно и при помощи прав файловой системы NTFS. Однако настройка прав доступа NTFS для большого числа приложений на многих компьютерах - очень трудоемкий процесс.
В принципе, возможности политик ограниченного использования программ и AppLocker во многом перекрываются. Преимущество политик ограниченного использования программ заключается в том, что они могут применяться на компьютерах Windows XP и Windows Vista, а также в изданиях Windows 7, не поддерживающих AppLocker. С другой стороны, в политиках ограниченного использования программ все правила должны настраиваться вручную, поскольку отсутствуют встроенные мастера для их создания. Политики ограниченного использования программ применяются в заданном порядке, в котором более конкретные правила имеют приоритет по сравнению с более общими правилами. Приоритет правил от более конкретизированных (правила хеша) до менее конкретизированных (по умолчанию) таков:
- Правила хеша (hash rules).
- Правила сертификатов (certificate rules).
- Правила пути (path rules).
- Правила зоны (zone rules).
- Правила по умолчанию (default rules).
Если для одной программы задано два конфликтующих правила, приоритет имеет более специализированное правило. Например, правило хеша, задающее неограниченное использование приложения, перекрывает правило пути, которым это приложение запрещено. В этом заключается отличие от политик AppLocker, где приоритеты не используются и блокировка по любому правилу всегда доминирует над разрешающим правилом.
В средах, где используются и политики ограниченного использования программ, и AppLocker, политики AppLocker имеют приоритет. Если политика AppLocker явным образом разрешает работу приложения, заблокированного политикой ограниченного использования программ, приложение будет выполняться.
Уровни безопасности и правила по умолчанию
Узел Уровни безопасности (Security Levels) позволяет задавать правила ограниченного использования программ по умолчанию. Правило по умолчанию применяется, когда к приложению не применима никакая другая политика. Одновременно допускается активировать только одно правило по умолчанию. Три правила по умолчанию таковы:
- Запрещено (Disallowed ). Если включено это правило, пользователи смогут выполнять приложение, только если оно разрешено существующей политикой ограниченного использования программ.
- Обычный пользователь (Basic User ). Если включено это правило, пользователи смогут выполнять приложения, для которых не требуются административные полномочия. К приложению, требующему административных полномочий, пользователи получат доступ, только если было создано правило, охватывающее это приложение.
- Неограниченный (Unrestricted ). Если это правило задано в качестве правила по умолчанию, пользователь сможет выполнять это приложение, если оно не заблокировано существующей политикой ограниченного использования программ.
Если вы предполагаете ограничить возможности пользователей списком разрешенных приложений, настройте правило по умолчанию Запрещено (Disallowed ). Это гарантирует запрет на запуск любого приложения, не разрешенного явным образом. Если вы хотите лишь заблокировать пару проблемных программ, но не хотите запрещать использование всех прочих приложений, используемых в вашей среде, настройте правило по умолчанию Неограниченный (Unrestricted ). Это позволяет запускать любое приложение, если оно не заблокировано явным образом.
Способы применения политик
Окно Свойства: Применение (Enforcement Properties ), позволяет задать применение политик ограниченного использования программ ко всем файлам ПО, за исключением библиотек, например, DLL, или ко всем файлам ПО, включая библиотеки. Если по умолчанию задан уровень Запрещено (Disallowed ) и вы настроили применение политик к любым файлам ПО, для использования конкретной программы, вам необходимо будет настроить правила для библиотек DLL, используемых этой программой. Майкрософт не рекомендует ограничивать использование библиотек DLL, если среда, которой вы управляете, не требует повышенной безопасности. Это связано, главным образом, с тем, что управление правилами для библиотек DLL значительно увеличивает объем работы по сопровождению политик ограниченного использования программ.
Окно Свойства: Применение (Enforcement Properties ) позволяет настраивать применение политик ограниченного использования программ для всех пользователей или для всех пользователей, кроме администраторов. При помощи этой политики вы также можете задать, какие правила сертификатов будут принудительно применяться или игнорироваться. Недостаток принудительного применения правил сертификатов заключается в том, что они существенно снижают производительность компьютера.
Назначенные типы файлов
Политика Назначенные типы файлов (Designated File Types ), позволяет определять, по каким расширениям будут распознаваться исполняемые файлы, подпадающие под действие политик ограниченного использования программ. Список расширений редактируется при помощи кнопок Добавить (Add ) и Удалить (Remove ). Стандартные расширения (.com, .exe, и.vbs) удалить нельзя. Они всегда распознаются как исполняемые.
Правила пути
Правило пути позволяют указать в качестве объекта политики ограниченного использования программ файл, папку или параметр реестра. Чем конкретнее задано правило пути, тем выше его приоритет. Например, если у вас есть правило, задающее неограниченное использование файла C:\Program files\Application\App.exe , и правило, запрещающее использование файлов из папки C:\Program files\Application , приоритет будет иметь более специализированное правило: приложение будет выполняться. В правилах пути могут использоваться символы подстановки. Например, вполне возможно существование правила для пути C:\Program files\Application*.exe . Правила с использованием символов подстановки являются менее конкретными, чем правила, использующие полный путь к файлу. Недостатком правил пути является то, что в них предполагается неизменность расположения файлов и папок. Например, если вы создали правило пути для блокирования приложения C:\Apps\Filesharing.exe , злоумышленник сможет выполнить его, переместив файл в другую папку или присвоив ему другое имя. Правила пути работают только в том случае, если права доступа ОС не позволяют перемещать или переименовывать файлы.
Правила хеша
Правила хеша работают на основе цифрового отпечатка, который идентифицирует файл по его двоичному содержимому. Это означает, что файл, для которого вы создали правило хеша, будет идентифицирован независимо от его имени или расположения. Правила хеша работают для любых файлов и не требуют наличия цифровой подписи. Недостаток правил хеша в том, что их необходимо создавать отдельно для каждого файла. Нельзя автоматически создать правила хеша для политик ограниченного использования программ; вы должны генерировать каждое правило вручную. Также необходимо изменять правило хеша при каждом обновлении приложения, для которого действует правило, поскольку при обновлении ПО изменяется двоичное содержимое файла. Это означает, что измененный файл перестанет совпадать с первоначальным цифровым отпечатком.
Правила сертификатов
Правила сертификатов используют сертификаты издателя ПО с зашифрованной подписью для идентификации приложений, подписанных конкретным издателем. Правила сертификатов позволяют распространять на несколько приложений одно правило, гарантирующее такую же безопасность, что и правила хеша. Правила сертификатов не нужно изменять даже при обновлении ПО, поскольку модернизированное приложение по-прежнему будет подписано с использованием сертификата того же производителя. Для настройки правила сертификатов вам необходимо получить от производителя сертификат. Правила сертификатов увеличивают нагрузку на компьютер, поскольку перед началом выполнения приложения необходимо проверять действительность сертификата. Другой недостаток правил сертификатов в том, что они применяются ко всем приложениям данного производителя. Если на компьютере установлено двадцать приложений данной фирмы, а вы хотите разрешить выполнение лишь одного из них, вам предпочтительнее использовать другие правила. В противном случае пользователи смогут выполнять любые из этих двадцати приложений.
Правила сетевой зоны
Правила интернет-зоны применяются только к пакетам установщика Windows (.msi) , полученным при помощи Internet Explorer. К другим приложениям, например файлам .ехе , правила зоны неприменимы, даже если эти файлы также получены через Internet Explorer. Правила зоны определяют возможность использования пакета в зависимость от сайта, с которого он был скачан. Возможные расположения включают Интернет, интрасеть, ограниченные сайты (Restricted Sites), доверенные сайты (Trusted Sites) и Мой компьютер.
Более подробную информацию о политиках ограниченного использования программ вы найдете по адресу
Несмотря на то, что в составе Windows есть инструменты для ограничения доступа, на практике оказывается, что они не слишком удобны, причем в самых заурядных ситуациях. Достаточно упомянуть такие простые примеры, как установка пароля на директорию или запрет на открытие Панели управления.
Можно отметить, что в Windows 8, по сравнению с предшествующей ей Windows 7, был усовершенствован родительский контроль. Сейчас с ним можно ознакомиться в разделе «Семейная безопасность» Панели управления. Фильтр имеет следующие возможности:
- Фильтрация посещения веб-сайтов
- Ограничения по времени
- Ограничения на Магазин Windows и игры
- Ограничения на приложения
- Просмотр статистики активности пользователей
Из перечисленного ясно, что даже эти функции помогут администратору компьютера решить многие частные моменты. Поэтому далее пойдет речь о небольших программах, которые позволяют ограничить доступ к информации и системным разделам в дополнение к стандартным инструментам управления ОС Windows.
Лицензия: Shareware ($69)
Программа Security Administrator напоминает типичный системный твикер, но только с акцентом на системную безопасность. Каждая из опций отвечает за определенное ограничение, поэтому общее древо настроек так и называется - «Restrictions». Оно делится на 2 раздела: общие (Common Restrictions) и пользовательские ограничения (User Restrictions).
В первой секции - параметры и подразделы, которые касаются всех пользователей системы. К ним относятся загрузка и вход в систему, сеть, Проводник, собственно Интернет, система, Панель управления и другие. Условно их можно разделить на ограничения онлайн- и офлайн-доступа, но разработчики особо сложной разбивки по вкладкам не рассмотрели. По сути, достаточно и того, что каждый «твик» имеет описание: какое влияние на безопасность оказывает та или иная опция.
Во втором разделе, User Restrictions, можно настроить доступ для каждого пользователя Windows индивидуально. В список ограничений входят разделы Панели управления, элементы интерфейса, кнопки, горячие клавиши, съемные носители и др.
Предусмотрен экспорт настроек в отдельный файл, чтобы его можно было применить, например, на других системных конфигурациях. В программу встроен агент для слежения за активностью пользователей. Файлы журнала помогут администратору проследить потенциально опасные действия пользователя и принять соответствующие решения. Доступ к Security Administrator можно защитить паролем - в далее рассматриваемых программах это опция также имеется де факто.
Из недостатков - небольшой список программ, для которых можно применить ограничения: Media Player, MS Office и т. п. Популярных и потенциально опасных приложений намного больше. Усложняет работу отсутствие актуальной для Windows 8 версии и локализации - это как раз тот вариант, когда сложно обходиться без начальных знаний английского.
Таким образом, программа предназначена как для ограничения доступа, так и для гибкой настройки параметров безопасности ОС.
Лицензия: trialware ($23,95)
В WinLock нет распределения настроек на общие и пользовательские, вместо этого имеются разделы «Общие», «Система», «Интернет». В сумме, возможностей меньше, чем предлагает Security Administrator, но такая логика делает работу с программой более удобной.
К системным настройкам относятся ограничения элементов Рабочего стола, Проводника, меню «Пуск» и им подобных. Также можно установить запрет на определеные горячие клавиши и всевозможные меню. Если интересуют только эти аспекты ограничений - ниже см. программу Deskman.
Ограничения функций Интернета представлены весьма поверхностно. Они заменяют один из компонентов Семейной безопасности: блокировка доступа к сайтам. Безусловно, любой файрволл по этой части будет оптимальным решением. Отсутствие же возможности хотя бы задать маску для веб-узлов делает данный раздел WinLock маловажным для опытного пользователя.
Кроме названных разделов, следует упомянуть «Доступ», где доступно управление приложенями. Любую программу легко занести в черный список по названию либо ручным добавлением.
В разделы «Файлы» и «Папки» можно поместить данные, которые необходимо скрыть от других пользователей. Пожалуй, не хватает парольной защиты доступа (для этого нужно обратиться к помощи других программ, см. ниже).
Лицензия: freeware
WinGuard можно использовать для блокировки приложений и разделов Windows, а также для шифрования данных. Программа распространяется в двух редакциях - бесплатной и Advanced. Функциональные отличия между ними невелики - несколько опций в одноименной вкладке «Advanced». Среди них отключение Internet Explorer, Проводника, процесса установки, записи файлов на USB.
Контроль над запуском приложений осуществляется во вкладке «Task Lock». Если нужной программы нет в списке, ее можно добавить самостоятельно, указав название в заголовке либо выбрав из списка открытых в данный момент приложений (аналогично WinLock). Если же сравнивать функцию блокировки с Security Administrator, в случае с WinGuard можно отключить ограничения для администраторского аккаунта. Однако настроить черный список приложений для каждого пользователя нельзя.
Шифрование доступно посредством раздела Encryption. Реализован пользовательский интерфейс неудобно: нельзя составить список для обработки, нет контекстного меню. Все, что нужно сделать - это указать директорию, которая будет являться и исходной, и конечной. Все содержащиеся файлы будут зашифрованы в 128-битный AES (Advanced Encryption Standard). Аналогичным образом производится расшифровка.
Таким образом, функциональность достаточно бедная, даже если взять во внимание платную версию.
Лицензия: shareware ($34,95)
Еще одна программа для AES-шифрования данных, и все же отличие от WinGuard весьма заметно.
Во-первых, выбор файлов для шифрования происходит быстрее. Не нужно выбирать каждую папку по-отдельности, достаточно составить список директорий и файлов. При добавлении Advanced Folder Encryption требует выставить пароль для шифрования.
Вы, в программе нет возможности указать метод защиты, вместо этого позволяется выбрать метод Norman, High или Highest.
Второй удобный момент - шифрование через контекстное меню и расшифровка файлов одним кликом. Нужно понимать, что без установленной Advanced Folder Encryption данные не удастся просмотреть даже зная пароль. В этом отличие от архиваторов, которыми можно запаковать файлы в зашифрованный и всюду доступный exe-архив.
При выборе большого количества файлов для шифрования, как было замечено, не срабатывает кнопка отмены. Поэтому нужно быть осторожным, чтобы не получить результат в виде битого файла.
Лицензия: trialware (€39)
Программа для ограничения доступа к элементам интерфейса и системным разделам. Пожалуй, тут ее уместно сравнить с Security Administrator за той разницей, что Deskman более сконцентрирован на Рабочем столе. Системные опции также присутствуют, но это, скорее, то, что не подошло в другие разделы: отключение кнопок перезагрузки, Панели управления и другие смешанные опции.
В разделе Input - отключение горячих клавиш, функциональных кнопок и функций мыши. Помимо имеющегося списка, можно определить сочетания клавиш самостоятельно.
Любопытна опция Freeze, которая доступна на панели инструментов. По ее нажатию формируется «белый список» из приложений, запущенных в данный момент. Соответственно, не входящие во whitelist программы недоступны до того момента, пока функция Freeze не будет отключена.
Еще одна возможность, связанная с уже онлайн, - защищенный веб-серфинг. Суть «защищенного» метода заключается в том, что доступны будут только те страницы, которые содержат в заголовке определенные ключевые слова. Эту функцию можно назвать разве что экспериментальной. Вдобавок, акцент делается на Internet Explorer, который, безусловно, является стандартным браузером, но явно не единственным.
Следует отметить удобное управление программой. Для применения всех установленных ограничений достаточно нажать кнопку «Secure» на панели, либо босс-клавишу для снятия ограничений. Второй момент - поддерживается удаленный доступ к программе посредством веб-интерфейса. После предварительной настройки он доступен по адресу http://localhost:2288/deskman в виде панели управления. Это позволяет следить за пользовательской активностью (просмотр журналов), запускать программы, перезагружать компьютер/выходить из системы - как на одной, так и на нескольких машинах.
Password for Drive (Secure NTFS)
Лицензия: shareware ($21)
Программа работает только с файловой системой NTFS и использует ее возможности для хранения информации в скрытой области.
Для создания хранилища необходимо запустить Password for Drive с администраторскими правами и выбрать диск для создания хранилища. После этого файлы можно копировать в защищенную область с помощью виртуального диска. Для доступа к данным с другого компьютера не требуются администраторские права.
В качестве хранилища можно использовать также съемный носитель. Для этого предварительно нужно отформатировать диск, например, штатными инструментами Windows, в NTFS и установить Password for Drive в редакции portable.
Программа не отличается интуитивным и удобным интерфейсом, фактически управление осуществляется минимальным набором кнопок - «Открыть»/»Удалить хранилище» и «Активировать диск». В демонстрационном режиме возможно лишь протестировать функциональность программы, так как количество открытий хранилища ограничено сотней.
Лицензия: shareware ($19,95)
Программа предназначена для установки парольной данных на съемные носители.
В отличие от Secure NTFS, диалог настройки значительно более интуитивен, благодаря мастеру настройки. Так, для применения защиты необходимо подсоединить к компьютеру устройство, выбрать его в списке и следовать мастеру установки. После данной процедуры пользователь получает в свое распоряжение диск, защищенный паролем. Для разблокировки достаточно запустить exe-файл в корне диска и ввести пароль.
Зашифрованный диск при открытии доступен как виртуальный диск, с которым можно производить те же операции, что и с исходным. Не стоит забывать, что на компьютерах, где запрещен запуск сторонних программ (не находящихся в «белом» списке), доступ к содержимому будет закрыт.
Также на сайте разработчиков можно скачать другие программы для защиты данных, в том числе:
- Shared Folder Protector - защита файлов внутри сети;
- Folder Protector - защита файлов на съемных носителях.
Лицензия: freeware
Небольшая утилита, которая позволяет контролировать доступ пользователей к Реестру и файлам, находить уязвимости в выданных правах. Другими словами, программа будет полезна в том случае, если права доступа выставляются средствами Windows.
Удобство утилиты состоит в том, что ОС попросту не предоставляет средств для просмотра прав доступа к директориям в виде детального списка. Кроме файлов, также можно проверить доступ к веткам реестра.
Для проверки прав доступа необходимо указать директорию или раздел Реестра для сканирования и начать процесс сканирования. Результаты отображаются в виде колонок «Read»/»Write»/»Deny», соответствующих адресам. В свойства каждого из элементов списка можно зайти через контекстное меню.
Программа работает под всеми ОС семейства Windows NT.
Резюме
Утилиты, рассмотренные в обзоре, можно использовать в дополнение к базовому инструментарию Windows, комплексно и в довесок друг к другу. Их нельзя отнести в категорию «родительский контроль»: некоторые функции в чем-то схожи, но по большей части не совпадают.
И - утилиты-твикеры настроек безопасности, которые также можно использовать для отключения элементов Рабочего стола, системных разделов и др. В WinLock, кроме того, встроен интернет-фильтр и есть возможность блокировки файлов и папок.
В функции входит ограничение доступа к интерфейсу (превосходящее по гибкости и ), управление запуском приложений, интернет-фильтр.
Сочетает в себе функции шифровальщика и ограничителя доступа к программам и устройствам. имеет смысл рассматривать как замену WinGuard по части шифрования.
И ограничивают доступ к данным на съемных носителях.
Бесплатная удобная оболочка для проверки прав доступа пользователей к файлам и Реестру.
Я упомянул, что параллельно с этим циклом статей на моем блоге будут еще появляться статьи, посвященные так называемому «старшему брату» упомянутой выше технологии. Другими словами, иногда, по некоторым причинам вы в своей организации не сможете использовать AppLocker, например, одна из причин та, что помимо компьютеров, работающих под операционной системой Windows 7, большая часть ваших пользователей может работать, скажем, под операционными системами Windows XP. А как вы знаете, у технологии AppLocker есть такое «замечательное ограничение», связанное с платформой, на которую будут распространяться настроенные вами политики.
Соответственно, как вы уже догадались, данная статья является введением в работу с технологией, которая называется политиками ограниченного доступа к программам, появившейся еще во времена Windows XP, которая позволяет управлять возможностями приложений на компьютерах ваших пользователей. Так как обо всех преимуществах и недостатках данной технологии по сравнению с AppLocker я уже писал во вводной статье цикла по AppLocker, думаю, нет смысла дублировать одну и ту же информацию. Поэтому, в данной статье будет рассказываться о том, что такое политики ограниченного доступа к программам, также как и для чего можно создать такие политики.
Что такое политики ограниченного использования программ?
Перед тем как начать создавать очередные объекты групповой политики с соответствующими параметрами безопасности, прежде всего, следует определиться, что же представляют собой политики ограниченного использования программ (Software Restriction Policies, SRP). Данная технология, которая входит в состав групповой политики, предоставляет функциональные возможности, предназначенные для обеспечения контроля над приложениями, запускаемыми пользователями на своих рабочих местах.
Как вы помните, технология AppLocker предоставляет, по сути, практически такие же возможности, однако, именно SRP в этом направлении можно назвать «старожилом», так как данная технология старше AppLocker более чем на 5 лет, а если говорить точнее, то технология SRP появилась в октябре 2001 года, вместе с выходом операционной системы Windows XP. Точно так же, как и в случае с AppLocker, используя функциональные возможности данной технологии, запрещённое при помощи SRP программное обеспечение не будет удаляться с пользовательского компьютера, а пользователь, в свою очередь, не сможет запустить такое приложение или же выполнить какие-то специфические действия.
Во вводной статье по AppLocker изо всех сравнений функциональных возможностей этих двух технологий (а именно, политик ограниченного использования программ и AppLocker), я не упомянул, что в том случае, если в одном объекте групповой политики будут настроены и параметры политик ограниченного доступа к программам и правила AppLocker, то на компьютерах под управлением ОС Windows 7 будут применяться только политики AppLocker. Также следует обратить внимание на тот момент, что, в отличие от политик, настроенных при помощи технологии AppLocker, все параметры SRP будут применяться не к определенному пользователю или группе пользователей, а ко всем пользователям, которые будут выполнять вход на компьютер, на который будут распространяться политики SRP.
Несмотря на все преимущества технологии, которая будет рассмотрена в нескольких статьях данного цикла, все запреты, распространяемые при помощи функциональных возможностей политик ограниченного использования программ можно обойти. Политики SRP не будут распространяться на пользователя в том случае, если пользователь выполнит вход на свой компьютер в безопасном режиме. Вот такой, получается, в какой-то степени, недостаток. Однако, если пользователям не говорить об этом моменте, вряд ли они будут в своих целях использовать данный чит.
Создание политики ограниченного использования программ
Если в случае с технологией AppLocker, вы можете не настраивать дефолтные политики для создания своих правил, то с политиками ограниченного использования программ без правил, создаваемых по умолчанию, вы работать не сможете. Соответственно, чтобы вам была предоставлена возможность создания и изменения таких политик, для начала вам следует создать предустановленные политики. Итак, чтобы создать свою политику ограниченного использования программ, нужно выполнить следующие действия:
1. При помощи оснастки «Управление групповой политики» создайте новый объект групповой политики, скажем, «Ограничения для всех пользователей компании» , после чего откройте окно редактора управления групповыми политиками;
2. Политики SRP могут распространяться как на компьютеры организации, так и на самих пользователей, то есть, необходимый узел оснастки редактора управления групповыми политиками можно найти как в конфигурации компьютера, так и в конфигурации пользователя. Предположим, что в данном случае следует, чтобы политики SRP распространялись на всех пользователей в организации. Поэтому в отобразившейся оснастке разверните узел Конфигурация компьютера\Политики\Конфигурация Windows \Параметры безопасности и перейдите к узлу «Политики ограниченного использования программ» . Здесь, как я уже упомянул выше, для того чтобы начать работать с политиками ограниченного использования программ, вам следует создать политики по умолчанию. Для этого нужно нажать на данном узле правой кнопкой мыши и из контекстного меню выбрать команду «Создать политику ограниченного использования программ» , как показано на следующей иллюстрации:
Рис. 1. Создание первых политик ограниченного использования программ
3. После выполнения данной команды, будут созданы два дополнительных узла, а также три параметра политики, предназначенных для настройки функциональных возможностей политики ограниченного использования программ. Узел «Уровни безопасности» позволяет вам указать, какие разрешения будут установлены в политиках SRP. Таких уровней немного, а именно три:
· Запрещено . При выборе данного уровня, несмотря на все разрешения, которые не указанны в политиках в явном виде, программное обеспечение не будут запускаться у пользователей, на которых распространяются политики SRP;
· Обычный пользователь . В данном случае, пользователи смогут запускать приложения под пользовательским маркером доступа;
· Неограниченный . Выбрав этот уровень безопасности, программное обеспечение будет запускаться, в зависимости от прав пользователя. Кстати, при первом создании политик SRP, по умолчанию для таких правил автоматически устанавливается уровень «Неограниченный» . Естественно, чтобы компоненты операционной системы нормально функционировали, для некоторых создаваемых политик SRP, следует указывать именно этот уровень.
Соответственно, чтобы изменить уровень безопасности по умолчанию, следует выбрать необходимый уровень безопасности и из контекстного меню выбрать команду «По умолчанию» . Пример изменения уровня безопасности по умолчанию отображен на следующей иллюстрации:
Рис. 2. Изменение уровня безопасности по умолчанию
4. При помощи узла «Дополнительные параметры» вы можете создавать правила, предназначенные для создания и управления политиками ограниченного использования программ. По умолчанию, при создании первой политики, которая была создана на втором шаге данного руководства, создается два первых правила. Это правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, которое позволяет запускать любые приложения из папки Windows, а также правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, позволяющее запускать программы из папки Program Files. Правила для пути позволяют идентифицировать программы по расположению соответствующим файлам. Обычно правила для пути создаются с использованием точного пути к файлу, однако при создании таких правил вы можете использовать еще и такие переменные как %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Также, как и в случае с правилами по умолчанию, вы можете использовать разделы системного реестра.
Желательно не изменять правила, созданные по умолчанию, а в том случае, если вам необходимо ограничить доступ пользователей к каким-то определенным программам, следует создавать отдельные запрещающие правила.
Однако, несмотря на то, что данные правила будут отлично отрабатываться на клиентах, под операционными системами Windows XP, если у ваших пользователей будет установлена 64-разрядная операционная система Windows 7, у них могут возникнуть некоторые проблемы. И вот тут у ваших пользователей при попытке запуска любых приложений из папки « Program Files (x 86)» может возникнуть ошибка, свидетельствующая о том, что пользователю запрещается выполнять любые приложения из соответствующего расположения.
В связи с этим следует создать новое правило для пути, позволяющее запускать приложения из соответствующих папок. Для этого в области сведений данного узла вызовите контекстное меню и выберите команду «Создать правило для пути» . В отобразившемся диалоговом окне следует выбрать неограниченный уровень безопасности (так как нужно, чтобы пользователи могли запускать программы из выбранного расположения), а также указать раздел реестра %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%.
При желании, вы можете в текстовом поле «Описание» добавить какую-то дополнительную информацию. Диалоговое окно нового правила пути показано на следующей иллюстрации:
Рис. 3. Создание правила для разрешения запуска программ, расположенных в папке Program Files (x 86)
5. Теперь, в качестве примера, будет создано еще одно правило пути, запрещающее запускать программу «Блокнот» из папки « System 32» . Для этого откройте диалоговое окно создания правила для пути, в текстовом поле «Путь» укажите путь к данной программе, в данном случае это «C:\Windows\System32\notepad.exe» , из раскрывающегося списка «Уровень безопасности» выберите «Запрещено» и добавьте какое-то описание, например, «Запрет на использование блокнота» , что можно увидеть на иллюстрации ниже:
Рис. 4. Создание запрещающего правила для блокнота
6. Теперь следует привязать созданный объект групповой политики к подразделению, содержащему учетные записи компьютеров компании. Закройте оснастку «Редактор управления групповой политики» и в дереве оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров (в моем случае, это подразделение «Клиенты» ), нажмите на нем правой кнопкой мыши, а затем из контекстного меню выберите команду «Связать существующий объект групповой политики» . В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК» .
Выполните вход на компьютер, расположенный в подразделении «Клиенты» и попробуйте открыть программу «Блокнот» . Как видно на следующей иллюстрации, при попытке открытия блокнота появится следующее диалоговое окно:
Рис. 5. Попытка открытия «Блокнот»
Заключение
Из этой статьи вы узнали о политиках ограниченного использования программ. Вы узнали о том, что представляют собой эти политики, о ситуации, когда такие политики не будут распространяться на пользователей, а также об уровнях безопасности, о политиках SRP по умолчанию и о создании новых политик ограниченного использования программ. В следующей статье данного цикла вы узнаете обо всех методах создания политик SRP.
