Для чего служит пункт назначенные типы файлов
Недавно одна кредитная организация наняла компанию, занимающуюся вопросами обеспечения безопасности, для имитации попытки взлома компьютеров своей сети. Специалисты компании успешно осуществили взлом компьютеров, для начала «подбросив» несколько USB-устройств на парковках и в «курилках» организации. Каждое устройство содержало исполняемый файл типа «троян». Сотрудники кредитной организации обнаружили большую часть устройств, подключили их к своим рабочим компьютерам и запустили исполняемый файл. Хотя нельзя быть уверенным в том, что ваши сотрудники или партнеры никогда не будут запускать файлы с найденных устройств, можно предотвратить возникновение описанной ситуации с помощью политик ограничения запуска программ Software Restriction Policies (SRP).
Политики SRP находятся в ведении службы Group Policy, которую можно использовать для ограничения запуска приложений на компьютерах с системами Windows Vista, Windows Server 2003 и Windows XP. Можно рассматривать политики SRP как аналог набора правил брандмауэра. В данном случае вы можете создать более общее правило, запрещающее или разрешающее запуск приложений, для которых не создано отдельных правил. Например, можно настроить общее правило, разрешающее запуск любых программ, и при этом отдельным правилом запретить запуск программы «Пасьянс». Или вы можете начать настройку с запрета запуска любых приложений и далее создавать правила SRP, разрешающие запуск конкретных приложений.
Можно создавать различные типы правил SRP, в том числе правило для зоны, правило для пути, правило для сертификата и правило для хеша. После небольшого обзора базовых понятий политик SRP я вкратце расскажу, как создавать правило каждого типа, но основное внимание будет уделено наиболее эффективному типу - правилам для хеша.
Исходные настройки
Вы можете настраивать политики SRP через разделы User или Computer службы Group Policy. Подобная гибкость позволяет применять политики к группам компьютеров или пользователей. Например, можно применить политику SRP, запрещающую пользователям играть в «Сапера» или «Пасьянс», к организационной единице, включающей сотрудников бухгалтерии. С другой стороны, можно применить политику SRP к группе компьютеров в общедоступной лаборатории колледжа, чтобы ограничить набор приложений, которые может устанавливать каждый, кто использует системы в тестовой лаборатории.
Чтобы активировать политики SRP, сначала создайте или отредактируйте объект Group Policy Object (GPO) и перейдите в окно Computer (или User) Configuration->Windows Settings->Security Settings->Software Restriction Policies. После этого щелкните правой кнопкой мыши на узле Restriction Policies и выберите пункт New Software Restriction Policies в контекстном меню.
После того, как вы активируете политики SRP, необходимо будет выбрать используемый уровень безопасности, Unrestricted или Disallowed. По умолчанию включен уровень Unrestricted, который разрешает запуск любых приложений, кроме запрещенных. И наоборот, режим Disallowed запрещает запуск любых приложений, кроме тех, для которых созданы исключения. Имейте в виду, что система Windows Vista предполагает третий уровень безопасности, Basic User, который вынуждает все приложения, кроме отдельно настроенных, работать с уровнем привилегий Basic User. Но так как эта статья посвящена запрету запуска приложений, мы не будем рассматривать уровень Basic User.
При серьезном подходе к ограничению использования неавторизованного программного обеспечения в организации рекомендуется выбирать уровень безопасности Disallowed. Для использования уровня Unrestricted требуется информация о том, какое именно программное обеспечение может быть запущено, что напоминает угадывание номеров лотерейных билетов. Хотя уровень Unrestricted может хорошо работать в безопасном окружении, где руководство просит вас отключить пользователям встроенные в систему Windows игры, его трудно задействовать в каком-либо решении с повышенными требованиями к безопасности. Однако если вы хотите заблокировать небольшое число приложений, не блокируя полностью компьютеры организации, стоит использовать уровень Unrestricted.
Рисунок 1: Установка уровня Disallowed в качестве уровня безопасности, используемого по умолчанию
По умолчанию в политиках SRP изначально существуют исключения для всех приложений, размещенных в папках %SystemRoot% и %SystemRoot%System32. Вы можете просмотреть эти исключения в окне Additional Rules для каждой политики. Эти правила предоставляют операционной системе минимальную функциональность, даже если выбран уровень безопасности Disallowed. Однако такие исключения дают злоумышленнику возможность скопировать исполняемый файл в одну из этих папок. Правила по умолчанию не делают различий между приложениями, например между cmd.exe и rootkit.exe, они лишь разрешают выполнение всех программ, размещенных в данных папках. Разрешения NTFS предоставляют некоторую защиту, не давая пользователям скопировать посторонние приложения в эти папки и запустить их. Но для того, чтобы по-настоящему защитить систему, необходимо заменить эти общие правила более жесткими.
Имейте в виду, что вы можете использовать политики SRP на компьютерах, которые не входят в рамки Active Directory (AD) (например ноутбуки), создав шаблон безопасности на основе компьютера использующего SRP и применив этот шаблон к локальной политике. Необходимо убедиться в том, что шаблон позволяет запускать утилиту Secedit, чтобы вы могли сделать отмену изменений или при необходимости обновить политику SRP.
Настройка общих политик
В узле Software Restriction Policies можно настроить следующие общие политики, которые определяют, каким образом система Windows применяет политики SRP: принуждение, назначенные типы файлов и доверенные издатели. Давайте рассмотрим каждый тип общих политик.
Принуждение. Принудительная политика используется для того, чтобы политики SRP применялись не только к исполняемым файлам типа «.exe», «.vbs» и всем остальным файлам, прописанным как исполняемые политики назначенных типов файлов, но и к библиотекам «.dll». Диалоговое окно Enforcement Properties, показанное на экране 2, позволяет применять политику SRP и к членам группы локальных администраторов.
Рисунок 2: Настройка политики принуждения для SRP
Для усиления безопасности необходимо включить в политику принуждения все типы программных файлов и применить ее ко всем пользователям. Однако создание отдельных правил для тысяч файлов «.dll» в стандартной комплектации Windows может потребовать нескольких недель работы. За исключением случаев, когда вам требуется максимально закрыть систему, более практичным и при этом достаточно надежным решением является использование политики принуждения без указания библиотек.
Имейте в виду, что в политику принуждения необходимо включить локальных администраторов. Если на компьютере требуется запустить приложение, не разрешенное в списках политик SRP, администратор может временно переместить систему в организационную единицу, на которую не распространяются данные политики.
Назначенные типы файлов. Политика назначенных типов файлов представляет собой список всех расширений - помимо стандартных расширений «.exe», «.dll» и «.vbs» - которые система Windows рассматривает как исполняемый код. На экране 3 изображено окно Designated File Types Properties. Если ваша организация использует тип файлов, не указанный в этом списке, например файлы Perl, вы можете добавить тип файла из этого диалогового окна.
Рисунок 3: Назначение исполняемых типов файлов
Доверенные издатели
Политика доверенных издателей используется для того, чтобы не дать пользователям добавить на свои системы новых доверенных издателей. Например, когда пользователи пытаются загрузить приложение с web-сайта компании Adobe, система спрашивает, хотят ли они сделать это приложение доверенным. Настройки политики определяют, кто может принимать решение о том, каким издателям доверять: конечные пользователи, локальные администраторы или корпоративные администраторы. Для обеспечения максимальной безопасности назначать доверенных издателей разрешается только корпоративным администраторам (как это сделать, показано на экране 4). Политика доверенных издателей также позволяет вам инициировать проверку списка отмененных сертификатов (CRL), чтобы выявить подлинность любого сертификата.
Рисунок 4: Предоставление прав на назначение доверенных издателей
Запрет или разрешение приложений
Теперь, когда мы познакомились с основными политиками SRP, давайте рассмотрим 4 типа правил, которые можно использовать для разрешения или запрета исполнения приложений: для зоны, для пути, для сертификата и для хеша.
Правила для зоны. Правила для зон Internet используются для ограничения или разрешения исполнения загруженных файлов «.msi» (для Windows Installer), в зависимости от зоны, из которой получен файл. Так как это правило применяется только к файлам «.msi», загруженным пользователями из Internet, этот тип политик SRP используется реже, чем остальные.
Для создания правила для зоны Internet щелкните правой кнопкой мыши на узле Additional Rules и выберите в контекстном меню пункт New Internet Zone Rule. Выберите Зону Internet и установите Уровень Безопасности в значение Unrestricted или Disallowed. В правиле для зоны Internet, настройка которого показана на экране 5, исполнение файлов «.msi», полученных из зоны Restricted sites, запрещено (уровень Disallowed).
Рисунок 5: Установка ограничений на зоны Internet
Правила для пути
Правила для пути позволяют указать папку или полный путь к приложению, которое может или не может быть выполнено. Недостатком правила для пути является то, что оно опирается исключительно на путь или на имя файла. Например, на экране 6 изображено правило для пути, которое разрешает запуск службы Outlook Express. Злоумышленники могут просто переименовать файл, содержащий вредоносный код, в «msimn.exe» и скопировать его в папку C:Program FilesOutlook Expressmsimn.exe. Так как задействуется правило для пути, файл, содержащий вредоносный код, считается разрешенным и может быть выполнен. Имейте в виду, что при настройке нескольких правил для пути приоритет будет иметь более «узкое» правило. Например, правило для пути C:directoryapplication.exe будет иметь приоритет перед правилом для пути C:directory.
Рисунок 6: Настройка правила для пути
Правила для сертификата
Правила для сертификата основаны на сертификатах, подписанных издателями. Основная проблема здесь заключается в том, что вам необходимо указать подписанный издателем сертификат. Кроме того, вы не можете использовать правило для сертификата, если требуется по-разному настроить политики для нескольких приложений одного и того же издателя. Например, вы не можете использовать данное правило, чтобы запретить сотрудникам играть в «Пасьянс», так как все игры, поставляемые вместе с Windows, подписаны тем же издателем, что и ключевые компоненты операционной системы, такие как служба IE.
Чтобы создать правило для сертификата, щелкните правой кнопкой мыши на узле Additional Rules и выберите пункт New Certificate Rule. Щелкните на кнопке Browse, укажите сертификат издателя (файл типа «.crt» или «.cer»), установите уровень безопасности в значение Unrestricted (или Disallowed) и щелкните на кнопке OK.
Правила для хеша. Правила для хеша я считаю лучшим типом политик SRP. Они не требуют от вас указания сертификата издателя, не берут за основу правила для зон Internet, и, так как для идентификации исполнительного файла они используют вычисленную контрольную сумму (хеш), злоумышленник не может запустить вредоносный код под новым именем в обход этого правила.
Правила для хеша используют контрольную сумму, рассчитанную для определенного файла. Например, блокирующее правило, использующее хеш программы notepad.exe из системы Windows 2003, не будет влиять на работу приложения «notepad.exe», поставляемого с системой XP Professional. А правило, использующее хеш программы notepad.exe из системы XP, не заблокирует приложение «notepad.exe», входящее в состав системы Vista. Хотя приложения, поставляемые с операционными системами, генерируют разный хеш в зависимости от версии системы, другие приложения - такие как Microsoft Word или Mozilla Firefox - генерируют одинаковую контрольную сумму вне зависимости от того, на какую систему они установлены:Vista, Windows 2003 или XP.
Для вычисления хеша необходим доступ к бинарному исполняемому файлу на том компьютере, где вы настраиваете объект GPO. Если вы создаете объект GPO на контроллере домена (DC), вы можете добавить сетевой диск на моделируемую систему, используя общую папку администратора, такую как XP-REF-SYSC$. После этого выбор исполняемого файла сводится к его поиску на сетевом диске.
При конфликте правил SRP правила для хеша имеют приоритет перед всеми другими. Также имейте в виду, что файлы, которые вы переименовываете или перемещаете в другое место, сохраняют свои контрольные суммы. Поэтому, если вы используете правило для блокирования файла, например исполняемого модуля вируса, оно сработает даже в случае, если кто-то изменил имя вируса.
Основной недостаток использования правил для хеша с политикой Disallowed заключается в том, что формирование исходного набора разрешенных приложений требует массы времени. Также нельзя забывать про необходимость обновления контрольной суммы каждый раз, когда изменяется версия приложения или устанавливается новое программное обеспечение. Для запуска обновленного приложения необходимо создать новое правило. Имейте в виду, что лучше создавать новые правила для обновленных приложений, чем менять под них старые, так как в вашей сети одновременно могут сосуществовать различные версии одного продукта. Со временем вы удалите правила для старых версий приложений.
Для создания правил для хеша, щелкните правой кнопкой мыши на узле Additional Rules службы Group Policy и выберите пункт Hash Rule. В появившемся окне New Hash Rule щелкните на кнопке Browse и выберите приложение, для которого хотите создать правило. При выборе приложения система Windows автоматически вычислит контрольную сумму файла, как показано на экране 7, и отобразит свойства файла в окне File information.
Рисунок 7: Создание правила для хеша
Настройка и отладка политик SRP
При создании политик SRP необходимо завести временную организационную единицу в службе AD и приписать к данной единице создаваемый объект GPO. После этого вы можете поместить туда тестовые учетные записи пользователей и компьютеров на время, необходимое вам для отладки политик SRP. После тестирования политик объекта GP можно прикрепить его к организационной единице, в которую входят реальные учетные записи пользователей и компьютеров. Убедитесь, что вы тщательно протестировали политики SRP - в лаборатории IT отдела и с пробной группой пользователей - прежде чем внедрять их в вашу организацию. Политики SRP имеют сложную структуру, и вы вряд ли сможете безошибочно настроить их с первого раза.
Если вам необходимо отладить ошибку в настройках политик SRP, можно просмотреть события, вызванные этими политиками (события под номером 865, 866 и 867), в локальном журнале компьютера. Также вы можете активировать более сложное отслеживание политик SRP, добавив строку LogFileName в следующий подраздел реестра: HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsSafer CodeIdentifiers. Строка LogFileName содержит путь к каталогу, в котором будет храниться файл журнала.
Следуйте правилам
Используя политики SRP, вы сможете запретить запуск в вашей системе нежелательных приложений - от отвлекающих игр до вирусов. Любая система (и Vista, и Windows 2003, и XP) предоставляет множество возможностей, которые позволят создать идеальные политики для вашей организации. Хотя реализация политики SRP исключительно на правилах для хеша требует большой работы, эти правила являются наиболее эффективными при защите компьютеров. Если бы кредитная организация из нашего примера реализовала политику SRP, согласно рекомендациям, приведенным в этой статье, внедренный «троян» никогда бы не был запущен, так как он не входил бы в список разрешенных приложений, организованный с помощью правил для хеша.
Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.
Добавление или удаление назначенного типа файлов
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Назначенные типы файлов.
Выполните одно из следующих действий.
Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.
- Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".
Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах "Конфигурация компьютера" и "Конфигурация пользователя".
Уровни безопасности и правила по умолчанию
Узел Уровни безопасности (Security Levels) позволяет задавать правила ограниченного использования программ по умолчанию. Правило по умолчанию применяется, когда к приложению не применима никакая другая политика. Одновременно допускается активировать только одно правило по умолчанию. Три правила по умолчанию таковы:
- Запрещено (Disallowed). Если включено это правило, пользователи смогут выполнять приложение, только если оно разрешено существующей политикой ограниченного использования программ.
- Обычный пользователь (Basic User). Если включено это правило, пользователи смогут выполнять приложения, для которых не требуются административные полномочия. К приложению, требующему административных полномочий, пользователи получат доступ, только если было создано правило, охватывающее это приложение.
- Неограниченный (Unrestricted). Если это правило задано в качестве правила по умолчанию, пользователь сможет выполнять это приложение, если оно не заблокировано существующей политикой ограниченного использования программ.
Если вы предполагаете ограничить возможности пользователей списком разрешенных приложений, настройте правило по умолчанию Запрещено (Disallowed). Это гарантирует запрет на запуск любого приложения, не разрешенного явным образом. Если вы хотите лишь заблокировать пару проблемных программ, но не хотите запрещать использование всех прочих приложений, используемых в вашей среде, настройте правило по умолчанию Неограниченный (Unrestricted). Это позволяет запускать любое приложение, если оно не заблокировано явным образом.
Сценарии использования политики ограничения программного обеспечения
Пользователи могут получать враждебный код во многих формах, начиная от собственных Windows исполняемых файлов (.exe файлов) до макросов в документах (таких как .doc файлы), в скрипты (например, VBS-файлы). Злоумышленники или злоумышленники часто используют методы социальной инженерии, чтобы пользователи выполняли код, содержащий вирусы и черви. (Социальная инженерия является термином для обмана людей в раскрытии пароля или какой-либо формы информации безопасности.) Если такой код активирован, он может создавать атаки типа "отказ в обслуживании" в сети, отправлять конфиденциальные или частные данные в Интернет, подвергнуть риску безопасность компьютера или повредить содержимое жесткого диска.
ИТ-организации и пользователи должны иметь возможность определить, какое программное обеспечение безопасно запускать и что нет. С большим количеством и формами, которые может принимать враждебный код, это становится сложной задачей.
Чтобы защитить сетевые компьютеры от враждебного кода и неизвестного или неподдерживаемого программного обеспечения, организации могут реализовать политики ограничения программного обеспечения в рамках общей стратегии безопасности.
Администраторы могут использовать политики ограниченного использования программ для решения следующих задач:
определить доверенный код;
разработать гибкую групповую политику для регулирования работы сценариев, исполняемых файлов и элементов ActiveX.
Политики ограниченного использования программ применяются операционной системой и приложениями (например, для создания сценариев), которые им соответствуют.
В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях:
Укажите, какое программное обеспечение (исполняемые файлы) может выполняться на клиентских компьютерах
запретить пользователям выполнять определенные программы на компьютерах с общим доступом;
Укажите, кто может добавлять доверенных издателей на клиентские компьютеры
Задайте область применения политик ограниченного использования программного обеспечения (укажите, влияют ли политики на всех пользователей или подмножество пользователей на клиентских компьютерах).
запретить работу исполняемых файлов на локальном компьютере, сайте, в подразделении или домене. Это уместно в тех случаях, когда политики ограниченного использования программ не применяются для решения потенциальных проблем со злоумышленниками.
Тщательно протестируйте новые параметры политики в тестовых средах перед применением параметров политики к домену.
Новые параметры политики могут действовать не так, как ожидалось первоначально. Тестирование снижает вероятность возникновения проблемы при развертывании параметров политики в сети.
Вы можете настроить тестовый домен, отделенный от домена организации, в котором можно протестировать новые параметры политики. Вы также можете проверить параметры политики, создав тестовый объект групповой политики и связав его с тестовой организацией. После тщательного тестирования параметров политики с тестовыми пользователями можно связать тестовый объект групповой политики с доменом.
Не устанавливайте программы или файлы запрещено без тестирования, чтобы узнать, какой эффект может быть. Ограничения на определенные файлы могут серьезно повлиять на работу компьютера или сети.
Введенные неправильно или введенные ошибки могут привести к неправильному вводу параметров политики, которые не выполняются должным образом. Тестирование новых параметров политики перед применением может предотвратить непредвиденное поведение.
Для обеспечения оптимальной безопасности используйте списки управления доступом в сочетании с политиками ограничения программного обеспечения.
- Пользователи могут попытаться обойти политики ограничений программного обеспечения путем переименования или перемещения запрещенных файлов или перезаписи неограниченных файлов. В результате рекомендуется использовать списки управления доступом (ACL), чтобы запретить пользователям доступ, необходимый для выполнения этих задач.
Различия и изменения в функциональных возможностях
В SRP для Windows Server 2012 и Windows 8 нет изменений.
Поддерживаемые версии
Политики ограниченного использования программного обеспечения можно настроить только на компьютерах под управлением не менее Windows Server 2003, включая Windows Server 2012 и по крайней мере Windows XP, включая Windows 8.
Некоторые выпуски клиентской операционной системы Windows, начиная с Windows Vista, не имеют политик ограничений программного обеспечения. Компьютеры, не администрируемые в домене групповая политика, могут не получать распределенные политики.
Сравнение функций управления приложениями в политиках ограниченного использования программного обеспечения и AppLocker
В следующей таблице сравниваются функции и функции компонента политик ограниченного использования программного обеспечения (SRP) и AppLocker.
— Исполняемые файлы
— Dlls
— Скрипты
— установщики Windows
— Исполняемые файлы
— Dlls
— Скрипты
— установщики Windows
— Упакованные приложения и установщики (Windows Server 2012 и Windows 8)
Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Откройте консоль управления групповыми политиками.
В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.
В дереве консоли щелкните Политики ограниченного использования программ.
Которому?
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или
User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".
Назначенные типы файлов
Для локального компьютера
Откройте окно "Локальные параметры безопасности".
В дереве консоли щелкните Политики ограниченного использования программ.
Которому?
- Параметры безопасности/Политики ограниченного использования программ
Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования.
Применение политик ограниченного использования программ к библиотекам DLL
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.
Политики ограниченного использования программ (Software Restriction Policies) — это технология клиентов Windows 7, доступная для Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики ограниченного использования программ управляются при помощи групповой политики. Соответствующий узел находится в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ (Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies). Для этих политик доступны параметры Неограниченный (Unrestricted), разрешающий выполнение приложений, и Запрещено (Disallowed), блокирующий выполнение приложений.
Ограничить выполнение приложений можно и при помощи прав файловой системы NTFS. Однако настройка прав доступа NTFS для большого числа приложений на многих компьютерах — очень трудоемкий процесс.
В принципе, возможности политик ограниченного использования программ и AppLocker во многом перекрываются. Преимущество политик ограниченного использования программ заключается в том, что они могут применяться на компьютерах Windows XP и Windows Vista, а также в изданиях Windows 7, не поддерживающих AppLocker. С другой стороны, в политиках ограниченного использования программ все правила должны настраиваться вручную, поскольку отсутствуют встроенные мастера для их создания. Политики ограниченного использования программ применяются в заданном порядке, в котором более конкретные правила имеют приоритет по сравнению с более общими правилами. Приоритет правил от более конкретизированных (правила хеша) до менее конкретизированных (по умолчанию) таков:
- Правила хеша (hash rules).
- Правила сертификатов (certificate rules).
- Правила пути (path rules).
- Правила зоны (zone rules).
- Правила по умолчанию (default rules).
Если для одной программы задано два конфликтующих правила, приоритет имеет более специализированное правило. Например, правило хеша, задающее неограниченное использование приложения, перекрывает правило пути, которым это приложение запрещено. В этом заключается отличие от политик AppLocker, где приоритеты не используются и блокировка по любому правилу всегда доминирует над разрешающим правилом.
В средах, где используются и политики ограниченного использования программ, и AppLocker, политики AppLocker имеют приоритет. Если политика AppLocker явным образом разрешает работу приложения, заблокированного политикой ограниченного использования программ, приложение будет выполняться.
Фильтрация параметров политики пользователя на основе членства в группах безопасности.
Вы можете указать пользователей или группы, для которых не требуется применять параметр политики, снимите флажки "Применить групповая политика" и "Чтение", расположенные на вкладке "Безопасность" диалогового окна свойств объекта групповой политики.
Если разрешение на чтение запрещено, параметр политики не загружается компьютером. В результате меньше пропускной способности потребляется путем скачивания ненужных параметров политики, что позволяет сети работать быстрее. Чтобы запретить разрешение на чтение, установите флажок"Запретить чтение", который находится на вкладке "Безопасность" диалогового окна свойств объекта групповой политики.
Чтобы использовать эту возможность, откройте оснастку "Локальные параметры безопасности" ("Панель управления - Администрирование - Локальная политика безопасности" или наберите secpol.msc из меню "Выполнить") и выберите в левой части оснастки пункт "Политики ограниченного использования программ".
Политики ограниченного использования программ предоставляют механизм идентификации программ и управления возможностями их выполнения. Существует два варианта установки правил ограничения:
- на все программное обеспечение устанавливается ограничение на запуск и создаются исключения, то есть список программ, разрешенных к выполнению;
- разрешается запуск любых программ и создается список исключений, запрещающий запуск некоторых программ, доступ к программам определяется правами пользователя
Для того чтобы выбрать один из вариантов как вариант по умолчанию, откройте пункт "Уровни безопасности" и выберите нужный уровень. По умолчанию установлен уровень безопасности "Неограниченный", то есть запуск любых программ разрешен и необходимо создать исключения для запрета запуска определенных программ.
Политики ограниченного использования программ распространяются только на исполняемые файлы, чтобы посмотреть список таких файлов, перейдите в пункт "Назначенные типы файлов". В этот список можно добавить новый тип файлов, соответственно на такие файлы будут распространяться все установленные правила, или удалить какой-то тип, исключив такие файлы из правил политик.
По умолчанию политики распространяются на всех пользователей компьютера. Но при создании некорректных правил (например политик ограничивающих запуск системных файлов), система может работать неправильно, при этом существует риск что вы не сможете вернуть систему в исходное состояние. Поэтому желательно распространять действие политик только на пользователей, исключив из области действия политик локальных администраторов. Для этого перейдите в пункт "Принудительный" и выполните соответствующие настройки.
Кроме того в пункте "Принудительный" существует возможность выбора, будут ли политики распространяться на файлы библиотек *.dll. Если политики будут распространяться и на файлы *.dll, то при установке уровня безопасности по умолчанию запрещающего выполнение программ, придется создавать дополнительные разрешения для каждой библиотеки которую использует программа, иначе программа будет работать некорректно.
Для ограничения запуска программ их следует идентифицировать, а затем установить правило. Рассмотрим два основных варианта:
Ограничение с помощью создания правила для хеша - хеш представляет собой своего рода цифровой "отпечаток пальцев", являющийся уникальным для программы или файла и вычисляющийся по специальным математическим алгоритмам. Файл может быть переименован или перемещен в другую папку или на другой компьютер, но его хеш останется неизменным. При внесении изменений в файл его хеш изменяется. Но как правило, код программы является неизменным и хеш однозначно идентифицирует файл. Чтобы создать правило для хеша, перейдите в пункт "Дополнительные правила", выберите в меню "Действие" пункт "Создать правило для хеша". В открывшемся окне вы можете или ввести заранее вычисленный хеш,
(например, для программы "Блокнот" это fc15cc1d4dda7e73939fc6ec7fadc98e:66048:32771)
или выбрать файл для вычисления хеша. В пункте "Безопасность" вы можете установить правило для вычисленного хеша программы:
- "Не разрешено" - программа не будет выполняться;
- "Неограниченный" - возможность запуска определяется правами пользователя.
В пункт "Комментарии" вы можете ввести заметки, объясняющие данное правило.
Ограничение с помощью создания правила для пути - правило для пути идентифицирует программы по полному пути к файлу или папке. То есть мы можем указать папку, программы из которой запускаться не будут (или наоборот, будут, в зависимости какое разрешение нам требуется создать). Чтобы создать правило для пути, перейдите в пункт "Дополнительные правила", выберите в меню "Действие" пункт "Создать правило для пути". При указании пути могут быть использованы подстановочные символы * (заменяет неограниченное количество символов) и ? (заменяет один символ) и общие пути, например %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. При указании в качестве пути папки правило распространяется на все вложенные папки и файлы. При конфликте правил для пути приоритет имеет правило с большим ограничением. Ниже приведен набор путей в порядке от высшего приоритета (наибольшее ограничение) к низшему приоритету.
диск:папка1папка2имя_файла.расширение
диск:папка1папка2*.расширение
диск:папка1папка2
диск:папка1
При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением. Например, если имеется правило для пути C:Windows с уровнем безопасности "Не разрешено" и правило для пути %windir% с уровнем "Неограниченный" (по сути это идентификация одного и того же пути разными способами), будет применяться более строгое правило с уровнем безопасности "Не разрешено".
Правило для хеша имеет приоритет над правилом для пути, то есть если мы имеем две правила, одно из них - правило для хеша notepad.exe с уровнем безопасности "не разрешено", а другое - правило для пути c:windowsnotepad.exe с уровнем безопасности "неограниченный", то будет действовать правило для хеша, то есть программа запущена не будет.
Небольшой пример использования политик для ограничения инсталляции программ пользователями, которые не являются членами группы администраторов и запрета запуска программ кроме программ установленных администратором (привожу самый общий вариант, не вдаваясь в подробности, предполагается что диск разбит на несколько разделов, а все программы установлены на системный диск, на практике может возникнуть потребность в создании дополнительных правил):
- устанавливаем уровень безопасности по умолчанию "Не разрешено";
- в пункте "Принудительный" устанавливаем применение политик для всех пользователей кроме локальных администраторов;
- создаем правило для пути для системного диска и устанавливаем уровень безопасности как "Неограниченный";
- устанавливаем ограничение на запись в системный диск для пользователей (оставляем чтение и выполнение и просмотр содержимого) с помощью средств ограничения доступа (NTFS) или с помощью программы Folder Guard (FAT32) (устанавливаем системный диск только чтение);
- устанавливаем исключения на запись и изменение некоторых нужных файлов на системном диске для пользователей (например, если какая-то программа хранит параметры конфигурации в файле, и пользователю разрешается изменять эти параметры), если это необходимо, с помощью средств ограничения доступа (NTFS) или с помощью программы Folder Guard (FAT32).
Политики ограничения использования программ вступают в силу после повторного входа пользователя в систему.
Что получаем в итоге: все программы установленные на системном диске работоспособны; запуск исполняемых файлов запрещен на всех разделах жесткого диска кроме системного, а также невозможен запуск с дискеты или CD, пользователи не имеют прав на запись в раздел диска на который установлена система, соответственно пользователи не могут запускать или инсталлировать никакие новые программы.
Можно создать файл журнала применения политик ограниченного использования программ, для этого откройте редактор системного реестра, перейдите в раздел
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers] и создайте строковый параметр
LogFileName=x:xxname.log где x:xxname.log - путь и имя файла журнала, например, c:MYLOGsafetylog.log Теперь каждое применение политики ограничения программ будет фиксироваться в этом файле. Файл рекомендуется использовать для отладки правил. Не забудьте выставить соответствующие права на этот файл чтобы он был доступен для записи от имени пользователя.
Будьте осторожны в применении запрещающих политик, особенно для системных файлов и папок. Многие приложения запускают другие приложения для выполнения различных задач. Следует быть уверенным, что все основные задачи используемых приложений учтены правилами.
Правила сертификатов
Правила сертификатов используют сертификаты издателя ПО с зашифрованной подписью для идентификации приложений, подписанных конкретным издателем. Правила сертификатов позволяют распространять на несколько приложений одно правило, гарантирующее такую же безопасность, что и правила хеша. Правила сертификатов не нужно изменять даже при обновлении ПО, поскольку модернизированное приложение по-прежнему будет подписано с использованием сертификата того же производителя. Для настройки правила сертификатов вам необходимо получить от производителя сертификат. Правила сертификатов увеличивают нагрузку на компьютер, поскольку перед началом выполнения приложения необходимо проверять действительность сертификата. Другой недостаток правил сертификатов в том, что они применяются ко всем приложениям данного производителя. Если на компьютере установлено двадцать приложений данной фирмы, а вы хотите разрешить выполнение лишь одного из них, вам предпочтительнее использовать другие правила. В противном случае пользователи смогут выполнять любые из этих двадцати приложений.
Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.
Откройте консоль управления (MMC).
В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.
Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.
В окне Выбор объекта групповой политики нажмите кнопку Обзор.
В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.
Щелкните Закрыть, а затем нажмите кнопку ОК.
В дереве консоли щелкните Политики ограниченного использования программ.
Которому?
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или
User Configuration/Windows Settings/Security Settings/Software Restriction Policies
Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".
Процедуры
Способы применения политик
Окно Свойства: Применение (Enforcement Properties), позволяет задать применение политик ограниченного использования программ ко всем файлам ПО, за исключением библиотек, например, DLL, или ко всем файлам ПО, включая библиотеки. Если по умолчанию задан уровень Запрещено (Disallowed) и вы настроили применение политик к любым файлам ПО, для использования конкретной программы, вам необходимо будет настроить правила для библиотек DLL, используемых этой программой. Майкрософт не рекомендует ограничивать использование библиотек DLL, если среда, которой вы управляете, не требует повышенной безопасности. Это связано, главным образом, с тем, что управление правилами для библиотек DLL значительно увеличивает объем работы по сопровождению политик ограниченного использования программ.
Окно Свойства: Применение (Enforcement Properties) позволяет настраивать применение политик ограниченного использования программ для всех пользователей или для всех пользователей, кроме администраторов. При помощи этой политики вы также можете задать, какие правила сертификатов будут принудительно применяться или игнорироваться. Недостаток принудительного применения правил сертификатов заключается в том, что они существенно снижают производительность компьютера.
Компоненты и архитектура политик ограниченного использования программного обеспечения
Политики ограничений программного обеспечения предоставляют механизм для операционной системы и приложений, соответствующих политикам ограничений программного обеспечения, чтобы ограничить выполнение программ во время выполнения.
На высоком уровне политики ограничений программного обеспечения состоят из следующих компонентов:
API политик ограниченного использования программного обеспечения. Интерфейсы программирования приложений (API) используются для создания и настройки правил, составляющих политику ограничений программного обеспечения. Существуют также API-интерфейсы политик ограничений программного обеспечения для запросов, обработки и применения политик ограничений программного обеспечения.
Средство управления политиками ограничений программного обеспечения. Это состоит из расширения "Политики ограничений программного обеспечения" оснастки локального редактора объектов групповая политика, которую администраторы используют для создания и изменения политик ограничений программного обеспечения.
Набор API и приложений операционной системы, вызывающих API политик ограничения программного обеспечения для обеспечения применения политик ограничений программного обеспечения во время выполнения.
Active Directory и групповая политика. Политики ограничений программного обеспечения зависят от инфраструктуры групповая политика для распространения политик ограничений программного обеспечения из Active Directory на соответствующие клиенты, а также для определения области и фильтрации применения этих политик на соответствующие целевые компьютеры.
Api Authenticode и WinVerify Trust, которые используются для обработки подписанных исполняемых файлов.
Просмотр событий. Функции, используемые политиками ограничений программного обеспечения, регистрируют события в журналы Просмотр событий.
Результирующий набор политик (RSoP), который может помочь в диагностике эффективной политики, которая будет применяться к клиенту.
Дополнительные сведения об архитектуре SRP, управлении правилами, процессами и взаимодействиями SRP см. в статье о работе политик ограниченного использования программного обеспечения в технической библиотеке Windows Server 2003.
Правила сетевой зоны
Правила интернет-зоны применяются только к пакетам установщика Windows (.msi), полученным при помощи Internet Explorer. К другим приложениям, например файлам .ехе, правила зоны неприменимы, даже если эти файлы также получены через Internet Explorer. Правила зоны определяют возможность использования пакета в зависимость от сайта, с которого он был скачан. Возможные расположения включают Интернет, интрасеть, ограниченные сайты (Restricted Sites), доверенные сайты (Trusted Sites) и Мой компьютер.
Более подробную информацию о политиках ограниченного использования программ вы найдете по адресу What Are Software Restriction Policies?
В этом разделе описываются политики ограничений программного обеспечения, когда и как использовать эту функцию, какие изменения были реализованы в прошлых выпусках, а также ссылки на дополнительные ресурсы, которые помогут вам создавать и развертывать политики ограничений программного обеспечения, начиная с Windows Server 2008 и Windows Vista.
Запрет применения политик ограниченного использования программ к локальным администраторам
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Применение.
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
- Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Если на компьютерах организации пользователи часто входят в локальную группу "Администраторы", то этот параметр можно не включать.
- Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.
При возникновении проблем с примененными параметрами политики перезапустите Windows в режиме Сейф.
- Политики ограничений программного обеспечения не применяются при запуске Windows в режиме Сейф. Если вы случайно заблокируете рабочую станцию с политиками ограничений программного обеспечения, перезагрузите компьютер в режиме Сейф, войдите в систему от имени локального администратора, измените политику, запустите gpupdate, перезагрузите компьютер и войдите в систему в обычном режиме.
Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
Откройте консоль управления групповыми политиками.
В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.
Которому?
- Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site
Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
В дереве консоли щелкните Политики ограниченного использования программ.
Where
Объект групповой политики [имя_компьютера] Policy/Computer Configuration или
User Configuration/Windows Settings/Security Settings/Software Restriction Policies
- Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
- Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
- Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.
Требования к системе
Политики ограничений программного обеспечения можно настроить только на компьютерах под управлением по крайней мере Windows Server 2003 и по крайней мере Windows XP. групповая политика требуется для распространения объектов групповая политика, содержащих политики ограничений программного обеспечения.
Изменение уровня безопасности по умолчанию для политик ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В области сведений дважды щелкните элемент Уровни безопасности.
Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.
В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.
- Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
- Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
- В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
- Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
- Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.
Создайте отдельный объект групповая политика для политик ограниченного использования программного обеспечения.
- Если вы создаете отдельный объект групповая политика (GPO) для политик ограничений программного обеспечения, вы можете отключить политики ограничений программного обеспечения в чрезвычайных ситуациях без отключения остальной части политики домена.
Правила хеша
Правила хеша работают на основе цифрового отпечатка, который идентифицирует файл по его двоичному содержимому. Это означает, что файл, для которого вы создали правило хеша, будет идентифицирован независимо от его имени или расположения. Правила хеша работают для любых файлов и не требуют наличия цифровой подписи. Недостаток правил хеша в том, что их необходимо создавать отдельно для каждого файла. Нельзя автоматически создать правила хеша для политик ограниченного использования программ; вы должны генерировать каждое правило вручную. Также необходимо изменять правило хеша при каждом обновлении приложения, для которого действует правило, поскольку при обновлении ПО изменяется двоичное содержимое файла. Это означает, что измененный файл перестанет совпадать с первоначальным цифровым отпечатком.
Создание новых политик ограниченного использования программ
Откройте окно "Политики ограниченного использования программ".
В меню Действие щелкните ссылку Создать политику ограниченного использования программ.
Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.
- Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
- Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".
Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.
Введение
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.
начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.
Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:
Правила пути
Правило пути позволяют указать в качестве объекта политики ограниченного использования программ файл, папку или параметр реестра. Чем конкретнее задано правило пути, тем выше его приоритет. Например, если у вас есть правило, задающее неограниченное использование файла C:\Program files\Application\App.exe , и правило, запрещающее использование файлов из папки C:\Program files\Application , приоритет будет иметь более специализированное правило: приложение будет выполняться. В правилах пути могут использоваться символы подстановки. Например, вполне возможно существование правила для пути C:\Program files\Application*.exe . Правила с использованием символов подстановки являются менее конкретными, чем правила, использующие полный путь к файлу. Недостатком правил пути является то, что в них предполагается неизменность расположения файлов и папок. Например, если вы создали правило пути для блокирования приложения C:\Apps\Filesharing.exe , злоумышленник сможет выполнить его, переместив файл в другую папку или присвоив ему другое имя. Правила пути работают только в том случае, если права доступа ОС не позволяют перемещать или переименовывать файлы.
Введение
Политики ограничений программного обеспечения предоставляют администраторам механизм на основе групповая политика для определения программного обеспечения и управления его возможностью запуска на локальном компьютере. Эти политики можно использовать для защиты компьютеров под управлением операционных систем Microsoft Windows (начиная с Windows Server 2003 и Windows XP Professional) от известных конфликтов и защиты компьютеров от угроз безопасности, таких как вредоносные вирусы и программы троянских лошадей. Кроме того, данные политики помогают создать конфигурацию с расширенными ограничениями для компьютеров, на которых разрешается запуск только определенных приложений. Политики ограниченного использования программ интегрируются со службой Microsoft Active Directory и групповой политикой. Политики можно создавать на изолированных компьютерах.
Они являются политиками доверия, то есть представляют собой правила, устанавливаемые администратором, чтобы ограничить выполнение сценариев и другого кода, не имеющего полного доверия. Расширение политик ограниченного использования программного обеспечения для редактора локальных групповая политика предоставляет единый пользовательский интерфейс, с помощью которого можно управлять параметрами ограничения использования приложений на локальном компьютере или на всем домене.
Рекомендации
Не изменяйте политику домена по умолчанию.
- Если вы не изменяете политику домена по умолчанию, вы всегда можете повторно применить политику домена по умолчанию, если что-то пошло не так с настроенной политикой домена.
При определении параметра по умолчанию запрещено использовать осторожность.
При определении параметра по умолчанию " Запрещено" все программное обеспечение запрещено, за исключением программного обеспечения, которое было явно разрешено. Любой файл, который требуется открыть, должен иметь правило политик ограничения программного обеспечения, которое позволяет открыть его.
Чтобы защитить администраторов от блокировки системы, если для уровня безопасности по умолчанию задано значение "Запрещено", автоматически создаются четыре правила пути реестра. Вы можете удалить или изменить эти правила пути реестра; однако это не рекомендуется.
Открытие окна "Политики ограниченного использования программ"
Читайте также: