Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения
Посетителей: 76560 \| Просмотров: 128650 (сегодня 0)	Шрифт:

Опубликовано: 1 января 2002 г. | Обновлено: 25 мая 2004 г.
Переведено: 15 июня 2006 г.

Аннотация

Политики ограниченного использования программ являются новой функциональной возможностью операционных систем Microsoft® Windows® XP и Windows Server 2003. Эта важная функция предоставляет администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролирует возможность их выполнения. Политики ограниченного использования программ могут существенно повысить целостность и управляемость системы, что в конечном счете снижает стоимость владения компьютером.

На этой странице

	Введение
	Обзор политики ограниченного использования программ
	Архитектура политики ограниченного использования программ
	Опции политики ограниченного использования программ
	Проектирование политики ограниченного использования программ
	Пошаговое руководство по проектированию политики ограниченного использования программ
	Пошаговое руководство по созданию дополнительных правил
	Неявные правила, о которых необходимо помнить
	Сценарии
	Аспекты развертывания политик
	Устранение неполадок, связанных с политиками ограниченного использования программ
	Приложение
	Заключение
	Связанные ресурсы

Введение

Политики ограниченного использования программ являются частью стратегии корпорации Microsoft в сфере управления и обеспечения безопасности и призваны помочь предприятиям повысить надежность, целостность и управляемость компьютеров организации. Политики ограниченного использования программ являются одной из множества новых функциональных возможностей управления в операционных системах Windows XP и Windows Server 2003.

Эта статья предоставляет всестороннее рассмотрение вопросов использования политик ограниченного использования программ для того, чтобы:

•	Бороться с компьютерными вирусами
•	Регламентировать загрузку управляющих элементов ActiveX
•	Выполнять сценарии только с цифровой подписью
•	Обеспечивать установку только разрешенного программного обеспечения на системные компьютеры
•	Обеспечить безопасность компьютеров

Расширенные возможности управления

Операционная система Windows 2000 предоставила значительные возможности управления в платформе Windows. В Windows 2000 Вы могли управлять программным обеспечением Ваших компьютеров следующим образом:

•	Параметры приложения позволяли Вам однократно произвести настройку приложения через групповую политику и затем распространять эти настройки для всех пользователей домена, использующих это приложение.
•	Оснастка Установка программ (Software Installation) предоставляла способы централизованного управления распространением программного обеспечения в Вашей организации. Когда пользователь в первый раз запускал приложение из меню «Пуск», оно автоматически настраивалось и затем запускалось. Вы могли также публиковать приложения для групп пользователей, предоставляя им возможность установки этих приложений.
•	Параметры безопасности определяли конфигурацию безопасности внутри объектов групповой политики (GPO). Конфигурация безопасности включала в себя параметры для политик учетных записей, локальных политик, журнала событий, реестра, файловой системы, политик открытых ключей и других политик.

Windows XP и Windows Server 2003 расширяют возможности управления системы Windows 2000 за счет следующих нововведений:

•

Более подробная информация для диагностики и планирования, доступная через результирующий набор политик (Resultant Set of Policies, RSOP). Для более подробной информации смотрите статью Групповая политика Windows 2000 Windows 2000 Group Policy (EN).

•

Возможность использования фильтрации, предоставляемая инструментарием управления Windows (WMI). В Windows 2000 Вы могли применять политики, основанные на организационной информации службы каталогов Active Directory®. В Windows XP Вы можете использовать информацию WMI для применения групповых политик, например, к компьютерам с определенным номером сборки или определенным пакетом обновлений Windows.

Политики ограниченного использования программ интегрированы с операционной системой и общими модулями сценариев, что позволяет управлять работой программного обеспечения во время его выполнения. В Windows 2000 Вы могли спрятать приложения, удалив их из меню «Пуск» или скрыв команду Выполнить (Run). Новые политики ограниченного использования программ идут намного дальше, просто удаляя общие точки доступа к программному обеспечению.

Наверх страницы

Обзор политики ограниченного использования программ

В этом разделе обсуждается поведение вредоносного программного кода и проблемы, связанные с неизвестным кодом.

У вредоносного кода стало больше путей для проникновения

Поскольку использование сетей и Интернета в повседневной работе организаций растет с каждым днем, возможность столкнуться с вредоносным кодом сегодня намного выше, чем когда-либо ранее. Для сотрудничества люди используют все более сложные способы, такие как электронная почта, мгновенные сообщения и P2P-приложения. Возможности для сотрудничества постоянно расширяются, а вместе с тем увеличивается и риск вторжения в вашу систему компьютерных вирусов, червей и другого вредоносного кода. Помните: электронная почта и обмен мгновенными сообщениями могут распространять незапрашиваемый вредоносный код. Этот код может принимать множество форм, начиная с собственных исполняемых файлов Windows (.exe) и заканчивая макросами документов текстового процессора Word (.doc) и сценариями (.vbs).

Компьютерные вирусы и черви часто используют методы социотехники, чтобы обмануть пользователя и заставить его запустить приложение. Учитывая то огромное число и многообразие форм, которые может принимать код, пользователям становится трудно определить, что является безопасным для выполнения, а что нет. Активировавшись, вредоносный код может испортить содержимое жесткого диска, наводнить сеть DoS-атаками, отослать конфиденциальную информацию в Интернет или поставить под угрозу безопасность компьютера.

Проблема неизвестного кода

Вредоносный код не является единственной угрозой. Многие не вредоносные приложения также вызывают проблемы. Любое неизвестное программное обеспечение, не поддерживаемое организацией, может вызвать конфликт с другими приложениями или изменить важную информацию о конфигурации. Политики ограниченного использования программ были разработаны, чтобы помочь организациям контролировать не только вредоносный, но и любой другой неизвестный код.

Ответная реакция на неизвестный код

Политики ограниченного использования программ помогают организациям реагировать на неизвестный код путем:

•	Предоставления способа создания списков доверенных приложений, и приложений, не являющихся таковыми.
•	Предоставления гибкого подхода, основанного на использовании политик, для регулирования сценариев, исполняемых файлов и элементов управления ActiveX.
•	Автоматического приведения политики в исполнение.

Наверх страницы

Архитектура политики ограниченного использования программ

На Рисунке 1 изображены три составляющих политики ограниченного использования программ:

1.	Администратор создает политику для определенного сайта, домена или организационного подразделения Active Directory, используя оснастку Групповая политика (Group Policy) консоли управления MMC.
2.	Политика загружается на компьютер и применяется на нем. Политики пользователя применяются при его следующем входе в систему. Политики компьютера применяются во время загрузки машины.
3.	Когда пользователь запускает программу или сценарий, операционная система или сервер сценариев проверяет политику и применяет ее к данному приложению.

Неограниченный (Unrestricted) или Не разрешено (Disallowed)

Политика ограниченного использования программ создается с помощью оснастки Групповая политика (Group Policy) консоли управления MMC. Политика состоит из правила по умолчанию, которое определяет, позволено ли приложению выполняться или нет, а также из исключений из этого правила. Правило по умолчанию может иметь значение Неограниченный (Unrestricted) или Не разрешено (Disallowed) – что по существу означает: запускать или не запускать приложение.

Установка правила по умолчанию Неограниченный (Unrestricted) позволяет администратору определять исключения – например, набор программ, которые нельзя запускать. Более безопасным подходом является установка правила по умолчанию Не разрешено (Disallowed) и разрешать выполнение только известных и доверенных программ.

Уровень безопасности по умолчанию

Существуют два способа применения политик ограниченного использования программ:

•

Если администратору известно все программное обеспечение, которое должно выполняться, политика ограниченного использования программ может применяться для контроля выполнения только программ из этого списка доверенных приложений.

•

Если приложения, которые могут запускать пользователи, неизвестны, администраторы могут при необходимости предотвратить запуск нежелательных приложений или определенных типов файлов.

Четыре правила, которые идентифицируют программное обеспечение

Задачей правила является идентификация одного или нескольких приложений и определение возможности их выполнения. Создание правил в значительной степени состоит из определения приложений, являющихся исключением из правила по умолчанию. Каждое из них может иметь текстовое описание, которое помогает понять причину создания данного правила.

Политика ограниченного использования программ поддерживает четыре способа идентификации программного обеспечения:

•	Хеш – криптографический отпечаток файла
•	Сертификат – сертификат создателя программного обеспечения, используемый для цифровой подписи файла.
•	Путь – локальный или универсальный путь в формате UNC, указывающий местоположение файла
•	Зона – Зона Интернета

Правила для хеша

Правило для хеша – это криптографический отпечаток (серия байтов фиксированной длины), однозначно идентифицирующий файл независимо от того, где он расположен и как называется. При желании администратор может запретить пользователям запуск определенной версии программы. Это может произойти в случае, если программа имеет ошибки в безопасности или конфиденциальности или ставит под угрозу стабильность системы. Если использовать правило для хеша, то даже переименованная или перемещенная в другое место на диске программа все равно будет попадать под действие этого правила, поскольку оно основано на криптографическом расчете содержимого файла.

Правило для хеша состоит из трех фрагментов с данными, разделенных двоеточиями:

•	Значение хеша, зашифрованное алгоритмом хеширования MD5 или SHA-1
•	Длина файла
•	Код алгоритма хеширования

Оно имеет следующий формат:

[MD5 или SHA1 значение хеша]:[длина файла]:[код алгоритма хеширования]

Файлы с цифровой подписью будут использовать значение хеша, содержащееся в подписи – оно может быть зашифровано алгоритмом SHA-1 или MD5. Файлы, не имеющие цифровой подписи, будут использовать MD5 хеш.

Пример: Под действие следующего правила для хеша попадает файл длиной 126 байт. Содержимое этого файла соответствует значению хеша 7bc04acc0d6480af862d22d724c3b049, зашифрованному алгоритмом MD5. Алгоритм хеширования обозначен идентификационным номером 32771.

7bc04acc0d6480af862d22d724c3b049:126:32771

Правила для сертификата

Правило для сертификата определяет подписывание кода сертификатом издателя программного обеспечения. Например, организация может потребовать, чтобы все сценарии и элементы управления ActiveX были подписаны определенным набором сертификатов издателей программного обеспечения. Сертификаты, использующиеся в таком правиле, могут быть выданы коммерческими центрами сертификации, такими как VeriSign, Windows 2000/Windows Server 2003 PKI или являться самостоятельно подписанными сертификатами.

Правило для сертификатов является достаточно надежным способом идентификации программного обеспечения, потому что оно использует подписанные хеши, содержащиеся в подписи файла, для его идентификации независимо от названия или местоположения. Если Вы хотите сделать исключения из правила для сертификата, Вы можете идентифицировать их с помощью правил для хеша.

Правила для пути

В правиле для пути можно указать папку или полный путь к программе. Когда в правиле для пути указана папка, оно применяется ко всем программам, находящимся в этой папке и всех ее подпапках. Поддерживаются как локальные, так и универсальные пути в формате UNC.

Использование переменных среды в правилах для пути. В правиле для пути можно использовать переменные среды. Поскольку правила для пути обрабатываются в клиентской среде, возможность использования переменных среды (например, %USERPROFILE%) позволяет им приспособиться к определенной среде пользователя.

Важно: Переменные среды не защищены списками управления доступом (ACL). В случае, если пользователи смогут запустить командную строку, они смогут переопределить переменные среды на свое усмотрение.

Использование подстановочных знаков (wildcards) в правилах для пути. Правило для пути может содержать подстановочные знаки '?' и '*', позволяя правилам, таким как "*.vbs", применяться ко всем файлам сценариев Visual Basic®. Несколько примеров:

•	"\\DC-??\login$" matches \\DC-01\login$, \\DC-02\login$
•	"*\Windows" matches C:\Windows, D:\Windows, E:\Windows
•	"c:\win*" matches c:\winnt, c:\windows, c:\windir

Правила для пути в реестре. Многие приложения хранят пути к своим установочным папкам или рабочие каталоги в системном реестре. Вы можете создать правило для пути которое просматривает эти ключи реестра. Например, некоторые приложения могут быть установлены в любом месте файловой системы. Эти местоположения бывает трудно обозначить, если использовать конкретные пути (такие как C:\Program Files\Microsoft Platform SDK) или переменные среды (такие как %ProgramFiles%\Microsoft Platform SDK). Если программа хранит пути к своим рабочим каталогам в реестре, Вы можете создать правило для пути, которое будет использовать хранящееся в реестре значение, такое как

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir%.

Такой тип правила для пути называется правилом для пути в реестре и имеет следующий формат:

%[Куст реестра]\[Имя раздела реестра]\[Имя параметра]%

Примечание. Суффикс любого правила для пути в реестре не должен содержать символ «\» сразу же после последнего знака «%» в правиле.

•	Путь в реестре должен быть заключен между знаками процента («%»).
•	Параметр реестра должен быть либо строковым параметром (REG_SZ), либо расширяемым строковым параметром (REG_EXPAND_SZ). Вы не можете использовать HKLM в качестве аббревиатуры для HKEY_LOCAL_MACHINE или HKCU – в качестве аббревиатуры для HKEY_CURRENT_USER.
•	Если параметр реестра содержит переменные среды, при оценке политики будет использоваться их фактическое значение.
•	Правило для пути в реестре может также содержать окончание пути, такое как %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK* Это правило для пути в реестре идентифицирует папку, которую Microsoft Outlook XP использует для хранения вложений перед их запуском. Название папки вложений всегда начинается с «OLK», поэтому в правиле можно использовать подстановочные знаки. В качестве примера это правило применяется к следующему пути: C:\Documents and Settings\имя_пользователя\Local Settings\Temporary Internet Files\OLK4

Важно: Когда Вы задаете правило для пути, Вы должны проверить списки контроля доступа (ACL) для этого пути. Если пользователи имеют разрешение на запись в определенную папку, они могут изменять ее содержимое. Например, если Вы разрешите доступ к C:\Program Files, любой пользователь группы Опытные пользователи (Power Users) на локальном компьютере может копировать приложения в папку Program Files.

Приоритет правил для путей. Если приложение попадает под действие нескольких правил для пути, самым приоритетным будет являться правило с наиболее точным совпадением.

Ниже перечислен набор путей, начиная с самого приоритетного (наиболее точное совпадение) к наименее приоритетному (наиболее общее совпадение).

•	Диск:\Папка1\Папка2\ИмяФайла.Расширение
•	Диск:\ Папка1\Папка2\*. Расширение
•	*. Расширение
•	Диск:\ Папка1\Папка2\
•	Диск:\ Папка1\

Правила для зоны Интернета

Правило для зоны Интернета может идентифицировать программное обеспечение, загруженное из зоны Internet Explorer. Такими зонами являются:

•	Интернет (Internet)
•	Интрасеть (Intranet)
•	Ограниченные узлы (Restricted Sites)
•	Надежные узлы (Trusted Sites)
•	Мой компьютер (My Computer)

На данный момент правила для зоны Интернета действуют только для пакетов установщика Windows (Windows Installer) *.MSI. Они не распространяются на остальное программное обеспечение, загружаемое через Internet Explorer.

В каких случаях использовать каждое правило

Примечание: Каждое правило имеет связанный с ним глобальный уникальный идентификатор (GUID). Примером глобального уникального идентификатора является {f8c2c158-e1af-4695-bc93-07cbefbdc594}. Даже два одинаковых правила всегда будут иметь два разных GUID. Глобальные уникальные идентификаторы помогают Вам в процессе устранения неполадок, позволяя определить, какое правило используется и в какой политике оно содержится. Более подробная информация будет изложена далее в разделе Устранение неполадок, связанных с политиками ограниченного использования программ.

Таблица 1 - В каких случаях использовать каждое правило
Задача	Рекомендованное правило
Вы хотите разрешить или запретить выполнение определенной версии программы	Правило для хеша Укажите требуемый файл, чтобы создать хеш
Вы хотите идентифицировать программу, которая всегда устанавливается в один и тот же каталог	Правило для пути с использованием переменных среды %ProgramFiles%\Internet Explorer\iexplore.exe
Вы хотите идентифицировать программу, которая может быть установлена в любом месте на клиентских машинах	Правило для пути в реестре %HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME%
Вы хотите идентифицировать набор сценариев на центральном сервере	Правило для пути \\SERVER_NAME\Share
Вы хотите идентифицировать набор сценариев на нескольких серверах: DC01, DC02, и DC03	Правило для пути с использованием подстановочных знаков \\DC??\Share
Вы хотите запретить выполнение всех файлы .vbs, кроме тех, которые находятся в каталоге загрузочных сценариев	Правило для пути с использованием подстановочных знаков Для .VBS установить значение Не разрешено (Disallowed)* Для \\LOGIN_SRV\Share\.VBS установить значение Неограниченный (Unrestricted)*
Вы хотите запретить выполнение файла, устанавливаемого компьютерным вирусом, который всегда называется flcss.exe	Правило для пути Для flcss.exe установить значение Не разрешено (Disallowed)
Вы хотите идентифицировать набор сценариев, которые могут быть запущены из любого места	Правило для сертификата Используйте сертификат для цифровой подписи сценариев
Вы хотите разрешить установку программного обеспечения из зоны надежных узлов сети Интернет	Правило для зоны Интернета Для зоны Надежные узлы (Trusted Sites) установить значение Неограниченный (Unrestricted)

Приоритет правил

Правила оцениваются в определенном порядке. Правила, которые наиболее точно идентифицируют программу, имеют более высокий приоритет, чем менее конкретизированные правила.

•	Правило для хеша
•	Правило для сертификата
•	Правило для пути
•	Правило для зоны Интернета
•	Правило по умолчанию

Таблица 2 и следующие примеры показывают, как правила приводятся в действие при запуске программы.

Таблица 2 - Понимание приоритетов правил
Уровень безопасности по умолчанию: Неограниченный (Unrestricted)
Правила для хеша
Правило 1	Хеш файла pagefileconfig.vbs	Не разрешено (Disallowed)
Правила для сертификата
Правило 2	Сертификат IT Management	Неограниченный (Unrestricted)
Правила для пути
Правило 3	%WINDIR%\System32\*.VBS	Неограниченный (Unrestricted)
Правило 4	*.VBS	Не разрешено (Disallowed)
Правило 5	%WINDIR%	Неограниченный (Unrestricted)

Запускаемая программа: C:\WINDOWS\SYSTEM32\EventQuery.vbs

Программа попадает под действие следующих правил:

•	Правило 3, потому что это файл .vbs, хранящийся в папке System32.
•	Правило 4, потому что файл имеет расширение .vbs.
•	Правило 5, потому что файл хранится в подпапке папки Windows.

Правило 3 является самым приоритетным для этой программы. Поскольку Правило 3 имеет уровень безопасности Неограниченный (Unrestricted), этой программе будет позволено выполняться.

Запускаемая программа: C:\WINDOWS\SYSTEM32\pagefileconfig.vbs

Программа попадает под действие следующих правил:

•	Правило 1, потому что хеш, указанный в правиле совпадает с хешем файла.
•	Правило 3, потому что это файл .vbs, хранящийся в папке System32.
•	Правило 4, потому что файл имеет расширение .vbs.
•	Правило 5, потому что файл хранится в подпапке папки Windows.

Правило 1 является самым приоритетным для этой программы. Поскольку Правило 1 имеет уровень безопасности Не разрешено (Disallowed), этой программе не будет позволено выполняться.

Запускаемая программа: \\LOGIN_SRV\Scripts\CustomerScript1.vbs

Программа попадает под действие следующих правил:

•	Правило 2, потому что она имеет цифровую подпись сертификата, принадлежащего группе IT Management.
•	Правило 4, потому что файл имеет расширение .vbs.

Правило 2 является самым приоритетным для этой программы. Поскольку Правило 2 имеет уровень безопасности Неограниченный (Unrestricted), этой программе будет позволено выполняться.

Запускаемая программа: C:\Documents and Settings\user1\LOVE-LETTER-FOR-YOU.TXT.VBS

Программа попадает под действие Правила 4, потому что файл имеет расширение .vbs.

Правило 4 является самым приоритетным для этой программы. Поскольку Правило 4 имеет уровень безопасности Не разрешено (Disallowed), этой программе не будет позволено выполняться.

Наверх страницы

Страницы: 1 2 3 4 5 >

Автор: Артем Жауров aka Borodunter • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 22.07.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: