Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2003 Администрирование Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения RSS

Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Текущий рейтинг: 4.02 (проголосовало 52)
 Посетителей: 76711 | Просмотров: 128875 (сегодня 0)  Шрифт: - +

Пошаговое руководство по созданию дополнительных правил

Следующие шаги помогут Вам при создании дополнительных правил. Чтобы проиллюстрировать принципы, лежащие в основе каждого шага, Вашему вниманию предлагаются примеры создания правил для Office XP.

Шаг 1. Перечислите все выполняемые приложения

Перечислите программное обеспечение, которое вы пытаетесь идентифицировать. В нашем примере с Office XP оно состоит из программ Microsoft Word, Excel, PowerPoint®, и Outlook®.

Шаг 2. Определитесь с типом правила

Обратитесь к Таблице 1 (В каких случаях использовать каждое правило), чтобы решить, какой тип правила использовать, а также определитесь с уровнем безопасности по умолчанию для Вашего правила. В нашем примере мы будем использовать правила для пути с уровнем безопасности по умолчанию Неограниченный (Unrestricted).

Шаг 3. Запишите папки, в которые установлено программное обеспечение

Перечислите все пути к папкам, в которые установлено программное обеспечение. Сделать это можно различными способами:

Посмотреть свойство Рабочая папка (Target) ярлыка файла.
Запустить все приложения, после этого нажать кнопку Пуск (Start), выбрать Выполнить (Run) и набрать команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда (Software Environment) и выберите Выполняемые задачи (Running Tasks).
Воспользоваться следующей командой: wmic.exe process get "ExecutablePath",  "ProcessID"

Для нашего случая Вы увидите следующие запущенные задачи:

"C:\Program Files\Microsoft Office\Office10\WINWORD.EXE"
"C:\Program Files\Microsoft Office\Office10\EXCEL.EXE"
"C:\Program Files\Microsoft Office\Office10\POWERPNT.EXE"
"C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE"

Шаг 4. Определите зависимые программы

Некоторые приложения могут в свою очередь запускать дополнительные программы для вспомогательных задач. Ваше приложение может зависеть от одной или нескольких вспомогательных программ. Например, Microsoft Word запускает приложение Microsoft Clip Organizer для управления объектами clipart. Microsoft Clip Organizer использует следующие программы:

C:\Program Files\Microsoft Office\Office10\MSTORDB.EXE
C:\Program Files\Microsoft Office\Office10\MSTORE.EXE

Microsoft Office также использует файлы из папки C:\P ogram Files\Common Files folder.

Шаг 5. Обобщите правила

На этом шаге сгруппируйте связанные между собой правила вместе, чтобы создать более общее правило. Рассмотрите возможность использования переменных среды, подстановочных знаков и правил для пути в реестре.

Продолжая рассматривать наш пример, мы видим, что все программы хранятся в папке C:\Program Files\Microsoft Office\Office10, поэтому достаточно использовать одно правило для пути, применимое к этой папке, вместо четырех отдельных правил для каждой программы. Кроме того, если на Ваших компьютерах Microsoft Office всегда установлен в папку Program Files, используйте переменную среды вместо указания явного пути. Таким образом наши правила будут выглядеть следующим образом:

%ProgramFiles%\Microsoft Office\Office10
%ProgramFiles%\Common Files

Шаг 6. Проверьте, что Вы не разрешили ничего лишнего

На этом шаге Вы смотрите, каким еще приложениям позволяют выполняться Ваши правила. Слишком общее правило может разрешить выполнение не запланированных Вами программ. Так, папка Office10 в нашем примере помимо прочего содержит программы:

FINDER.EXE
OSA.EXE
MCDLC.EXE
WAVTOASF.EXE

Поскольку этим программам разрешено выполняться, нам не придется менять наши правила.

Наверх страницы

Неявные правила, о которых необходимо помнить

При создании правил во время проектирования политики примите во внимание следующие аспекты.

Сценарии входа

Сценарии входа хранятся на центральном сервере. Часто эти серверы могут меняться при каждом входе пользователя в систему. Если Вы используете правило по умолчанию Не разрешено (Disallowed), убедитесь, что Вы создали правила, определяющие местонахождение файлов сценариев входа. Рассмотрите возможность использования подстановочных знаков для определения этих местоположений, если серверы входа имеют похожие имена.

Служба защиты файлов

Служба защиты файлов содержит архивные копии многих системных программ в папке, которая называется dllcache. Эти программы могут быть запущены пользователем, который знает полный путь к архивной копии. Если Вы не хотите разрешать пользователям запускать программы, находящиеся в архивной папке, Вы можете создать следующее правило: %WINDIR%\system32\dllcache, Не разрешено (Disallowed).

Общие местоположения файлов автозагрузки

Windows имеет много местоположений, содержащие ссылки на программы, автоматически выполняемые при загрузке. Если Вы забудете разрешить выполнение этих программ, пользователи будут получать сообщения об ошибках во время входа в систему.

Общие местоположения файлов автозагрузки включают в себя:

%USERPROFILE%\Start Menu\Programs\Startup
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
Win.ini, System.ini lines beginning with "run=" and "load="
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Антивирусные программы

Большинство антивирусных пакетов имеют программу-сканер, работающую в режиме реального времени и запускающуюся при входе пользователя в систему. Эта программа сканирует все файлы, к которым обращается пользователь, проверяя их на предмет возможного заражения вирусом. Убедитесь, что Ваши правила позволяют выполняться антивирусным программам.

Наверх страницы

Сценарии

В этом разделе рассматриваются некоторые распространенные проблемы и способы их решения с помощью политик ограниченного использования программ.

Блокирование вредоносных сценариев

Организации требуется защита от вирусов, являющихся сценариями. Вирус LoveLetter, относящийся к категории сетевых червей, по произведенным оценкам причинил ущерб на сумму от 6 до 10 миллиардов долларов. Этот червь, имеющий более 80 разновидностей, продолжает часто встречаться и до сих пор.

Червь LoveLetter, написанный на языке Visual Basic Script (VBS), встречается в виде файла LOVE-LETTER-FOR-YOU.TXT.VBS. Политика ограниченного использования программ блокирует этого червя, просто запрещая выполнение любых файлов .vbs.

Однако многие организации используют файлы .vbs для выполнения сценариев входа и управления системой. Блокирование всех файлов .vbs защищает организацию, но сценарии Visual Basic не могут более использоваться в необходимых целях. Политика ограниченного использования программ позволяет избежать этого, блокируя нежелательные сценарии VBS и разрешая выполнение допустимых.

Эта политика может быть создана при использовании правил, представленных в Таблице 4.

Таблица 4 - Правила для блокирования вредоносных сценариев
Уровень безопасности по умолчанию: Неограниченный (Unrestricted)   
Правила для пути   
*.VBS Не разрешено (Disallowed)
*.VBE Не разрешено (Disallowed)
*.JS Не разрешено (Disallowed)
*.JSE Не разрешено (Disallowed)
*.WSF Не разрешено (Disallowed)
*.WSH Не разрешено (Disallowed)
Правила для сертификатов   
Сертификат ИТ-отдела Неограниченный (Unrestricted)

Эта политика предотвращает выполнение всех файлов сервера сценариев Windows (WSH), кроме тех сценариев, которые имеют цифровую подпись ИТ-отдела. Информация о том, как получить сертификат и ставить цифровые подписи на файлы, содержится в Приложении.

Управление установкой программного обеспечения

Вы можете сконфигурировать компьютеры Вашей организации таким образом, чтобы разрешить установку только одобренного программного обеспечения. Для программного обеспечения, использующего технологию установщика Windows Installer, этого можно достичь при помощи политики, описанной в Таблице 5.

Таблица 5 - Правила для управления установкой программ
Уровень безопасности по умолчанию: Неограниченный (Unrestricted)   
Правила для пути   
*.MSI Не разрешено (Disallowed)
\\products\install\PROPLUS.MSI Неограниченный (Unrestricted)
Правила для сертификатов   
Сертификат ИТ-отдела Неограниченный (Unrestricted)

Эта политика предотвращает установку всех пакетов установщика Windows Installer. Политика позволяет устанавливать только пакеты, имеющие цифровую подпись ИТ-отдела, и пакет OWC10.MSI, расположенный в \\products\install. Информация о том, как получить сертификат и ставить цифровые подписи на файлы, содержится в Приложении.

Эта политика также демонстрирует способ использования приоритетов правил для пути и правил для сертификата, при помощи которого разрешается запуск только необходимого программного обеспечения. Чтобы сделать исключения для любых других пакетов, на которые Ваша организация не может или не хочет ставить цифровую подпись, Вы можете создать правила для хеша или правила для полного пути.

Деловой ПК

В некоторый случаях администратору может потребоваться управлять всем программным обеспечением, выполняющимся на компьютере. Это может произойти по следующей причине: даже если у пользователей недостаточно прав для замены системных файлов или файлов в общих папках (таких как Program Files), но им не запрещена запись файлов в какое-либо место на диске, они могут скопировать туда программу и запустить ее.

Вирусы, проникшие на компьютер таким путем, могут повредить систему, изменив файлы и параметры операционной системы; они могут также нанести огромный ущерб, используя не по назначению привилегии пользователей. Например, некоторые черви могут осуществлять массовую рассылку электронной почты, получив доступ к адресной книге пользователя. Даже обычные пользователи системы уязвимы для такого типа атаки.

До тех пор, пока пользователи не входят в группу администраторов на своих локальных компьютерах, политика, описанная в Таблице 6, защищает их от случайного выполнения вредоносного кода. Поскольку пользователи не могут изменять содержимое папок Program Files или Windows, они могут выполнять только программы, установленные администратором.

Таблица 6 - Политика для управления всем программным обеспечением компьютера
Уровень безопасности по умолчанию: Не разрешено (Disallowed)   
Применять политики ограниченного использования программ к следующим пользователям:   
Все пользователи, кроме администраторов   
Правила для пути   
%WINDIR% Неограниченный (Unrestricted)
%PROGRAMFILES% Неограниченный (Unrestricted)

Эта политика запрещает выполнение всех приложений, установленных на компьютере пользователя, кроме приложений, содержащихся в папках Windows и Program Files и их подпапках. Политика не применяется к администраторам.

Если пользователь получит вложение в сообщении электронной почты (например WORM.vbs), почтовая программа скопирует его в папку профиля (%USERPROFILE%) и попытается запустить оттуда. Поскольку папка профиля не является подпапкой папки Windows или Program Files, запускаемые оттуда приложения не будут выполняться.

Бывают случаи, когда программы, необходимые пользователю, установлены не только в папки %WINDIR% или %PROGRAMFILES% или наоборот, в этих папках есть программы, которые администратор хочет запретить запускать пользователю. В этих случаях администратор может сделать дополнительные исключения, как показано в Таблице 7.

Таблица 7 - Исключения для управления программным обеспечением компьютера
Правила для пути   
%WINDIR%\regedit.exe Не разрешено (Disallowed)
%WINDIR%\system32\cmd.exe Не разрешено (Disallowed)
\\CORP_DC_??\scripts Неограниченный (Unrestricted)
%HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\InoculateIT\6.0\Path\HOME% Неограниченный (Unrestricted)

Создав эти исключения, мы получим следующий результат:

Выполнение как командной строки (cmd.exe), так и редактора реестра (regedit.exe) не разрешено.
Создано исключение, позволяющее выполнять сценарии запуска на компьютере пользователя.
Использование подстановочного знака "?" позволяет применять правило к серверам \\CORP_DC_01, \\CORP_DC_02 и так далее.
Правило для пути в реестре позволяет антивирусному программному обеспечению выполняться на компьютере.

Разные политики для различных пользователей

В этом сценарии имеются компьютеры, на которых совместно работает множество пользователей. На всех компьютерах установлено одинаковое программное обеспечение, но администратор хочет предоставить доступ к определенной части приложений одной группе пользователей, и к другой части приложений - другой группе пользователей. При этом некоторые приложения будут использоваться совместно всеми группами.

Пример

В компьютерной лаборатории университета имеется 15 компьютеров с одинаковым программным обеспечением. На них установлены Microsoft Office, система автоматизированного проектирования (CAD) и компилятор Microsoft Visual C++®. Чтобы не нарушать условия лицензии на программное обеспечение, администратору лаборатории необходимо обеспечить следующее:

Любой студент может использовать Microsoft Office. Все студенты являются членами группы AllStudents.
Любой студент-проектировщик может использовать систему автоматизированного проектирования. Все студенты-проектировщики являются членами группы EngStudents.
Любой студент в области вычислительной техники может использовать компилятор Microsoft Visual C++. Все студенты в области вычислительной техники являются членами группы CSStudents.

Для достижения поставленной задачи администратор создает три объекта групповой политики с персонально настроенными политиками ограниченного использования программ. Фильтрация каждого объекта групповой политики осуществлена таким образом, что он применяется только к пользователям одной из групп AllStudents, EngStudents или CSStudents (в зависимости от того, для какой группы он предназначен).

Поскольку администратор хочет, чтобы политика применялась к студентам только при входе на компьютеры лаборатории (но не при входе на свои персональные компьютеры), он использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя  позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются.

Обратитесь к Таблицам 8, 9, 10 и Рисунку 8 ниже.

Для более подробной информации по конфигурированию замыкания на себя обратитесь к статье  Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).

Таблица 8 - Объект групповой политики пользователя A1, связан с доменом Lab Resource
Объект групповой политики пользователя A1, связан с доменом Lab Resource   
Фильтр: Для компьютеров домена установлено разрешение Применение групповой политики (Apply Group Policy)   
Уровень безопасности по умолчанию   
Не разрешено (Disallowed)   
Правила для пути   
%WINDIR% Неограниченный (Unrestricted)
%PROGRAMFILES%\Common Files Неограниченный (Unrestricted)
%PROGRAMFILES%\Messenger Неограниченный (Unrestricted)
%PROGRAMFILES%\Internet Explorer Неограниченный (Unrestricted)
%PROGRAMFILES%\Windows Media Player Неограниченный (Unrestricted)
%PROGRAMFILES%\Windows NT Неограниченный (Unrestricted)
 

Рисунок 8 - Организация групповой политики для компьютерной лаборатории 

Таблица 9 - Объект групповой политики пользователя A2, связан с доменом Lab Resource
Объект групповой политики пользователя A2, связан с доменом Lab Resource   
Фильтр: Для компьютеров домена и пользователей группы CSStudents установлено разрешение Применение групповой политики (Apply Group Policy)   
Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode)   
Уровень безопасности по умолчанию   
Не разрешено (Disallowed)   
Правила для пути   
%PROGRAMFILES%\Microsoft Visual Studio Неограниченный (Unrestricted)
 
Таблица 10 - Объект групповой политики пользователя A3, связан с доменом Lab Resource
Объект групповой политики пользователя A3, связан с доменом Lab Resource   
Фильтр: Для компьютеров домена и пользователей группы EngStudents установлено разрешение Применение групповой политики (Apply Group Policy)   
Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode)   
Уровень безопасности по умолчанию   
Не разрешено (Disallowed)   
Правила для пути   
%PROGRAMFILES%\CAD Application Неограниченный (Unrestricted)

Наверх страницы

Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 22.07.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
23.11.2009/11:06  Slava16w

Еще материал про ограничение политики доступа: http://www.diwaxx.ru/win/soft-policies.php Описание процессов Windows http://www.filecheck.ru/
Комментарии отключены. С вопросами по статьям обращайтесь в форум.