Приложение
Этот раздел содержит список назначенных по умолчанию типов файлов, форматы системного реестра и руководство по цифровому подписыванию файлов тестовыми сертификатами.
| Таблица 11 - Назначенные типы файлов по умолчанию |
| Расширение файла | Описание файла |
| . ADE | Расширение проекта Microsoft Office Access |
| . ADP | Проект Microsoft Office Access |
| . BAS | Модуль класса Visual Basic® |
| . BAT | Пакетный файл |
| . CHM | Файл справки компилированного языка HTML |
| . CMD | Сценарий Windows NT® |
| . COM | Приложение MS-DOS® |
| . CPL | Компонент панели управления |
| . CRT | Сертификат безопасности |
| . EXE | Приложение |
| . HLP | Файл справки Windows |
| . HTA | Приложения HTML |
| . INF | Информационный файл установки |
| . INS | Параметры связи через Интернет |
| . ISP | Параметры связи через Интернет |
| . JS | Файл JScript® |
| . JSE | Файл зашифрованного сценария JScript |
| . LNK | Ярлык |
| . MDB | Приложение Microsoft Access |
| . MDE | База данных MDE Microsoft Access |
| . MSC | Документ общей консоли |
| . MSI | Пакет установщика Windows Installer |
| . MSP | Исправления Windows Installer |
| . MST | Исходный файл Visual Test |
| . PCD | Образ Photo CD |
| . PIF | Ярлык к программе MS-DOS |
| . REG | Файл реестра |
| . SCR | Хранитель экрана |
| . SCT | Компонент сценария Windows |
| . SHS | Объект-фрагмент оболочки |
| . URL | Ярлык Интернета (URL) |
| . VB | Файл VBScript |
| . VBE | Файл зашифрованного сценария VBScript |
| . VBS | Файл сценария VBScript |
| . WSC | Компонент сценария Windows |
| . WSF | Файл сценария Windows |
| . WSH | Файл настроек сервера сценариев Windows |
Формат реестра
После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее.
Политика пользователя
Политика пользователя хранится в следующем разделе:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\
Политика компьютера
Политика компьютера хранится в следующем разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
Описание формата реестра
[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
CodeIdentifiers
DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000 – Неограниченный (Unrestricted), 0 – Не разрешено (Disallowed))
ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: список расширений для назначенных типов файлов)
TransparentEnabled, DWORD (Опции принудительного применения: 0 – Не применять политику, 1 – применять ко всем файлам, кроме библиотек DLL (Skip DLL), 2 – применять ко всем файлам)
PolicyScope, DWORD (Область действия: 0 – Применять для всех пользователей, 1 – Применять для всех пользователей, кроме администраторов (Skip Administrators)), только для HKLM
[Необязательные значения реестра. Должны быть заданы вручную]
AuthenticodeEnabled, DWORD (Разрешение Authenticode: 1 – Применять правила для сертификата к файлам .EXE), только для HKLM
LogFileName, REG_SZ (Расширенное протоколирование: путь к файлу журнала и включение расширенного протоколирования), только для HKLM
0
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)
Hashes (Правила для хеша)
{0140090a-6e4d-4dc3-b1fa-27563cc91fda}
Примечание: Каждое число в скобках – это код GUID. Каждый код GUID является уникальным.
Description, REG_SZ (Описание: текстовое описание)
FriendlyName, REG_SZ (Сокращенное имя: информация о версии файла)
ItemData, REG_BINARY (Данные: значение хеша)
ItemSize, QWORD (Размер: размер файла)
HashAlg, DWORD (Алгоритм хеширования: 32771 – MD5, 32772 – SHA1)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
Path (Правила для пути)
{5c03dc31-e128-426e-bad6-9223ee92d0b8}
Description, REG_SZ (Описание: текстовое описание)
ItemData, REG_SZ (Данные: путь)
или
ItemData, REG_EXPAND_SZ
Примечание. тип REG_EXPAND_SZ имеют правила для пути в реестре и правила для пути, в которых используются переменные среды
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
UrlZones (Правила для зоны Интернета)
{dda3f824-d8cb-441b-834d-be2efd2c1a33}
ItemData, DWORD (Данные: идентификатор зоны Интернет)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
262144
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)
Hashes (Правила для хеша)
{0140090a-6e4d-4dc3-b1fa-27563cc91fda}
Paths (Правила для пути)
{302fe78d-0b85-484a-b16f-0ae6262b7969}
Правила для сертификата
Правила политик ограниченного использования программ для сертификата хранятся в отдельном разделе реестра.
Правила для политик пользователей хранятся в следующем разделе реестра:
| • | HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates |
Правила для политик компьютеров хранятся в следующем разделе реестра:
| • | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates |
[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\SystemCertificates
TrustedPublishers
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)
Certificates (Правила для сертификата)
D4C408A1F8EF6B49F837C54E5F697DC11EEB3F53
Примечание. Это хеш сертификата
Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)
Disallowed (Не разрешено)
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)
Certificates (Правила для сертификата)
C9902A94036312086FFAD974760D96CA93284555
Примечание. Это хеш сертификата
Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)
Параметры по умолчанию
[HKCU or HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
CodeIdentifiers
DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000)
ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: WSC, VB, URL, SHS, SCR, REG, PIF, PCD, OCX, MST, MSP, MSI, MSC, MDE, MDB, LNK, ISP, INS, INF, HTA, HLP, EXE, CRT, CPL, COM, CMD, CHM, BAT, BAS, ADP, ADE)
TransparentEnabled, DWORD (Опции принудительного применения: 1, не проверять библиотеки DLL)
PolicyScope, DWORD (Область действия: 0)
0
Path (Правила для пути)
{dda3f824-d8cb-441b-834d-be2efd2c1a33}
Description, REG_SZ (Описание: нет)
ItemData, REG_EXPAND_SZ (Данные:
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: 0)
Пошаговое руководство по цифровому подписыванию файлов тестовыми сертификатами
В этом разделе рассматриваются процессы и инструменты для цифрового подписывания файлов, которые используются при работе с правилами для сертификата.
Шаг 1: Загрузка инструментов
Загрузите инструменты проверки подлинности Authenticode для Internet Explorer 5.0. Эти инструменты используются для цифрового подписывания и проверки файлов с помощью подписей Authenticode.
http://msdn.microsoft.com/downloads/default.aspx
Step 2: Подача заявки на сертификат для подписывания кода
Следующий шаг – это получение действующего сертификата для подписывания кода. Для этого существует три способа:
| • | Подать заявку н сертификат в коммерческий центр сертификации, такой как VeriSign. Если Вы хотите, чтобы цифровые подписи Ваших файлов были действительны за пределами Вашей организации, Вам нужно воспользоваться этим способом. |
| • | Установить центр сертификации Windows 2000 или Windows Server 2003. Подайте заявку на сертификат через этот центр сертификации. Если цифровыми подписями пользуются только сотрудники Вашей организации, Вам нужно воспользоваться этим способом. |
| • | Создайте самоподписанный сертификат для задач тестирования. После загрузки инструментов Authenticode выполните следующие две команды: • makecert.exe -n "cn=TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -ss my -eku 1.3.6.1.5.5.7.3.3
• Setreg.exe 1 true
|
Команда setreg.exe указывает локальному компьютеру доверять сертификату центра Test Root Agency (центр сертификации операционной системы, предназначенный для задач тестирования), который выдает Вам тестовый сертификат для подписывания кода. Вы не должны использовать сертификаты Test Root Agency на рабочих машинах.
Шаг 3: Подписывание файла
Создайте тестовый файл сценария Visual Basic под названием hello.vbs со следующим содержимым:
Подпишите этот файл и установите штамп времени, выполнив следующую команду:
Если операция подписывания и установки штампа времени завершена успешно, Вы увидите надпись "Succeeded". Файл сценария будет содержать дополнительную Base64–шифрованную секцию с цифровой подписью, как изображено на Рисунке 11.
Рисунок 11 - Файл сценария Visual Basic с цифровой подписью
Вы можете проверить, что файл был правильно подписан, выполнив команду:
Появится диалоговое окно, изображенное на Рисунке 12.
Рисунок 12 - Проверка подписанного файла
Шаг 4: Создание правила для сертификата и правила для пути
Выполните команду secpol.msc, чтобы начать редактирование локальной политики безопасности. Создайте два правила:
| • | Создать правило для пути (New Path Rule): Введите «*.VBS» в текстовом поле Путь (Path). Установите уровень безопасности Не разрешено (Disallowed) |
| • | Создать правило для сертификата (New Certificate Rule): Создайте правило для сертификата для Вашего сертификата тестового издателя с уровнем безопасности Неограниченный (Unrestricted). |
Выполните следующую команду, чтобы экспортировать сертификат в файл. Укажите этот файл во время создания правила для сертификата.
| • | certmgr.exe -put -c -v -n "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -s my mytestcert.cer |
Вместе эти два правила запрещают выполнение любых файлов сценариев Visual Basic, кроме тех, которые подписаны тестовым сертификатом.
Ваша политика должна выглядеть так, как показано в примере на Рисунке 13.
Рисунок 13 - Политика ограниченного использования программ с правилом для сертификата и правилом для пути
Шаг 5: Повторный вход в систему и тестирование политики ограниченного использования программ
| 1. | Выйдите из системы и выполните повторный вход, чтобы убедиться, что новые правила используются Вашим компьютером. |
| 2. | Запустите файл hello.vbs. Вы должны увидеть диалоговое окно с сообщением «hello world». Это означает, что файл был подписан соответствующим сертификатом и выполнен в соответствии с правилами политики ограниченного использования программ. |
| 3. | Отредактируйте файл hello.vbs в текстовом редакторе и измените код сценария таким образом, чтобы он выводил сообщение "Hello world. This script has been changed". Сохраните файл, оставив часть с цифровой подписью нетронутой. |
| 4. | Запустите сценарий снова. Вы заметите, что теперь выполнение файла запрещено, потому что цифровая подпись сценария больше не соответствует подписи, указанной в правиле. |
Наверх страницы
Заключение
Политики ограниченного использования программ предоставляют администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролируют возможность их выполнения. Политики ограниченного использования программ могут применяться для блокирования вредоносных сценариев, обеспечения безопасности компьютера или предотвращения запуска нежелательных приложений. Они могут использоваться изолированно или управляться через групповую политику, и могут быть приспособлены к потребностям группы пользователей или компьютеров. Политики ограниченного использования программ обеспечивают улучшенную целостность и управляемость системы и существенно снижают стоимость владения компьютером.
Наверх страницы
Связанные ресурсы
Обратитесь к следующим ресурсам для получения дальнейшей информации:
Наверх страницы
Обсуждение статьи на форуме
