Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2003 Администрирование Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения RSS

Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Текущий рейтинг: 4.02 (проголосовало 52)
 Посетителей: 76711 | Просмотров: 128875 (сегодня 0)  Шрифт: - +

Приложение

Этот раздел содержит список назначенных по умолчанию типов файлов, форматы системного реестра и руководство по цифровому подписыванию файлов тестовыми сертификатами.

Таблица 11 - Назначенные типы файлов по умолчанию
Расширение файла Описание файла
. ADE Расширение проекта Microsoft Office Access
. ADP Проект Microsoft Office Access
. BAS Модуль класса Visual Basic®
. BAT Пакетный файл
. CHM Файл справки компилированного языка HTML
. CMD Сценарий Windows NT®
. COM Приложение MS-DOS®
. CPL Компонент панели управления
. CRT Сертификат безопасности
. EXE Приложение
. HLP Файл справки Windows
. HTA Приложения HTML
. INF Информационный файл установки
. INS Параметры связи через Интернет
. ISP Параметры связи через Интернет
. JS Файл JScript®
. JSE Файл зашифрованного сценария JScript
. LNK Ярлык
. MDB Приложение Microsoft Access
. MDE База данных MDE Microsoft Access
. MSC Документ общей консоли
. MSI Пакет установщика Windows Installer
. MSP Исправления Windows Installer
. MST Исходный файл Visual Test
. PCD Образ Photo CD
. PIF Ярлык к программе MS-DOS
. REG Файл реестра
. SCR Хранитель экрана
. SCT Компонент сценария Windows
. SHS Объект-фрагмент оболочки
. URL Ярлык Интернета (URL)
. VB Файл VBScript
. VBE Файл зашифрованного сценария VBScript
. VBS Файл сценария VBScript
. WSC Компонент сценария Windows
. WSF Файл сценария Windows
. WSH Файл настроек сервера сценариев Windows

Формат реестра

После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее.

Политика пользователя

Политика пользователя хранится в следующем разделе:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\

Политика компьютера

Политика компьютера хранится в следующем разделе:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\

Описание формата реестра

[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer

CodeIdentifiers

DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000 – Неограниченный (Unrestricted), 0 – Не разрешено (Disallowed))

ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: список расширений для назначенных типов файлов)

TransparentEnabled, DWORD (Опции принудительного применения: 0 – Не применять политику, 1 – применять ко всем файлам, кроме библиотек DLL (Skip DLL), 2 – применять ко всем файлам)

PolicyScope, DWORD (Область действия: 0 – Применять для всех пользователей, 1 – Применять для всех пользователей, кроме администраторов (Skip Administrators)), только для HKLM

[Необязательные значения реестра. Должны быть заданы вручную]

AuthenticodeEnabled, DWORD (Разрешение Authenticode: 1 – Применять правила для сертификата к файлам .EXE), только для HKLM

LogFileName, REG_SZ (Расширенное протоколирование: путь к файлу журнала и включение расширенного протоколирования), только для HKLM

0

Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)

Hashes (Правила для хеша)

{0140090a-6e4d-4dc3-b1fa-27563cc91fda}

Примечание: Каждое число в скобках – это код GUID. Каждый код GUID является уникальным.

Description, REG_SZ (Описание: текстовое описание)

FriendlyName, REG_SZ (Сокращенное имя: информация о версии файла)

ItemData, REG_BINARY (Данные: значение хеша)

ItemSize, QWORD (Размер: размер файла)

HashAlg, DWORD (Алгоритм хеширования: 32771 – MD5, 32772 – SHA1)

LastModified, QWORD (Дата последнего изменения: штамп времени)

SaferFlags, DWORD (Флаги: не используется)

Path (Правила для пути)

{5c03dc31-e128-426e-bad6-9223ee92d0b8}

Description, REG_SZ (Описание: текстовое описание)

ItemData, REG_SZ (Данные: путь)

или

ItemData, REG_EXPAND_SZ

Примечание. тип REG_EXPAND_SZ имеют правила для пути в реестре и правила для пути, в которых используются переменные среды

LastModified, QWORD (Дата последнего изменения: штамп времени)

SaferFlags, DWORD (Флаги: не используется)

UrlZones (Правила для зоны Интернета)

{dda3f824-d8cb-441b-834d-be2efd2c1a33}

ItemData, DWORD (Данные: идентификатор зоны Интернет)

LastModified, QWORD (Дата последнего изменения: штамп времени)

SaferFlags, DWORD (Флаги: не используется)

262144

Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)

Hashes (Правила для хеша)

{0140090a-6e4d-4dc3-b1fa-27563cc91fda}

Paths (Правила для пути)

{302fe78d-0b85-484a-b16f-0ae6262b7969}

Правила для сертификата

Правила политик ограниченного использования программ для сертификата хранятся в отдельном разделе реестра.

Правила для политик пользователей хранятся в следующем разделе реестра:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates

Правила для политик компьютеров хранятся в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates

[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\SystemCertificates

TrustedPublishers

Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)

Certificates (Правила для сертификата)

D4C408A1F8EF6B49F837C54E5F697DC11EEB3F53

Примечание. Это хеш сертификата

Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)

Disallowed (Не разрешено)

Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)

Certificates (Правила для сертификата)

C9902A94036312086FFAD974760D96CA93284555

Примечание. Это хеш сертификата

Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)

Параметры по умолчанию

[HKCU or HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer

CodeIdentifiers

DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000)

ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: WSC, VB, URL, SHS, SCR, REG, PIF, PCD, OCX, MST, MSP, MSI, MSC, MDE, MDB, LNK, ISP, INS, INF, HTA, HLP, EXE, CRT, CPL, COM, CMD, CHM, BAT, BAS, ADP, ADE)

TransparentEnabled, DWORD (Опции принудительного применения: 1, не проверять библиотеки DLL)

PolicyScope, DWORD (Область действия: 0)

0

Path (Правила для пути)

{dda3f824-d8cb-441b-834d-be2efd2c1a33}

Description, REG_SZ (Описание: нет)

ItemData, REG_EXPAND_SZ (Данные:

%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*)

LastModified, QWORD (Дата последнего изменения: штамп времени)

SaferFlags, DWORD (Флаги: 0)

Пошаговое руководство по цифровому подписыванию файлов тестовыми сертификатами

В этом разделе рассматриваются процессы  и инструменты для цифрового подписывания файлов, которые используются при работе с правилами для сертификата.

Шаг 1: Загрузка инструментов

Загрузите инструменты проверки подлинности Authenticode для Internet Explorer 5.0. Эти инструменты используются для цифрового подписывания и проверки файлов с помощью подписей Authenticode.

http://msdn.microsoft.com/downloads/default.aspx

Step 2: Подача заявки на сертификат для подписывания кода

Следующий шаг – это получение действующего сертификата для подписывания кода. Для этого существует три способа:

Подать заявку н сертификат в коммерческий центр сертификации, такой как VeriSign. Если Вы хотите, чтобы цифровые подписи Ваших файлов были действительны за пределами Вашей организации, Вам нужно воспользоваться этим способом.
Установить центр сертификации Windows 2000 или Windows Server 2003. Подайте заявку на сертификат через этот центр сертификации. Если цифровыми подписями пользуются только сотрудники Вашей организации, Вам нужно воспользоваться этим способом.
Создайте самоподписанный сертификат для задач тестирования. После загрузки инструментов Authenticode выполните следующие две команды:

• makecert.exe -n "cn=TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -ss my -eku 1.3.6.1.5.5.7.3.3 

• Setreg.exe 1 true 

Команда setreg.exe указывает локальному компьютеру доверять сертификату центра Test Root Agency (центр сертификации операционной системы, предназначенный для задач тестирования), который выдает Вам тестовый сертификат для подписывания кода. Вы не должны использовать сертификаты Test Root Agency на рабочих машинах.

Шаг 3: Подписывание файла

Создайте тестовый файл сценария Visual Basic под названием hello.vbs со следующим содержимым:

msgbox " hello world"

Подпишите этот файл и установите штамп времени, выполнив следующую команду:

signcode.exe -cn "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -t http://timestamp.verisign.com/scripts/timstamp.dll hello.vbs

Если операция подписывания и установки штампа времени завершена успешно, Вы увидите надпись "Succeeded". Файл сценария будет содержать дополнительную Base64–шифрованную секцию с цифровой подписью, как изображено на Рисунке 11. 

Рисунок 11 - Файл сценария Visual Basic с цифровой подписью 

Вы можете проверить, что файл был правильно подписан, выполнив команду:

chktrust.exe hello.vbs

Появится диалоговое окно, изображенное на Рисунке 12. 

Рисунок 12 - Проверка подписанного файла 

Шаг 4: Создание правила для сертификата и правила для пути

Выполните команду secpol.msc, чтобы начать редактирование локальной политики безопасности. Создайте два правила:

Создать правило для пути (New Path Rule): Введите «*.VBS» в текстовом поле Путь (Path). Установите уровень безопасности Не разрешено (Disallowed)
Создать правило для сертификата (New Certificate Rule): Создайте правило для сертификата для Вашего сертификата тестового издателя с уровнем безопасности Неограниченный (Unrestricted).

Выполните следующую команду, чтобы экспортировать сертификат в файл. Укажите этот файл во время создания правила для сертификата.

certmgr.exe -put -c -v -n "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -s my mytestcert.cer

Вместе эти два правила запрещают выполнение любых файлов сценариев Visual Basic, кроме тех, которые подписаны тестовым сертификатом.

Ваша политика должна выглядеть так, как показано в примере на Рисунке 13. 

Рисунок 13 - Политика ограниченного использования программ с правилом для сертификата и правилом для пути 

Шаг 5: Повторный вход в систему и тестирование политики ограниченного использования программ 

1. Выйдите из системы и выполните повторный вход, чтобы убедиться, что новые правила используются Вашим компьютером.
2. Запустите файл hello.vbs. Вы должны увидеть диалоговое окно с сообщением «hello world». Это означает, что файл был подписан соответствующим сертификатом и выполнен в соответствии с правилами политики ограниченного использования программ.
3. Отредактируйте файл hello.vbs в текстовом редакторе и измените код сценария таким образом, чтобы он выводил сообщение "Hello world. This script has been changed". Сохраните файл, оставив часть с цифровой подписью нетронутой.
4. Запустите сценарий снова. Вы заметите, что теперь выполнение файла запрещено, потому что цифровая подпись сценария больше не соответствует подписи, указанной в правиле.

Наверх страницы

Заключение

Политики ограниченного использования программ предоставляют администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролируют возможность их выполнения. Политики ограниченного использования программ могут применяться для блокирования вредоносных сценариев, обеспечения безопасности компьютера или предотвращения запуска нежелательных приложений. Они могут использоваться изолированно или управляться через групповую политику, и могут быть приспособлены к потребностям группы пользователей или компьютеров. Политики ограниченного использования программ обеспечивают улучшенную целостность и управляемость системы и существенно снижают стоимость владения компьютером.

Наверх страницы

Связанные ресурсы

Обратитесь к следующим ресурсам для получения дальнейшей информации:

Технический обзор служб безопасности Technical Overview of Security Services (EN)
Технический обзор служб терминалов Technical Overview of Terminal Services (EN)
Групповая политика Windows 2000 Windows 2000 Group Policy (EN)
Что нового в безопасности для Windows XP Professional и Windows XP Home Edition What’s New in Security for Windows XP Professional and Windows XP Home Edition (EN)
Windows XP и платформа .NET: обзор Windows XP and .NET: An Overview (EN)
Улучшения в инфраструктуре открытых ключей в Windows XP Professional и Windows Server 2003 PKI Enhancements in Windows XP Professional and Windows Server 2003 (EN)
Шифрованная файловая система (EFS) в Windows XP Professional и Windows Server 2003 Encrypting File System in Windows XP and Windows Server 2003 (EN)
Защита мобильных компьютеров с помощью Windows XP Professional Securing Mobile Computers with Windows XP Professional (EN)
Authenticode для Internet Explorer 5.0 Authenticode for Internet Explorer 5.0 (EN)
Для получения самой последней информации о Windows XP посетите Веб-узел Windows XP
Для получения самой последней информации о Windows Server 2003 посетите Веб-узел Windows Server 2003

Наверх страницы



Обсуждение статьи на форуме

Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 22.07.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
23.11.2009/11:06  Slava16w

Еще материал про ограничение политики доступа: http://www.diwaxx.ru/win/soft-policies.php Описание процессов Windows http://www.filecheck.ru/
Комментарии отключены. С вопросами по статьям обращайтесь в форум.