Політики обмеженого використання програм

Нещодавно одна кредитна організація найняла компанію, що займається питаннями забезпечення безпеки, для імітації спроби злому комп'ютерів своєї мережі. Фахівці компанії успішно здійснили злом комп'ютерів, для початку "підкинувши" декілька USB-пристроїв на парковках і в "курилках" організації. Кожне пристрій містив виконуваний файл типу «троян». Співробітники кредитної організації виявили більшу частину пристроїв, підключили їх до своїх робочих комп'ютерів і запустили виконуваний файл. Хоча не можна бути впевненим у тому, що ваші співробітники або партнери ніколи не будуть запускати файли з знайдених пристроїв, можна запобігти виникненню описаної ситуації за допомогою політик обмеження запуску програм Software Restriction Policies (SRP).


Політики SRP перебувають у віданні служби Group Policy, яку можна використовувати для обмеження запуску додатків на комп'ютерах з системами Windows Vista, Windows Server 2003 і Windows XP. Можна розглядати політики SRP як аналог набору правил брандмауера. У даному випадку ви можете створити більш загальне правило, що забороняє або дозволяє запуск додатків, для яких не створено окремих правил. Наприклад, можна налаштувати загальне правило, яке дозволяє запуск будь-яких програм, і при цьому окремим правилом заборонити запуск програми «Пасьянс». Або ви можете почати налаштування з заборони запуску будь-яких додатків і далі створювати правила SRP, що дозволяють запуск певних програм.


Можна створювати різні типи правил SRP, в тому числі правило для зони, правило на шляху, правило для сертифіката і правило для хешу. Після невеликого огляду базових понять політик SRP я коротко розкажу, як створювати правило кожного типу, але основна увага буде приділена найбільш ефективному типу – правилам для хешу.


Вихідні налаштування


Ви можете настроювати політики SRP через розділи User або Computer служби Group Policy. Подібна гнучкість дозволяє застосовувати політики до груп комп'ютерів або користувачів. Наприклад, можна застосувати політику SRP, що забороняє користувачам грати в "Сапера" або "Пасьянс", до організаційної одиниці, що включає співробітників бухгалтерії. З іншого боку, можна застосувати політику SRP до групи комп'ютерів в загальнодоступній лабораторії коледжу, щоб обмежити набір додатків, які може встановлювати кожен, хто використовує системи в тестовій лабораторії.


Щоб активувати політики SRP, спочатку створіть або відредагуйте об'єкт Group Policy Object (GPO) і перейдіть у вікно Computer (або User) Configuration-> Windows Settings-> Security Settings-> Software Restriction Policies. Після цього клацніть правою кнопкою миші на вузлі Restriction Policies і виберіть пункт New Software Restriction Policies в контекстному меню.


Після того, як ви активуєте політики SRP, необхідно буде вибрати використовуваний рівень безпеки, Unrestricted або Disallowed. За замовчуванням включений рівень Unrestricted, який дозволяє запуск будь-яких додатків, крім заборонених. І навпаки, режим Disallowed забороняє запуск будь-яких додатків, крім тих, для яких створені винятку. Майте на увазі, що система Windows Vista передбачає третій рівень безпеки, Basic User, який змушує всі програми, крім окремо налаштованих, працювати з рівнем привілеїв Basic User. Але так як ця стаття присвячена забороні запуску додатків, ми не будемо розглядати рівень Basic User.


При серйозному підході до обмеження використання неавторизованого програмного забезпечення в організації рекомендується вибирати рівень безпеки Disallowed. Для використання рівня Unrestricted потрібно інформація про те, яке саме програмне забезпечення може бути запущено, що нагадує вгадування номерів лотерейних квитків. Хоча рівень Unrestricted може добре працювати у безпечному оточенні, де керівництво просить вас відключити користувачам вбудовані в систему Windows гри, його важко задіяти в будь-якому рішенні з підвищеними вимогами до безпеки. Однак якщо ви хочете заблокувати невелике число додатків, не блокуючи повністю комп'ютери організації, варто використовувати рівень Unrestricted.


Для перемикання політик SRP в рівень Disallowed перейдіть у вузол Software Restriction Policies-> Security Levels і двічі клацніть на політиці Disallowed. У вікні Disallowed Properties, див. екран 1, просто встановіть прапорець у полі Set as Default. Система Windows видасть повідомлення про те, що обраний рівень є більш безпечним, ніж поточний, і деякі програми можуть бути закриті. Клацніть на кнопці OK.

Малюнок 1: Встановлення рівня Disallowed в якості рівня безпеки, який використовується за умовчанням


За замовчуванням в політиках SRP споконвічно існують винятки для всіх додатків, розміщених у папках% SystemRoot% і% SystemRoot% System32. Ви можете переглянути ці виключення у вікні Additional Rules для кожної політики. Ці правила надають операційній системі мінімальну функціональність, навіть якщо вибраний рівень безпеки Disallowed. Однак такі винятки дають зловмисникові можливість скопіювати виконуваний файл в одну з цих папок. Правила за умовчанням не роблять різниці між додатками, наприклад між cmd.exe і rootkit.exe, вони лише дозволяють виконання всіх програм, розміщених в даних папках. Дозволи NTFS надають деякий захист, не даючи користувачам скопіювати сторонні додатки в ці папки і запустити їх. Але для того, щоб по-справжньому захистити систему, необхідно замінити ці загальні правила більш жорсткими.


Майте на увазі, що ви можете використовувати політики SRP на комп'ютерах, які не входять в рамки Active Directory (AD) (наприклад ноутбуки), створивши шаблон безпеки на основі комп'ютера використовує SRP і застосувавши цей шаблон до локальної політиці. Необхідно переконатися в тому, що шаблон дозволяє запускати утиліту Secedit, щоб ви могли зробити скасування змін або при необхідності оновити політику SRP.


Налаштування спільних політик


У вузлі Software Restriction Policies можна настроїти наступні загальні політики, які визначають, яким чином система Windows застосовує політики SRP: примус, призначені типи файлів і довірені видавці. Давайте розглянемо кожен тип спільних політик.


Примушення. Примусова політика використовується для того, щоб політики SRP застосовувалися не тільки до виконуваних файлів типу «. Exe», «. Vbs» і всім іншим файлам, прописаним як виконувані політики призначених типів файлів, але і до бібліотек «. dll». Діалогове вікно Enforcement Properties, показане на екрані 2, дозволяє застосовувати політику SRP і до членів групи локальних адміністраторів.

Малюнок 2: Настроювання політики примусу для SRP


Для посилення безпеки необхідно включити в політику примусу всі типи програмних файлів і застосувати її до всіх користувачів. Проте створення окремих правил для тисяч файлів «. Dll» у стандартній комплектації Windows може зажадати декількох тижнів роботи. За винятком випадків, коли вам потрібно максимально закрити систему, більш практичним і при цьому досить надійним рішенням є використання політики примусу без вказівки бібліотек.


Майте на увазі, що в політику примусу необхідно включити локальних адміністраторів. Якщо на комп'ютері потрібно запустити додаток, не дозволений в списках політик SRP, адміністратор може тимчасово перемістити систему в організаційну одиницю, на яку не поширюються зазначені політики.


Призначені типи файлів. Політика призначених типів файлів являє собою список всіх розширень – крім стандартних розширень «. Exe», «. Dll» і «. Vbs» – які система Windows розглядає як виконуваний код. На екрані 3 зображено вікно Designated File Types Properties. Якщо ваша організація використовує тип файлів, не зазначений у цьому списку, наприклад файли Perl, ви можете додати тип файлу з цього діалогового вікна.

Малюнок 3: Призначення виконуваних типів файлів


Довірені видавці


Політика довірених видавців використовується для того, щоб не дати користувачам додати на свої системи нових довірених видавців. Наприклад, коли користувачі намагаються завантажити програму з web-сайту компанії Adobe, система запитує, чи хочуть вони зробити це додаток довіреною. Установки політики визначають, хто може приймати рішення про те, яким видавцям довіряти: кінцеві користувачі, локальні адміністратори або корпоративні адміністратори. Для забезпечення максимальної безпеки призначати довірених видавців дозволяється тільки корпоративним адміністраторам (як це зробити, показано на екрані 4). Політика довірених видавців також дозволяє вам ініціювати перевірку списку скасованих сертифікатів (CRL), щоб виявити достовірність будь-якого сертифіката.

Малюнок 4: Надання прав на призначення довірених видавців


Заборона або дозвіл додатків


Тепер, коли ми познайомилися з основними політиками SRP, давайте розглянемо 4 типи правил, які можна використовувати для дозволу або заборони виконання додатків: для зони, на шляху, для сертифіката і для хешу.


Правила для зони. Правила для зон Internet використовуються для обмеження або дозволу виконання завантажених файлів «. Msi» (для Windows Installer), в залежності від зони, з якої отримано файл. Так як це правило застосовується тільки до файлів «. msi», завантаженим користувачами з Internet, цей тип політик SRP використовується рідше, ніж інші.


Для створення правила для зони Internet клацніть правою кнопкою миші на вузлі Additional Rules і виберіть у контекстному меню пункт New Internet Zone Rule. Виберіть Зону Internet і встановіть Рівень Безпеки в значення Unrestricted або Disallowed. У правилі для зони Internet, настроювання якого показана на екрані 5, виконання файлів «. Msi», отриманих із зони Restricted sites, заборонено (рівень Disallowed).

Малюнок 5: Установка обмежень на зони Internet


Правила для шляху


Правила для шляхи дозволяють вказати папку або повний шлях до програми, яке може або не може бути виконано. Недоліком правила для шляху є те, що воно спирається виключно на шлях або на ім'я файлу. Наприклад, на екрані 6 зображено правило на шляху, яке дозволяє запуск служби Outlook Express. Зловмисники можуть просто перейменувати файл, що містить шкідливий код, в «msimn.exe» і скопіювати його в папку C: Program FilesOutlook Expressmsimn.exe. Так як задіюється правило для шляхи, файл, що містить шкідливий код, вважається дозволеним і може бути виконаний. Майте на увазі, що при настроюванні кількох правил на шляху пріоритет буде мати більш «вузьке» правило. Наприклад, правило для шляхом C: directoryapplication.exe буде мати пріоритет перед правилом для шляхом C: directory.

Малюнок 6: Налаштування правила для шляху


Правила для сертифіката


Правила для сертифіката засновані на сертифікатах, підписаних видавцями. Основна проблема тут полягає в тому, що вам необхідно вказати підписаний видавцем сертифікат. Крім того, ви не можете використовувати правило для сертифіката, якщо потрібно по-різному налаштувати політики для декількох додатків одного і того ж видавця. Наприклад, ви не можете використовувати дане правило, щоб заборонити співробітникам грати в «Пасьянс», так як всі ігри, що поставляються разом з Windows, підписані тим же видавцем, що і ключові компоненти операційної системи, такі як служба IE.


Щоб створити правило для сертифіката, клацніть правою кнопкою миші на вузлі Additional Rules і виберіть пункт New Certificate Rule. Клацніть на кнопці Browse, вкажіть сертифікат видавця (файл типу «. Crt» або «. cer»), щоб встановити рівень безпеки в значення Unrestricted (або Disallowed) і клацніть на кнопці OK.


Правила для хешу. Правила для хешу я вважаю кращим типом політик SRP. Вони не вимагають від вас вказівки сертифіката видавця, не беруть за основу правила для зон Internet, і, так як для ідентифікації виконавчого файла вони використовують обчислену контрольну суму (хеш), зловмисник не може запустити шкідливий код під новим ім'ям в обхід цього правила.


Правила для хешу використовують контрольну суму, розраховану для певного файлу. Наприклад, блокуючу правило, використовує хеш програми notepad.exe із системи Windows 2003, не буде впливати на роботу додатка «notepad.exe», що поставляється з системою XP Professional. А правило, використовує хеш програми notepad.exe з системи XP, не заблокує додаток «notepad.exe», що входить до складу системи Vista. Хоча програми, що поставляються з операційними системами, генерують різний хеш в залежності від версії системи, інші додатки – такі як Microsoft Word або Mozilla Firefox – генерують однакову контрольну суму незалежно від того, на яку систему вони встановлені: Vista, Windows 2003 або XP.


Для обчислення хешу необхідний доступ до бінарним виконуваного файлу на тому комп'ютері, де ви налаштовуєте об'єкт GPO. Якщо ви створюєте об'єкт GPO на контролері домену (DC), ви можете додати мережевий диск на модельовану систему, використовуючи загальну папку адміністратора, таку як XP-REF-SYSC $. Після цього вибір виконуваного файлу зводиться до його пошуку на мережевому диску.


При конфлікті правил SRP правила для хешу мають пріоритет перед усіма іншими. Також майте на увазі, що файли, які ви перейменовувати або переміщаєте в інше місце, зберігають свої контрольні суми. Тому, якщо ви використовуєте правило для блокування файлу, наприклад виконуваного модуля вірусу, воно спрацює навіть у випадку, якщо хтось змінив ім'я вірусу.


Основний недолік використання правил для хешу з політикою Disallowed полягає в тому, що формування вихідного набору дозволених додатків вимагає маси часу. Також не можна забувати про необхідність поновлення контрольної суми щоразу, коли змінюється версія програми або встановлюється нове програмне забезпечення. Для запуску оновленого додатку необхідно створити нове правило. Майте на увазі, що краще створювати нові правила для оновлених програм, ніж міняти під них старі, так як у вашій мережі одночасно можуть співіснувати різні версії одного продукту. З часом ви видаліть правила для старих версій програм.


Для створення правил для хешу, клацніть правою кнопкою миші на вузлі Additional Rules служби Group Policy і виберіть пункт Hash Rule. У вікні New Hash Rule клацніть на кнопці Browse і виберіть додаток, для якого хочете створити правило. При виборі програми система Windows автоматично вирахує контрольну суму файлу, як показано на екрані 7, і відобразить властивості файлу у вікні File information .

Малюнок 7: Створення правила для хешу


Налагодження та налагодження політик SRP


При створенні політик SRP необхідно завести тимчасову організаційну одиницю у службі AD і приписати до даної одиниці створюваний об'єкт GPO. Після цього ви можете помістити туди тестові облікові записи користувачів і комп'ютерів на час, необхідний вам для налагодження політик SRP. Після тестування політик об'єкта GP можна прикріпити його до організаційної одиниці, до якої входять реальні облікові записи користувачів і комп'ютерів. Переконайтеся, що ви ретельно протестували політики SRP – у лабораторії IT відділу і з пробної групою користувачів – перш ніж впроваджувати їх у вашу організацію. Політики SRP мають складну структуру, і ви навряд чи зможете безпомилково налаштувати їх з першого разу.


Якщо вам необхідно налагодити помилку в налаштуваннях політик SRP, можна переглянути події, викликані цими політиками (події під номером 865, 866 і 867), в локальному журналі комп'ютера. Також ви можете активувати більш складне відстеження політик SRP, додавши рядок LogFileName в наступний підрозділ реєстру: HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsSafer CodeIdentifiers. Рядок LogFileName містить шлях до каталогу, в якому буде зберігатися файл журналу.


Відповідальність


Використовуючи політики SRP, ви зможете заборонити запуск у вашій системі небажаних програм – від відволікаючих ігор до вірусів. Будь-яка система (і Vista, і Windows 2003, і XP) надає безліч можливостей, які дозволять створити ідеальні політики для вашої організації. Хоча реалізація політики SRP виключно на правилах для хешу вимагає великої роботи, ці правила є найбільш ефективними при захист комп'ютерів. Якби кредитна організація з нашого прикладу реалізувала політику SRP, згідно з рекомендаціями, наведеними в цій статті, впроваджений «троян» ніколи б не був запущений, так як він не входив би в список дозволених додатків, організований за допомогою правил для хешу.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*