Політики обмеженого використання програм, Windows, Операційні системи, статті

Нещодавно одна кредитна організація найняла компанію, що займається питаннями забезпечення безпеки, для імітації спроби злому комп’ютерів своєї мережі. Фахівці компанії успішно здійснили злом комп’ютерів, для початку “підкинувши” кілька USB-пристроїв на парковках і в “курилках” організації. Кожен пристрій містив виконуваний файл типу «троян». Співробітники кредитної організації виявили більшу частину пристроїв, підключили їх до своїх робочих комп’ютерів і запустили виконуваний файл. Хоча не можна бути впевненим в тому, що ваші співробітники або партнери ніколи не будуть запускати файли з знайдених пристроїв, можна запобігти виникненню описаної ситуації за допомогою політик обмеження запуску програм Software Restriction Policies (SRP).


Політики SRP знаходяться у віданні служби Group Policy, яку можна використовувати для обмеження запуску додатків на комп’ютерах з системами Windows Vista, Windows Server 2003 і Windows XP. Можна розглядати політики SRP як аналог набору правил брандмауера. В даному випадку ви можете створити більш загальне правило, що забороняє або дозволяє запуск додатків, для яких не створено окремих правил. Наприклад, можна налаштувати загальне правило, яке дозволяє запуск будь-яких програм, і при цьому окремим правилом заборонити запуск програми «Пасьянс». Або ви можете почати налаштування з заборони запуску будь-яких додатків і далі створювати правила SRP, що дозволяють запуск певних програм.


Можна створювати різні типи правил SRP, в тому числі правило для зони, правило для шляху, правило для сертифіката та правило для хешу. Після невеликого огляду базових понять політик SRP я коротко розкажу, як створювати правило кожного типу, але основну увагу буде приділено найбільш ефективному типу – правилам для хешу.


Вихідні налаштування


Ви можете настроювати політики SRP через розділи User або Computer служби Group Policy. Подібна гнучкість дозволяє застосовувати політики до груп комп’ютерів або користувачів. Наприклад, можна застосувати політику SRP, що забороняє користувачам грати в “Сапера” або “Пасьянс”, до організаційної одиниці, що включає співробітників бухгалтерії. З іншого боку, можна застосувати політику SRP до групи комп’ютерів в загальнодоступній лабораторії коледжу, щоб обмежити набір додатків, які може встановлювати кожен, хто використовує системи в тестовій лабораторії.


Щоб активувати політики SRP, спочатку створіть або відредагуйте об’єкт Group Policy Object (GPO) і перейдіть у вікно Computer (або User) Configuration-> Windows Settings-> Security Settings-> Software Restriction Policies. Після цього клацніть правою кнопкою миші на вузлі Restriction Policies і виберіть пункт New Software Restriction Policies в контекстному меню.


Після того, як ви активуєте політики SRP, необхідно буде вибрати використовуваний рівень безпеки, Unrestricted або Disallowed. За замовчуванням включений рівень Unrestricted, який дозволяє запуск будь-яких додатків, крім заборонених. І навпаки, режим Disallowed забороняє запуск будь-яких додатків, крім тих, для яких створені винятку. Майте на увазі, що система Windows Vista передбачає третій рівень безпеки, Basic User, який змушує всі програми, крім окремо налаштованих, працювати з рівнем привілеїв Basic User. Але так як ця стаття присвячена забороні запуску додатків, ми не будемо розглядати рівень Basic User.


При серйозному підході до обмеження використання неавторизованого програмного забезпечення в організації рекомендується вибирати рівень безпеки Disallowed. Для використання рівня Unrestricted потрібно інформація про те, яке саме програмне забезпечення може бути запущено, що нагадує вгадування номерів лотерейних квитків. Хоча рівень Unrestricted може добре працювати в безпечному оточенні, де керівництво просить вас відключити користувачам вбудовані в систему Windows гри, його важко задіяти в будь-якому рішенні з підвищеними вимогами до безпеки. Однак якщо ви хочете заблокувати невелике число додатків, не блокуючи повністю комп’ютери організації, варто використовувати рівень Unrestricted.


Для перемикання політик SRP в рівень Disallowed перейдіть у вузол Software Restriction Policies-> Security Levels і двічі клацніть на політиці Disallowed. У вікні Disallowed Properties, см. екран 1, просто встановіть прапорець у полі Set as Default. Система Windows видасть повідомлення про те, що обраний рівень є більш безпечним, ніж поточний, і деякі програми можуть бути закриті. Клацніть на кнопці OK.

Рисунок 7: Створення правила для хеша


Налагодження та налагодження політик SRP


При створенні політик SRP необхідно завести тимчасову організаційну одиницю в службі AD і приписати до даної одиниці створюваний об’єкт GPO. Після цього ви можете помістити туди тестові облікові записи користувачів і комп’ютерів на час, необхідний вам для налагодження політик SRP. Після тестування політик об’єкта GP можна прикріпити його до організаційної одиниці, до якої входять реальні облікові записи користувачів і комп’ютерів. Переконайтеся, що ви ретельно протестували політики SRP – в лабораторії IT відділу і з пробної групою користувачів – перш ніж впроваджувати їх у вашу організацію. Політики SRP мають складну структуру, і ви навряд чи зможете безпомилково налаштувати їх з першого разу.


Якщо вам необхідно налагодити помилку в настройках політик SRP, можна переглянути події, викликані цими політиками (події під номером 865, 866 і 867), в локальному журналі комп’ютера. Також ви можете активувати більш складне відстеження політик SRP, додавши рядок LogFileName в такий підрозділ реєстру: HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsSafer CodeIdentifiers. Рядок LogFileName містить шлях до каталогу, в якому буде зберігатися файл журналу.


Відповідальність


Використовуючи політики SRP, ви зможете заборонити запуск у вашій системі небажаних програм – від відволікаючих ігор до вірусів. Будь-яка система (і Vista, і Windows 2003, і ​​XP) надає безліч можливостей, які дозволять створити ідеальні політики для вашої організації. Хоча реалізація політики SRP виключно на правилах для хеша вимагає великої роботи, ці правила є найбільш ефективними при захисту комп’ютерів. Якби кредитна організація з нашого прикладу реалізувала політику SRP, відповідно до рекомендацій, наведених у цій статті, впроваджений «троян» ніколи б не був запущений, так як він не входив би в список дозволених додатків, організований за допомогою правил для хешу.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*