Ошибка установки программы Отсутствует цифровая подпись установочных файлов может возникать при неверной настройке политик ограниченного использования программ в операционной системе. Если ошибка возникает, настройте политики ограниченного использования программ.
Чтобы настроить параметры политик ограниченного использования программ в операционной системе Microsoft Windows XP, выполните следующие действия:
- В меню Пуск выберите пункт Выполнить .
- В открывшемся окне Выполнить в поле Открыть введите secpol.msc и нажмите на кнопку ОК .
- В дереве открывшегося окна Локальные параметры безопасности выберите узел Политики ограниченного использования программ .
- В правой части окна наведите курсор на службу Доверенные издатели и двойным щелчком мыши откройте окно Свойства: Доверенные издатели .
- В открывшемся окне для параметра Разрешать следующим пользователям выбирать доверенных издателей выберите вариант обычным пользователям .
- Для сохранения изменений нажмите на кнопку ОК .
- Запустите мастер установки Kaspersky Fraud Prevention for Endpoints повторно.
Если ошибка возникает снова, обратитесь в Службу технической поддержки.
Сделать запрет на запуск программ пользователя домена
Чтобы настроить параметры политик ограниченного использования программ в операционной системе Microsoft Windows Vista, Microsoft Windows 7 и Microsoft Windows 8, выполните следующие действия:
- Выполните одно из следующих действий:
- Если вы используете Microsoft Windows Vista, в меню Пуск выберите пункт Выполнить .
- Если вы используете Microsoft Windows 7 или Microsoft Windows 8, в меню Пуск в поле поиска введите выполнить и нажмите на клавишу ENTER .
- В открывшемся окне Выполнить в поле Открыть введите secpol.msc и нажмите на кнопку ОК .
- В окне Контроль учетных записей пользователей нажмите на кнопку Продолжить .
- В дереве открывшегося окна Локальные политики безопасности выберите узел Политики ограниченного использования программ .
- В правой части окна наведите курсор на службу Доверенные издатели и двойным щелчком мыши откройте окно Свойства: Доверенные издатели .
- В открывшемся окне установите флажок Определить следующие параметры политики .
- В блоке параметров Управление доверенными издателями выберите вариант Разрешать всем администраторам и пользователям управление доверенными издателями пользователя .
- Для сохранения изменений нажмите на кнопку ОК .
- Запустите мастер установки Kaspersky Fraud Prevention for Endpoints повторно.
Если ошибка возникает снова, обратитесь в Службу технической поддержки.
Источник: support.kaspersky.com
SRP — лучшая бесплатная защита от вирусов
Applocker — Запрет на запуск программ
Edward, 20.12.2013 07:25
Немного отступления или вступление.
Если вы читаете данную заметку, скорее всего уже имеете печальный опыт в ситуации, когда любимый антивирус пропустил какую-то заразу.
Наверняка я не открою новую галактику, сообщив, что в большинстве случаев антивирусы устраняют последствия, а не предотвращают заражение. Антивирусные базы этих компаний пополняются за счет несчастных пострадавших от неизвестных ранее вирусов.
Часто слышишь от друзей и знакомых такие просьбы о помощи:
- Вирус зашифровал мои файлы, что делать?
- Как убрать порно-баннер?
- У меня тормозит компьютер, куча установленных программ, но я ничего не устанавливал(а);
- Не открываются сайты, помоги;
- и так далее.. продолжай помогать нам дорогой друг.
Спасение утопающих — дело рук самих утопающих. («Двенадцать стульев», И. Ильф, E. Петров)
Потратив сейчас 15 минут на пошаговую настройку компьютера, вы получите хорошую первоначальную защиту от троянов, баннеров, шифровщиков и прочей массовой нечисти.
Основная часть заметки касается настройки политики SRP — Software restriction policy (англ.: Политика ограниченного использования программ). Данная настройка (политика) работает по следующим принципам:
- Все программы на компьютере могут свободно запускаться и работать только из тех мест (папок), из которых мы это разрешим явно;
- Все остальные программы запускаться и работать не смогут. А следовательно и навредить вам они не смогут.
Единственный маленький минус этого способа предотвращения заражения компьютерными вирусами заключается в том, что после настройки компьютера по данной заметке, установка любой новой программы на ваш компьютер будет занимать на пару минут больше времени. Вас это не останавливает? Тогда перейдем к делу.
Большинство шагов относится к операционной системе Windows 7 (32/64). До Windows 8 пока не дошли ноги, а Windows XP доживает свой век. (Если кому нужно, добавлю описание шагов для XP)
Статья применима к следующим редакциям Windows:
Windows 7 Профессиональная, Windows 7 Корпоративная и Windows 7 Максимальная;
Windows Vista Бизнес, Windows Vista Корпоративная и Windows Vista Максимальная;
Windows XP Professional, Windows XP Media Center 2005.
Windows 7 Домашняя (Базовая и Расширенная) к сожалению не поддерживается. В этих версиях можно использовать «Родительский контроль». Чуть позже опишу и этот способ защиты.
1. Включите обновления вашей операционной системы
Для чего это нужно? Странный вопрос на самом деле. Дело в том, что производители ПО часто выпускают исправления ошибок в работе своих программ. Образно говоря, заколачивают дыры в заборе, через которые на ваш компьютер проникают вирусы.
Как включить обновления?
Пуск -> Все программы -> Центр обновления Windows -> Настройка параметров -> Важные обновления -> Устанавливать обновления автоматически
2. Не работайте под пользователем с правами администратора системы
Работая в системе с правами администратора вы фактически позволяете злоумышленникам (читай вирусам) распоряжаться как у себя дома. Вирусы с большой легкостью и вероятностью могут повредить ваши системные файлы. А если вы работаете под пользователем с ограниченными правами — безопасность системы значительно повышается.
Возьмите себе за правила:
- Ежедневные дела за компьютером (работа с текстом, графикой, интернет, игрушки) выполняйте в системе под пользователем с ограниченными правами;
- Если нужно установить какую либо программу — заходите под пользователем с правами администратора и устанавливайте.
Проверьте под каким пользователем сейчас работаете и, если окажется, что у текущего пользователя права администратора (как в примере ниже), добавьте в систему простого пользователя с ограниченными правами и работайте под ним.
Пуск -> Панель управления -> Учетные записи пользователей
Нажмите «Создание учетной записи»
В будущем ежедневную работу выполняйте от имени этого пользователя, как уже упоминалось выше.
3. Создание политики ограниченного использования программ (SRP)
Все дальнейшие настройки выполняются от имени администратора.
3.1. Откройте редактор групповой политики
Пуск -> Выполнить -> gpedit.msc (или, если нет пункта Выполнить: Пуск -> Найти программы и файлы -> gpedit.msc)
3.2. Создайте политику ограниченного использования программ
В редакторе групповой политики следующий путь:
Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования программ — Создать политику ограниченного использования программ
3.3. Политика ограниченного использования программ — Применение
Применять ко всем файлам программ; Применять для всех пользователей.
3.4. Политика ограниченного использования программ — Назначенные типы файлов
Удалить LNK — Ярлык
Добавить тип SCF
3.5. Политики открытого ключа — Параметры подтверждения пути сертификата
убрать галочку «Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов»
3.6. Политики ограниченного использования программ — Уровни безопасности
Установить Запрещено по умолчанию
3.7. Политики ограниченного использования программ — Дополнительные правила
Здесь уже есть несколько правил по умолчанию.
Добавим сюда еще пару правил.
В контекстном меню в правой части окна: Создать правило для пути.
Добавляем следующие правила:
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%Temp — Уровень безопасности: Запрещено
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32/spool/PRINTERS — Уровень безопасности: Запрещено
В итоге у нас получился такой список правил:
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot% — Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir% — Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%Temp — Уровень безопасности: Запрещено
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32/spool/PRINTERS — Уровень безопасности: Запрещено
Для Windows 7 x64 здесь будет еще 2 пути по умолчанию:
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir (x86)% — Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramW6432Dir% — Уровень безопасности: Неограниченный
Если у вас есть другие места откуда вы обычно запускаете программы (точнее куда вы их устанавливаете), например, игры вы устанавливаете в папку на диске D:
D:Games
В этом случае добавьте эти пути аналогично тому, как было указано выше, и установите для этих путей уровень безопасности Неограниченный
Очень важное замечание!
Не добавляйте сюда временные папки (c:temp и т. д.) или папки вашего профиля (c:usersmasha и т. д.) с уровнем безопасности Неограниченный! Иначе все наши настройки политики потеряют смысл. Почему? Потому, что вирусы как правило загружаются на ваш компьютер через дыру в браузере или какую-либо другую дыру и записываются в указанные выше места (а точнее они записываются туда, куда имеют доступ на запись). Если вы разрешите запуск программ из этих папок, то сами понимаете что произойдет.
Добавили все необходимые вам пути?
3.8. Настроим автоматическое применение политики, даже если мы забудем ее включить
Здесь же, в редакторе групповой политики откройте следующий путь:
Конфигурация компьютера — Административные шаблоны — Система — Групповая политика — Обработка политики реестра
поставьте там следующие галочки:
На этом окно Редактора групповой политики можно закрыть.
4. Перенос системной папки Temp и папки spoolPRINTERS
Создайте папку Temp на диске C (C:Temp).
Далее откройте свойства системы:
Правой кнопкой мыши на значке Мой компьютер -> Свойства -> Дополнительные параметры системы
или просто нажмите на клавиатуре клавиши: Win+Pause/Break
Далее, вкладка Дополнительно -> Переменные среды
измените системные переменные TEMP и TMP на C:Temp
Теперь перенесем папку spoolPRINTERS
Создайте на диске C папку spool. Внутри созданной папки spool создайте папку PRINTERS.
Откройте Пуск -> Устройства и принтеры
Выделите мышью любой принтер или факс, чтобы в верхней части окна появилось меню Свойства сервера печати.
Откройте последовательно Свойства сервера печати -> Дополнительные параметры -> Изменить дополнительные параметры
В строку Папка очереди печати впишите путь к ранее созданной папке C:spoolPRINTERS
5. Быстрое включение и отключение политики ограниченного использования программ
Чтобы у вас была возможность при необходимости устанавливать программы из любой папки (скачали программу, например, в D:Downloads, а запуск оттуда естественно запрещен) создадим 2 ярлыка. Один временно выключает политику (srp_disable.reg), другой (srp_enable.reg) включает ее обратно.
1-й файл
Откройте блокнот (Пуск -> Все программы -> Стандартные -> Блокнот)
Вставьте туда следующий текст:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers]
«DefaultLevel»=dword:00040000
Сохраните файл под названием srp_disable.reg
Меню Файл -> Сохранить как.
Выберите: Тип файла -> Все файлы (*.*)
Имя файла: SRP_Disable.reg
2-й файл
Откройте блокнот, вставьте следующий текст:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers]
«DefaultLevel»=dword:00000000
Сохраните по аналогии с предыдущим, только назовите файл srp_enable.reg
Переместите созданные файлы в системную папку C:Windows
Создайте для каждого файла ярлык и поместите его на рабочий стол:
Правой кнопкой мыши на файле -> Отправить ярлык на рабочий стол
В итоге должно быть 2 ярлыка на рабочем столе:
srp_disable.reg и srp_enable.reg
Теперь если вам нужно установить какую либо программу, запускаете ярлык srp_disable.reg устанавливаете программу, после чего запускаете srp_enable.reg
На этом настройка закончена. Перезагрузите компьютер, чтобы изменения вступили в силу.
Теперь если вы попробуете запустить какую-либо программу из не разрешенного для запуска места, увидите такое предупреждение:
Еще раз порядок действий для безопасной от вирусов работы за компьютером
- Ежедневную работу, игры, и т. д. выполняйте под пользователем с ограниченными правами.
- Для установки необходимых программ делайте следующее:
а) Пуск — Сменить пользователя (или клавиши Win+L)
б) Выбираем пользователя с правами администратора
в) Зашли под администратором
г) Запустили ярлык srp_disable.reg
д) Установили необходимую программу (предварительно проверив ее антивирусом)
е) Запустили ярлык srp_enable.reg
ж) Пуск — Сменить пользователя (или клавиши Win+L)
з) Выбираем своего обычного пользователя с ограниченными правами
и) Свободно работаем в системе без вирусов, баннеров, шифровщиков.
Хотелось бы отметить, что данная технология не отменяет использование антивирусов, их можно использовать хотя бы для проверки скачанных из сети файлов. Ну и две двери лучше чем одна)
При подготовке статьи были использованы материалы с сайта Vadims Podans
Источник: www.it-lines.ru
Просто о сложном
Для чего нужны политики ограниченного использования программ. Часть 1
Во вводной статье цикла, посвященного работе с технологией AppLocker, я упомянул, что параллельно с этим циклом статей на моем блоге будут еще появляться статьи, посвященные так называемому «старшему брату» упомянутой выше технологии. Другими словами, иногда, по некоторым причинам вы в своей организации не сможете использовать AppLocker, например, одна из причин та, что помимо компьютеров, работающих под операционной системой Windows 7, большая часть ваших пользователей может работать, скажем, под операционными системами Windows XP. А как вы знаете, у технологии AppLocker есть такое «замечательное ограничение», связанное с платформой, на которую будут распространяться настроенные вами политики.
Соответственно, как вы уже догадались, данная статья является введением в работу с технологией, которая называется политиками ограниченного доступа к программам, появившейся еще во времена Windows XP, которая позволяет управлять возможностями приложений на компьютерах ваших пользователей. Так как обо всех преимуществах и недостатках данной технологии по сравнению с AppLocker я уже писал во вводной статье цикла по AppLocker, думаю, нет смысла дублировать одну и ту же информацию. Поэтому, в данной статье будет рассказываться о том, что такое политики ограниченного доступа к программам, также как и для чего можно создать такие политики.
Что такое политики ограниченного использования программ?
Перед тем как начать создавать очередные объекты групповой политики с соответствующими параметрами безопасности, прежде всего, следует определиться, что же представляют собой политики ограниченного использования программ (Software Restriction Policies, SRP). Данная технология, которая входит в состав групповой политики, предоставляет функциональные возможности, предназначенные для обеспечения контроля над приложениями, запускаемыми пользователями на своих рабочих местах.
Как вы помните, технология AppLocker предоставляет, по сути, практически такие же возможности, однако, именно SRP в этом направлении можно назвать «старожилом», так как данная технология старше AppLocker более чем на 5 лет, а если говорить точнее, то технология SRP появилась в октябре 2001 года, вместе с выходом операционной системы Windows XP. Точно так же, как и в случае с AppLocker, используя функциональные возможности данной технологии, запрещённое при помощи SRP программное обеспечение не будет удаляться с пользовательского компьютера, а пользователь, в свою очередь, не сможет запустить такое приложение или же выполнить какие-то специфические действия.
Во вводной статье по AppLocker изо всех сравнений функциональных возможностей этих двух технологий (а именно, политик ограниченного использования программ и AppLocker), я не упомянул, что в том случае, если в одном объекте групповой политики будут настроены и параметры политик ограниченного доступа к программам и правила AppLocker, то на компьютерах под управлением ОС Windows 7 будут применяться только политики AppLocker. Также следует обратить внимание на тот момент, что, в отличие от политик, настроенных при помощи технологии AppLocker, все параметры SRP будут применяться не к определенному пользователю или группе пользователей, а ко всем пользователям, которые будут выполнять вход на компьютер, на который будут распространяться политики SRP.
Несмотря на все преимущества технологии, которая будет рассмотрена в нескольких статьях данного цикла, все запреты, распространяемые при помощи функциональных возможностей политик ограниченного использования программ можно обойти. Политики SRP не будут распространяться на пользователя в том случае, если пользователь выполнит вход на свой компьютер в безопасном режиме. Вот такой, получается, в какой-то степени, недостаток. Однако, если пользователям не говорить об этом моменте, вряд ли они будут в своих целях использовать данный чит.
Создание политики ограниченного использования программ
Если в случае с технологией AppLocker, вы можете не настраивать дефолтные политики для создания своих правил, то с политиками ограниченного использования программ без правил, создаваемых по умолчанию, вы работать не сможете. Соответственно, чтобы вам была предоставлена возможность создания и изменения таких политик, для начала вам следует создать предустановленные политики. Итак, чтобы создать свою политику ограниченного использования программ, нужно выполнить следующие действия:
1. При помощи оснастки «Управление групповой политики» создайте новый объект групповой политики, скажем, «Ограничения для всех пользователей компании», после чего откройте окно редактора управления групповыми политиками;
2. Политики SRP могут распространяться как на компьютеры организации, так и на самих пользователей, то есть, необходимый узел оснастки редактора управления групповыми политиками можно найти как в конфигурации компьютера, так и в конфигурации пользователя. Предположим, что в данном случае следует, чтобы политики SRP распространялись на всех пользователей в организации. Поэтому в отобразившейся оснастке разверните узел Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасности и перейдите к узлу «Политики ограниченного использования программ». Здесь, как я уже упомянул выше, для того чтобы начать работать с политиками ограниченного использования программ, вам следует создать политики по умолчанию. Для этого нужно нажать на данном узле правой кнопкой мыши и из контекстного меню выбрать команду «Создать политику ограниченного использования программ», как показано на следующей иллюстрации:
Рис. 1. Создание первых политик ограниченного использования программ
3. После выполнения данной команды, будут созданы два дополнительных узла, а также три параметра политики, предназначенных для настройки функциональных возможностей политики ограниченного использования программ. Узел «Уровни безопасности» позволяет вам указать, какие разрешения будут установлены в политиках SRP. Таких уровней немного, а именно три:
· Запрещено. При выборе данного уровня, несмотря на все разрешения, которые не указанны в политиках в явном виде, программное обеспечение не будут запускаться у пользователей, на которых распространяются политики SRP;
· Обычный пользователь. В данном случае, пользователи смогут запускать приложения под пользовательским маркером доступа;
· Неограниченный. Выбрав этот уровень безопасности, программное обеспечение будет запускаться, в зависимости от прав пользователя. Кстати, при первом создании политик SRP, по умолчанию для таких правил автоматически устанавливается уровень «Неограниченный». Естественно, чтобы компоненты операционной системы нормально функционировали, для некоторых создаваемых политик SRP, следует указывать именно этот уровень.
Соответственно, чтобы изменить уровень безопасности по умолчанию, следует выбрать необходимый уровень безопасности и из контекстного меню выбрать команду «По умолчанию». Пример изменения уровня безопасности по умолчанию отображен на следующей иллюстрации:
Рис. 2. Изменение уровня безопасности по умолчанию
4. При помощи узла «Дополнительные параметры» вы можете создавать правила, предназначенные для создания и управления политиками ограниченного использования программ. По умолчанию, при создании первой политики, которая была создана на втором шаге данного руководства, создается два первых правила.
Это правило для пути %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%, которое позволяет запускать любые приложения из папки Windows, а также правило для пути %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%, позволяющее запускать программы из папки Program Files. Правила для пути позволяют идентифицировать программы по расположению соответствующим файлам. Обычно правила для пути создаются с использованием точного пути к файлу, однако при создании таких правил вы можете использовать еще и такие переменные как %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Также, как и в случае с правилами по умолчанию, вы можете использовать разделы системного реестра.
Желательно не изменять правила, созданные по умолчанию, а в том случае, если вам необходимо ограничить доступ пользователей к каким-то определенным программам, следует создавать отдельные запрещающие правила.
Однако, несмотря на то, что данные правила будут отлично отрабатываться на клиентах, под операционными системами Windows XP, если у ваших пользователей будет установлена 64-разрядная операционная система Windows 7, у них могут возникнуть некоторые проблемы. И вот тут у ваших пользователей при попытке запуска любых приложений из папки «Program Files (x86)» может возникнуть ошибка, свидетельствующая о том, что пользователю запрещается выполнять любые приложения из соответствующего расположения.
В связи с этим следует создать новое правило для пути, позволяющее запускать приложения из соответствующих папок. Для этого в области сведений данного узла вызовите контекстное меню и выберите команду «Создать правило для пути». В отобразившемся диалоговом окне следует выбрать неограниченный уровень безопасности (так как нужно, чтобы пользователи могли запускать программы из выбранного расположения), а также указать раздел реестра %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir (x86)%.
При желании, вы можете в текстовом поле «Описание» добавить какую-то дополнительную информацию. Диалоговое окно нового правила пути показано на следующей иллюстрации:
Рис. 3. Создание правила для разрешения запуска программ, расположенных в папке Program Files (x86)
5. Теперь, в качестве примера, будет создано еще одно правило пути, запрещающее запускать программу «Блокнот» из папки «System 32». Для этого откройте диалоговое окно создания правила для пути, в текстовом поле «Путь» укажите путь к данной программе, в данном случае это «C:WindowsSystem32notepad.exe», из раскрывающегося списка «Уровень безопасности» выберите «Запрещено» и добавьте какое-то описание, например, «Запрет на использование блокнота», что можно увидеть на иллюстрации ниже:
Рис. 4. Создание запрещающего правила для блокнота
6. Теперь следует привязать созданный объект групповой политики к подразделению, содержащему учетные записи компьютеров компании. Закройте оснастку «Редактор управления групповой политики» и в дереве оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров (в моем случае, это подразделение «Клиенты»), нажмите на нем правой кнопкой мыши, а затем из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».
Выполните вход на компьютер, расположенный в подразделении «Клиенты» и попробуйте открыть программу «Блокнот». Как видно на следующей иллюстрации, при попытке открытия блокнота появится следующее диалоговое окно:
Рис. 5. Попытка открытия «Блокнот»
Заключение
Из этой статьи вы узнали о политиках ограниченного использования программ. Вы узнали о том, что представляют собой эти политики, о ситуации, когда такие политики не будут распространяться на пользователей, а также об уровнях безопасности, о политиках SRP по умолчанию и о создании новых политик ограниченного использования программ. В следующей статье данного цикла вы узнаете обо всех методах создания политик SRP.
Источник: dimanb.wordpress.com