В своем блоге я размещаю статьи по администрированию сетей и прикладных программ, которые мне показались интересными или полезными, или уже оказались полезными для меня. Поскольку статьи я беру из разных источников (здесь представлены не только мои), авторство иногда установить очень сложно. Если Вы автор какой-то конкретной статьи и авторство (источник оригинала) у меня указано не правильно (или не указано), прошу сообщить об этом.
Страницы
Translate
суббота, 7 июля 2012 г.
Для чего нужны политики ограниченного использования программ
Во вводной статье цикла, посвященного работе с технологией AppLocker, я упомянул, что параллельно с этим циклом статей на моем блоге будут еще появляться статьи, посвященные так называемому «старшему брату» упомянутой выше технологии.
Другими словами, иногда, по некоторым причинам вы в своей организации не сможете использовать AppLocker, например, одна из причин та, что помимо компьютеров, работающих под операционной системой Windows 7, большая часть ваших пользователей может работать, скажем, под операционными системами Windows XP. А как вы знаете, у технологии AppLocker есть такое «замечательное ограничение», связанное с платформой, на которую будут распространяться настроенные вами политики.
Настраиваем SRP на примере Windows Server Standart 2008 R2
Соответственно, как вы уже догадались, данная статья является введением в работу с технологией, которая называется политиками ограниченного доступа к программам, появившейся еще во времена Windows XP, которая позволяет управлять возможностями приложений на компьютерах ваших пользователей. Так как обо всех преимуществах и недостатках данной технологии по сравнению с AppLocker я уже писал во вводной статье цикла по AppLocker, думаю, нет смысла дублировать одну и ту же информацию. Поэтому, в данной статье будет рассказываться о том, что такое политики ограниченного доступа к программам, также как и для чего можно создать такие политики.
Что такое политики ограниченного использования программ?
Перед тем как начать создавать очередные объекты групповой политики с соответствующими параметрами безопасности, прежде всего, следует определиться, что же представляют собой политики ограниченного использования программ (Software Restriction Policies, SRP). Данная технология, которая входит в состав групповой политики, предоставляет функциональные возможности, предназначенные для обеспечения контроля над приложениями, запускаемыми пользователями на своих рабочих местах.
Как вы помните, технология AppLocker предоставляет, по сути, практически такие же возможности, однако, именно SRP в этом направлении можно назвать «старожилом», так как данная технология старше AppLocker более чем на 5 лет, а если говорить точнее, то технология SRP появилась в октябре 2001 года, вместе с выходом операционной системы Windows XP. Точно так же, как и в случае с AppLocker, используя функциональные возможности данной технологии, запрещённое при помощи SRP программное обеспечение не будет удаляться с пользовательского компьютера, а пользователь, в свою очередь, не сможет запустить такое приложение или же выполнить какие-то специфические действия.
Applocker — Запрет на запуск программ
Во вводной статье по AppLocker изо всех сравнений функциональных возможностей этих двух технологий (а именно, политик ограниченного использования программ и AppLocker), я не упомянул, что в том случае, если в одном объекте групповой политики будут настроены и параметры политик ограниченного доступа к программам и правила AppLocker, то на компьютерах под управлением ОС Windows 7 будут применяться только политики AppLocker. Также следует обратить внимание на тот момент, что, в отличие от политик, настроенных при помощи технологии AppLocker, все параметры SRP будут применяться не к определенному пользователю или группе пользователей, а ко всем пользователям, которые будут выполнять вход на компьютер, на который будут распространяться политики SRP.
Несмотря на все преимущества технологии, которая будет рассмотрена в нескольких статьях данного цикла, все запреты, распространяемые при помощи функциональных возможностей политик ограниченного использования программ можно обойти. Политики SRP не будут распространяться на пользователя в том случае, если пользователь выполнит вход на свой компьютер в безопасном режиме. Вот такой, получается, в какой-то степени, недостаток. Однако, если пользователям не говорить об этом моменте, вряд ли они будут в своих целях использовать данный чит.
Создание политики ограниченного использования программ
Если в случае с технологией AppLocker, вы можете не настраивать дефолтные политики для создания своих правил, то с политиками ограниченного использования программ без правил, создаваемых по умолчанию, вы работать не сможете. Соответственно, чтобы вам была предоставлена возможность создания и изменения таких политик, для начала вам следует создать предустановленные политики. Итак, чтобы создать свою политику ограниченного использования программ, нужно выполнить следующие действия:
1. При помощи оснастки «Управление групповой политики» создайте новый объект групповой политики, скажем, «Ограничения для всех пользователей компании», после чего откройте окно редактора управления групповыми политиками;
2. Политики SRP могут распространяться как на компьютеры организации, так и на самих пользователей, то есть, необходимый узел оснастки редактора управления групповыми политиками можно найти как в конфигурации компьютера, так и в конфигурации пользователя. Предположим, что в данном случае следует, чтобы политики SRP распространялись на всех пользователей в организации. Поэтому в отобразившейся оснастке разверните узел Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасности и перейдите к узлу«Политики ограниченного использования программ». Здесь, как я уже упомянул выше, для того чтобы начать работать с политиками ограниченного использования программ, вам следует создать политики по умолчанию. Для этого нужно нажать на данном узле правой кнопкой мыши и из контекстного меню выбрать команду «Создать политику ограниченного использования программ», как показано на следующей иллюстрации:
Рис. 1. Создание первых политик ограниченного использования программ
3. После выполнения данной команды, будут созданы два дополнительных узла, а также три параметра политики, предназначенных для настройки функциональных возможностей политики ограниченного использования программ. Узел «Уровни безопасности» позволяет вам указать, какие разрешения будут установлены в политиках SRP. Таких уровней немного, а именно три:
· Запрещено. При выборе данного уровня, несмотря на все разрешения, которые не указанны в политиках в явном виде, программное обеспечение не будут запускаться у пользователей, на которых распространяются политики SRP;
· Обычный пользователь. В данном случае, пользователи смогут запускать приложения под пользовательским маркером доступа;
· Неограниченный. Выбрав этот уровень безопасности, программное обеспечение будет запускаться, в зависимости от прав пользователя. Кстати, при первом создании политик SRP, по умолчанию для таких правил автоматически устанавливается уровень «Неограниченный». Естественно, чтобы компоненты операционной системы нормально функционировали, для некоторых создаваемых политик SRP, следует указывать именно этот уровень.
Соответственно, чтобы изменить уровень безопасности по умолчанию, следует выбрать необходимый уровень безопасности и из контекстного меню выбрать команду «По умолчанию». Пример изменения уровня безопасности по умолчанию отображен на следующей иллюстрации:
Рис. 2. Изменение уровня безопасности по умолчанию
4. При помощи узла «Дополнительные параметры» вы можете создавать правила, предназначенные для создания и управления политиками ограниченного использования программ. По умолчанию, при создании первой политики, которая была создана на втором шаге данного руководства, создается два первых правила.
Это правило для пути %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%, которое позволяет запускать любые приложения из папки Windows, а также правило для пути %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%, позволяющее запускать программы из папки Program Files. Правила для пути позволяют идентифицировать программы по расположению соответствующим файлам. Обычно правила для пути создаются с использованием точного пути к файлу, однако при создании таких правил вы можете использовать еще и такие переменные как %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Также, как и в случае с правилами по умолчанию, вы можете использовать разделы системного реестра.
Желательно не изменять правила, созданные по умолчанию, а в том случае, если вам необходимо ограничить доступ пользователей к каким-то определенным программам, следует создавать отдельные запрещающие правила.
Однако, несмотря на то, что данные правила будут отлично отрабатываться на клиентах, под операционными системами Windows XP, если у ваших пользователей будет установлена 64-разрядная операционная система Windows 7, у них могут возникнуть некоторые проблемы. И вот тут у ваших пользователей при попытке запуска любых приложений из папки «Program Files (x86)» может возникнуть ошибка, свидетельствующая о том, что пользователю запрещается выполнять любые приложения из соответствующего расположения.
В связи с этим следует создать новое правило для пути, позволяющее запускать приложения из соответствующих папок. Для этого в области сведений данного узла вызовите контекстное меню и выберите команду «Создать правило для пути». В отобразившемся диалоговом окне следует выбрать неограниченный уровень безопасности (так как нужно, чтобы пользователи могли запускать программы из выбранного расположения), а также указать раздел реестра %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir (x86)%.
При желании, вы можете в текстовом поле «Описание» добавить какую-то дополнительную информацию. Диалоговое окно нового правила пути показано на следующей иллюстрации:
Рис. 3. Создание правила для разрешения запуска программ, расположенных в папке Program Files (x86)
5. Теперь, в качестве примера, будет создано еще одно правило пути, запрещающее запускать программу «Блокнот» из папки «System 32» . Для этого откройте диалоговое окно создания правила для пути, в текстовом поле «Путь» укажите путь к данной программе, в данном случае это «C:WindowsSystem32notepad.exe» , из раскрывающегося списка «Уровень безопасности» выберите «Запрещено» и добавьте какое-то описание, например, «Запрет на использование блокнота» , что можно увидеть на иллюстрации ниже:
Рис. 4. Создание запрещающего правила для блокнота
6. Теперь следует привязать созданный объект групповой политики к подразделению, содержащему учетные записи компьютеров компании. Закройте оснастку «Редактор управления групповой политики» и в дереве оснастки«Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров (в моем случае, это подразделение «Клиенты»), нажмите на нем правой кнопкой мыши, а затем из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики»выберите данный объект групповой политики и нажмите на кнопку «ОК».
Выполните вход на компьютер, расположенный в подразделении «Клиенты» и попробуйте открыть программу «Блокнот». Как видно на следующей иллюстрации, при попытке открытия блокнота появится следующее диалоговое окно:
Рис. 5. Попытка открытия «Блокнот»
Заключение
Из этой статьи вы узнали о политиках ограниченного использования программ. Вы узнали о том, что представляют собой эти политики, о ситуации, когда такие политики не будут распространяться на пользователей, а также об уровнях безопасности, о политиках SRP по умолчанию и о создании новых политик ограниченного использования программ. В следующей статье данного цикла вы узнаете обо всех методах создания политик SRP.
Источник: gelium.blogspot.com
Иллюстрированный самоучитель по администрированию Windows 2000/2003
В правиле для пути можно указать папку или полный путь к программе. Когда в правиле для пути указана папка, оно применяется ко всем программам, находящимся в этой папке и всех ее подпапках. Поддерживаются как локальные, так и универсальные пути в формате UNC.
Использование переменных среды в правилах для пути. В правиле для пути можно использовать переменные среды. Поскольку правила для пути обрабатываются в клиентской среде, возможность использования переменных среды (например, %USERPROFILE%) позволяет им приспособиться к определенной среде пользователя.
Важно
Переменные среды не защищены списками управления доступом (ACL). В случае, если пользователи смогут запустить командную строку, они смогут переопределить переменные среды на свое усмотрение.
Использование подстановочных знаков (wildcards) в правилах для пути. Правило для пути может содержать подстановочные знаки ‘?’ и ‘*’, позволяя правилам, таким как «*.vbs», применяться ко всем файлам сценариев Visual Basic®. Несколько примеров:
- «\DC-??login$» matches \DC-01login$, \DC-02login$
- «*Windows» matches C:Windows, D:Windows, E:Windows
- «c:win*» matches c:winnt, c:windows, c:windir
Правила для пути в реестре. Многие приложения хранят пути к своим установочным папкам или рабочие каталоги в системном реестре. Вы можете создать правило для пути которое просматривает эти ключи реестра. Например, некоторые приложения могут быть установлены в любом месте файловой системы. Эти местоположения бывает трудно обозначить, если использовать конкретные пути (такие как C:Program FilesMicrosoft Platform SDK) или переменные среды (такие как %ProgramFiles%Microsoft Platform SDK). Если программа хранит пути к своим рабочим каталогам в реестре, Вы можете создать правило для пути, которое будет использовать хранящееся в реестре значение, такое как:
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftPlatformSDKDirectoriesInstall Dir%
Такой тип правила для пути называется правилом для пути в реестре и имеет следующий формат:
%[Куст реестра][Имя раздела реестра][Имя параметра]%
Примечание
Суффикс любого правила для пути в реестре не должен содержать символ «» сразу же после последнего знака «%» в правиле.
- Путь в реестре должен быть заключен между знаками процента («%»).
- Параметр реестра должен быть либо строковым параметром (REG_SZ), либо расширяемым строковым параметром (REG_EXPAND_SZ). Вы не можете использовать HKLM в качестве аббревиатуры для HKEY_LOCAL_MACHINE или HKCU – в качестве аббревиатуры для HKEY_CURRENT_USER.
- Если параметр реестра содержит переменные среды, при оценке политики будет использоваться их фактическое значение.
- Правило для пути в реестре может также содержать окончание пути, такое как %HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCache%OLK* Это правило для пути в реестре идентифицирует папку, которую Microsoft Outlook XP использует для хранения вложений перед их запуском. Название папки вложений всегда начинается с «OLK», поэтому в правиле можно использовать подстановочные знаки. В качестве примера это правило применяется к следующему пути: C:Documents and Settingsимя_пользователяLocal SettingsTemporary Internet FilesOLK4
Важно
Когда Вы задаете правило для пути, Вы должны проверить списки контроля доступа (ACL) для этого пути. Если пользователи имеют разрешение на запись в определенную папку, они могут изменять ее содержимое. Например, если Вы разрешите доступ к C:Program Files, любой пользователь группы Опытные пользователи (Power Users) на локальном компьютере может копировать приложения в папку Program Files.
Приоритет правил для путей. Если приложение попадает под действие нескольких правил для пути, самым приоритетным будет являться правило с наиболее точным совпадением.
Ниже перечислен набор путей, начиная с самого приоритетного (наиболее точное совпадение) к наименее приоритетному (наиболее общее совпадение).
- Диск:Папка1Папка2ИмяФайла.Расширение
- Диск: Папка1Папка2*. Расширение
- *. Расширение
- Диск: Папка1Папка2
- Диск: Папка1
Источник: samoychiteli.ru
Политика ограниченного использования программ
Политика ограниченного использования программ (в английской версии Windows — SRP, Software Restriction Policy) впервые появилась в Windows XP и присутствуют в последующих версиях ОС Windows.
- 1 Общие сведения
- 2 Дополнительные правила и уровни безопасности
- 2.1 Правило для сертификата
- 2.2 Правило для пути
- 2.3 Правило для хеша
- 2.4 Правило для зоны Интернета
- 2.5 Уровень безопасности
Общие сведения
С помощью политик ограниченного использования программ имеется возможность защищать компьютерное оборудование от программ неизвестного происхождения путём определения программ, разрешенных для запуска. В данной политике приложения могут быть определены с помощью правила для хеша, правила для сертификата, правила для пути и правила для зоны Интернета. Программное обеспечение может выполняться на двух уровнях: неограниченном и запрещенном.
Политики ограниченного использования программ регулируют использование неизвестных программ и программ, к которым нет доверия. В организациях используется набор хорошо известных и проверенных приложений. Администраторы и служба поддержки обучены для поддержки этих программ. Однако, при запуске пользователем других программ, они могут конфликтовать с установленным программным обеспечением, изменять важные данные настройки или, что ещё хуже, содержать вирусы или «троянские» программы для несанкционированного удаленного доступа.
При интенсивном использовании сетей, Интернета и электронной почты в бизнесе пользователи повсеместно сталкиваются с различными программами. Пользователям постоянно приходится принимать решения о запуске неизвестных программ, поскольку документы и веб-страницы содержат программный код — сценарии. Вирусы и «троянские» программы зачастую умышленно замаскированы для введения пользователей в заблуждение при запуске. При таком большом количестве и разнообразии программ отдельным пользователям трудно определить, какое программное обеспечение следует запускать.
Пользователям необходим эффективный механизм идентификации и разделения программ на безопасные и не заслуживающие доверия. После идентификации программы к ним может быть применена политика для определения, могут ли они быть запущены. Политики ограниченного использования программ предоставляют различные способы идентификации программного обеспечения и средства определения, следует ли запускать данное приложение.
Дополнительные правила и уровни безопасности
При применении политик ограниченного использования программ идентификация программного обеспечения производится посредством следующих правил:
Правило для сертификата
Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением .exe или .dll. Они используются для сценариев и пакетов установщика Windows.
Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.
Правило для пути
Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.
Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.
Правило для хеша
Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.
Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла. Хеш переименованного или перемещенного в другую папку файла не изменяется. Однако, при любом изменении файла значение хеша изменяется, позволяя обойти ограничения.
Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.
Правило для зоны Интернета
Правила для зоны влияют только на пакеты установщика Windows.
Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.
Уровень безопасности
В политиках ограниченного использования программ используются следующие уровни безопасности:
- Неограниченный. Приложения запускаются со всеми правами пользователя, вошедшего в систему.
- Не разрешено. Приложения не могут быть запущены.
- Обычный пользователь. Приложения запускаются с правами обычного пользователя, даже если пользователь является членом группы администраторов. (Появилось в интерфейсе Windows Vista, хотя в API доступно и в Windows XP.)
Ссылки
- Крис Корио (Chris Corio) and Durga Prasad SayanaБлокировка приложений с помощью политик ограниченного использования программАрхивная копия от 11 декабря 2015 на Wayback Machine — TechNet Magazine
- Обзор политик ограниченного использования программАрхивная копия от 11 декабря 2015 на Wayback Machine — Microsoft Technet
Источник: xn--h1ajim.xn--p1ai