SRP: Защита программной среды с помощью политики ограниченного использования программ в Windows. Как использовать групповые политики Windows для контроля за программами

Политики ограниченного использования программ (Software Restriction Policies) - это технология клиентов Windows 7, доступная для Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики ограниченного использования программ управляются при помощи групповой политики. Соответствующий узел находится в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ (Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies ). Для этих политик доступны параметры Неограниченный (Unrestricted ), разрешающий выполнение приложений, и Запрещено (Disallowed ), блокирующий выполнение приложений.

Ограничить выполнение приложений можно и при помощи прав файловой системы NTFS. Однако настройка прав доступа NTFS для большого числа приложений на многих компьютерах - очень трудоемкий процесс.

В принципе, возможности политик ограниченного использования программ и AppLocker во многом перекрываются. Преимущество политик ограниченного использования программ заключается в том, что они могут применяться на компьютерах Windows XP и Windows Vista, а также в изданиях Windows 7, не поддерживающих AppLocker. С другой стороны, в политиках ограниченного использования программ все правила должны настраиваться вручную, поскольку отсутствуют встроенные мастера для их создания. Политики ограниченного использования программ применяются в заданном порядке, в котором более конкретные правила имеют приоритет по сравнению с более общими правилами. Приоритет правил от более конкретизированных (правила хеша) до менее конкретизированных (по умолчанию) таков:

1. Правила хеша (hash rules).
2. Правила сертификатов (certificate rules).
3. Правила пути (path rules).
4. Правила зоны (zone rules).
5. Правила по умолчанию (default rules).

Если для одной программы задано два конфликтующих правила, приоритет имеет более специализированное правило. Например, правило хеша, задающее неограниченное использование приложения, перекрывает правило пути, которым это приложение запрещено. В этом заключается отличие от политик AppLocker, где приоритеты не используются и блокировка по любому правилу всегда доминирует над разрешающим правилом.

В средах, где используются и политики ограниченного использования программ, и AppLocker, политики AppLocker имеют приоритет. Если политика AppLocker явным образом разрешает работу приложения, заблокированного политикой ограниченного использования программ, приложение будет выполняться.

Уровни безопасности и правила по умолчанию

Узел Уровни безопасности (Security Levels) позволяет задавать правила ограниченного использования программ по умолчанию. Правило по умолчанию применяется, когда к приложению не применима никакая другая политика. Одновременно допускается активировать только одно правило по умолчанию. Три правила по умолчанию таковы:

• Запрещено (Disallowed ). Если включено это правило, пользователи смогут выполнять приложение, только если оно разрешено существующей политикой ограниченного использования программ.
• Обычный пользователь (Basic User ). Если включено это правило, пользователи смогут выполнять приложения, для которых не требуются административные полномочия. К приложению, требующему административных полномочий, пользователи получат доступ, только если было создано правило, охватывающее это приложение.
• Неограниченный (Unrestricted ). Если это правило задано в качестве правила по умолчанию, пользователь сможет выполнять это приложение, если оно не заблокировано существующей политикой ограниченного использования программ.

Если вы предполагаете ограничить возможности пользователей списком разрешенных приложений, настройте правило по умолчанию Запрещено (Disallowed ). Это гарантирует запрет на запуск любого приложения, не разрешенного явным образом. Если вы хотите лишь заблокировать пару проблемных программ, но не хотите запрещать использование всех прочих приложений, используемых в вашей среде, настройте правило по умолчанию Неограниченный (Unrestricted ). Это позволяет запускать любое приложение, если оно не заблокировано явным образом.

Способы применения политик

Окно Свойства: Применение (Enforcement Properties ), позволяет задать применение политик ограниченного использования программ ко всем файлам ПО, за исключением библиотек, например, DLL, или ко всем файлам ПО, включая библиотеки. Если по умолчанию задан уровень Запрещено (Disallowed ) и вы настроили применение политик к любым файлам ПО, для использования конкретной программы, вам необходимо будет настроить правила для библиотек DLL, используемых этой программой. Майкрософт не рекомендует ограничивать использование библиотек DLL, если среда, которой вы управляете, не требует повышенной безопасности. Это связано, главным образом, с тем, что управление правилами для библиотек DLL значительно увеличивает объем работы по сопровождению политик ограниченного использования программ.

Окно Свойства: Применение (Enforcement Properties ) позволяет настраивать применение политик ограниченного использования программ для всех пользователей или для всех пользователей, кроме администраторов. При помощи этой политики вы также можете задать, какие правила сертификатов будут принудительно применяться или игнорироваться. Недостаток принудительного применения правил сертификатов заключается в том, что они существенно снижают производительность компьютера.

Назначенные типы файлов

Политика Назначенные типы файлов (Designated File Types ), позволяет определять, по каким расширениям будут распознаваться исполняемые файлы, подпадающие под действие политик ограниченного использования программ. Список расширений редактируется при помощи кнопок Добавить (Add ) и Удалить (Remove ). Стандартные расширения (.com, .exe, и.vbs) удалить нельзя. Они всегда распознаются как исполняемые.

Правила пути

Правило пути позволяют указать в качестве объекта политики ограниченного использования программ файл, папку или параметр реестра. Чем конкретнее задано правило пути, тем выше его приоритет. Например, если у вас есть правило, задающее неограниченное использование файла C:\Program files\Application\App.exe , и правило, запрещающее использование файлов из папки C:\Program files\Application , приоритет будет иметь более специализированное правило: приложение будет выполняться. В правилах пути могут использоваться символы подстановки. Например, вполне возможно существование правила для пути C:\Program files\Application*.exe . Правила с использованием символов подстановки являются менее конкретными, чем правила, использующие полный путь к файлу. Недостатком правил пути является то, что в них предполагается неизменность расположения файлов и папок. Например, если вы создали правило пути для блокирования приложения C:\Apps\Filesharing.exe , злоумышленник сможет выполнить его, переместив файл в другую папку или присвоив ему другое имя. Правила пути работают только в том случае, если права доступа ОС не позволяют перемещать или переименовывать файлы.

Правила хеша

Правила хеша работают на основе цифрового отпечатка, который идентифицирует файл по его двоичному содержимому. Это означает, что файл, для которого вы создали правило хеша, будет идентифицирован независимо от его имени или расположения. Правила хеша работают для любых файлов и не требуют наличия цифровой подписи. Недостаток правил хеша в том, что их необходимо создавать отдельно для каждого файла. Нельзя автоматически создать правила хеша для политик ограниченного использования программ; вы должны генерировать каждое правило вручную. Также необходимо изменять правило хеша при каждом обновлении приложения, для которого действует правило, поскольку при обновлении ПО изменяется двоичное содержимое файла. Это означает, что измененный файл перестанет совпадать с первоначальным цифровым отпечатком.

Правила сертификатов

Правила сертификатов используют сертификаты издателя ПО с зашифрованной подписью для идентификации приложений, подписанных конкретным издателем. Правила сертификатов позволяют распространять на несколько приложений одно правило, гарантирующее такую же безопасность, что и правила хеша. Правила сертификатов не нужно изменять даже при обновлении ПО, поскольку модернизированное приложение по-прежнему будет подписано с использованием сертификата того же производителя. Для настройки правила сертификатов вам необходимо получить от производителя сертификат. Правила сертификатов увеличивают нагрузку на компьютер, поскольку перед началом выполнения приложения необходимо проверять действительность сертификата. Другой недостаток правил сертификатов в том, что они применяются ко всем приложениям данного производителя. Если на компьютере установлено двадцать приложений данной фирмы, а вы хотите разрешить выполнение лишь одного из них, вам предпочтительнее использовать другие правила. В противном случае пользователи смогут выполнять любые из этих двадцати приложений.

Правила сетевой зоны

Правила интернет-зоны применяются только к пакетам установщика Windows (.msi) , полученным при помощи Internet Explorer. К другим приложениям, например файлам .ехе , правила зоны неприменимы, даже если эти файлы также получены через Internet Explorer. Правила зоны определяют возможность использования пакета в зависимость от сайта, с которого он был скачан. Возможные расположения включают Интернет, интрасеть, ограниченные сайты (Restricted Sites), доверенные сайты (Trusted Sites) и Мой компьютер.

Более подробную информацию о политиках ограниченного использования программ вы найдете по адресу

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Цель практической работы:

• Изучить политики ограниченного использования программ в Windows;
• Ознакомиться с другими способами ограничения доступа к программам в Windows;
• Научиться управлять политиками ограниченного использования программ в Windows.

Описание политики ограниченного использования программ в Windows

Администраторы могут использовать политику ограничения использования программ для установки разрешений и запрещений на выполнение программ пользователями. Используя эту политику, администратор может предотвратить выполнение нежелательных программ, в том числе и вредоносного программного обеспечения.

Запуск настройки политики ограниченного использования программ

Чтобы создать политику ограниченного использования программ, проделайте следующее:

1. Запустите оснастку «Локальная политика безопасности»:

• Start (Пуск)® Run (Выполнить).

• Наберите secpol.msc и затем нажмите ОК.

1. Найдите в списке политик категорию «Политики ограниченного использования программ».
2. В меню «Действие» выберите команду «Создать политику ограниченного использования программ».

Описание параметров политики ограниченного использования программ

Уровни безопасности по умолчанию

Уровни безопасности по умолчанию определяют, разрешено или запрещено использовать программы при отсутствии явных разрешений или запрещений, задаваемых дополнительными правилами конфигурирования.

Применение уровней безопасности позволяет упростить настройку разрешений и запрещений: по умолчанию настраивается тот уровень безопасности, который применим для большей части программ. Для оставшихся программ другой уровень безопасности настраивается индивидуально в дополнительных правилах.

Существуют следующие уровни безопасности:

• Не разрешено / Запрещено (Disallowed) - если вы установите этот уровень, то никакие программы не будет разрешено использовать. Вы должны создать дополнительные правила, которые разрешат исполнять отдельные программы.
  Использование этого уровня рекомендуется в случае наличия у администратора полного списка разрешённых программ.
• Неограниченный (Unrestricted) - уровень, установленный операционной системой по умолчанию. Если вы установите этот уровень, все программы будут разрешены к исполнению. Вы должны создать дополнительные правила, которые запретят исполнять отдельные программы.
  Использование этого уровня рекомендуется в случае, если администратор не имеет полного списка разрешённых программ, но надо предотвратить исполнение отдельных программ.

• (Windows 7) Обычный пользователь (Basic User) - разрешает выполнение программ без прав администратора, но позволяет обращаться к ресурсам, доступным обычным пользователям.

Установленный уровень безопасности по умолчанию обозначен галочкой.

Уровень безопасности по умолчанию повлияет на все файлы, к которым применяется политика ограниченного использования программ (перечень этих типов файлов задаётся в правиле «Назначенные типы файлов» общих правил конфигурирования).

Уровень безопасности по умолчанию задан операционной системой по умолчанию как «Неограниченный».

При применении уровня безопасности «Не разрешено» следует создать исключения для программ, которые могут быть запущены.

При применении уровня «Неограниченный» имеется возможность создать правила для программ, запуск которых необходимо запретить.

Общие правила конфигурирования

Общие правила конфигурирования определяют, каким образом политика ограничения использования программ применяется на компьютере. Они включают следующие правила:

• Принудительный / применение (Enforcement) -

это правило описывает, к каким файлам применяются политики ограниченного использования программ:

• ко всем файлам, кроме библиотек (установлено по умолчанию),
• ко всем файлам.

Правило также описывает, к каким пользователям применяются политики ограниченного использования программ:

• для всех пользователей (установлено по умолчанию),
• для всех пользователей, кроме локальных администраторов.

Установка уровня безопасности «Не разрешено», применяемая ко всем файлам, может потребовать индивидуальных разрешений на файлы библиотек, которые потребуются разрешённым программам.

Установка уровня безопасности «Не разрешено», применяемая ко всем пользователям, может запретить доступ администраторам к программам.

• Назначенные типы файлов (Designated Files Types) -

правило «Назначенные типы файлов» определяет перечень типов файлов, которые считаются исполняемым кодом, кроме стандартных типов.exe, .dll, .vbs. К этим типам файлов применяются уровни безопасности по умолчанию и общее правило «Принудительный».

• Доверенные издатели (Trusted Providers) -

Правило «Доверенные издатели» применяется, чтобы определить пользователей, которым разрешено выбирать доверенных издателей:

• обычным пользователям (по умолчанию),
• локальным администраторам,
• администраторам предприятия.

Правило «Доверенные издатели» также применяется, чтобы определить, будет ли проводиться проверка сертификата и виды проверки (по умолчанию никакая проверка не проводится):

• проверка самого издателя,
• проверка штампа времени.

Дополнительные правила

Вы можете определять несколько типов дополнительных правил:

• Хеш (Hash).

Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла.

Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.

• Сертификат (Certificate).

Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением.exe или.dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.

• Путь (Path).

Правило для пути позволяет разрешить или запретить выполнение программ, которые расположены в определённой папке (в том числе в сети) или в её подпапке.

Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.

Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.

• Зона сети / зона Интернета (Internet Zone).

Правила для зоны влияют только на пакеты установщика Windows.

Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.

Правило для зоны Интернета позволяет разрешать или запрещать выполнение программ, расположенных в определённых зонах Интернета. Сейчас это правило это применяется только к пакетам Microsoft Windows Installer, которые исполняются из этой зоны.

Это правило не применяется к программам, загруженным с использованием Internet Explorer.

Приоритет дополнительных правил

К файлу программы может применяться несколько правил. Правила применяются в приведенном ниже порядке приоритета. Правила перечислены в порядке убывания приоритета.

• Правило для хеша.
• Правило для сертификата.
• Правило для пути. При конфликте правил для пути приоритет имеет правило с большим ограничением. Ниже приведен набор путей в порядке от высшего приоритета (наибольшее ограничение) к низшему приоритету:
  - диск:\папка1\папка2\имя_файла.расширение
  - диск:\папка1\папка2\*.расширение
  - *.расширение
  - диск:\папка1\папка2\
  - диск:\папка1\
• Правило для зоны Интернета.

Приложение приоритета

Например, если имеется файл с хешем без ограничений, расположенный в папке, для которой задано правило «Не разрешено», файл будет запущен, поскольку правило для хеша имеет приоритет над правилом для пути.

При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением. Например, если имеется правило для пути C:\Windows\ с уровнем безопасности «Не разрешено» и правило для пути %windir% с уровнем «Неограниченный», будет применяться более строгое правило с уровнем безопасности «Не разрешено».

Управление политиками ограниченного использования программ

Политики ограниченного использования программ рекомендуется настраивать в следующем порядке:

• создание политики ограниченного использования программ (в случае, если она ещё не создана);
• настройка уровней безопасности по умолчанию;
• настройка общих правил конфигурирования;
• настройка дополнительных правил конфигурирования.

Другие способы ограничения доступа к программам в Windows XP

Если вы решили защитить компьютер от несанкционированного программного обеспечения, то самым важным действием будет предоставление всем пользователям ограниченных учётных записей. Любое приложение, которое попытается заменить защищаемые системные файлы или манипулировать параметрами реестра, не связанное с личным профилем пользователя, не сможет завершить установку. Обычно пользователи с ограниченными учётными записями будут иметь трудности с установкой любой программы.

Кроме того, вы можете применить следующие методики:

• Удалите ярлыки программ из папок %AllUsersProfile% и %AllUsersProfile%\StartMenu.
• Для программ, которые устанавливаются в папку ProgramFiles (как большинство Windows-приложений), измените разрешения для вложенных папок, содержащих программы, доступ к которым желательно ограничить. Удалите группы Everyone (Все) и Users (Пользователи) из списка доступных приложений, оставив только группы администраторов и опытных пользователей (Windows 2000 или XP), а также любых пользователей, которые должны иметь доступ к этим программам.
• Предотвратите доступ Пользователей к окну командной строки, из которого они легко могут запустить программу. Найдите файлы Cmd.exe и Command.com, оба файла находятся в папке %SystemRoot%\System32. Вы можете настроить разрешения для обоих файлов, чтобы их имели право исполнять только администраторы; если ваши пользователи не слишком хитроумны, можно просто переименовать эти файлы.

Практические задания

При выполнении данной работы одна часть действий выполняется под учётной записью администратора (пользователь сadm), а другая - под учётной записью пользователя (создайте учетную запись). Название учётной записи, под которой выполняются действия, указываются словами АДМИНИСТРАТОР или ПОЛЬЗОВАТЕЛЬ, предваряющими описание задания.

Задание 1

Создание политики ограниченного использования программ

Прежде всего, создадим политики ограниченного использования программ. Эта операция выполняется один раз, при первом обращении к настройке этих политик.

АДМИНИСТРАТОР

Откройте консоль Локальные политики безопасности.

В дереве консоли щёлкните компонент Политики ограниченного использования программ.

Если вы открываете эту консоль первый раз, то политики ограниченного использования программ не определены - об этом говорит сообщение в правой части окна консоли. Следуйте указаниям для создания политик (Перейдите по ссылке «Создать новые политики»).

При дальнейших обращениях к политикам ограниченного использования программ этот шаг повторять не потребуется.

Не закрывайте консоль Локальные политики безопасности для выполнения следующих заданий.

Задание 2

Конфигурирование уровня безопасности по умолчанию Неограниченный

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент Уровни безопасности.

В правой части консоли видны 2 уровня безопасности по умолчанию. Установленный уровень отмечен чёрным кружком с галочкой.

Установите уровень безопасности по умолчанию Неограниченный.

Установить уровень безопасности по умолчанию можно двумя способами:

Способ 1: Вызовите контекстное меню того уровня, который вы хотите использовать по умолчанию, и выберите пункт По умолчанию (этот пункт отсутствует в контекстном меню установленного уровня безопасности).

Способ 2: Дважды щёлкните тот уровень безопасности, который вы хотите использовать по умолчанию, и нажмите кнопку По умолчанию (эта кнопка не функционирует для установленного уровня безопасности).

Задание 3

Конфигурирование общего правила Принудительный

АДМИНИСТРАТОР

Дважды щёлкните компонент Принудительный (или выберите пункт контекстного меню Свойства компонента Принудительный) и примените политики ограниченного использования программ ко всем файлам, кроме библиотек и для всех пользователей, кроме локальных администраторов.

Конфигурирование общего правила Назначенные типы файлов

АДМИНИСТРАТОР

Дважды щёлкните компонент Назначенные типы файлов (или выберите пункт контекстного меню Свойства компонента Назначенные типы файлов) и просмотрите типы файлов, которые определены как исполняемые. Ознакомьтесь с механизмом добавления и удаления типа файлов, который будет определяться как исполняемый.

Не вносите фактических изменений в этот список.

Конфигурирование общего правила Доверенные издатели

АДМИНИСТРАТОР

Дважды щёлкните компонент Доверенные издатели (или выберите пункт контекстного меню Свойства компонента Доверенные издатели) и просмотрите, каким пользователям разрешено выбирать доверенных издателей (убедитесь, что разрешено обычным пользователям) и какие выбраны виды проверок сертификатов (убедитесь, что не выбрано никаких видов проверок).

Задание 4

Конфигурирование дополнительного правила Для пути

ПОЛЬЗОВАТЕЛЬ

Выполните подготовительные шаги: скопируйте файл notepad.exe из папки C:/Windows/system32 на рабочий стол пользователя и переименуйте его в notepad-1.exe.

АДМИНИСТРАТОР

В правой части консоли просмотрите, каким ресурсам, какой тип дополнительных правил и какой уровень безопасности уже настроен.

Добавьте правило Для пути:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт Создать правило для пути. В появившемся окне нажмите кнопку Обзор и выберите путь к файлу notepad-1.exe, расположенному на рабочем столе пользователя. Выберите уровень безопасности Не разрешено. Нажмите кнопку ОК.

ПОЛЬЗОВАТЕЛЬ

Убедитесь, что программа Блокнот запускается (Пуск ® Все программы ® Стандартные ® Блокнот).

Убедитесь, что файл программы notepad-1.exe, расположенный на рабочем столе пользователя, не запускается. Объясните, почему так происходит.

Скопируйте файл программы notepad-1.exe с рабочего стола в папку Мои документы.

Запустите файл программы notepad-1.exe из папки Мои документы. Убедитесь, что файл notepad-1.exe из папки Мои документы запускается. Объясните, почему так происходит.

Вопрос: Насколько надёжно перекрывает доступ к программам правило «Для пути»? Какие способы устранения недостатков вы можете предложить.

Задание 5

Конфигурирование дополнительного правила Для хеша

ПОЛЬЗОВАТЕЛЬ

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила.

Удалите правило «Для пути», созданное в предыдущем задании.

Добавьте правило «Для хеша»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для хеша».

Выберите для хеширования файл notepad-1.exe на рабочем столе пользователя, нажав кнопку Обзор. После формирования хеша в поле хешируемый файл будет записан хеш файла, а в поле Информация файла - описание файла.

Если вам известен хеш файла программы, то вы можете ввести его в поле Хешируемый файл.

Выберите в поле Безопасность параметр Не разрешено. Нажмите ОК.

ПОЛЬЗОВАТЕЛЬ

Запустите файл notepad-1.exe. Объясните, почему файл не запускается.

Запустите программу Блокнот. Объясните, почему программа не запускается.

Скопируйте файл notepad-1.exe в папку Мои документы. Запустите файл notepad-1.exe из папки Мои документы. Объясните, почему файл не запускается.

Вопрос: Сформулируйте отличия правила «для хеша» от правила «для пути». Какое из этих двух правил более эффективно? Какие способы преодоления правила «для хеша» вы можете предложить?

Задание 6

Конфигурирование дополнительного правила Для сертификата

ПОЛЬЗОВАТЕЛЬ

Удалите файл notepad-1.exe из папки Мои документы.

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент «Дополнительные правила».

Удалите правило «Для хеша», созданное в предыдущем задании.

Найдите с помощью Проводника файлы с расширением.cer (файлы сертификата) и запишите путь к одному из них.

Добавьте правило «Для сертификата»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для сертификата». Нажав кнопку Обзор, выберите файл сертификата, путь к которому вы записали.

Выберите уровень безопасности и нажмите ОК.

Убедитесь, что в списке дополнительных правил добавилась новая строка.

Вопрос: Объясните, чем отличается запись правила «для сертификата от записи правила «для пути»?

Удалите сделанную вами запись правила «для сертификата».

Контрольные задания и вопросы

1. Разработайте политики ограниченного использования программ для выполнения следующих требований:

• обычный пользователь должен работать с приложениями Word и Excel;

• администратор должен быть уверен, что программы Word и Excel, которые он установил, не были изменены.

1. Каков приоритет политик ограниченного использования программ?

1. Чем отличаются правила «для пути» от правил «для хеша»? Какое из них более строгое? Какие недостатки имеет правило «для хеша»?
2. Каков рекомендуемый порядок настройки политик ограниченного использования программ. Чем может быть обусловлен выбор уровня безопасности по умолчанию?

Всем доброго времени суток и всего такого прочего-разного.

Частенько меня спрашивают о том как запретить пользователю использовать те или иные программы, их установку, а так же открывать различные типы файлов (которые ему не нужны и могут принести вред) и всё такое прочее. В общем-то для начинающих эникейщиков, системных администраторов и прочего рода -шников, - это достаточно популярный вопрос.

И вопрос этот небезоснователен, ибо ограничение неразумного пользователя в правах частенько сильно упрощает работу, повышает безопасность и всё такое прочее.

К тому же, полезно это бывает не только для тех, кто работает в IT -сфере, но и просто для пользователей, которые хотят защитить себя от различных вирусов, надстроек и тп. К слову, эту методику можно еще и использовать как родительский контроль.

В общем, давайте приступим.

Базовое администрирование политики ограниченного использования программ

Инструмент этот простой и в общем-то, должен быть известен примерно каждому, благо он существует достаточно давно, а да и применяется всякими айтишниками (и не только) многими повсеместно.

В некоторых версиях систем его нет (типа Home Edition ), но в большинстве присутствует. Перечислять все нет большого желания, благо наличие таковой поддержки Вы можете сделать за считанные минуты, собственно, попытавшись открыть сей инструмент.

Сия радость зовётся Software Restriction Policies (SPR ), что условно можно перевести как политики ограниченного использования программ (о чем и написано в подзаголовке).

Запустить можно через "Пуск - Выполнить (Win+R ) - secpol.msc " :

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

Или через Администрирование, которое живет по пути "Пуск - Настройка - Панель управления - Администрирование - Локальная политика безопасности - Политики ограниченного использования программ " . Выглядит следующим образом:

Здесь, для начала, тыкаем правой кнопкой мышки по названию "папки", т.е "Политики ограниченного использования программ " и выбираем пункт "Создать политику ограниченного использования программ " .

Далее необходимо будет определиться с, для начала, первичными настройками и произвести их. Для сего нажмем правой кнопкой мышки на пункте "Применение " и выбираем подпункт "Свойства ". Здесь (см. выше) можно оставить всё по умолчанию, либо включить применение ко всему без исключений (по умолчанию стоит игнорирование DLL ) и, например, переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (при учете, что у Вас аккаунты разграничены на администраторкие и пользовательские).

Далее, предварительно сохранив изменения, жмем правой кнопкой мышки на пункте "Назначенные типы файлов " и снова выбираем подпункт "Свойства ". Здесь можно управлять разрешениями, определяющими понятие исполнительного кода, которые мы в последствии запретим к использованию. Можете настроить на своё усмотрение, в зависимости от целей и задач, которые Вы ставите перед собой, но пока мы оставим всё как есть.

Далее развернем "папку" и перейдем в следующую ветку, т.е в "Уровни безопасности ". Здесь можно управлять уровнями безопасности, в том числе задавать таковые по умолчанию, экспортировать списки и тд и тп.

Простейшим, для теста, решением тут будет задать уровень безопасности "Запрещено " по умолчанию (для чего жмем по нему правой кнопкой мышки и жмем соответствующую кнопку), после чего, когда Вы согласитесь с уведомлением, ограничение будет активировано.

Теперь при запуске программ, если Вы не удалили из списка расширений EXE , Вы будете видеть уведомление как на скриншоте выше. Собственно, можно удалить расширение как таковое, а можно пойти более хитрым путём и, например, удалить только расширение LNK , т.е ярлык.

Тогда, собственно, пользователь сможет запускать только тот софт на который у него есть ярлык на рабочем столе. Способ конечно спорный, но в общем-то вполне себе такой хитрый (даже если пользователь умеет редактировать ярлыки, хотя и это можно ему запретить).

Как Вы понимаете, собственно, глобальные правила на всё в компьютере и манипулирование разрешениями только ярлыками не есть гуд, посему хорошо бы задать какие-то папки, откуда можно запускать приложения из сторонних папок (по умолчанию, в зависимости от системы, разрешения могут быть заданы из системных папок, т.е из Windows и ProgramFiles ).

Для этого переходим на вкладку "Дополнительные правила " и жамкаем правой кнопкой мышки на пустом месте, выбирая пункт "Создать правило для пути " , где задаём путь и разрешение или запрет для пользователя.

Таким же образом, как Вы уже, надеюсь, поняли, регламентируется запрет или разрешения доступа по хешу, зонам сетей или сертификату.

В двух словах, собственно, как-то вот так.

Послесловие

Надеюсь, что кому-то будет полезным и кто-то действительно не знал ничего о политиках, которые, к слову, очень важный инструмент в администрировании любого типа.

Как и всегда, если есть какие-то вопросы, мысли дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.

С целью повышения безопасности сетей (в частности, доменов на основе Active Directory) используются политики ограниченного использования программ. Этот компонент присутствует в любом объекте групповой политики.
Но при использовании этого компонента есть пара моментов, о которых я однажды запямятовал, и в результате получил прямо-таки эпидемию новогодних украшательств на рабочих столах пользователей по всей сети.
Итак, расскажу о моментах, про которые не стоит забывать.
Создавая новый объект групповой политики и редактируя существующий, открываем его в редакторе групповых политик:

1. В разделе Дополнительные правила удаляем параметр %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% . Этот параметр разрешает запуск всех программ, расположенных в Program Files.

3. В разделе Политики ограниченного использования программ в параметре Назначенные типы файлов следует из списка удалить тип файлов LNK (Ярлык) .

Напоследок хочу заметить, что всё вышеизложенное я написал в первую очередь как памятку для себя, и приведенные рекомендации не являются "истиной в последней инстанции".