Политики ограниченного использования программ
Политики SRP находятся в ведении службы Group Policy, которую можно использовать для ограничения запуска приложений на компьютерах с системами Windows 7, Windows Vista, Windows Server 2003 и Windows XP. Можно рассматривать политики SRP как аналог набора правил брандмауэра. В данном случае вы можете создать более общее правило, запрещающее или разрешающее запуск приложений, для которых не создано отдельных правил. Например, можно настроить общее правило, разрешающее запуск любых программ, и при этом отдельным правилом запретить запуск программы «Пасьянс». Или вы можете начать настройку с запрета запуска любых приложений и далее создавать правила SRP, разрешающие запуск конкретных приложений.
Можно создавать различные типы правил SRP, в том числе правило для зоны, правило для пути, правило для сертификата и правило для хеша.
Вы можете настраивать политики SRP через разделы User или Computer службы Group Policy. Подобная гибкость позволяет применять политики к группам компьютеров или пользователей. Например, можно применить политику SRP, запрещающую пользователям играть в "Сапера" или "Пасьянс", к организационной единице, включающей сотрудников бухгалтерии. С другой стороны, можно применить политику SRP к группе компьютеров в общедоступной лаборатории колледжа, чтобы ограничить набор приложений, которые может устанавливать каждый, кто использует системы в тестовой лаборатории.
Чтобы активировать политики SRP, сначала создайте или отредактируйте объект Group Policy Object (GPO) и перейдите в окно Computer (или User) Configuration->Windows Settings->Security Settings->Software Restriction Policies. После этого щелкните правой кнопкой мыши на узле Restriction Policies и выберите пункт New Software Restriction Policies в контекстном меню.
После того, как вы активируете политики SRP, необходимо будет выбрать используемый уровень безопасности, Unrestricted или Disallowed. По умолчанию включен уровень Unrestricted, который разрешает запуск любых приложений, кроме запрещенных. И наоборот, режим Disallowed запрещает запуск любых приложений, кроме тех, для которых созданы исключения. Имейте в виду, что система Windows Vista предполагает третий уровень безопасности, Basic User, который вынуждает все приложения, кроме отдельно настроенных, работать с уровнем привилегий Basic User. Но так как эта статья посвящена запрету запуска приложений, мы не будем рассматривать уровень Basic User.
При серьезном подходе к ограничению использования неавторизованного программного обеспечения в организации рекомендуется выбирать уровень безопасности Disallowed. Для использования уровня Unrestricted требуется информация о том, какое именно программное обеспечение может быть запущено, что напоминает угадывание номеров лотерейных билетов. Хотя уровень Unrestricted может хорошо работать в безопасном окружении, где руководство просит вас отключить пользователям встроенные в систему Windows игры, его трудно задействовать в каком-либо решении с повышенными требованиями к безопасности. Однако если вы хотите заблокировать небольшое число приложений, не блокируя полностью компьютеры организации, стоит использовать уровень Unrestricted.
Для переключения политик SRP в уровень Disallowed перейдите в узел Software Restriction Policies->Security Levels и дважды щелкните на политике Disallowed. В появившемся окне Disallowed Properties, см. экран 1, просто установите флажок в поле Set as Default. Система Windows выдаст сообщение о том, что выбранный уровень является более безопасным, чем текущий, и некоторые программы могут быть закрыты. Щелкните на кнопке OK.
Рисунок 1: Установка уровня Disallowed в качестве уровня безопасности, используемого по умолчанию
По умолчанию в политиках SRP изначально существуют исключения для всех приложений, размещенных в папках %SystemRoot% и %SystemRoot%\System32. Вы можете просмотреть эти исключения в окне Additional Rules для каждой политики. Эти правила предоставляют операционной системе минимальную функциональность, даже если выбран уровень безопасности Disallowed. Однако такие исключения дают злоумышленнику возможность скопировать исполняемый файл в одну из этих папок. Правила по умолчанию не делают различий между приложениями, например между cmd.exe и rootkit.exe, они лишь разрешают выполнение всех программ, размещенных в данных папках. Разрешения NTFS предоставляют некоторую защиту, не давая пользователям скопировать посторонние приложения в эти папки и запустить их. Но для того, чтобы по-настоящему защитить систему, необходимо заменить эти общие правила более жесткими.
Имейте в виду, что вы можете использовать политики SRP на компьютерах, которые не входят в рамки Active Directory (AD) (например ноутбуки), создав шаблон безопасности на основе компьютера использующего SRP и применив этот шаблон к локальной политике. Необходимо убедиться в том, что шаблон позволяет запускать утилиту Secedit, чтобы вы могли сделать отмену изменений или при необходимости обновить политику SRP.
Настройка общих политик
В узле Software Restriction Policies можно настроить следующие общие политики, которые определяют, каким образом система Windows применяет политики SRP: принуждение, назначенные типы файлов и доверенные издатели. Давайте рассмотрим каждый тип общих политик.
Принуждение. Принудительная политика используется для того, чтобы политики SRP применялись не только к исполняемым файлам типа «.exe», «.vbs» и всем остальным файлам, прописанным как исполняемые политики назначенных типов файлов, но и к библиотекам «.dll». Диалоговое окно Enforcement Properties, показанное на экране 2, позволяет применять политику SRP и к членам группы локальных администраторов.
Рисунок 2: Настройка политики принуждения для SRP
Для усиления безопасности необходимо включить в политику принуждения все типы программных файлов и применить ее ко всем пользователям. Однако создание отдельных правил для тысяч файлов «.dll» в стандартной комплектации Windows может потребовать нескольких недель работы. За исключением случаев, когда вам требуется максимально закрыть систему, более практичным и при этом достаточно надежным решением является использование политики принуждения без указания библиотек.
Имейте в виду, что в политику принуждения необходимо включить локальных администраторов. Если на компьютере требуется запустить приложение, не разрешенное в списках политик SRP, администратор может временно переместить систему в организационную единицу, на которую не распространяются данные политики.
Назначенные типы файлов. Политика назначенных типов файлов представляет собой список всех расширений - помимо стандартных расширений «.exe», «.dll» и «.vbs» - которые система Windows рассматривает как исполняемый код. На экране 3 изображено окно Designated File Types Properties. Если ваша организация использует тип файлов, не указанный в этом списке, например файлы Perl, вы можете добавить тип файла из этого диалогового окна.
Рисунок 3: Назначение исполняемых типов файлов
Доверенные издатели
Политика доверенных издателей используется для того, чтобы не дать пользователям добавить на свои системы новых доверенных издателей. Например, когда пользователи пытаются загрузить приложение с web-сайта компании Adobe, система спрашивает, хотят ли они сделать это приложение доверенным. Настройки политики определяют, кто может принимать решение о том, каким издателям доверять: конечные пользователи, локальные администраторы или корпоративные администраторы. Для обеспечения максимальной безопасности назначать доверенных издателей разрешается только корпоративным администраторам (как это сделать, показано на экране 4). Политика доверенных издателей также позволяет вам инициировать проверку списка отмененных сертификатов (CRL), чтобы выявить подлинность любого сертификата.
Рисунок 4: Предоставление прав на назначение доверенных издателей
Запрет или разрешение приложений
Теперь, когда мы познакомились с основными политиками SRP, давайте рассмотрим 4 типа правил, которые можно использовать для разрешения или запрета исполнения приложений: для зоны, для пути, для сертификата и для хеша.
Правила для зоны. Правила для зон Internet используются для ограничения или разрешения исполнения загруженных файлов «.msi» (для Windows Installer), в зависимости от зоны, из которой получен файл. Так как это правило применяется только к файлам «.msi», загруженным пользователями из Internet, этот тип политик SRP используется реже, чем остальные.
Для создания правила для зоны Internet щелкните правой кнопкой мыши на узле Additional Rules и выберите в контекстном меню пункт New Internet Zone Rule. Выберите Зону Internet и установите Уровень Безопасности в значение Unrestricted или Disallowed. В правиле для зоны Internet, настройка которого показана на экране 5, исполнение файлов «.msi», полученных из зоны Restricted sites, запрещено (уровень Disallowed).
Рисунок 5: Установка ограничений на зоны Internet
Правила для пути
Правила для пути позволяют указать папку или полный путь к приложению, которое может или не может быть выполнено. Недостатком правила для пути является то, что оно опирается исключительно на путь или на имя файла. Например, на экране 6 изображено правило для пути, которое разрешает запуск службы Outlook Express. Злоумышленники могут просто переименовать файл, содержащий вредоносный код, в «msimn.exe» и скопировать его в папку C:\Program Files\Outlook Express\msimn.exe. Так как задействуется правило для пути, файл, содержащий вредоносный код, считается разрешенным и может быть выполнен. Имейте в виду, что при настройке нескольких правил для пути приоритет будет иметь более «узкое» правило. Например, правило для пути C:\directory\application.exe будет иметь приоритет перед правилом для пути C:\directory\.
Рисунок 6: Настройка правила для пути
Правила для сертификата
Правила для сертификата основаны на сертификатах, подписанных издателями. Основная проблема здесь заключается в том, что вам необходимо указать подписанный издателем сертификат. Кроме того, вы не можете использовать правило для сертификата, если требуется по-разному настроить политики для нескольких приложений одного и того же издателя. Например, вы не можете использовать данное правило, чтобы запретить сотрудникам играть в «Пасьянс», так как все игры, поставляемые вместе с Windows, подписаны тем же издателем, что и ключевые компоненты операционной системы, такие как служба IE.
Чтобы создать правило для сертификата, щелкните правой кнопкой мыши на узле Additional Rules и выберите пункт New Certificate Rule. Щелкните на кнопке Browse, укажите сертификат издателя (файл типа «.crt» или «.cer»), установите уровень безопасности в значение Unrestricted (или Disallowed) и щелкните на кнопке OK.
Правила для хеша. Правила для хеша не требуют от вас указания сертификата издателя, не берут за основу правила для зон Internet, и, так как для идентификации исполнительного файла они используют вычисленную контрольную сумму (хеш), злоумышленник не может запустить вредоносный код под новым именем в обход этого правила.
Правила для хеша используют контрольную сумму, рассчитанную для определенного файла. Например, блокирующее правило, использующее хеш программы notepad.exe из системы Windows 2003, не будет влиять на работу приложения «notepad.exe», поставляемого с системой XP Professional. А правило, использующее хеш программы notepad.exe из системы XP, не заблокирует приложение «notepad.exe», входящее в состав системы Vista. Хотя приложения, поставляемые с операционными системами, генерируют разный хеш в зависимости от версии системы, другие приложения - такие как Microsoft Word или Mozilla Firefox - генерируют одинаковую контрольную сумму вне зависимости от того, на какую систему они установлены:Vista, Windows 2003 или XP.
Для вычисления хеша необходим доступ к бинарному исполняемому файлу на том компьютере, где вы настраиваете объект GPO. Если вы создаете объект GPO на контроллере домена (DC), вы можете добавить сетевой диск на моделируемую систему, используя общую папку администратора, такую как \\XP-REF-SYS\C$. После этого выбор исполняемого файла сводится к его поиску на сетевом диске.
При конфликте правил SRP правила для хеша имеют приоритет перед всеми другими. Также имейте в виду, что файлы, которые вы переименовываете или перемещаете в другое место, сохраняют свои контрольные суммы. Поэтому, если вы используете правило для блокирования файла, например исполняемого модуля вируса, оно сработает даже в случае, если кто-то изменил имя вируса.
Основной недостаток использования правил для хеша с политикой Disallowed заключается в том, что формирование исходного набора разрешенных приложений требует массы времени. Также нельзя забывать про необходимость обновления контрольной суммы каждый раз, когда изменяется версия приложения или устанавливается новое программное обеспечение. Для запуска обновленного приложения необходимо создать новое правило. Имейте в виду, что лучше создавать новые правила для обновленных приложений, чем менять под них старые, так как в вашей сети одновременно могут сосуществовать различные версии одного продукта. Со временем вы удалите правила для старых версий приложений.
Для создания правил для хеша, щелкните правой кнопкой мыши на узле Additional Rules службы Group Policy и выберите пункт Hash Rule. В появившемся окне New Hash Rule щелкните на кнопке Browse и выберите приложение, для которого хотите создать правило. При выборе приложения система Windows автоматически вычислит контрольную сумму файла, как показано на экране 7, и отобразит свойства файла в окне File information .
Рисунок 7: Создание правила для хеша
Настройка и отладка политик SRP
При создании политик SRP необходимо завести временную организационную единицу в службе AD и приписать к данной единице создаваемый объект GPO. После этого вы можете поместить туда тестовые учетные записи пользователей и компьютеров на время, необходимое вам для отладки политик SRP. После тестирования политик объекта GP можно прикрепить его к организационной единице, в которую входят реальные учетные записи пользователей и компьютеров. Убедитесь, что вы тщательно протестировали политики SRP - в лаборатории IT отдела и с пробной группой пользователей - прежде чем внедрять их в вашу организацию. Политики SRP имеют сложную структуру, и вы вряд ли сможете безошибочно настроить их с первого раза.
Если вам необходимо отладить ошибку в настройках политик SRP, можно просмотреть события, вызванные этими политиками (события под номером 865, 866 и 867), в локальном журнале компьютера. Также вы можете активировать более сложное отслеживание политик SRP, добавив строку LogFileName в следующий подраздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\Safer\ CodeIdentifiers. Строка LogFileName содержит путь к каталогу, в котором будет храниться файл журнала.
Следуйте правилам
Используя политики SRP, вы сможете запретить запуск в вашей системе нежелательных приложений - от отвлекающих игр до вирусов. Любая система (и Vista, и Windows 2003, и XP) предоставляет множество возможностей, которые позволят создать идеальные политики для вашей организации. Хотя реализация политики SRP исключительно на правилах для хеша требует большой работы, эти правила являются наиболее эффективными при защите компьютеров.
ОС Windows предоставляет ряд дополнительных средств для ограничения прав на запуск приложения
Разрешить запуск приложений, кроме указанных в списке *
HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer
DWORD DisallowRun, значение 1 - запрещает запуск приложений указанных в списке:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
Параметры типа STRING - список запрещенных приложений.
"1" - "program.exe"
"2" - "thebat.exe"
"3" - "icq.exe"
Запретить запуск приложений, кроме указанных в списке *
HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer
DWORD RestrictRun, значение 1 - запрещает запуск всех приложений, кроме системных и приложений указанных в списке:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
Параметры типа STRING - список разрешенных приложений.
Дисковые квоты
Дисковые квоты используются для наблюдения за использованием дискового пространства на томах NTFS и ограничения его использования.
Дисковые квоты отслеживают и контролируют использование места на диске для томов NTFS. Администраторы могут настроить Windows таким образом, чтобы:
запрещать использование дискового пространства сверх указанного предела и регистрировать случаи превышения этого предела пользователями;
регистрировать события превышения пользователями указанного порога предупреждения, то есть отметки, при прохождении которой пользователь приближается к заданному для него пределу использования дискового пространства.
При включении дисковых квот можно задать два параметра: предельную квоту диска и порог предупреждения дисковой квоты. Например, можно задать для пользователя дисковую квоту в 500 мегабайт (МБ) и порог предупреждения дисковой квоты в 450 МБ. В этом случае пользователь сможет хранить на соответствующем томе не более 500 MБ файлов. Систему дисковых квот можно настроить таким образом, чтобы при сохранении пользователем на томе более 450 МБ файлов создавалась запись о событии системы. Для управления квотами на томе необходимо входить в состав группы «Администраторы».
Можно разрешить пользователям превышать заданные квоты. Включение квот без ограничения использования дискового пространства полезно в случаях, когда не требуется запрещать пользователям доступ к тому, но требуется отслеживать использование дискового пространства отдельными пользователями. Также можно включить или отключить режим регистрации событий превышения пользователями заданных для них квот или порогов предупреждения.
Отслеживание использования тома всеми пользователями начинается автоматически с момента включения дисковых квот для тома.
Квоты можно включать на локальных томах, сетевых томах и съемных дисках с файловой системой NTFS. Кроме того, для сетевых томов должен быть предоставлен общий доступ к корневому каталогу тома, а съемные диски должны быть предоставлены для общего доступа. Тома, отформатированные с использованием версии NTFS, использовавшейся в Windows NT 4.0, автоматически обновляются программой установки Windows.
Нельзя использовать сжатие файлов для предотвращения превышения пользователями заданных квот, поскольку сжатые файлы отслеживаются по их несжатому размеру. Например, если файл размером 50 МБ сжать до 40 МБ, Windows сопоставит с квотой его исходный размер, 50 МБ.
При расчете использования тома сжатыми папками Windows, наоборот, использует размер папок после сжатия. Например, если папку размером 500 МБ сжать до 300 МБ, Windows сопоставит с квотой 300 МБ.
Каждый раз, когда пользователь выполняет запись на диск, число записанных байтов приближается к квоте этого пользователя. Неважно, по какой причине выполняется запись, результат один и тот же. В большинстве случаев запись обусловлена созданием или изменением файлов при использовании приложений, но влиять на состояние квот могут также системные задачи. Например, вставка файла с удаленного компьютера добавляет в счетчик пользователя число скопированных байтов. Копирование файла из одной папки в другую на одном и том же диске добавляет байты (в результате количество байтов этого файла в счетчике удваивается), но перемещение файла не влечет добавления байтов. Удаление файла не уменьшает числа байтов в счетчике до тех пор, пока пользователь не очистит корзину (Recycle Bin). И важно также довести до сведения пользователей, что компрессия файлов не имеет значения. При расчетах для дискового квотирования учитывается реальный размер сжатого файла. Вследствие того, что система дискового квотирования отслеживает имена пользователей, если пользователь становится владельцем файла другого пользователя, число байтов добавляется в счетчик приобретающего во владение файл пользователя.
Установить квоту для пользователя можно в окне свойств диска (закладка Квоты).
Задания к лабораторной работе
Настроить политику безопасности ОС «Windows» в соответствии с требованиями по варианту.
Пользователи группы «Администраторы» имеют право запускать все программы на компьютере. Для остальных пользователей оставить право запускать файлы только из папки d:\work. Запретить пользователям группы «Пользователи» записывать новые файлы в папку D:\work.
Обеспечить использование пользователями только паролей, отвечающих требованиям сложности, отключить гостевой вход в систему.
Создать группу testGroup. Создать пользователя testUser, сделать его членом группы testGroup. Обеспечить пользователю testUser вход в систему по умолчанию (без ввода пароля).
Запретить для пользователей окно Установка и удаление программ.
Для всех членов группы testGroup запретить доступ к файлам и папкам папки C:\Program Files, настроить аудит попыток доступа пользователей этой группы к файлам и папкам диска C:. Настроить аудит печати пользователей этой группы на принтере. Установить для пользователя testUser квоту на использование диска D: в 100 Мбайт.
Настроить ежедневную архивацию файлов в папке d:\work\logs с сохранением архива в папке d:\work\arc.
2. Создать группу testGroup. Создать пользователя testUser, сделать его членом группы testGroup. Обеспечить пользователю testUser возможность смены пароля при первом входе.
Обеспечить использование пользователями только алфавитно-цифровых паролей.
Запретить пользователю testUser изменение свойств экрана.
Для всех членов группы testGroup запретить запись на диск C: (кроме личной папки пользователя и системной папки Temp), на диске D: разрешить запись только в папку D:\Work. Настроить аудит попыток записи для членов этой группы на диск С: . Выделить папку D:\Work\Share в общее пользование и присвоить ей имя сетевого диска X:
Запретить пользователю testUser запуск Стандартного проигрывателя Windows.
Настроить еженедельное удаление текстовых файлов в папке d:\work\share.
3. Создать пользователя Admin, включить его в группу Администраторы. Отключить учетную запись Администратор. Создать учетную запись пользователя localUser, проверить, что он включен в группу Пользователи
Предусмотреть для учетных записей блокировку на 3 дня в случае 3-кратной неудачной попытки аутентификации.
Для пользователя localUser обеспечить вход в систему по умолчанию (без вода пароля).
Запретить всем пользователям, кроме администраторов, запуск программ из всех папок диска D:
Запретить пользователю localUser просматривать и изменять сетевые настройки компьютера в окне свойств сетевого окружения. Создайте ключ реестра HKLM\Sofware\VPI и разрешите пользователю localUser полный доступ к нему. Настройте аудит успешных и неуспешных попыток записи пользователем localUser в этот раздел реестра.
Установить для пользователя localUser квоту на использование диска D: в 50 Мбайт.
Разрешить удаленное управление компьютером для пользователя Admin.
Настроить еженедельную очистку диска D: стандартными средствами Windows.
Создать пользователя testUser, включить его в созданную группу testGroup. Только для пользователя testUser и администраторов разрешить запись в папку D:\docs, но запретить запись в папку D:\docs\templates. Запретить пользователю запуск приложений с диска D:
Обеспечить протоколирование доступа к папкам Windows и Program Files диска C: для всех пользователей.
Обеспечить использование в системе безопасных паролей учетных щаписей
Запретить пользователю testUser изменять системное время.
Запретить пользователю testUser изменять свойства экрана.
Установить для пользователя testUser квоту на использование диска D: в 30 Мбайт.
Настроить аудит печати пользователя testUser на принтере.
Настроить ежедневное восстановление содержимого папки d:\docs\templates из резервной копии.
|