Из предыдущей статьи настоящего цикла вы узнали о том, что представляет собой технология AppLocker, узнали о ключевых отличиях, по отношению к политикам ограниченного использования программ, а также о том, каким образом можно создать правила AppLocker, используемые по умолчанию. Безо всякого сомнения, всего этого недостаточно для того, чтобы указать пользователям запреты на использование того или иного приложения.
Почему так? Тут все просто. Действия, о которых вы узнали из предыдущей статьи данного цикла, только позволяют разрешить пользователям запускать любые приложения, которые находятся в нескольких расположениях по умолчанию. То есть, пользователи смогут запускать любые файлы, которые находятся в папке с файлами операционной системы, то есть, %SystemRoot%, а также в папках Program Files. Другими словами, если где-то у пользователя будет жить исполняемый файл, пользователи его не смогут запустить. В принципе, это уже неплохо. Но ведь то, что было выполнено ранее, еще не является пределом всех мечтаний и практически каждому системному администратору может понадобиться создавать какие-то дополнительные, более гибкие правила, запрещающие пользователям лезть туда, куда им не нужно. В этой статье вы узнаете о том, какие можно создавать правила для AppLocker.
Какие у AppLocker существуют правила?
В случае использования такой технологии для ограничения доступа к программному обеспечению, как AppLocker, вы можете создавать правила на основании трех различных условий. Это правила для издателя, пути или хешируемых файлов. Давайте рассмотрим каждое условие немного подробнее.
В том случае, если вы выберите для своего правила такое условие как «Издатель», то согласно указанным вами критериям будет заблокирован или разрешен доступ к приложению, основываясь на его цифровой подписи, а также на каких-либо расширенных атрибутах. К расширенным атрибутам относятся такие показатели как наименование самого продукта, имя запускаемого файла, данные о компании-разработчике выбранного вами программного продукта, а также версия самого продукта. Правило можно использовать как для определенной версии программного продукта, так и для всех программ, выпускаемых определённой компанией. Цифровая подпись, в свою очередь, включает в себя сведения о самом издателе, то есть, опять же, о компании, которая разработала этот программный продукт.
Если же выбрать условие «Издатель», а у приложения не будет цифровой подписи, в этом случае, вы просто не сможете использовать это условие.
Следующее условие – это «Путь». Тут все очень просто, так как, используя текущее условие, вы можете определять действия для приложения, согласно его физическому расположению на локальном компьютере или в сети. Вот здесь нужно обязательно обратить внимание на переменные окружения, которые используются в правилах пути технологии AppLocker. Данные следующей таблицы, в которой вы можете сравнить дефолтные переменные окружения с переменными окружениями, которые следует использовать в случае с правилами пути AppLocker, помогут вам эффективнее их создавать:
Расположение
Переменная AppLocker
Переменная Windows
Windows
%WINDIR%
%SystemRoot%
System32
%SYSTEM32%
%SystemDirectory%
Каталог установки Windows
%OSDRIVE%
%SystemDrive%
Program Files
%PROGRAMFILES%
%ProgramFiles% и
%ProgramFiles(x86)%
Съемный носитель
%REMOVABLE%
Съемное запоминающее устройство
%HOT%
Помните, что здесь переменные среды для компактов и для USB-накопителей отличаются. Это очень важно при планировании.
Последнее условие – это условие для хешируемого файла. В этом случае, вам нужно будет просто выбрать исполнительный файл какого-то приложения, а для него, при создании самого правила, будет вычислен сам хеш. Думаю, абсолютно каждый знает, что хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Они рассчитывается путем алгоритма хеширования. После того как такое правило AppLocker будет создано, в случае, если пользователь попробует открыть программу, хеш программы обязательно будет сравниваться с существующим правилом для хеша, и, естественно, будет выполнено какое-то действие. Хеш программы всегда одинаковый, независимо от расположения самой программы. Ну а, само собой, при изменении программы хеш также меняется и, следовательно, не соответствует хешу в правиле для хеша для политик ограниченного использования программ. Поэтому, если программа обновилась, вам необходимо будет создать новое правило или изменять текущее.
Теперь, перед тем как перейти к созданию правил, следует разобраться с разрешениями AppLocker, то есть, непосредственно с самими поведениями правил. Поведений, как вы, скорее всего, догадались, совсем немного и тут сложно что-то напутать. Это:
Разрешающие правила. В этом случае, вы определяете файл, который вы разрешаете пользователям или группе пользователей запускать на своих компьютерах.
Запрещающие правила. В свою очередь, используя данное поведение, вы запретите выполняться файлам на пользовательских компьютерах, согласно указанным вами условиям.
Вот так, на самом деле, все просто. Однако, есть такое замечательное выражение, как «правила создаются для того, чтобы их нарушать». AppLocker не является исключением из этого убеждения, то есть, вы можете разрешить пользователям игнорировать составленные вами правила при определенных условиях. Это можно сделать при помощи исключений из создаваемых вами правил, причем, исключения можно создавать для любого условия, независимо от того, какое вы выбирали при создании самого правила. Другими словами, вы можете создать разрешающее правило согласно определенному издателю, однако, заблокировать к нему доступ согласно определенному расположению файла. И это можно сделать, используя лишь одно правило. Вот в этом огромный плюс данной технологии и тут просто невозможно не согласиться.
Создание правил для издателя, пути и хеша
Чтобы не плодить множество объектов групповой политики, в данном примере будет использоваться тот же объект групповой политики, о котором шла речь в предыдущей статье данного цикла, а именно, объект групповой политики «Правила AppLocker для пользователей». В этом объекте групповой политики будут созданы три правила, из которых вы узнаете о том, каким образом можно создать свое первое правило с условием «Издатель» для такого приложения как Adobe Reader, которое установлено на пользовательском компьютере, запрещен доступ к стандартному приложению «Экранная лупа» при помощи правила «Пути», а также разрешен доступ для использования определенной версии программы ZoomIt, согласно ее хешу. Соответственно, чтобы реализовать ограничение, согласно поставленным условиям, требуется выполнить следующие действия:
Первое правило, которое будет создаваться – это правило с условием «Издатель». Следовательно, нужно открыть оснастку «Управление групповой политикой», выбрать требуемый объект групповой политики и открыть редактор управления групповыми политиками. В отобразившемся окне редактора нужно перейти к необходимому узлу, а именно к узлу Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker. И так как все три правила, которые будут создаваться, будут распространяться исключительно на исполнительные файлы, следует выбрать узел «Исполняемые правила». Итак, теперь, после того как требуемый узел будет выбран, выполним следующие действия:
В дереве оснастки или в области сведений вызовите контекстное меню и выберите команду «Создать правило»;
Перед вами отобразится диалоговое окно мастера создания исполняемых правил AppLocker. Здесь, на первой странице мастера вам следует ознакомиться с предоставленной информацией, а затем нажать на кнопку «Далее»;
На странице «Разрешения» вам следует определиться с поведением правила. Так как в данном случае будут блокироваться большинство версий ридера, следует установить переключатель на опцию «Запретить». Также, невозможно не заметить и того, что здесь вы можете выбрать определенного пользователя или группу пользователей, на которых будет распространяться данное правило. Другими словами, вы можете создать только один объект групповой политики с правилами AppLocker, где в каждом правиле вы будете указывать определенную группу пользователей, на которых будет распространяться само правило. А объект GPO можно смело привязывать ко всему домену. В принципе, это очень удобно тем, что вы не запутаетесь среди огромного количества объектов групповой политики. Например, укажем, что правило должно распространяться на пользователей из группы безопасности «Маркетологи», как видно на следующей иллюстрации. В эту группу входит учетная запись пользователя Сергея Окунева, для которой будет выполняться проверка выполненных действий. После того как вы укажите требуемую группу, можно нажимать на кнопку «Далее»;
Рис. 1. Страница «Разрешения» мастера создания правила AppLocker
Так как нам следует создать правило на основании издателя, на странице «Условия» мастера следует установить переключатель на опцию «Издатель», а затем нажать на кнопку «Далее»;
Один из самых интересных моментов во время создания правила AppLocker – это именно страница мастера «Издатель», где мы можем указать гибкие настройки, применяемые к приложению. Прежде всего, необходимо выбрать приложение. На этом этапе, во время создания правила, может возникнуть следующий вопрос. Создавая правило AppLocker, я нахожусь на серверной операционной системе Windows Server 2008 R2, которая 64-разрядная. Здесь Adobe Reader установлен в папку «Program Files (x86)», так как приложение 32-разрядное. Выбрав этот файл, у меня в диалоговом окне мастера будет указано, что файл ACRORD32.EXE находится в папке для 32-разрядных приложений 64-разрядной операционной системы. Вопрос может быть таким: повлияет ли это как-то на клиента, у которого 32-разрядная система
Так как данное правило создается именно для издателя, приложение можно смело обновлять или же изменять его расположение, так как AppLocker в данном случае интересует исключительно издатель, игнорируя физическое расположение самого файла.
Помимо выбора приложения, обязательно следует разобраться со всеми элементами, которые доступны для редактирования значения этой страницы мастера.
Любой издатель. Действия выполняются для указанного вами файла, независимо от того, каким издателем он подписан;
Издатель. При помощи этого управляющего элемента вы можете указать, что под область действия правила должны попадать все файлы, которые подписаны издателем с определенным именем;
Название продукта. Данное текстовое поле позволяет добавить в правило помимо данных об издателе еще и наименование программного продукта;
Имя файла. Здесь вы можете определить имя файла, на который будет распространяться правило. Помимо совпадения имени файла еще учитываются издатель и наименование программного продукта;
Версия файла. Самый интересный элемент управления создаваемого правила. Здесь вы можете определить версию управляемого вами файла для программного продукта.
По умолчанию, вы можете выбрать любое из этих пяти возможных условий, перемещая ползунок на требуемое вам условие. Однако, если вы желаете указать точную версию программного продукта или изменить, скажем, издателя, вам нужно будет установить флажок на опции «Пользовательские значения». Другими словами, изменять значения в основных четырех текстовых полях вы можете только в том случае, если флажок будет установлен. Также вы можете указать дополнительную фильтрацию для версии файла. Доступны три следующих значения: «И выше», «И ниже», а также «В точности». Указав первое значение, вы тем самым зададите условие, когда версия файла программы должна быть или указанной в условии правила, или выше его. В противном случае правило не будет распространяться на данное приложение. Соответственно, указав значение «И ниже», правило отработает в том случае, если версия файла будет равняться указанной в условии или же ниже. Ну, а выбрав последнее значение, правило будет распространяться только на текущую версию программного продукта. Например, в данном случае выберем пользовательское значение и укажем, что правило должно распространяться на версию 10.1.0.0 и выше. После того как значение необходимых для вас полей будут изменены, нажмите на кнопку «Далее». Диалоговое окно данной страницы мастера вы можете увидеть ниже:
Рис. 2. Страница «Издатель» мастера создания правила AppLocker
Предположим, что вплоть до версии 10.1.3.23 компания Adobe выпускала стабильные версии ридера и вы хотите, чтобы пользователи смогли запускать у себя на компьютере эту программу, но только при том условии, что версия файла должна быть не выше текущей, да и программа должна быть установлена только в расположении «%Programfiles%\Adobe\Reader 10.0\Reader\AcroRd32.exe». Соответственно, понадобится создать два исключения. Первое – для издателя, где будет указано, что если у пользователя будет версия исполняемого файла программы равняться 10.1.3.23 или если программа будет более старая, то программа должна запускаться, а также правило пути, где будет указано, что файл должен располагаться в папке «%Programfiles%\Adobe\Reader 10.0\Reader\AcroRd32.exe». После того как все исключения будут добавлены, следует в последний раз нажать на кнопку «Далее». Текущая страница мастера изображена на следующей иллюстрации:
Рис. 3. Страница «Исключения» мастера создания правила AppLocker
На последней странице мастера вы можете задать имя и описание для текущего правила. По умолчанию вам будет предложено имя, в котором будут указаны все выбранные вами условия. Если вы хотите изменить название, это можно сделать в текстовом поле «Имя». Например, укажем понятное имя «Adobe Reader 10». Если вы добавляли какие-то хитрые условия и исключения, лучше всего, если вы их опишите в поле с комментариями, хотя в этом нет какой-либо острой необходимости. Нажимаем на кнопку «Создать». Опять же, данная страница мастера изображена ниже:
Рис. 4. Страница «Имя и описание» мастера создания правила AppLocker
Теперь следует перейти к созданию второго правила – правила для «Пути». Правило будет создаваться в том же объекте групповой политики, в котором и было создано первое правило. Следовательно, нужно выполнить следующее:
Заново из контекстного меню выберите команду «Создать правило»;
На первой странице мастера нажмите на кнопку «Далее»;
3. На странице «Разрешения», так как следует запретить возможность запуска экранной лупы, установите переключатель на опцию «Запретить». Так как в предыдущем примере правило распространялось на пользователей из группы безопасности «Маркетологи», в данном примере будет также выбрана эта группа. После того как вы укажите группу, можно смело нажимать на кнопку «Далее»;
На странице «Условия» установите переключатель на опцию «Путь» и нажмите на кнопку «Далее»;
На текущей странице не должно возникнуть каких-либо сложностей, так как здесь есть только лишь текстовое поле с возможностью выбора файлов, на которые будет распространяться правило. Следовательно, нужно выбрать искомый файл, доступ к которому будет заблокирован, и нажать на кнопку «Далее», как показано на следующей иллюстрации:
Рис. 5. Страница «Путь» мастера создания правила AppLocker
6. Так как блокируется доступ к стандартному приложению операционной системы, ни о каких исключениях не может быть никакой речи. Соответственно, на странице «Исключения» мастера нажмите на кнопку «Далее»;
7. Последняя страница мастера для текущего условия ничем не отличается от страницы «Имя» предыдущего примера. Здесь нужно просто указать имя правила, например, «Блокирование экранной лупы для маркетинга» и нажать на кнопку «Создать».
Ну и под конец, будет создано последнее, третье правило, при помощи которого будет разрешен запуск утилиты Марка Руссиновича «ZoomIt», согласно хешу. Для этого нужно выполнить следующие действия:
В очередной раз выберите команду «Создать правило» и на первой странице мастера нажмите на кнопку «Далее»;
На странице «Разрешения», теперь установите переключатель на опцию «Разрешить», так как эту программу должны запускать маркетологи. Также укажем группу «Маркетологи», а затем можно нажимать на кнопку «Далее»;
На странице «Условия» установите переключатель на опцию «Хешируемый файл» и нажмите на кнопку «Далее»;
На странице «Хеш файла» при помощи соответствующих управляющих элементов следует выбрать сам хешируемый файл. Хеш будет высчитан и ограничения будут распространяться только на файлы с хешем, который совпадает с указанным в правиле. После выбора файла, следует нажать на кнопку «Далее». Данная страница мастера изображена на следующей иллюстрации:
Рис. 6. Страница «Хеш файла» мастера создания правила AppLocker
5. И последняя вкладка мастера, на которой, опять же, можно переименовать созданное правило и создать его. Например, пусть данное правило называется «Разрешение для ZoomIt».
После того как все правила будут созданы, окно редактора управления групповыми политиками будет выглядеть следующим образом:
Рис. 7. Узел исполняемых правил после добавления последнего правила
Основной момент, на который следует обратить внимание – так это служба «Удостоверение приложения», которая обязательно должна работать на целевом компьютере. Поэтому, желательно, установить для нее автоматический запуск при помощи этого же или другого объекта групповой политики.
А теперь осталось проверить, применились ли правила AppLocker на пользователя из подразделения маркетингового анализа Сергея Окунева, который входит в группу безопасности «Маркетологи». Проверять будем в том порядке, в котором создавались сами правила.
Соответственно, прежде всего, попробуем открыть Adobe Reader. Попробуем открыть программу. Она обязательно откроется, так как было создано исключение по пути файла. Однако, если файлы программы скопировать в какое-то отличное расположение от того, которое прописано в исключении, мы обязательно нарвемся на сообщение, которое вы сейчас видите на соответствующем изображении:
Рис. 8. Сообщение, которое получает пользователь при попытке открытия Adobe Reader
Затем можно попробовать открыть экранную лупу, исполнительный файл которой расположен в папке System32. Программу открыть нельзя, так как это запрещено при помощи правила AppLocker.
И последнее, что нужно проверить – это открытие утилиты ZoomIt. Программа открывается, как из каталога Program Files, так и в том случае, если ее переместить на любой диск и в любую папку.
Заключение
Из этой статьи вы узнали о правилах AppLocker, а также о том, каким образом можно создать дополнительные пользовательские правила, предназначенные для ограничения доступа к программному обеспечению. Были рассмотрены методы создания правил, согласно трех условий, а именно, правила для издателя, которое целесообразно использовать в том случае, если само приложение подписано издателем, для пути, если вам необходимо ограничить доступ к приложению, расположенному в определенной папке, а также правила на основании хешируемого файла. В следующей статье будут рассмотрены редактирование созданного ранее правила AppLocker, автоматического создания правил, а также о том, как можно выполнить некоторые дополнительные действия.
Из предыдущей статьи настоящего цикла вы узнали о том, что представляет собой технология AppLocker, узнали о ключевых отличиях, по отношению к политикам ограниченного использования программ, а также о том, каким образом можно создать правила AppLocker, используемые по умолчанию. Безо всякого сомнения, всего этого недостаточно для того, чтобы указать пользователям запреты на использование того или иного приложения.
