Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения
Посетителей: 76562 \| Просмотров: 128652 (сегодня 0)	Шрифт:

Опции политики ограниченного использования программ

В этом разделе обсуждаются различные опции, которые влияют на поведение политики ограниченного использования программ. Эти опции изменяют область применения политики или параметры доверия Authenticode для файлов с цифровой подписью.

Опции принудительного применения

Существуют две опции принудительного применения политики ограниченного использования программ: проверка библиотек DLL (DLL checking) и предотвращение применения политики к локальным администраторам (Skip Administrators).

Проверка библиотек DLL (DLL checking)

Некоторые программы, как например Internet Explorer, состоят из исполняемого файла (iexplore.exe) и множества вспомогательных библиотек динамической компоновки (DLL). По умолчанию правила политики ограниченного использования программ не применяются к библиотекам DLL. Этот вариант рекомендован для большинства пользователей по трем причинам:

•	Запрет исполняемого файла предотвращает выполнение программы, поэтому нет необходимости запрещать все сопутствующие библиотеки DLL.
•	Проверка библиотек DLL приводит к снижению производительности. Если пользователь запускает 10 программ во время сеанса работы, политика ограниченного использования программ оценивается 10 раз. Если проверка библиотек DLL включена, политика оценивается при загрузке каждой библиотеки DLL в каждой программе. Если каждая программа использует 20 библиотек DLL, это вызывает 10 проверок исполняемых программ плюс 200 проверок библиотек DLL и таким образом политика ограниченного использования программ оценивается 210 раз.
•	Если уровнем безопасности по умолчанию является Не разрешено (Disallowed), то в этом случае должна проверяться не только возможность выполнения исполняемого файла программы, но и всех ее составляющих библиотек DLL, что может негативно влиять на производительность системы.

Проверка библиотек DLL предоставляется в качестве опции для окружений, в которых необходимо обеспечить максимальный уровень безопасности при выполнении программ. Хотя в основном компьютерные вирусы нацелены на заражение исполняемых файлов, некоторые из них заражают библиотеки DLL. Чтобы убедиться, что программа не заражена вирусом, Вы можете использовать набор правил для хеша который идентифицирует исполняемый файл и все его необходимые библиотеки DLL.

Для включения проверки библиотек DLL:

•	Установите значение переключателя в диалоговом окне Свойства: принудительный (Enforcement Properties), как изображено на Рисунке 2: Применять политики ограниченного использования > Ко всем файлам программ (Apply software restriction policies to the following > All software files)

Рисунок 2 - Установка свойств принудительного режима

Предотвращение применения политики ограниченного использования программ к локальным администраторам (Skip Administrators)

Опции политики ограниченного использования программ позволяют запретить выполнение программ большинством пользователей, но в то же время позволить администраторам выполнять любые программы. Например, клиент может иметь общую машину, к которой пользователи подключаются через сервер терминалов. Администратор может захотеть ограничить пользователей выполнением только определенных приложений на этой машине, но при этом позволить членам группы локальных администраторов запускать любые программы. Чтобы сделать это, используйте опцию предотвращения применения политики к локальным администраторам (Skip Administrators).

Если политика ограниченного использования программ создана в объекте групповой политики (GPO), присоединенному к объекту Active Directory, то предпочтительный способ для исключения администраторов - это убрать разрешение Применение групповой политики (Apply Group Policy) в свойствах группы GPO, в состав которой входят администраторы.

Чтобы включить предотвращение применения политики к локальным администраторам (Skip Administrators):

•

Установите значения переключателя в диалоговом окне Свойства: принудительный (Enforcement Properties), как показано на Рисунке 2:

Применять политики ограниченного использования для следующих пользователей > Для всех пользователей, кроме локальных администраторов (Apply software restriction policies to the following users > All users except local administrators)

Примечание. Установка опции предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators) действует только для политик компьютера.

Определение исполняемых файлов

В диалоговом окне Свойства: Назначенные типы файлов (Designated File Types), изображенном на Рисунке 3, перечислены типы файлов, к которым применяется политика ограниченного использования программ. Назначенные типы файлов – это типы файлов, которые считаются исполняемыми. Например, файл хранителя экрана .SCR считается исполняемым, так как если сделать на нем двойной щелчок мышью в проводнике Windows, он загрузится как программа.

Правила политики ограниченного использования программ применяются только для типов файлов, перечисленных в диалоговом окне Свойства: Назначенные типы файлов (Designated File Types). Если в Вашем окружении используются типы файлов, для которых Вы хотите иметь возможность задавать правила, добавьте их в этот список. Например, если Вы используете файлы сценариев Perl, Вы можете добавить файлы *.pl и файлы других типов, связанными с модулями Perl, в список Назначенные типы файлов (Designated File Types).

Рисунок 3 - Диалоговое окно Свойства: Назначенные типы файлов (Designated File Types)

Доверенные издатели

Опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers), изображенного на Рисунке 4, позволяют Вам конфигурировать параметры, относящиеся к элементам управления ActiveX® и другому подписанному содержимому.

Рисунок 4 - Настройка параметров Доверенные издатели (Trusted Publishers)

В Таблице 3 перечислены опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers), относящиеся к элементам управления ActiveX и другому подписанному содержимому.

Таблица 3 - Доверенные издатели (Trusted Publishers) - задачи и параметры
Задача	Необходимое значение параметра
Необходимо разрешить только администраторам домена принимать решения относительно подписанного активного содержимого	Администраторам предприятия (Enterprise Administrators)
Необходимо разрешить только администраторам компьютера принимать решения относительно подписанного активного содержимого	Администраторам локального компьютера (Local computer Administrators)
Необходимо разрешить любому пользователю принимать решения относительно подписанного активного содержимого	Обычным пользователям (End Users)
Необходимо удостовериться, что сертификат, используемый доверенным издателем, не был отозван.	Самого издателя (Publisher)
Удостовериться, что сертификат, используемый организацией, которая проставила дату активного содержимого, не был отозван.	Штамп времени (Timestamp)

Область действия политик ограниченного использования программ

Действие политик ограниченного использования программ не распространяется на:

•	Драйверы и прочие приложения уровня ядра.
•	Любые программы, запущенные учетной записью SYSTEM.
•	Макросы внутри документов Microsoft Office 2000 или Office XP.
•	Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy).

Наверх страницы

Проектирование политики ограниченного использования программ

В этом разделе описаны:

•	Способы управления политиками ограниченного использования программ при помощи оснасток групповой политики
•	Вопросы, которые необходимо рассмотреть при первом редактировании политики
•	Что происходит во время применения политики ограниченного использования программ к группе пользователей

Объединение с групповой политикой

Политиками ограниченного использования программ можно управлять с помощью следующих оснасток групповой политики:

Политика домена

Для того, чтобы настроить политику домена

1.	Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите dsa.msc и нажмите кнопку OK.
2.	Правой кнопкой мыши щелкните на домене или подразделении, выберите Свойства > Групповая политика > Создать/Добавить (Properties > Group Policy Tab > New/Edit).

Локальная политика безопасности

Для того, чтобы настроить политику безопасности

1.	Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run).
2.	Введите secpol.msc и нажмите кнопку OK.

Если Вы редактируете объект групповой политики (GPO), Вы можете задать политики ограниченного использования программ для пользователей и компьютеров, как показано на Рисунке 5.

Рисунок 5 - Редактирование политики ограниченного использования программ для пользователей и компьютеров

Если Вы редактируете локальную политику безопасности, расположение параметров политики ограниченного использования программ будет таким, как на Рисунке 6.

Рисунок 6 - Редактирование локальной политики безопасности

Первоначальные действия

При редактировании политики в первый раз Вы увидите сообщение, показанное на Рисунке 7. Это сообщение предупреждает о том, что создание политики установит значения по умолчанию, которые переопределят значения, унаследованные от политик ограниченного использования программ родительских объектов.

Рисунок 7 - Предупреждающее сообщение во время создания новой политики

Для создания политики:

•	Выберите команду Новые политики ограниченного использования программ (Create New Policies) в меню Действие (Action).

Применение политики ограниченного использования программ к группе пользователей

Политика ограниченного использования программ распространяется через групповую политику на сайт, домен или подразделение. Тем не менее, администратор может столкнуться с необходимостью применить политику ограниченного использования программ к группе пользователей внутри домена. Для этого администратор может использовать фильтрацию объектов групповой политики.

Для получения более подробной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)

Серверы терминалов

Политики ограниченного использования программ являются неотъемлемой частью системы защиты сервера терминалов Windows Server 2003. Администраторы серверов терминалов могут теперь полностью заблокировать доступ программного обеспечения к серверу терминалов. Применение политик ограниченного использования программ является исключительно важным именно на серверах терминалов ввиду потенциально большого количества пользователей на одном компьютере. На однопользовательском клиентском компьютере под управлением Windows XP выполнение нестабильного приложения может помешать только одному пользователю, в то время как выполнение такого приложения на сервере терминалов может доставить неудобства более чем 100 пользователям. Политики ограниченного использования программ предотвращают эту проблему. Эта служба также избавляет от необходимости использования программ, таких как appsec.exe, для ограничения выполнения приложений на сервере терминалов Windows Server 2003.

В дополнение к этому корпорация Microsoft рекомендует ознакомиться с документом 278295 Как заблокировать сессию сервера терминалов Windows 2000 (How to Lock Down a Windows 2000 Terminal Server Session)

В некоторых случаях на нескольких серверах терминалов установлено одинаковое программное обеспечение, но администраторы этих серверов хотят предоставить доступ разным группам пользователей к разному программному обеспечению. Часть приложений при этом может быть общей для нескольких групп. Рассмотрим пример, когда юридическая фирма размещает приложения на ферме серверов терминалов. На серверах установлено одинаковое программное обеспечение. Правила доступа к программному обеспечению выглядят следующим образом:

•	Любой сотрудник может использовать Microsoft Office и Internet Explorer. Все сотрудники являются членами группы AllEmployees.
•	Любой сотрудник бухгалтерии может использовать приложения из папки Accounting Software. Сотрудники бухгалтерии являются членами группы AccountingEmployees.
•	Любой юрист может использовать приложения из папки Law Research software. Юристы являются членами группы Lawyers.
•	Любой сотрудник внутренней почтовой службы может использовать приложения из папки Mail Room Processing software. Сотрудники внутренней почтовой службы являются членами группы MailRoomEmployees.
•	Руководители могут использовать любое программное обеспечение, доступное для других сотрудников. Руководители являются членами группы Executives.
•	Объекты групповой политики не применяются к администраторам.

Чтобы разграничить доступ к программному обеспечению, администратор создает пять объектов групповой политики с персонально настроенными политиками ограниченного использования программ. Каждый объект групповой политики фильтруется так, чтобы он применялся только к пользователям одной из групп AllEmployees, AccountingEmployees, Lawyers, MailRoomEmployees или Executives (в зависимости от того, для какой группы он предназначен).

Поскольку руководители должны иметь доступ к любому программному обеспечению как на своих рабочих станциях, так и на серверах терминалов, администратор использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются. Более подробная информация по конфигурированию замыкания на себя содержится в документе по групповой политике.

Объект групповой политики пользователя A1, связан с доменом Law
Фильтр: Для компьютеров домена Law установлено разрешение Применение групповой политики (Apply Group Policy)
Уровень безопасности по умолчанию
Не разрешено (Disallowed)
Правила для пути
%WINDIR%	Неограниченный (Unrestricted)
%PROGRAMFILES%\Common Files	Неограниченный (Unrestricted)
%PROGRAMFILES%\Internet Explorer	Неограниченный (Unrestricted)
%PROGRAMFILES%\Windows NT	Неограниченный (Unrestricted)
%PROGRAMFILES%\Microsoft Office	Неограниченный (Unrestricted)

Объект групповой политики пользователя A2, связан с доменом Law
Фильтр: Для компьютеров домена Law и пользователей группы AccountingEmployees установлено разрешение Применение групповой политики (Apply Group Policy)
Уровень безопасности по умолчанию
Не разрешено (Disallowed)
Правила для пути
%PROGRAMFILES%\Accounting Software	Неограниченный (Unrestricted)

Объект групповой политики пользователя A3, связан с доменом Law
Фильтр: Для компьютеров домена Law и пользователей группы MailRoomEmployees установлено разрешение Применение групповой политики (Apply Group Policy)
Уровень безопасности по умолчанию
Не разрешено (Disallowed)
Правила для пути
%PROGRAMFILES%\Mailroom Processing	Неограниченный (Unrestricted)

Объект групповой политики пользователя A4, связан с доменом Law
Фильтр: Для компьютеров домена Law и пользователей группы Lawyers установлено разрешение Применение групповой политики (Apply Group Policy)
Уровень безопасности по умолчанию
Не разрешено (Disallowed)
Правила для пути
%PROGRAMFILES%\Law Research Software	Неограниченный (Unrestricted)

Объект групповой политики пользователя A5, связан с доменом Lab Resource
Фильтр: Для компьютеров домена Law и пользователей группы Executives установлено разрешение Применение групповой политики (Apply Group Policy)
Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode)
Уровень безопасности по умолчанию
Не разрешено (Disallowed)
Правила для пути
%PROGRAMFILES%\Law Research Software	Неограниченный (Unrestricted)
%PROGRAMFILES%\Mail Room Program	Неограниченный (Unrestricted)
%PROGRAMFILES%\Accounting Software	Неограниченный (Unrestricted)

Наверх страницы

Пошаговое руководство по проектированию политики ограниченного использования программ

В этом разделе описаны шаги, которые необходимо выполнить в процессе проектирования политики ограниченного использования программ.

Вопросы для рассмотрения

При проектировании политики необходимо определиться со следующими аспектами:

•	Объект групповой политики или локальная политика безопасности
•	Политика пользователя или политика компьютера
•	Уровень безопасности по умолчанию
•	Дополнительные правила
•	Опции политики
•	Связывание политики с сайтом, доменом или подразделением

Пошаговое выполнение процесса

Шаг 1. Объект групповой политики или локальная политика безопасности

Должна ли политика применяться ко многим компьютерам или пользователям домена или подразделения, или же она должна применяться только к локальному компьютеру?

•	Если политика должна применяться к многим компьютерам или пользователям домена или к какому-либо другому контейнеру Active Directory, используйте объект групповой политики.
•	Если Ваша политика должна применяться только к локальному компьютеру, используйте локальную политику безопасности.

Шаг 2. Политика пользователя или политика компьютера

Должна ли политика применяться к пользователям независимо от того, на какой компьютер они входят, или наоборот – к компьютеру независимо от того, кто осуществляет вход?

•	Если Вы хотите, чтобы политика применялась к определенной группе пользователей, например, к доменной группе Отдел маркетинга, Вам следует использовать политику пользователя.
•	Если Вы хотите, чтобы политика применялась к определенной группе компьютеров и ко всем пользователям, которые входят в систему на этих компьютерах, Вам следует использовать политику компьютера.

Шаг 3. Уровень безопасности по умолчанию

Известно ли Вам все программное обеспечение, с которым будут работать пользователи, или они могут устанавливать любое программное обеспечение на свой выбор?

•	Если Вам известно все программное обеспечение, с которым будут работать пользователи, Вы должны задать уровень безопасности по умолчанию Не разрешено (Disallowed).
•	Если пользователи могут устанавливать любое программное обеспечение, которое захотят, задайте уровень безопасности по умолчанию Неограниченный (Unrestricted).

Шаг 4. Дополнительные правила

Идентифицируйте выбранные разрешенные или запрещенные приложения, используя четыре типа правил, рассмотренные выше в разделе Архитектура политики ограниченного использования программ.

•	Чтобы посмотреть, какие правила подходят для Вашей политики, обратитесь к Таблице 1 (В каких случаях использовать каждое правило), рассмотренной выше в том же разделе.
•	Чтобы создать дополнительные правила, обратитесь к пошаговому руководству по созданию дополнительных правил, которое будет рассмотрено ниже.

Шаг 5. Опции политики

Существует несколько опций политики:

•	Если Вы используете локальную политику безопасности и не хотите, чтобы она применялась к администраторам на локальном компьютере, включите опцию предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators).
•	Если Вы хотите проверять библиотеки DLL в дополнение к исполняемым файлам и сценариям, включите опцию проверки библиотек DLL (DLL checking).
•	Если Вы хотите задать правила для типов файлов, которые по умолчанию не входят в список назначенных типов файлов, считающимися исполняемыми, добавьте дополнительные типы файлов.
•	Если Вы хотите определить, кто может принимать решения о загрузке управляющих элементов ActiveX и другого подписанного содержимого, установите требуемые опции в окне Свойства: Доверенные издатели (Trusted Publishers).

Шаг 6. Связывание политики с сайтом, доменом или подразделением

Чтобы связать объект групповой политики с сайтом.

1.	Используйте оснастку Active Directory – сайты и службы (Active Directory Sites and Services).
2.	Щелкните правой кнопкой мыши на сайте, домене или подразделении, с которым Вы хотите связать объект групповой политики и выберите Свойства (Properties).
3.	Выберите вкладку Групповая политика (Group Policy) для создания, редактирования или управления объектами групповой политики.

Чтобы связать объект групповой политики с доменом или подразделением.

1.	Используйте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.	Щелкните правой кнопкой мыши на сайте, домене или подразделении, с которым Вы хотите связать объект групповой политики и выберите Свойства (Properties).
3.	Выберите вкладку Групповая политика (Group Policy) для создания, редактирования или управления объектами групповой политики.

Фильтрация

На этом этапе может быть осуществлена фильтрация объектов групповой политики. Путем фильтрации, основанной на членстве в группах, Вы можете определить часть организационного подразделения Active Directory (Organizational Unit, OU), на которую будет действовать объект групповой политики. Вы также можете производить фильтрацию на основе запросов инструментария управления Windows (WMI).

Тестирование политики

Если Вы не хотите ждать следующего интервала обновления групповой политики, а хотите протестировать Вашу политику немедленно, запустите программу gpupdate.exe и выполните повторный вход в систему. После этого Вы можете приступать к тестированию Вашей политики.

Наверх страницы

Страницы: < 1 2 3 4 5 >

Автор: Артем Жауров aka Borodunter • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 22.07.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: