Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения
Посетителей: 76558 \| Просмотров: 128647 (сегодня 2)	Шрифт:

Аспекты развертывания политик

В этом разделе рассматриваются различные аспекты, которые возникают при развертывании политик ограниченного использования программ.

Советы и рекомендации

При развертывании политик ограниченного использования программ Вы можете следовать следующим советам и рекомендациям:

Всегда создавайте отдельный объект групповой политики для политик ограниченного использования программ. В этом случае при возникновении экстренной ситуации Вы всегда сможете отключить политики ограниченного использования программ, не затрагивая при этом остальные параметры безопасности.

Никогда не изменяйте используемую по умолчанию доменную политику. Если Вы не будете изменять используемую по умолчанию доменную политику, Вы всегда будете иметь возможность для ее повторного применения.

Никогда не связывайте объекты с политикой ограниченного использования программ другого домена. Связывание с объектом групповой политики другого домена может вызвать снижение производительности.

Проводите всестороннее тестирование новых параметров политики в тестовой среде, прежде чем применять их к Вашему домену. Новые параметры политики могут действовать не так, как Вы изначально ожидали. Тестирование снижает вероятность возникновения проблем при развертывании параметров политики в Вашей сети.

•	Вы можете настроить тестовый домен отдельно от домена Вашей организации, и в нем тестировать новые параметры политики.
•	Также Вы можете тестировать параметры политики, создав тестовый объект групповой политики и связав его с организационным подразделением Active Directory. Когда Вы полностью протестируете параметры политики на пользователях этого подразделения, Вы сможете связать этот объект групповой политики с Вашим доменом.
•	Опечатки или неправильно введенная информация могут привести к тому, что параметры политики не будут работать так, как ожидается. Тестирование новых параметров политики перед их применением может предотвратить такое незапланированное поведение.
•	Прежде чем запретить выполнение каких-либо программ или файлов, выясните, к чему это может привести. Ограничения для определенных файлов могут оказать серьезное влияние на функционирование Вашего компьютера или сети.

Обработка групповой политики

При работе с объектами групповой политики необходимо принять во внимание следующую информацию:

Используйте группы безопасности, чтобы задать область действия объектов групповой политики. В дальнейшем, используя группы безопасности Windows 2000, Вы сможете более детально определить, на какие группы пользователей и компьютеров будут действовать различные объекты групповой политики.

•	Используйте вкладку Безопасность (Security) на странице свойств выбранного объекта групповой политики, чтобы задать права доступа. С помощью избирательных списков контроля доступа (DACL) Вы можете разрешить или запретить доступ к объекту групповой политики для указанных групп.

Для дополнительной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).

Используйте инструментарий управления Windows (WMI), чтобы задать область действия объекта групповой политики. Клиентские машины под управлением Windows XP поддерживают фильтрацию объектов групповой политики с помощью WMI. Это позволяет исключить обработку объекта групповой политики на клиентской машине, основываясь на предоставленной информации WMI.

•	Используйте вкладку Фильтр WMI (WMI Filter) на странице свойств выбранного объекта групповой политики, чтобы добавить фильтр WMI. Например, Вы можете создать фильтр WMI таким образом, что объект групповой политики будет применяться только к компьютерам с определенным пакетом обновлений.

Для дополнительной информации о фильтрации WMI обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).

Порядок применения групповой политики. По умолчанию групповая политика является наследуемой и накопительной, и воздействует на все компьютеры и на всех пользователей в контейнере Active Directory. Обработка объектов групповой политики происходит следующим образом:

•	Применяются объекты локальной групповой политики
•	Объекты групповой политики связываются с сайтами
•	Объекты групповой политики связываются с доменом
•	Объекты групповой политики связываются с организационными подразделениями (в случае вложенных подразделений объекты групповой политики, связанные с родительскими подразделениями, обрабатываются прежде, чем объекты групповой политики, связанные с дочерними подразделениями).

Этот порядок обработки объектов групповой политики (локально > сайт > домен > подразделение) является существенно важным, потому что параметры политики, примененной позже, перекрывают параметры политики, примененной раньше.

Опции Не перекрывать (No Override) и Блокировать наследование политики (Block Policy Inheritance). Вы можете принудительно применить параметры групповой политики определенного объекта GPO ко всем его вложенным объектам, используя опцию Не перекрывать (No Override). Таким образом параметры политики объектов GPO нижних уровней в контейнерах Active Directory не будут перекрывать параметры политики родительского объекта.

Вы можете также блокировать наследование групповой политики от родительских контейнеров Active Directory, используя опцию Блокировать наследование политики (Block Policy Inheritance).

Для дополнительной информации обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).

Развертывание в смешанных доменах

Существует возможность использования политик ограниченного использования программ в доменах, работающих в смешанном режиме. Таким образом, Вам не придется обновлять Ваши контроллеры домена под управлением Windows 2000, чтобы получить все преимущества политик ограниченного использования программ. Вы можете использовать компьютер под управлением Windows XP для редактирования объектов групповой политики и конфигурирования Вашей политики ограниченного использования программ. Компьютеры под управлением Windows XP и Windows Server 2003 могут работать с объектами групповой политики, поэтому они будут использовать политику ограниченного использования программ. Компьютеры под управлением Windows 2000 будут игнорировать эти параметры.

Механизм объединения для нескольких политик ограниченного использования программ

Когда два или более объекта групповой политики применяются к пользователю или компьютеру, политики объединяются. При объединении двух или более политик ограниченного использования программ происходит следующее:

•

Объект групповой политики с наивысшим приоритетом устанавливает следующие значения:

• Уровень безопасности по умолчанию

• Назначенные типы файлов

• Опция предотвращения применения политики к локальным администраторам (Skip Administrators)

• Проверка библиотек DLL (DLL checking)

•

Правила нескольких объектов групповой политики всегда объединяются. Таким образом все дополнительные правила всех объектов групповой политики всегда присутствуют.

Политики ограниченного использования программ могут применяться к пользователям и к компьютерам. При объединении машинных и пользовательских политик действуют следующие правила:

•	Выбирается более ограничивающий уровень безопасности по умолчанию.
•	Если в политике компьютера содержится список назначенных типов файлов, то используется он. В противном случае используется список назначенных типов файлов политики пользователя.
•	Значение опции предотвращения применения политики к локальным администраторам (Skip Administrators) всегда задается политикой компьютера.
•	Если проверка библиотек DLL (DLL checking) включена в одной из политик, она используется.
•	Все правила политик пользователей и политик компьютера объединяются.

Наверх страницы

Устранение неполадок, связанных с политиками ограниченного использования программ

Этот раздел содержит информацию по устранению неполадок, связанных с политиками ограниченного использования программ

Параметры политики ограниченного использования программ, используемые по умолчанию:

•	Уровень безопасности по умолчанию: Неограниченный (Unrestricted)
•	Опции принудительного применения: • Применять к файлам: Все файлы программ, кроме библиотек (таких как DLL) (All software files except libraries (such as DLLs)) • Применять к пользователям: Все пользователи (All users)
•	Дополнительные правила: нет
•	Назначенные типы файлов: смотрите Таблицу 11 (Назначенные типы файлов по умолчанию) в Приложении.
•	Доверенные издатели: • Выбор доверенных издателей: Обычные пользователи (End Users) • Проверка отзыва сертификатов издателей: Не выбрано • Проверка отзыва сертификатов со штампом времени: Не выбрано

Сообщение об ошибке

Во время запуска приложения, запрещенного политикой ограниченного использования программ, ему передается код ошибки. Если приложение возвращает системное сообщение для этого кода, Вы увидите сообщение, показанное на Рисунке 9:

«Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительной информацией обратитесь к системному администратору или откройте «Просмотр событий» ("Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator").

Рисунок 9 - Сообщение об ошибке, полученное в Проводнике Windows

Некоторые приложения отображают одно и то же сообщение для различных возможных кодов ошибок. Например, в случае, если выполнение приложения запрещено политикой ограниченного использования программ, командная строка Windows отображает сообщение, показанное на Рисунке 10:

«Не удается выполнить указанную программу» ("The system cannot execute the specified program").

Рисунок 10 - Сообщение об ошибке, полученное в командной строке Windows

Глобальные уникальные коды правил (GUID)

Каждое правило для пути, хеша или зоны Интернета имеет глобальный уникальный код (globally unique identifier, GUID). Даже два одинаковых правила (например, два запрещающих правила для хеша для одной и той же программы) имеют различные коды GUID. Каждый код GUID хранится в реестре вместе с данными правила. Различные инструменты протоколирования и поиска неисправностей отображают эти коды. Код GUID правила позволяет Вам выявлять объекты групповой политики, в которых это правило определено.

Дело о пропавшем «Калькуляторе»

Чтобы показать, как код GUID может помочь в решении проблемы, рассмотрим пример, в котором пользователь пытается запустить программу calc.exe, калькулятор для Windows. Пользователь получает сообщение о том, что выполнение данной программы запрещено политикой ограниченного использования программ. Решив, что это какая-то ошибка, пользователь помещает заявку в центр службы поддержки. Специалист технической поддержки проверяет журнал событий и видит следующую запись, созданную политикой ограниченного использования программ.

•

Доступ к C:\WINDOWS\system32\calc.exe был ограничен Администратором по расположению правилом политики {91ecff50-2ff4-4672-a182-b0f07a74b2df} расположенной в C:\WINDOWS\system32\calc.exe (Access to C:\WINDOWS\system32\calc.exe has been restricted by your Administrator by location with policy rule {91ecff50-2ff4-4672-a182-b0f07a74b2df} placed on path C:\WINDOWS\system32\calc.exe)

В подробных сведениях записи журнала событий содержится код GUID {91ecff50-2ff4-4672-a182-b0f07a74b2df}. Специалист технической поддержки запускает утилиту gpresult.exe и видит следующую запись:

•	GPO: DisallowedPolicy
•	Ключ: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{91ecff50-2ff4-4672-a182-b0f07a74b2df}
•	Состояние: Включено

Специалист технической поддержки открывает объект групповой политики под названием DisallowedPolicy в редакторе групповой политики. В описании правила сказано, что оно предполагает запретить выполнение программы calcs.exe, которая используется для отображения и изменения списков контроля доступов к файлам. Специалист делает заключение, что в правиле была сделана опечатка, и вместо «calcs.exe» было введено «calc.exe», и передает дело соответствующему ИТ-администратору.

Журнал событий

Политики ограниченного использования программ могут создавать следующие записи в журнале событий:

Просмотр событий: Система
Тип:   Предупреждение
Источник:   Software Restriction Policy
Категория:    Отсутствует
Код (ID):   865
Дата:      6/6/2001
Время:      2:50:29 PM
Пользователь:      bob
Компьютер:   EXAIR-1
Описание:

Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором политикой ограниченного использования программ.

Это событие заносится в журнал, когда пользователь запускает программу, запрещенную уровнем безопасности по умолчанию.

Просмотр событий:    Система
Тип:   Предупреждение
Источник:   Software Restriction Policy
Категория:    Отсутствует
Код (ID):   866
Дата:      6/6/2001
Время:      2:50:29 PM
Пользователь:      bob
Компьютер:   EXAIR-1
Описание:

Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором по расположению правилом политики {79d2f45e-5d93-4138-9608-dde4afc8ac64} расположенной в C:\Program Files\Messenger\msmsgs.exe

Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для пути. Код GUID правила, в этом примере – {79d2f45e-5d93-4138-9608-dde4afc8ac64}, может быть использован в связке с инструментом gpresult.exe, чтобы найти объект групповой политики, содержащий данное правило.

Просмотр событий:    Система
Тип:   Предупреждение
Источник:   Software Restriction Policy
Категория:    Отсутствует
Код (ID):   867
Дата:      6/6/2001
Время:      2:50:29 PM
Пользователь:      bob
Компьютер:   EXAIR-1
Описание:

Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором политикой издателя программы.

Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для сертификата.

Просмотр событий:    Система
Тип:   Предупреждение
Источник:   Software Restriction Policy
Категория:    Отсутствует
Код (ID):   868
Дата:      6/6/2001
Время:      2:50:29 PM
Пользователь:      bob
Компьютер:   EXAIR-1
Описание:

Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором правилом политики {79d2f45e-5d93-4138-9608-dde4afc8ac64}.

Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для зоны Интернета или правилом для хеша.

Следующая команда выполняет запрос всех событий политики ограниченного использования программ.

EventQuery -l System -fi "ID ge 865" -fi "ID le 868" -v -fo list

Из справки к команде EventQuery Вы можете узнать о том, как сформулировать более точный запрос. Справку можно вызвать, набрав "EventQuery /?" в командной строке.

Расширенное протоколирование

Во время создания правил или устранения неполадок на компьютере, сообщающем о проблеме, администратор может фиксировать в журнале событий каждый случай применения политики ограниченного использования программ. Это достигается путем включения расширенного протоколирования.

Для включения расширенного протоколирование:

•	Создайте следующий раздел в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers Строковый параметр: LogFileName, <путь к файлу журнала>

Включение и выключение протоколирования из командной строки

Для включения и выключения протоколирования из командной строки используются следующие команды:

•	Включение протоколирования (в файл saferlog.txt): reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v LogFileName /d saferlog.txt
•	Выключение протоколирования: reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v LogFileName /f
•	Запись в файле журнала имеет следующий формат: <Родительский процесс (Код (ID))> идентифицированный как <Путь к запускаемой программе> с уровнем безопасности <Уровень правила> используя <Тип правила>, GUID = <код GUID правила> (parent process (Process ID) identified Path to launched program as Rule Level using Rule Type, GUID = GUID of rule)
•	Пример записи: winlogon.exe (PID = 396) identified C:\Windows\system32\userinit.exe as Unrestricted using path rule, Guid = {f8c2c158-e1af-4695-bc93-07cbefbdc594} Эта запись сообщает о следующем событии: процесс входа в систему (winlogon.exe), имеющий значение идентификатора 396, запустил программу C:\Windows\system32\userinit.exe. Правило, под действие которого попала эта программа, имеет код GUID {f8c2c158-e1af-4695-bc93-07cbefbdc594} и является правилом для пути с уровнем безопасности Неограниченный (Unrestricted).

Примечание. Если Вам не нужно выполнять расширенное протоколирование, не забудьте выключить его, удалив значение в реестре. Использование расширенного протоколирования в течение длительного периода времени может потреблять большое количества места на жестком диске и снизить быстродействие системы.

Устранение неполадок, связанных с политиками ограниченного использования программ

Для устранения неполадок, связанных с политиками ограниченного использования программ, используются следующие инструменты:

Результирующая политика (RSOP)

Результирующая политика – это инфраструктура и инструмент в форме оснастки MMC, позволяющий администраторам выявлять и анализировать текущий набор политик в двух режимах: в режиме ведения журнала (logging mode) или в режиме планирования (planning mode). В режиме ведения журнала администраторы могут видеть, какие параметры были применены к определенному объекту. В режиме планирования администраторы могут имитировать применение политик к объекту и проводить тестирование, прежде чем вносить изменения в групповую политику.

Чтобы посмотреть данные результирующей политики для текущего пользователя

•	Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run) и введите rsop.msc

Утилита gpupdate.exe

gpupdate.exe – это утилита для работы с групповой политикой. Эта утилита выполняет обновление групповой политики на клиентской машине и может быть использована для политик ограниченного использования программ следующим образом:

•	gpupdate /target:Computer [/Force] Эта команда обновляет параметры политики ограниченного использования программ компьютера. Если указан ключ /Force, то будут применены все параметры политики, независимо от того, изменялись ли они с момента последнего обновления групповой политики или нет.
•	gpupdate /target:User [/Force] Эта команда обновляет параметры политики ограниченного использования программ пользователя. Если указан ключ /Force, то будут применены все параметры политики, независимо от того, изменялись ли они с момента последнего обновления групповой политики или нет.
•	gpupdate [/Force] Эта команда обновляет параметры политики ограниченного использования программ как компьютера, так и пользователя Если указан ключ /Force, то будут применены все параметры политики, независимо от того, изменялись ли они с момента последнего обновления групповой политики или нет.

После обновления параметров политики они будут применяться только ко вновь запускаемым программам. Некоторые системные процессы, такие как explorer.exe или оболочка Windows, не подхватывают новую политику. Чтобы применить политику ко всем программам, пользователь должен повторно выполнить вход в систему.

Утилита gpresult.exe

gpresult.exe – это утилита для проверки параметров, которые были применены во время обновления групповой политики. Эта утилита использует данные результирующей политики и может быть использована для политик ограниченного использования программ следующим образом:

•	gpresult Эта команда отображает основную информацию результирующей политики для указанного пользователя и компьютера. Она перечисляет групповые политики, которые были применены к пользователю, вошедшему в систему на данном компьютере.

Пример выполнения команды

В следующем примере содержатся данные, которые выводит команда: gpresult /scope user /v /user bob

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 23.05.2006 в 23:24:13

RSOP-результаты для EXAIR-70\bob на EXAIR-7: Режим журналирования
--------------------------------------------------------------------------------

Тип ОС:                      Microsoft Windows XP Server
Конфигурация ОС:       Основной контроллер домена
Версия ОС:                  5.1.3524
Имя домена:                EXAIR-70
Тип домена:                Windows 2000
Имя сайта:                  Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль:        C:\Documents and Settings\bob
Подключение по медленному каналу?:        Нет

Конфигурация пользователя
--------------------------
    CN=bob,OU=Product Group,DC=EXAIR-7,DC=nttest,DC=microsoft,DC=com
    Последнее применение групповой политики: 23.05.2006 at 23:21:03
    Групповая политика была применена с:         N/A
    Порог медленной связи групповой политики: 500 kbps

    Примененные объекты групповой политики
    ---------------------------------------
    DisallowedPolicy
    Software Restriction Policy
    Default Domain Policy

Примечание. Секция Примененные объекты групповой политики отображает объекты групповой политики, которые применяются для указанного пользователя.

Следующие политики GPO не были приняты, поскольку они отфильтрованы:
    ----------------------------------------------------------------------------------------
    Local Group Policy
   Фильтрация: Не применяется (пусто)

    Пользователь является членом следующих групп безопасности:
    ----------------------------------------------------------
        Пользователи домена
        Все
        BUILTIN\Users
        Пред-Windows 2000 доступ
        ЛОКАЛЬНЫЕ
        ИНТЕРАКТИВНЫЕ
        Прошедшие проверку

Примечание. Членство в группах здесь перечислено для того, чтобы можно было производить поиск неполадок в сценариях фильтрации объектов групповой политики.

Результирующий набор политик для пользователя:
    -----------------------------------------------
        Установка программ
        ------------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            GPO: Software Restriction Policy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
                       {593905cd-1a5b-4c56-93a6-ecf1c8a78c04}
                 Состояние:           Включено

Примечание. Хотя детальная информация для каждого правила не отображена, для него отображен код GUID, а также имя объекта групповой политики, в которых оно содержится.

GPO: DisallowedPolicy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\
                       {094a935d-a2b8-48be-a50b-0fe3174e9ced}
                 Состояние:           Включено
            GPO: DisallowedPolicy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\
                       {bba39f11-e1a9-406a-8296-3b2cbcb1f144}
                 Состояние:           Включено

            GPO: Software Restriction Policy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
                       {c0193a34-594d-452b-b3e6-edc0d593f345}
                 Состояние:           Включено

            GPO: DisallowedPolicy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
                 Состояние:           Включено

            GPO: Software Restriction Policy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
                       {a5c5639e-4ee7-4882-aa80-560bbecaca22}
                 Состояние:           Включено

            GPO: Software Restriction Policy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
                       {f63296b7-4b0a-4318-ae8d-5d070b44b4ec}
                 Состояние:           Включено

            GPO: DisallowedPolicy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
                 Состояние:           Включено

            GPO: Software Restriction Policy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
                       {8e85c506-2964-4745-8f4e-3c2efe02f509}
                 Состояние:           Включено

            GPO: Software Restriction Policy
                 Параметр:            Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
                       {739c2db8-8ef5-4b2d-b210-d84d7b697603}
                 Состояние:           Включено
        Перенаправление папки
        ---------------------
            Н/Д

        Пользовательский интерфейс обозревателя Internet Explorer
        ---------------------------------------------------------
            Н/Д

        Подключения Internet Explorer
        -----------------------------
            Н/Д

        Адреса Internet Explorer
        ------------------------
            Н/Д

        Безопасность Internet Explorer
        ------------------------------
            Н/Д

        Программы Internet Explorer
        ---------------------------
            Н/Д

Опции восстановления

Когда Вы запускаете Windows в безопасном режиме и входите в систему как локальный администратор, политика ограниченного использования программ не применяется. Безопасный режим позволяет Вам исправить политику, которая вызывает проблемы.

Чтобы исправить политику, которая вызывает проблемы

1.	Используйте оснастку Групповая политика (Group Policy) для исправления политики.
2.	Выполните команду gpupdate.exe.
3.	Перезагрузите Windows и загрузитесь в обычном режиме.

Наверх страницы

Страницы: < 1 2 3 4 5 >

Автор: Артем Жауров aka Borodunter • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 22.07.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: