Опубликовано: 1 января 2002 г. | Обновлено: 25 мая 2004 г.
Переведено: 15 июня 2006 г.
Аннотация
Политики ограниченного использования программ являются новой функциональной возможностью операционных систем Microsoft® Windows® XP и Windows Server 2003. Эта важная функция предоставляет администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролирует возможность их выполнения. Политики ограниченного использования программ могут существенно повысить целостность и управляемость системы, что в конечном счете снижает стоимость владения компьютером.
На этой странице
Введение
Политики ограниченного использования программ являются частью стратегии корпорации Microsoft в сфере управления и обеспечения безопасности и призваны помочь предприятиям повысить надежность, целостность и управляемость компьютеров организации. Политики ограниченного использования программ являются одной из множества новых функциональных возможностей управления в операционных системах Windows XP и Windows Server 2003.
Эта статья предоставляет всестороннее рассмотрение вопросов использования политик ограниченного использования программ для того, чтобы:
| • | Бороться с компьютерными вирусами |
| • | Регламентировать загрузку управляющих элементов ActiveX |
| • | Выполнять сценарии только с цифровой подписью |
| • | Обеспечивать установку только разрешенного программного обеспечения на системные компьютеры |
| • | Обеспечить безопасность компьютеров |
Расширенные возможности управления
Операционная система Windows 2000 предоставила значительные возможности управления в платформе Windows. В Windows 2000 Вы могли управлять программным обеспечением Ваших компьютеров следующим образом:
| • | Параметры приложения позволяли Вам однократно произвести настройку приложения через групповую политику и затем распространять эти настройки для всех пользователей домена, использующих это приложение. |
| • | Оснастка Установка программ (Software Installation) предоставляла способы централизованного управления распространением программного обеспечения в Вашей организации. Когда пользователь в первый раз запускал приложение из меню «Пуск», оно автоматически настраивалось и затем запускалось. Вы могли также публиковать приложения для групп пользователей, предоставляя им возможность установки этих приложений. |
| • | Параметры безопасности определяли конфигурацию безопасности внутри объектов групповой политики (GPO). Конфигурация безопасности включала в себя параметры для политик учетных записей, локальных политик, журнала событий, реестра, файловой системы, политик открытых ключей и других политик. |
Windows XP и Windows Server 2003 расширяют возможности управления системы Windows 2000 за счет следующих нововведений:
| • | Более подробная информация для диагностики и планирования, доступная через результирующий набор политик (Resultant Set of Policies, RSOP). Для более подробной информации смотрите статью Групповая политика Windows 2000 Windows 2000 Group Policy (EN). |
| • | Возможность использования фильтрации, предоставляемая инструментарием управления Windows (WMI). В Windows 2000 Вы могли применять политики, основанные на организационной информации службы каталогов Active Directory®. В Windows XP Вы можете использовать информацию WMI для применения групповых политик, например, к компьютерам с определенным номером сборки или определенным пакетом обновлений Windows. |
Политики ограниченного использования программ интегрированы с операционной системой и общими модулями сценариев, что позволяет управлять работой программного обеспечения во время его выполнения. В Windows 2000 Вы могли спрятать приложения, удалив их из меню «Пуск» или скрыв команду Выполнить (Run). Новые политики ограниченного использования программ идут намного дальше, просто удаляя общие точки доступа к программному обеспечению.
Обзор политики ограниченного использования программ
В этом разделе обсуждается поведение вредоносного программного кода и проблемы, связанные с неизвестным кодом.
У вредоносного кода стало больше путей для проникновения
Поскольку использование сетей и Интернета в повседневной работе организаций растет с каждым днем, возможность столкнуться с вредоносным кодом сегодня намного выше, чем когда-либо ранее. Для сотрудничества люди используют все более сложные способы, такие как электронная почта, мгновенные сообщения и P2P-приложения. Возможности для сотрудничества постоянно расширяются, а вместе с тем увеличивается и риск вторжения в вашу систему компьютерных вирусов, червей и другого вредоносного кода. Помните: электронная почта и обмен мгновенными сообщениями могут распространять незапрашиваемый вредоносный код. Этот код может принимать множество форм, начиная с собственных исполняемых файлов Windows (.exe) и заканчивая макросами документов текстового процессора Word (.doc) и сценариями (.vbs).
Компьютерные вирусы и черви часто используют методы социотехники, чтобы обмануть пользователя и заставить его запустить приложение. Учитывая то огромное число и многообразие форм, которые может принимать код, пользователям становится трудно определить, что является безопасным для выполнения, а что нет. Активировавшись, вредоносный код может испортить содержимое жесткого диска, наводнить сеть DoS-атаками, отослать конфиденциальную информацию в Интернет или поставить под угрозу безопасность компьютера.
Проблема неизвестного кода
Вредоносный код не является единственной угрозой. Многие не вредоносные приложения также вызывают проблемы. Любое неизвестное программное обеспечение, не поддерживаемое организацией, может вызвать конфликт с другими приложениями или изменить важную информацию о конфигурации. Политики ограниченного использования программ были разработаны, чтобы помочь организациям контролировать не только вредоносный, но и любой другой неизвестный код.
Ответная реакция на неизвестный код
Политики ограниченного использования программ помогают организациям реагировать на неизвестный код путем:
| • | Предоставления способа создания списков доверенных приложений, и приложений, не являющихся таковыми. |
| • | Предоставления гибкого подхода, основанного на использовании политик, для регулирования сценариев, исполняемых файлов и элементов управления ActiveX. |
| • | Автоматического приведения политики в исполнение. |
Архитектура политики ограниченного использования программ
На Рисунке 1 изображены три составляющих политики ограниченного использования программ:
| 1. | Администратор создает политику для определенного сайта, домена или организационного подразделения Active Directory, используя оснастку Групповая политика (Group Policy) консоли управления MMC. |
| 2. | Политика загружается на компьютер и применяется на нем. Политики пользователя применяются при его следующем входе в систему. Политики компьютера применяются во время загрузки машины. |
| 3. | Когда пользователь запускает программу или сценарий, операционная система или сервер сценариев проверяет политику и применяет ее к данному приложению.  |
Неограниченный (Unrestricted) или Не разрешено (Disallowed)
Политика ограниченного использования программ создается с помощью оснастки Групповая политика (Group Policy) консоли управления MMC. Политика состоит из правила по умолчанию, которое определяет, позволено ли приложению выполняться или нет, а также из исключений из этого правила. Правило по умолчанию может иметь значение Неограниченный (Unrestricted) или Не разрешено (Disallowed) – что по существу означает: запускать или не запускать приложение.
Установка правила по умолчанию Неограниченный (Unrestricted) позволяет администратору определять исключения – например, набор программ, которые нельзя запускать. Более безопасным подходом является установка правила по умолчанию Не разрешено (Disallowed) и разрешать выполнение только известных и доверенных программ.
Уровень безопасности по умолчанию
Существуют два способа применения политик ограниченного использования программ:
| • | Если администратору известно все программное обеспечение, которое должно выполняться, политика ограниченного использования программ может применяться для контроля выполнения только программ из этого списка доверенных приложений. |
| • | Если приложения, которые могут запускать пользователи, неизвестны, администраторы могут при необходимости предотвратить запуск нежелательных приложений или определенных типов файлов. |
Четыре правила, которые идентифицируют программное обеспечение
Задачей правила является идентификация одного или нескольких приложений и определение возможности их выполнения. Создание правил в значительной степени состоит из определения приложений, являющихся исключением из правила по умолчанию. Каждое из них может иметь текстовое описание, которое помогает понять причину создания данного правила.
Политика ограниченного использования программ поддерживает четыре способа идентификации программного обеспечения:
| • | Хеш – криптографический отпечаток файла |
| • | Сертификат – сертификат создателя программного обеспечения, используемый для цифровой подписи файла. |
| • | Путь – локальный или универсальный путь в формате UNC, указывающий местоположение файла |
| • | Зона – Зона Интернета |
Правила для хеша
Правило для хеша – это криптографический отпечаток (серия байтов фиксированной длины), однозначно идентифицирующий файл независимо от того, где он расположен и как называется. При желании администратор может запретить пользователям запуск определенной версии программы. Это может произойти в случае, если программа имеет ошибки в безопасности или конфиденциальности или ставит под угрозу стабильность системы. Если использовать правило для хеша, то даже переименованная или перемещенная в другое место на диске программа все равно будет попадать под действие этого правила, поскольку оно основано на криптографическом расчете содержимого файла.
Правило для хеша состоит из трех фрагментов с данными, разделенных двоеточиями:
| • | Значение хеша, зашифрованное алгоритмом хеширования MD5 или SHA-1 |
| • | Длина файла |
| • | Код алгоритма хеширования |
Оно имеет следующий формат:
[MD5 или SHA1 значение хеша]:[длина файла]:[код алгоритма хеширования]
Файлы с цифровой подписью будут использовать значение хеша, содержащееся в подписи – оно может быть зашифровано алгоритмом SHA-1 или MD5. Файлы, не имеющие цифровой подписи, будут использовать MD5 хеш.
Пример: Под действие следующего правила для хеша попадает файл длиной 126 байт. Содержимое этого файла соответствует значению хеша 7bc04acc0d6480af862d22d724c3b049, зашифрованному алгоритмом MD5. Алгоритм хеширования обозначен идентификационным номером 32771.
7bc04acc0d6480af862d22d724c3b049:126:32771
Правила для сертификата
Правило для сертификата определяет подписывание кода сертификатом издателя программного обеспечения. Например, организация может потребовать, чтобы все сценарии и элементы управления ActiveX были подписаны определенным набором сертификатов издателей программного обеспечения. Сертификаты, использующиеся в таком правиле, могут быть выданы коммерческими центрами сертификации, такими как VeriSign, Windows 2000/Windows Server 2003 PKI или являться самостоятельно подписанными сертификатами.
Правило для сертификатов является достаточно надежным способом идентификации программного обеспечения, потому что оно использует подписанные хеши, содержащиеся в подписи файла, для его идентификации независимо от названия или местоположения. Если Вы хотите сделать исключения из правила для сертификата, Вы можете идентифицировать их с помощью правил для хеша.
Правила для пути
В правиле для пути можно указать папку или полный путь к программе. Когда в правиле для пути указана папка, оно применяется ко всем программам, находящимся в этой папке и всех ее подпапках. Поддерживаются как локальные, так и универсальные пути в формате UNC.
Использование переменных среды в правилах для пути. В правиле для пути можно использовать переменные среды. Поскольку правила для пути обрабатываются в клиентской среде, возможность использования переменных среды (например, %USERPROFILE%) позволяет им приспособиться к определенной среде пользователя.
Важно: Переменные среды не защищены списками управления доступом (ACL). В случае, если пользователи смогут запустить командную строку, они смогут переопределить переменные среды на свое усмотрение.
Использование подстановочных знаков (wildcards) в правилах для пути. Правило для пути может содержать подстановочные знаки '?' и '*', позволяя правилам, таким как "*.vbs", применяться ко всем файлам сценариев Visual Basic®. Несколько примеров:
| • | "\\DC-??\login$" matches \\DC-01\login$, \\DC-02\login$ |
| • | "*\Windows" matches C:\Windows, D:\Windows, E:\Windows |
| • | "c:\win*" matches c:\winnt, c:\windows, c:\windir |
Правила для пути в реестре. Многие приложения хранят пути к своим установочным папкам или рабочие каталоги в системном реестре. Вы можете создать правило для пути которое просматривает эти ключи реестра. Например, некоторые приложения могут быть установлены в любом месте файловой системы. Эти местоположения бывает трудно обозначить, если использовать конкретные пути (такие как C:\Program Files\Microsoft Platform SDK) или переменные среды (такие как %ProgramFiles%\Microsoft Platform SDK). Если программа хранит пути к своим рабочим каталогам в реестре, Вы можете создать правило для пути, которое будет использовать хранящееся в реестре значение, такое как
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir%.
Такой тип правила для пути называется правилом для пути в реестре и имеет следующий формат:
%[Куст реестра]\[Имя раздела реестра]\[Имя параметра]%
Примечание. Суффикс любого правила для пути в реестре не должен содержать символ «\» сразу же после последнего знака «%» в правиле.
| • | Путь в реестре должен быть заключен между знаками процента («%»). |
| • | Параметр реестра должен быть либо строковым параметром (REG_SZ), либо расширяемым строковым параметром (REG_EXPAND_SZ). Вы не можете использовать HKLM в качестве аббревиатуры для HKEY_LOCAL_MACHINE или HKCU – в качестве аббревиатуры для HKEY_CURRENT_USER. |
| • | Если параметр реестра содержит переменные среды, при оценке политики будет использоваться их фактическое значение. |
| • | Правило для пути в реестре может также содержать окончание пути, такое как %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK* Это правило для пути в реестре идентифицирует папку, которую Microsoft Outlook XP использует для хранения вложений перед их запуском. Название папки вложений всегда начинается с «OLK», поэтому в правиле можно использовать подстановочные знаки. В качестве примера это правило применяется к следующему пути: C:\Documents and Settings\имя_пользователя\Local Settings\Temporary Internet Files\OLK4 |
Важно: Когда Вы задаете правило для пути, Вы должны проверить списки контроля доступа (ACL) для этого пути. Если пользователи имеют разрешение на запись в определенную папку, они могут изменять ее содержимое. Например, если Вы разрешите доступ к C:\Program Files, любой пользователь группы Опытные пользователи (Power Users) на локальном компьютере может копировать приложения в папку Program Files.
Приоритет правил для путей. Если приложение попадает под действие нескольких правил для пути, самым приоритетным будет являться правило с наиболее точным совпадением.
Ниже перечислен набор путей, начиная с самого приоритетного (наиболее точное совпадение) к наименее приоритетному (наиболее общее совпадение).
| • | Диск:\Папка1\Папка2\ИмяФайла.Расширение |
| • | Диск:\ Папка1\Папка2\*. Расширение |
| • | *. Расширение |
| • | Диск:\ Папка1\Папка2\ |
| • | Диск:\ Папка1\ |
Правила для зоны Интернета
Правило для зоны Интернета может идентифицировать программное обеспечение, загруженное из зоны Internet Explorer. Такими зонами являются:
| • | Интернет (Internet) |
| • | Интрасеть (Intranet) |
| • | Ограниченные узлы (Restricted Sites) |
| • | Надежные узлы (Trusted Sites) |
| • | Мой компьютер (My Computer) |
На данный момент правила для зоны Интернета действуют только для пакетов установщика Windows (Windows Installer) *.MSI. Они не распространяются на остальное программное обеспечение, загружаемое через Internet Explorer.
В каких случаях использовать каждое правило
Примечание: Каждое правило имеет связанный с ним глобальный уникальный идентификатор (GUID). Примером глобального уникального идентификатора является {f8c2c158-e1af-4695-bc93-07cbefbdc594}. Даже два одинаковых правила всегда будут иметь два разных GUID. Глобальные уникальные идентификаторы помогают Вам в процессе устранения неполадок, позволяя определить, какое правило используется и в какой политике оно содержится. Более подробная информация будет изложена далее в разделе Устранение неполадок, связанных с политиками ограниченного использования программ.
| Таблица 1 - В каких случаях использовать каждое правило | |
| Задача | Рекомендованное правило |
| Вы хотите разрешить или запретить выполнение определенной версии программы | Правило для хеша Укажите требуемый файл, чтобы создать хеш |
| Вы хотите идентифицировать программу, которая всегда устанавливается в один и тот же каталог | Правило для пути с использованием переменных среды %ProgramFiles%\Internet Explorer\iexplore.exe |
| Вы хотите идентифицировать программу, которая может быть установлена в любом месте на клиентских машинах | Правило для пути в реестре %HKEY_LOCAL_MACHINE\SOFTWARE\ ComputerAssociates\InoculateIT\6.0\Path\HOME% |
| Вы хотите идентифицировать набор сценариев на центральном сервере | Правило для пути \\SERVER_NAME\Share |
| Вы хотите идентифицировать набор сценариев на нескольких серверах: DC01, DC02, и DC03 | Правило для пути с использованием подстановочных знаков \\DC??\Share |
| Вы хотите запретить выполнение всех файлы .vbs, кроме тех, которые находятся в каталоге загрузочных сценариев | Правило для пути с использованием подстановочных знаков Для *.VBS установить значение Не разрешено (Disallowed) Для \\LOGIN_SRV\Share\*.VBS установить значение Неограниченный (Unrestricted) |
| Вы хотите запретить выполнение файла, устанавливаемого компьютерным вирусом, который всегда называется flcss.exe | Правило для пути Для flcss.exe установить значение Не разрешено (Disallowed) |
| Вы хотите идентифицировать набор сценариев, которые могут быть запущены из любого места | Правило для сертификата Используйте сертификат для цифровой подписи сценариев |
| Вы хотите разрешить установку программного обеспечения из зоны надежных узлов сети Интернет | Правило для зоны Интернета Для зоны Надежные узлы (Trusted Sites) установить значение Неограниченный (Unrestricted) |
Приоритет правил
Правила оцениваются в определенном порядке. Правила, которые наиболее точно идентифицируют программу, имеют более высокий приоритет, чем менее конкретизированные правила.
| • | Правило для хеша |
| • | Правило для сертификата |
| • | Правило для пути |
| • | Правило для зоны Интернета |
| • | Правило по умолчанию |
Таблица 2 и следующие примеры показывают, как правила приводятся в действие при запуске программы.
| Таблица 2 - Понимание приоритетов правил | ||
| Уровень безопасности по умолчанию: Неограниченный (Unrestricted) | ||
| Правила для хеша | ||
| Правило 1 | Хеш файла pagefileconfig.vbs | Не разрешено (Disallowed) |
| Правила для сертификата | ||
| Правило 2 | Сертификат IT Management | Неограниченный (Unrestricted) |
| Правила для пути | ||
| Правило 3 | %WINDIR%\System32\*.VBS | Неограниченный (Unrestricted) |
| Правило 4 | *.VBS | Не разрешено (Disallowed) |
| Правило 5 | %WINDIR% | Неограниченный (Unrestricted) |
Запускаемая программа: C:\WINDOWS\SYSTEM32\EventQuery.vbs
Программа попадает под действие следующих правил:
| • | Правило 3, потому что это файл .vbs, хранящийся в папке System32. |
| • | Правило 4, потому что файл имеет расширение .vbs. |
| • | Правило 5, потому что файл хранится в подпапке папки Windows. |
Правило 3 является самым приоритетным для этой программы. Поскольку Правило 3 имеет уровень безопасности Неограниченный (Unrestricted), этой программе будет позволено выполняться.
Запускаемая программа: C:\WINDOWS\SYSTEM32\pagefileconfig.vbs
Программа попадает под действие следующих правил:
| • | Правило 1, потому что хеш, указанный в правиле совпадает с хешем файла. |
| • | Правило 3, потому что это файл .vbs, хранящийся в папке System32. |
| • | Правило 4, потому что файл имеет расширение .vbs. |
| • | Правило 5, потому что файл хранится в подпапке папки Windows. |
Правило 1 является самым приоритетным для этой программы. Поскольку Правило 1 имеет уровень безопасности Не разрешено (Disallowed), этой программе не будет позволено выполняться.
Запускаемая программа: \\LOGIN_SRV\Scripts\CustomerScript1.vbs
Программа попадает под действие следующих правил:
| • | Правило 2, потому что она имеет цифровую подпись сертификата, принадлежащего группе IT Management. |
| • | Правило 4, потому что файл имеет расширение .vbs. |
Правило 2 является самым приоритетным для этой программы. Поскольку Правило 2 имеет уровень безопасности Неограниченный (Unrestricted), этой программе будет позволено выполняться.
Запускаемая программа: C:\Documents and Settings\user1\LOVE-LETTER-FOR-YOU.TXT.VBS
Программа попадает под действие Правила 4, потому что файл имеет расширение .vbs.
Правило 4 является самым приоритетным для этой программы. Поскольку Правило 4 имеет уровень безопасности Не разрешено (Disallowed), этой программе не будет позволено выполняться.
Опции политики ограниченного использования программ
В этом разделе обсуждаются различные опции, которые влияют на поведение политики ограниченного использования программ. Эти опции изменяют область применения политики или параметры доверия Authenticode для файлов с цифровой подписью.
Опции принудительного применения
Существуют две опции принудительного применения политики ограниченного использования программ: проверка библиотек DLL (DLL checking) и предотвращение применения политики к локальным администраторам (Skip Administrators).
Проверка библиотек DLL (DLL checking)
Некоторые программы, как например Internet Explorer, состоят из исполняемого файла (iexplore.exe) и множества вспомогательных библиотек динамической компоновки (DLL). По умолчанию правила политики ограниченного использования программ не применяются к библиотекам DLL. Этот вариант рекомендован для большинства пользователей по трем причинам:
| • | Запрет исполняемого файла предотвращает выполнение программы, поэтому нет необходимости запрещать все сопутствующие библиотеки DLL. |
| • | Проверка библиотек DLL приводит к снижению производительности. Если пользователь запускает 10 программ во время сеанса работы, политика ограниченного использования программ оценивается 10 раз. Если проверка библиотек DLL включена, политика оценивается при загрузке каждой библиотеки DLL в каждой программе. Если каждая программа использует 20 библиотек DLL, это вызывает 10 проверок исполняемых программ плюс 200 проверок библиотек DLL и таким образом политика ограниченного использования программ оценивается 210 раз. |
| • | Если уровнем безопасности по умолчанию является Не разрешено (Disallowed), то в этом случае должна проверяться не только возможность выполнения исполняемого файла программы, но и всех ее составляющих библиотек DLL, что может негативно влиять на производительность системы. |
Проверка библиотек DLL предоставляется в качестве опции для окружений, в которых необходимо обеспечить максимальный уровень безопасности при выполнении программ. Хотя в основном компьютерные вирусы нацелены на заражение исполняемых файлов, некоторые из них заражают библиотеки DLL. Чтобы убедиться, что программа не заражена вирусом, Вы можете использовать набор правил для хеша который идентифицирует исполняемый файл и все его необходимые библиотеки DLL.
Для включения проверки библиотек DLL:
| • | Установите значение переключателя в диалоговом окне Свойства: принудительный (Enforcement Properties), как изображено на Рисунке 2: Применять политики ограниченного использования > Ко всем файлам программ (Apply software restriction policies to the following > All software files) |
Рисунок 2 - Установка свойств принудительного режима
Предотвращение применения политики ограниченного использования программ к локальным администраторам (Skip Administrators)
Опции политики ограниченного использования программ позволяют запретить выполнение программ большинством пользователей, но в то же время позволить администраторам выполнять любые программы. Например, клиент может иметь общую машину, к которой пользователи подключаются через сервер терминалов. Администратор может захотеть ограничить пользователей выполнением только определенных приложений на этой машине, но при этом позволить членам группы локальных администраторов запускать любые программы. Чтобы сделать это, используйте опцию предотвращения применения политики к локальным администраторам (Skip Administrators).
Если политика ограниченного использования программ создана в объекте групповой политики (GPO), присоединенному к объекту Active Directory, то предпочтительный способ для исключения администраторов - это убрать разрешение Применение групповой политики (Apply Group Policy) в свойствах группы GPO, в состав которой входят администраторы.
Чтобы включить предотвращение применения политики к локальным администраторам (Skip Administrators):
| • | Установите значения переключателя в диалоговом окне Свойства: принудительный (Enforcement Properties), как показано на Рисунке 2: Применять политики ограниченного использования для следующих пользователей > Для всех пользователей, кроме локальных администраторов (Apply software restriction policies to the following users > All users except local administrators) Примечание. Установка опции предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators) действует только для политик компьютера. |
Определение исполняемых файлов
В диалоговом окне Свойства: Назначенные типы файлов (Designated File Types), изображенном на Рисунке 3, перечислены типы файлов, к которым применяется политика ограниченного использования программ. Назначенные типы файлов – это типы файлов, которые считаются исполняемыми. Например, файл хранителя экрана .SCR считается исполняемым, так как если сделать на нем двойной щелчок мышью в проводнике Windows, он загрузится как программа.
Правила политики ограниченного использования программ применяются только для типов файлов, перечисленных в диалоговом окне Свойства: Назначенные типы файлов (Designated File Types). Если в Вашем окружении используются типы файлов, для которых Вы хотите иметь возможность задавать правила, добавьте их в этот список. Например, если Вы используете файлы сценариев Perl, Вы можете добавить файлы *.pl и файлы других типов, связанными с модулями Perl, в список Назначенные типы файлов (Designated File Types).
Рисунок 3 - Диалоговое окно Свойства: Назначенные типы файлов (Designated File Types)
Доверенные издатели
Опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers), изображенного на Рисунке 4, позволяют Вам конфигурировать параметры, относящиеся к элементам управления ActiveX® и другому подписанному содержимому.
Рисунок 4 - Настройка параметров Доверенные издатели (Trusted Publishers)
В Таблице 3 перечислены опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers), относящиеся к элементам управления ActiveX и другому подписанному содержимому.
| Таблица 3 - Доверенные издатели (Trusted Publishers) - задачи и параметры | |
| Задача | Необходимое значение параметра |
| Необходимо разрешить только администраторам домена принимать решения относительно подписанного активного содержимого | Администраторам предприятия (Enterprise Administrators) |
| Необходимо разрешить только администраторам компьютера принимать решения относительно подписанного активного содержимого | Администраторам локального компьютера (Local computer Administrators) |
| Необходимо разрешить любому пользователю принимать решения относительно подписанного активного содержимого | Обычным пользователям (End Users) |
| Необходимо удостовериться, что сертификат, используемый доверенным издателем, не был отозван. | Самого издателя (Publisher) |
| Удостовериться, что сертификат, используемый организацией, которая проставила дату активного содержимого, не был отозван. | Штамп времени (Timestamp) |
Область действия политик ограниченного использования программ
Действие политик ограниченного использования программ не распространяется на:
| • | Драйверы и прочие приложения уровня ядра. |
| • | Любые программы, запущенные учетной записью SYSTEM. |
| • | Макросы внутри документов Microsoft Office 2000 или Office XP. |
| • | Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy). |
Проектирование политики ограниченного использования программ
В этом разделе описаны:
| • | Способы управления политиками ограниченного использования программ при помощи оснасток групповой политики |
| • | Вопросы, которые необходимо рассмотреть при первом редактировании политики |
| • | Что происходит во время применения политики ограниченного использования программ к группе пользователей |
Объединение с групповой политикой
Политиками ограниченного использования программ можно управлять с помощью следующих оснасток групповой политики:
Политика домена
Для того, чтобы настроить политику домена
| 1. | Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите dsa.msc и нажмите кнопку OK. |
| 2. | Правой кнопкой мыши щелкните на домене или подразделении, выберите Свойства > Групповая политика > Создать/Добавить (Properties > Group Policy Tab > New/Edit). |
Локальная политика безопасности
Для того, чтобы настроить политику безопасности
| 1. | Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run). |
| 2. | Введите secpol.msc и нажмите кнопку OK. |
Если Вы редактируете объект групповой политики (GPO), Вы можете задать политики ограниченного использования программ для пользователей и компьютеров, как показано на Рисунке 5.
Рисунок 5 - Редактирование политики ограниченного использования программ для пользователей и компьютеров
Если Вы редактируете локальную политику безопасности, расположение параметров политики ограниченного использования программ будет таким, как на Рисунке 6.
Рисунок 6 - Редактирование локальной политики безопасности
Первоначальные действия
При редактировании политики в первый раз Вы увидите сообщение, показанное на Рисунке 7. Это сообщение предупреждает о том, что создание политики установит значения по умолчанию, которые переопределят значения, унаследованные от политик ограниченного использования программ родительских объектов.
Рисунок 7 - Предупреждающее сообщение во время создания новой политики
Для создания политики:
| • | Выберите команду Новые политики ограниченного использования программ (Create New Policies) в меню Действие (Action). |
Применение политики ограниченного использования программ к группе пользователей
Политика ограниченного использования программ распространяется через групповую политику на сайт, домен или подразделение. Тем не менее, администратор может столкнуться с необходимостью применить политику ограниченного использования программ к группе пользователей внутри домена. Для этого администратор может использовать фильтрацию объектов групповой политики.
Для получения более подробной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)
Серверы терминалов
Политики ограниченного использования программ являются неотъемлемой частью системы защиты сервера терминалов Windows Server 2003. Администраторы серверов терминалов могут теперь полностью заблокировать доступ программного обеспечения к серверу терминалов. Применение политик ограниченного использования программ является исключительно важным именно на серверах терминалов ввиду потенциально большого количества пользователей на одном компьютере. На однопользовательском клиентском компьютере под управлением Windows XP выполнение нестабильного приложения может помешать только одному пользователю, в то время как выполнение такого приложения на сервере терминалов может доставить неудобства более чем 100 пользователям. Политики ограниченного использования программ предотвращают эту проблему. Эта служба также избавляет от необходимости использования программ, таких как appsec.exe, для ограничения выполнения приложений на сервере терминалов Windows Server 2003.
В дополнение к этому корпорация Microsoft рекомендует ознакомиться с документом 278295 Как заблокировать сессию сервера терминалов Windows 2000 (How to Lock Down a Windows 2000 Terminal Server Session)
В некоторых случаях на нескольких серверах терминалов установлено одинаковое программное обеспечение, но администраторы этих серверов хотят предоставить доступ разным группам пользователей к разному программному обеспечению. Часть приложений при этом может быть общей для нескольких групп. Рассмотрим пример, когда юридическая фирма размещает приложения на ферме серверов терминалов. На серверах установлено одинаковое программное обеспечение. Правила доступа к программному обеспечению выглядят следующим образом:
| • | Любой сотрудник может использовать Microsoft Office и Internet Explorer. Все сотрудники являются членами группы AllEmployees. |
| • | Любой сотрудник бухгалтерии может использовать приложения из папки Accounting Software. Сотрудники бухгалтерии являются членами группы AccountingEmployees. |
| • | Любой юрист может использовать приложения из папки Law Research software. Юристы являются членами группы Lawyers. |
| • | Любой сотрудник внутренней почтовой службы может использовать приложения из папки Mail Room Processing software. Сотрудники внутренней почтовой службы являются членами группы MailRoomEmployees. |
| • | Руководители могут использовать любое программное обеспечение, доступное для других сотрудников. Руководители являются членами группы Executives. |
| • | Объекты групповой политики не применяются к администраторам. |
Чтобы разграничить доступ к программному обеспечению, администратор создает пять объектов групповой политики с персонально настроенными политиками ограниченного использования программ. Каждый объект групповой политики фильтруется так, чтобы он применялся только к пользователям одной из групп AllEmployees, AccountingEmployees, Lawyers, MailRoomEmployees или Executives (в зависимости от того, для какой группы он предназначен).
Поскольку руководители должны иметь доступ к любому программному обеспечению как на своих рабочих станциях, так и на серверах терминалов, администратор использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются. Более подробная информация по конфигурированию замыкания на себя содержится в документе по групповой политике.
| Объект групповой политики пользователя A1, связан с доменом Law | |
| Фильтр: Для компьютеров домена Law установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %WINDIR% | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Common Files | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Internet Explorer | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Windows NT | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Microsoft Office | Неограниченный (Unrestricted) |
| Объект групповой политики пользователя A2, связан с доменом Law | |
| Фильтр: Для компьютеров домена Law и пользователей группы AccountingEmployees установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Accounting Software | Неограниченный (Unrestricted) |
| Объект групповой политики пользователя A3, связан с доменом Law | |
| Фильтр: Для компьютеров домена Law и пользователей группы MailRoomEmployees установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Mailroom Processing | Неограниченный (Unrestricted) |
| Объект групповой политики пользователя A4, связан с доменом Law | |
| Фильтр: Для компьютеров домена Law и пользователей группы Lawyers установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Law Research Software | Неограниченный (Unrestricted) |
| Объект групповой политики пользователя A5, связан с доменом Lab Resource | |
| Фильтр: Для компьютеров домена Law и пользователей группы Executives установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Law Research Software | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Mail Room Program | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Accounting Software | Неограниченный (Unrestricted) |
Пошаговое руководство по проектированию политики ограниченного использования программ
В этом разделе описаны шаги, которые необходимо выполнить в процессе проектирования политики ограниченного использования программ.
Вопросы для рассмотрения
При проектировании политики необходимо определиться со следующими аспектами:
| • | Объект групповой политики или локальная политика безопасности |
| • | Политика пользователя или политика компьютера |
| • | Уровень безопасности по умолчанию |
| • | Дополнительные правила |
| • | Опции политики |
| • | Связывание политики с сайтом, доменом или подразделением |
Пошаговое выполнение процесса
Шаг 1. Объект групповой политики или локальная политика безопасности
Должна ли политика применяться ко многим компьютерам или пользователям домена или подразделения, или же она должна применяться только к локальному компьютеру?
| • | Если политика должна применяться к многим компьютерам или пользователям домена или к какому-либо другому контейнеру Active Directory, используйте объект групповой политики. |
| • | Если Ваша политика должна применяться только к локальному компьютеру, используйте локальную политику безопасности. |
Шаг 2. Политика пользователя или политика компьютера
Должна ли политика применяться к пользователям независимо от того, на какой компьютер они входят, или наоборот – к компьютеру независимо от того, кто осуществляет вход?
| • | Если Вы хотите, чтобы политика применялась к определенной группе пользователей, например, к доменной группе Отдел маркетинга, Вам следует использовать политику пользователя. |
| • | Если Вы хотите, чтобы политика применялась к определенной группе компьютеров и ко всем пользователям, которые входят в систему на этих компьютерах, Вам следует использовать политику компьютера. |
Шаг 3. Уровень безопасности по умолчанию
Известно ли Вам все программное обеспечение, с которым будут работать пользователи, или они могут устанавливать любое программное обеспечение на свой выбор?
| • | Если Вам известно все программное обеспечение, с которым будут работать пользователи, Вы должны задать уровень безопасности по умолчанию Не разрешено (Disallowed). |
| • | Если пользователи могут устанавливать любое программное обеспечение, которое захотят, задайте уровень безопасности по умолчанию Неограниченный (Unrestricted). |
Шаг 4. Дополнительные правила
Идентифицируйте выбранные разрешенные или запрещенные приложения, используя четыре типа правил, рассмотренные выше в разделе Архитектура политики ограниченного использования программ.
| • | Чтобы посмотреть, какие правила подходят для Вашей политики, обратитесь к Таблице 1 (В каких случаях использовать каждое правило), рассмотренной выше в том же разделе. |
| • | Чтобы создать дополнительные правила, обратитесь к пошаговому руководству по созданию дополнительных правил, которое будет рассмотрено ниже. |
Шаг 5. Опции политики
Существует несколько опций политики:
| • | Если Вы используете локальную политику безопасности и не хотите, чтобы она применялась к администраторам на локальном компьютере, включите опцию предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators). |
| • | Если Вы хотите проверять библиотеки DLL в дополнение к исполняемым файлам и сценариям, включите опцию проверки библиотек DLL (DLL checking). |
| • | Если Вы хотите задать правила для типов файлов, которые по умолчанию не входят в список назначенных типов файлов, считающимися исполняемыми, добавьте дополнительные типы файлов. |
| • | Если Вы хотите определить, кто может принимать решения о загрузке управляющих элементов ActiveX и другого подписанного содержимого, установите требуемые опции в окне Свойства: Доверенные издатели (Trusted Publishers). |
Шаг 6. Связывание политики с сайтом, доменом или подразделением
Чтобы связать объект групповой политики с сайтом.
| 1. | Используйте оснастку Active Directory – сайты и службы (Active Directory Sites and Services). |
| 2. | Щелкните правой кнопкой мыши на сайте, домене или подразделении, с которым Вы хотите связать объект групповой политики и выберите Свойства (Properties). |
| 3. | Выберите вкладку Групповая политика (Group Policy) для создания, редактирования или управления объектами групповой политики. |
Чтобы связать объект групповой политики с доменом или подразделением.
| 1. | Используйте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers). |
| 2. | Щелкните правой кнопкой мыши на сайте, домене или подразделении, с которым Вы хотите связать объект групповой политики и выберите Свойства (Properties). |
| 3. | Выберите вкладку Групповая политика (Group Policy) для создания, редактирования или управления объектами групповой политики. |
Фильтрация
На этом этапе может быть осуществлена фильтрация объектов групповой политики. Путем фильтрации, основанной на членстве в группах, Вы можете определить часть организационного подразделения Active Directory (Organizational Unit, OU), на которую будет действовать объект групповой политики. Вы также можете производить фильтрацию на основе запросов инструментария управления Windows (WMI).
Тестирование политики
Если Вы не хотите ждать следующего интервала обновления групповой политики, а хотите протестировать Вашу политику немедленно, запустите программу gpupdate.exe и выполните повторный вход в систему. После этого Вы можете приступать к тестированию Вашей политики.
Пошаговое руководство по созданию дополнительных правил
Следующие шаги помогут Вам при создании дополнительных правил. Чтобы проиллюстрировать принципы, лежащие в основе каждого шага, Вашему вниманию предлагаются примеры создания правил для Office XP.
Шаг 1. Перечислите все выполняемые приложения
Перечислите программное обеспечение, которое вы пытаетесь идентифицировать. В нашем примере с Office XP оно состоит из программ Microsoft Word, Excel, PowerPoint®, и Outlook®.
Шаг 2. Определитесь с типом правила
Обратитесь к Таблице 1 (В каких случаях использовать каждое правило), чтобы решить, какой тип правила использовать, а также определитесь с уровнем безопасности по умолчанию для Вашего правила. В нашем примере мы будем использовать правила для пути с уровнем безопасности по умолчанию Неограниченный (Unrestricted).
Шаг 3. Запишите папки, в которые установлено программное обеспечение
Перечислите все пути к папкам, в которые установлено программное обеспечение. Сделать это можно различными способами:
| • | Посмотреть свойство Рабочая папка (Target) ярлыка файла. |
| • | Запустить все приложения, после этого нажать кнопку Пуск (Start), выбрать Выполнить (Run) и набрать команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда (Software Environment) и выберите Выполняемые задачи (Running Tasks). |
| • | Воспользоваться следующей командой: wmic.exe process get "ExecutablePath", "ProcessID" |
Для нашего случая Вы увидите следующие запущенные задачи:
| • | "C:\Program Files\Microsoft Office\Office10\WINWORD.EXE" |
| • | "C:\Program Files\Microsoft Office\Office10\EXCEL.EXE" |
| • | "C:\Program Files\Microsoft Office\Office10\POWERPNT.EXE" |
| • | "C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE" |
Шаг 4. Определите зависимые программы
Некоторые приложения могут в свою очередь запускать дополнительные программы для вспомогательных задач. Ваше приложение может зависеть от одной или нескольких вспомогательных программ. Например, Microsoft Word запускает приложение Microsoft Clip Organizer для управления объектами clipart. Microsoft Clip Organizer использует следующие программы:
| • | C:\Program Files\Microsoft Office\Office10\MSTORDB.EXE |
| • | C:\Program Files\Microsoft Office\Office10\MSTORE.EXE |
Microsoft Office также использует файлы из папки C:\P ogram Files\Common Files folder.
Шаг 5. Обобщите правила
На этом шаге сгруппируйте связанные между собой правила вместе, чтобы создать более общее правило. Рассмотрите возможность использования переменных среды, подстановочных знаков и правил для пути в реестре.
Продолжая рассматривать наш пример, мы видим, что все программы хранятся в папке C:\Program Files\Microsoft Office\Office10, поэтому достаточно использовать одно правило для пути, применимое к этой папке, вместо четырех отдельных правил для каждой программы. Кроме того, если на Ваших компьютерах Microsoft Office всегда установлен в папку Program Files, используйте переменную среды вместо указания явного пути. Таким образом наши правила будут выглядеть следующим образом:
| • | %ProgramFiles%\Microsoft Office\Office10 |
| • | %ProgramFiles%\Common Files |
Шаг 6. Проверьте, что Вы не разрешили ничего лишнего
На этом шаге Вы смотрите, каким еще приложениям позволяют выполняться Ваши правила. Слишком общее правило может разрешить выполнение не запланированных Вами программ. Так, папка Office10 в нашем примере помимо прочего содержит программы:
| • | FINDER.EXE |
| • | OSA.EXE |
| • | MCDLC.EXE |
| • | WAVTOASF.EXE |
Поскольку этим программам разрешено выполняться, нам не придется менять наши правила.
Неявные правила, о которых необходимо помнить
При создании правил во время проектирования политики примите во внимание следующие аспекты.
Сценарии входа
Сценарии входа хранятся на центральном сервере. Часто эти серверы могут меняться при каждом входе пользователя в систему. Если Вы используете правило по умолчанию Не разрешено (Disallowed), убедитесь, что Вы создали правила, определяющие местонахождение файлов сценариев входа. Рассмотрите возможность использования подстановочных знаков для определения этих местоположений, если серверы входа имеют похожие имена.
Служба защиты файлов
Служба защиты файлов содержит архивные копии многих системных программ в папке, которая называется dllcache. Эти программы могут быть запущены пользователем, который знает полный путь к архивной копии. Если Вы не хотите разрешать пользователям запускать программы, находящиеся в архивной папке, Вы можете создать следующее правило: %WINDIR%\system32\dllcache, Не разрешено (Disallowed).
Общие местоположения файлов автозагрузки
Windows имеет много местоположений, содержащие ссылки на программы, автоматически выполняемые при загрузке. Если Вы забудете разрешить выполнение этих программ, пользователи будут получать сообщения об ошибках во время входа в систему.
Общие местоположения файлов автозагрузки включают в себя:
| • | %USERPROFILE%\Start Menu\Programs\Startup |
| • | %ALLUSERSPROFILE%\Start Menu\Programs\Startup |
| • | Win.ini, System.ini lines beginning with "run=" and "load=" |
| • | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
| • | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce |
| • | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run |
Антивирусные программы
Большинство антивирусных пакетов имеют программу-сканер, работающую в режиме реального времени и запускающуюся при входе пользователя в систему. Эта программа сканирует все файлы, к которым обращается пользователь, проверяя их на предмет возможного заражения вирусом. Убедитесь, что Ваши правила позволяют выполняться антивирусным программам.
Сценарии
В этом разделе рассматриваются некоторые распространенные проблемы и способы их решения с помощью политик ограниченного использования программ.
Блокирование вредоносных сценариев
Организации требуется защита от вирусов, являющихся сценариями. Вирус LoveLetter, относящийся к категории сетевых червей, по произведенным оценкам причинил ущерб на сумму от 6 до 10 миллиардов долларов. Этот червь, имеющий более 80 разновидностей, продолжает часто встречаться и до сих пор.
Червь LoveLetter, написанный на языке Visual Basic Script (VBS), встречается в виде файла LOVE-LETTER-FOR-YOU.TXT.VBS. Политика ограниченного использования программ блокирует этого червя, просто запрещая выполнение любых файлов .vbs.
Однако многие организации используют файлы .vbs для выполнения сценариев входа и управления системой. Блокирование всех файлов .vbs защищает организацию, но сценарии Visual Basic не могут более использоваться в необходимых целях. Политика ограниченного использования программ позволяет избежать этого, блокируя нежелательные сценарии VBS и разрешая выполнение допустимых.
Эта политика может быть создана при использовании правил, представленных в Таблице 4.
| Таблица 4 - Правила для блокирования вредоносных сценариев | |
| Уровень безопасности по умолчанию: Неограниченный (Unrestricted) | |
| Правила для пути | |
| *.VBS | Не разрешено (Disallowed) |
| *.VBE | Не разрешено (Disallowed) |
| *.JS | Не разрешено (Disallowed) |
| *.JSE | Не разрешено (Disallowed) |
| *.WSF | Не разрешено (Disallowed) |
| *.WSH | Не разрешено (Disallowed) |
| Правила для сертификатов | |
| Сертификат ИТ-отдела | Неограниченный (Unrestricted) |
Эта политика предотвращает выполнение всех файлов сервера сценариев Windows (WSH), кроме тех сценариев, которые имеют цифровую подпись ИТ-отдела. Информация о том, как получить сертификат и ставить цифровые подписи на файлы, содержится в Приложении.
Управление установкой программного обеспечения
Вы можете сконфигурировать компьютеры Вашей организации таким образом, чтобы разрешить установку только одобренного программного обеспечения. Для программного обеспечения, использующего технологию установщика Windows Installer, этого можно достичь при помощи политики, описанной в Таблице 5.
| Таблица 5 - Правила для управления установкой программ | |
| Уровень безопасности по умолчанию: Неограниченный (Unrestricted) | |
| Правила для пути | |
| *.MSI | Не разрешено (Disallowed) |
| \\products\install\PROPLUS.MSI | Неограниченный (Unrestricted) |
| Правила для сертификатов | |
| Сертификат ИТ-отдела | Неограниченный (Unrestricted) |
Эта политика предотвращает установку всех пакетов установщика Windows Installer. Политика позволяет устанавливать только пакеты, имеющие цифровую подпись ИТ-отдела, и пакет OWC10.MSI, расположенный в \\products\install. Информация о том, как получить сертификат и ставить цифровые подписи на файлы, содержится в Приложении.
Эта политика также демонстрирует способ использования приоритетов правил для пути и правил для сертификата, при помощи которого разрешается запуск только необходимого программного обеспечения. Чтобы сделать исключения для любых других пакетов, на которые Ваша организация не может или не хочет ставить цифровую подпись, Вы можете создать правила для хеша или правила для полного пути.
Деловой ПК
В некоторый случаях администратору может потребоваться управлять всем программным обеспечением, выполняющимся на компьютере. Это может произойти по следующей причине: даже если у пользователей недостаточно прав для замены системных файлов или файлов в общих папках (таких как Program Files), но им не запрещена запись файлов в какое-либо место на диске, они могут скопировать туда программу и запустить ее.
Вирусы, проникшие на компьютер таким путем, могут повредить систему, изменив файлы и параметры операционной системы; они могут также нанести огромный ущерб, используя не по назначению привилегии пользователей. Например, некоторые черви могут осуществлять массовую рассылку электронной почты, получив доступ к адресной книге пользователя. Даже обычные пользователи системы уязвимы для такого типа атаки.
До тех пор, пока пользователи не входят в группу администраторов на своих локальных компьютерах, политика, описанная в Таблице 6, защищает их от случайного выполнения вредоносного кода. Поскольку пользователи не могут изменять содержимое папок Program Files или Windows, они могут выполнять только программы, установленные администратором.
| Таблица 6 - Политика для управления всем программным обеспечением компьютера | |
| Уровень безопасности по умолчанию: Не разрешено (Disallowed) | |
| Применять политики ограниченного использования программ к следующим пользователям: | |
| Все пользователи, кроме администраторов | |
| Правила для пути | |
| %WINDIR% | Неограниченный (Unrestricted) |
| %PROGRAMFILES% | Неограниченный (Unrestricted) |
Эта политика запрещает выполнение всех приложений, установленных на компьютере пользователя, кроме приложений, содержащихся в папках Windows и Program Files и их подпапках. Политика не применяется к администраторам.
Если пользователь получит вложение в сообщении электронной почты (например WORM.vbs), почтовая программа скопирует его в папку профиля (%USERPROFILE%) и попытается запустить оттуда. Поскольку папка профиля не является подпапкой папки Windows или Program Files, запускаемые оттуда приложения не будут выполняться.
Бывают случаи, когда программы, необходимые пользователю, установлены не только в папки %WINDIR% или %PROGRAMFILES% или наоборот, в этих папках есть программы, которые администратор хочет запретить запускать пользователю. В этих случаях администратор может сделать дополнительные исключения, как показано в Таблице 7.
| Таблица 7 - Исключения для управления программным обеспечением компьютера | |
| Правила для пути | |
| %WINDIR%\regedit.exe | Не разрешено (Disallowed) |
| %WINDIR%\system32\cmd.exe | Не разрешено (Disallowed) |
| \\CORP_DC_??\scripts | Неограниченный (Unrestricted) |
| %HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\InoculateIT\6.0\Path\HOME% | Неограниченный (Unrestricted) |
Создав эти исключения, мы получим следующий результат:
| • | Выполнение как командной строки (cmd.exe), так и редактора реестра (regedit.exe) не разрешено. |
| • | Создано исключение, позволяющее выполнять сценарии запуска на компьютере пользователя. |
| • | Использование подстановочного знака "?" позволяет применять правило к серверам \\CORP_DC_01, \\CORP_DC_02 и так далее. |
| • | Правило для пути в реестре позволяет антивирусному программному обеспечению выполняться на компьютере. |
Разные политики для различных пользователей
В этом сценарии имеются компьютеры, на которых совместно работает множество пользователей. На всех компьютерах установлено одинаковое программное обеспечение, но администратор хочет предоставить доступ к определенной части приложений одной группе пользователей, и к другой части приложений - другой группе пользователей. При этом некоторые приложения будут использоваться совместно всеми группами.
Пример
В компьютерной лаборатории университета имеется 15 компьютеров с одинаковым программным обеспечением. На них установлены Microsoft Office, система автоматизированного проектирования (CAD) и компилятор Microsoft Visual C++®. Чтобы не нарушать условия лицензии на программное обеспечение, администратору лаборатории необходимо обеспечить следующее:
| • | Любой студент может использовать Microsoft Office. Все студенты являются членами группы AllStudents. |
| • | Любой студент-проектировщик может использовать систему автоматизированного проектирования. Все студенты-проектировщики являются членами группы EngStudents. |
| • | Любой студент в области вычислительной техники может использовать компилятор Microsoft Visual C++. Все студенты в области вычислительной техники являются членами группы CSStudents. |
Для достижения поставленной задачи администратор создает три объекта групповой политики с персонально настроенными политиками ограниченного использования программ. Фильтрация каждого объекта групповой политики осуществлена таким образом, что он применяется только к пользователям одной из групп AllStudents, EngStudents или CSStudents (в зависимости от того, для какой группы он предназначен).
Поскольку администратор хочет, чтобы политика применялась к студентам только при входе на компьютеры лаборатории (но не при входе на свои персональные компьютеры), он использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются.
Обратитесь к Таблицам 8, 9, 10 и Рисунку 8 ниже.
Для более подробной информации по конфигурированию замыкания на себя обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).
| Таблица 8 - Объект групповой политики пользователя A1, связан с доменом Lab Resource | |
| Объект групповой политики пользователя A1, связан с доменом Lab Resource | |
| Фильтр: Для компьютеров домена установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %WINDIR% | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Common Files | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Messenger | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Internet Explorer | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Windows Media Player | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Windows NT | Неограниченный (Unrestricted) |
Рисунок 8 - Организация групповой политики для компьютерной лаборатории
| Таблица 9 - Объект групповой политики пользователя A2, связан с доменом Lab Resource | |
| Объект групповой политики пользователя A2, связан с доменом Lab Resource | |
| Фильтр: Для компьютеров домена и пользователей группы CSStudents установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Microsoft Visual Studio | Неограниченный (Unrestricted) |
| Таблица 10 - Объект групповой политики пользователя A3, связан с доменом Lab Resource | |
| Объект групповой политики пользователя A3, связан с доменом Lab Resource | |
| Фильтр: Для компьютеров домена и пользователей группы EngStudents установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\CAD Application | Неограниченный (Unrestricted) |
Аспекты развертывания политик
В этом разделе рассматриваются различные аспекты, которые возникают при развертывании политик ограниченного использования программ.
Советы и рекомендации
При развертывании политик ограниченного использования программ Вы можете следовать следующим советам и рекомендациям:
Всегда создавайте отдельный объект групповой политики для политик ограниченного использования программ. В этом случае при возникновении экстренной ситуации Вы всегда сможете отключить политики ограниченного использования программ, не затрагивая при этом остальные параметры безопасности.
Никогда не изменяйте используемую по умолчанию доменную политику. Если Вы не будете изменять используемую по умолчанию доменную политику, Вы всегда будете иметь возможность для ее повторного применения.
Никогда не связывайте объекты с политикой ограниченного использования программ другого домена. Связывание с объектом групповой политики другого домена может вызвать снижение производительности.
Проводите всестороннее тестирование новых параметров политики в тестовой среде, прежде чем применять их к Вашему домену. Новые параметры политики могут действовать не так, как Вы изначально ожидали. Тестирование снижает вероятность возникновения проблем при развертывании параметров политики в Вашей сети.
| • | Вы можете настроить тестовый домен отдельно от домена Вашей организации, и в нем тестировать новые параметры политики. |
| • | Также Вы можете тестировать параметры политики, создав тестовый объект групповой политики и связав его с организационным подразделением Active Directory. Когда Вы полностью протестируете параметры политики на пользователях этого подразделения, Вы сможете связать этот объект групповой политики с Вашим доменом. |
| • | Опечатки или неправильно введенная информация могут привести к тому, что параметры политики не будут работать так, как ожидается. Тестирование новых параметров политики перед их применением может предотвратить такое незапланированное поведение. |
| • | Прежде чем запретить выполнение каких-либо программ или файлов, выясните, к чему это может привести. Ограничения для определенных файлов могут оказать серьезное влияние на функционирование Вашего компьютера или сети. |
Обработка групповой политики
При работе с объектами групповой политики необходимо принять во внимание следующую информацию:
Используйте группы безопасности, чтобы задать область действия объектов групповой политики. В дальнейшем, используя группы безопасности Windows 2000, Вы сможете более детально определить, на какие группы пользователей и компьютеров будут действовать различные объекты групповой политики.
| • | Используйте вкладку Безопасность (Security) на странице свойств выбранного объекта групповой политики, чтобы задать права доступа. С помощью избирательных списков контроля доступа (DACL) Вы можете разрешить или запретить доступ к объекту групповой политики для указанных групп. |
Для дополнительной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).
Используйте инструментарий управления Windows (WMI), чтобы задать область действия объекта групповой политики. Клиентские машины под управлением Windows XP поддерживают фильтрацию объектов групповой политики с помощью WMI. Это позволяет исключить обработку объекта групповой политики на клиентской машине, основываясь на предоставленной информации WMI.
| • | Используйте вкладку Фильтр WMI (WMI Filter) на странице свойств выбранного объекта групповой политики, чтобы добавить фильтр WMI. Например, Вы можете создать фильтр WMI таким образом, что объект групповой политики будет применяться только к компьютерам с определенным пакетом обновлений. |
Для дополнительной информации о фильтрации WMI обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).
Порядок применения групповой политики. По умолчанию групповая политика является наследуемой и накопительной, и воздействует на все компьютеры и на всех пользователей в контейнере Active Directory. Обработка объектов групповой политики происходит следующим образом:
| • | Применяются объекты локальной групповой политики |
| • | Объекты групповой политики связываются с сайтами |
| • | Объекты групповой политики связываются с доменом |
| • | Объекты групповой политики связываются с организационными подразделениями (в случае вложенных подразделений объекты групповой политики, связанные с родительскими подразделениями, обрабатываются прежде, чем объекты групповой политики, связанные с дочерними подразделениями). |
Этот порядок обработки объектов групповой политики (локально > сайт > домен > подразделение) является существенно важным, потому что параметры политики, примененной позже, перекрывают параметры политики, примененной раньше.
Опции Не перекрывать (No Override) и Блокировать наследование политики (Block Policy Inheritance). Вы можете принудительно применить параметры групповой политики определенного объекта GPO ко всем его вложенным объектам, используя опцию Не перекрывать (No Override). Таким образом параметры политики объектов GPO нижних уровней в контейнерах Active Directory не будут перекрывать параметры политики родительского объекта.
Вы можете также блокировать наследование групповой политики от родительских контейнеров Active Directory, используя опцию Блокировать наследование политики (Block Policy Inheritance).
Для дополнительной информации обратитесь к статье Групповая политика Windows 2000 (Windows 2000 Group Policy) на http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN).
Развертывание в смешанных доменах
Существует возможность использования политик ограниченного использования программ в доменах, работающих в смешанном режиме. Таким образом, Вам не придется обновлять Ваши контроллеры домена под управлением Windows 2000, чтобы получить все преимущества политик ограниченного использования программ. Вы можете использовать компьютер под управлением Windows XP для редактирования объектов групповой политики и конфигурирования Вашей политики ограниченного использования программ. Компьютеры под управлением Windows XP и Windows Server 2003 могут работать с объектами групповой политики, поэтому они будут использовать политику ограниченного использования программ. Компьютеры под управлением Windows 2000 будут игнорировать эти параметры.
Механизм объединения для нескольких политик ограниченного использования программ
Когда два или более объекта групповой политики применяются к пользователю или компьютеру, политики объединяются. При объединении двух или более политик ограниченного использования программ происходит следующее:
| • | Объект групповой политики с наивысшим приоритетом устанавливает следующие значения: • Уровень безопасности по умолчанию • Назначенные типы файлов • Опция предотвращения применения политики к локальным администраторам (Skip Administrators) • Проверка библиотек DLL (DLL checking) |
| • | Правила нескольких объектов групповой политики всегда объединяются. Таким образом все дополнительные правила всех объектов групповой политики всегда присутствуют. |
Политики ограниченного использования программ могут применяться к пользователям и к компьютерам. При объединении машинных и пользовательских политик действуют следующие правила:
| • | Выбирается более ограничивающий уровень безопасности по умолчанию. |
| • | Если в политике компьютера содержится список назначенных типов файлов, то используется он. В противном случае используется список назначенных типов файлов политики пользователя. |
| • | Значение опции предотвращения применения политики к локальным администраторам (Skip Administrators) всегда задается политикой компьютера. |
| • | Если проверка библиотек DLL (DLL checking) включена в одной из политик, она используется. |
| • | Все правила политик пользователей и политик компьютера объединяются. |
Устранение неполадок, связанных с политиками ограниченного использования программ
Этот раздел содержит информацию по устранению неполадок, связанных с политиками ограниченного использования программ
Параметры политики ограниченного использования программ, используемые по умолчанию:
| • | Уровень безопасности по умолчанию: Неограниченный (Unrestricted) |
| • | Опции принудительного применения: • Применять к файлам: Все файлы программ, кроме библиотек (таких как DLL) (All software files except libraries (such as DLLs)) • Применять к пользователям: Все пользователи (All users) |
| • | Дополнительные правила: нет |
| • | Назначенные типы файлов: смотрите Таблицу 11 (Назначенные типы файлов по умолчанию) в Приложении. |
| • | Доверенные издатели: • Выбор доверенных издателей: Обычные пользователи (End Users) • Проверка отзыва сертификатов издателей: Не выбрано • Проверка отзыва сертификатов со штампом времени: Не выбрано |
Сообщение об ошибке
Во время запуска приложения, запрещенного политикой ограниченного использования программ, ему передается код ошибки. Если приложение возвращает системное сообщение для этого кода, Вы увидите сообщение, показанное на Рисунке 9:
«Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительной информацией обратитесь к системному администратору или откройте «Просмотр событий» ("Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator").
Рисунок 9 - Сообщение об ошибке, полученное в Проводнике Windows
Некоторые приложения отображают одно и то же сообщение для различных возможных кодов ошибок. Например, в случае, если выполнение приложения запрещено политикой ограниченного использования программ, командная строка Windows отображает сообщение, показанное на Рисунке 10:
«Не удается выполнить указанную программу» ("The system cannot execute the specified program").
Рисунок 10 - Сообщение об ошибке, полученное в командной строке Windows
Глобальные уникальные коды правил (GUID)
Каждое правило для пути, хеша или зоны Интернета имеет глобальный уникальный код (globally unique identifier, GUID). Даже два одинаковых правила (например, два запрещающих правила для хеша для одной и той же программы) имеют различные коды GUID. Каждый код GUID хранится в реестре вместе с данными правила. Различные инструменты протоколирования и поиска неисправностей отображают эти коды. Код GUID правила позволяет Вам выявлять объекты групповой политики, в которых это правило определено.
Дело о пропавшем «Калькуляторе»
Чтобы показать, как код GUID может помочь в решении проблемы, рассмотрим пример, в котором пользователь пытается запустить программу calc.exe, калькулятор для Windows. Пользователь получает сообщение о том, что выполнение данной программы запрещено политикой ограниченного использования программ. Решив, что это какая-то ошибка, пользователь помещает заявку в центр службы поддержки. Специалист технической поддержки проверяет журнал событий и видит следующую запись, созданную политикой ограниченного использования программ.
| • | Доступ к C:\WINDOWS\system32\calc.exe был ограничен Администратором по расположению правилом политики {91ecff50-2ff4-4672-a182-b0f07a74b2df} расположенной в C:\WINDOWS\system32\calc.exe (Access to C:\WINDOWS\system32\calc.exe has been restricted by your Administrator by location with policy rule {91ecff50-2ff4-4672-a182-b0f07a74b2df} placed on path C:\WINDOWS\system32\calc.exe) |
В подробных сведениях записи журнала событий содержится код GUID {91ecff50-2ff4-4672-a182-b0f07a74b2df}. Специалист технической поддержки запускает утилиту gpresult.exe и видит следующую запись:
| • | GPO: DisallowedPolicy |
| • | Ключ: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{91ecff50-2ff4-4672-a182-b0f07a74b2df} |
| • | Состояние: Включено |
Специалист технической поддержки открывает объект групповой политики под названием DisallowedPolicy в редакторе групповой политики. В описании правила сказано, что оно предполагает запретить выполнение программы calcs.exe, которая используется для отображения и изменения списков контроля доступов к файлам. Специалист делает заключение, что в правиле была сделана опечатка, и вместо «calcs.exe» было введено «calc.exe», и передает дело соответствующему ИТ-администратору.
Журнал событий
Политики ограниченного использования программ могут создавать следующие записи в журнале событий:
Просмотр событий: Система
Тип: Предупреждение
Источник: Software Restriction Policy
Категория: Отсутствует
Код (ID): 865
Дата: 6/6/2001
Время: 2:50:29 PM
Пользователь: bob
Компьютер: EXAIR-1
Описание:
Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором политикой ограниченного использования программ.
Это событие заносится в журнал, когда пользователь запускает программу, запрещенную уровнем безопасности по умолчанию.
Просмотр событий: Система
Тип: Предупреждение
Источник: Software Restriction Policy
Категория: Отсутствует
Код (ID): 866
Дата: 6/6/2001
Время: 2:50:29 PM
Пользователь: bob
Компьютер: EXAIR-1
Описание:
Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором по расположению правилом политики {79d2f45e-5d93-4138-9608-dde4afc8ac64} расположенной в C:\Program Files\Messenger\msmsgs.exe
Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для пути. Код GUID правила, в этом примере – {79d2f45e-5d93-4138-9608-dde4afc8ac64}, может быть использован в связке с инструментом gpresult.exe, чтобы найти объект групповой политики, содержащий данное правило.
Просмотр событий: Система
Тип: Предупреждение
Источник: Software Restriction Policy
Категория: Отсутствует
Код (ID): 867
Дата: 6/6/2001
Время: 2:50:29 PM
Пользователь: bob
Компьютер: EXAIR-1
Описание:
Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором политикой издателя программы.
Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для сертификата.
Просмотр событий: Система
Тип: Предупреждение
Источник: Software Restriction Policy
Категория: Отсутствует
Код (ID): 868
Дата: 6/6/2001
Время: 2:50:29 PM
Пользователь: bob
Компьютер: EXAIR-1
Описание:
Доступ к C:\Program Files\Messenger\msmsgs.exe был ограничен Администратором правилом политики {79d2f45e-5d93-4138-9608-dde4afc8ac64}.
Это событие заносится в журнал, когда пользователь запускает программу, запрещенную правилом для зоны Интернета или правилом для хеша.
Следующая команда выполняет запрос всех событий политики ограниченного использования программ.
EventQuery -l System -fi "ID ge 865" -fi "ID le 868" -v -fo list
Из справки к команде EventQuery Вы можете узнать о том, как сформулировать более точный запрос. Справку можно вызвать, набрав "EventQuery /?" в командной строке.
Расширенное протоколирование
Во время создания правил или устранения неполадок на компьютере, сообщающем о проблеме, администратор может фиксировать в журнале событий каждый случай применения политики ограниченного использования программ. Это достигается путем включения расширенного протоколирования.
Для включения расширенного протоколирование:
| • | Создайте следующий раздел в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers Строковый параметр: LogFileName, <путь к файлу журнала> |
Включение и выключение протоколирования из командной строки
Для включения и выключения протоколирования из командной строки используются следующие команды:
| • | Включение протоколирования (в файл saferlog.txt): reg.exe add |
| • | Выключение протоколирования: reg.exe delete |
| • | Запись в файле журнала имеет следующий формат: <Родительский процесс (Код (ID))> идентифицированный как <Путь к запускаемой программе> с уровнем безопасности <Уровень правила> используя <Тип правила>, GUID = <код GUID правила> |
| • | Пример записи: winlogon.exe (PID = 396) identified C:\Windows\system32\userinit.exe as Unrestricted using path rule, Guid = {f8c2c158-e1af-4695-bc93-07cbefbdc594} Эта запись сообщает о следующем событии: процесс входа в систему (winlogon.exe), имеющий значение идентификатора 396, запустил программу C:\Windows\system32\userinit.exe. Правило, под действие которого попала эта программа, имеет код GUID {f8c2c158-e1af-4695-bc93-07cbefbdc594} и является правилом для пути с уровнем безопасности Неограниченный (Unrestricted). |
Примечание. Если Вам не нужно выполнять расширенное протоколирование, не забудьте выключить его, удалив значение в реестре. Использование расширенного протоколирования в течение длительного периода времени может потреблять большое количества места на жестком диске и снизить быстродействие системы.
Устранение неполадок, связанных с политиками ограниченного использования программ
Для устранения неполадок, связанных с политиками ограниченного использования программ, используются следующие инструменты:
Результирующая политика (RSOP)
Результирующая политика – это инфраструктура и инструмент в форме оснастки MMC, позволяющий администраторам выявлять и анализировать текущий набор политик в двух режимах: в режиме ведения журнала (logging mode) или в режиме планирования (planning mode). В режиме ведения журнала администраторы могут видеть, какие параметры были применены к определенному объекту. В режиме планирования администраторы могут имитировать применение политик к объекту и проводить тестирование, прежде чем вносить изменения в групповую политику.
Чтобы посмотреть данные результирующей политики для текущего пользователя
| • | Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run) и введите rsop.msc |
Утилита gpupdate.exe
gpupdate.exe – это утилита для работы с групповой политикой. Эта утилита выполняет обновление групповой политики на клиентской машине и может быть использована для политик ограниченного использования программ следующим образом:
| • | gpupdate /target:Computer [/Force] Эта команда обновляет параметры политики ограниченного использования программ компьютера. Если указан ключ /Force, то будут применены все параметры политики, независимо от того, изменялись ли они с момента последнего обновления групповой политики или нет. |
| • | gpupdate /target:User [/Force] Эта команда обновляет параметры политики ограниченного использования программ пользователя. Если указан ключ /Force, то будут применены все параметры политики, независимо от того, изменялись ли они с момента последнего обновления групповой политики или нет. |
| • | gpupdate [/Force] Эта команда обновляет параметры политики ограниченного использования программ как компьютера, так и пользователя Если указан ключ /Force, то будут применены все параметры политики, независимо от того, изменялись ли они с момента последнего обновления групповой политики или нет. |
После обновления параметров политики они будут применяться только ко вновь запускаемым программам. Некоторые системные процессы, такие как explorer.exe или оболочка Windows, не подхватывают новую политику. Чтобы применить политику ко всем программам, пользователь должен повторно выполнить вход в систему.
Утилита gpresult.exe
gpresult.exe – это утилита для проверки параметров, которые были применены во время обновления групповой политики. Эта утилита использует данные результирующей политики и может быть использована для политик ограниченного использования программ следующим образом:
| • | gpresult Эта команда отображает основную информацию результирующей политики для указанного пользователя и компьютера. Она перечисляет групповые политики, которые были применены к пользователю, вошедшему в систему на данном компьютере. |
Пример выполнения команды
В следующем примере содержатся данные, которые выводит команда: gpresult /scope user /v /user bob
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001
Создано на 23.05.2006 в 23:24:13
RSOP-результаты для EXAIR-70\bob на EXAIR-7: Режим журналирования
--------------------------------------------------------------------------------
Тип ОС: Microsoft Windows XP Server
Конфигурация ОС: Основной контроллер домена
Версия ОС: 5.1.3524
Имя домена: EXAIR-70
Тип домена: Windows 2000
Имя сайта: Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль: C:\Documents and Settings\bob
Подключение по медленному каналу?: Нет
Конфигурация пользователя
--------------------------
CN=bob,OU=Product Group,DC=EXAIR-7,DC=nttest,DC=microsoft,DC=com
Последнее применение групповой политики: 23.05.2006 at 23:21:03
Групповая политика была применена с: N/A
Порог медленной связи групповой политики: 500 kbps
Примененные объекты групповой политики
---------------------------------------
DisallowedPolicy
Software Restriction Policy
Default Domain Policy
Примечание. Секция Примененные объекты групповой политики отображает объекты групповой политики, которые применяются для указанного пользователя.
Следующие политики GPO не были приняты, поскольку они отфильтрованы:
----------------------------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)
Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Пользователи домена
Все
BUILTIN\Users
Пред-Windows 2000 доступ
ЛОКАЛЬНЫЕ
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
Примечание. Членство в группах здесь перечислено для того, чтобы можно было производить поиск неполадок в сценариях фильтрации объектов групповой политики.
Результирующий набор политик для пользователя:
-----------------------------------------------
Установка программ
------------------
Н/Д
Политики открытого ключа
------------------------
Н/Д
Административные шаблоны
------------------------
GPO: Software Restriction Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{593905cd-1a5b-4c56-93a6-ecf1c8a78c04}
Состояние: Включено
Примечание. Хотя детальная информация для каждого правила не отображена, для него отображен код GUID, а также имя объекта групповой политики, в которых оно содержится.
GPO: DisallowedPolicy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\
{094a935d-a2b8-48be-a50b-0fe3174e9ced}
Состояние: Включено
GPO: DisallowedPolicy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\
{bba39f11-e1a9-406a-8296-3b2cbcb1f144}
Состояние: Включено
GPO: Software Restriction Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{c0193a34-594d-452b-b3e6-edc0d593f345}
Состояние: Включено
GPO: DisallowedPolicy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Состояние: Включено
GPO: Software Restriction Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{a5c5639e-4ee7-4882-aa80-560bbecaca22}
Состояние: Включено
GPO: Software Restriction Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{f63296b7-4b0a-4318-ae8d-5d070b44b4ec}
Состояние: Включено
GPO: DisallowedPolicy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Состояние: Включено
GPO: Software Restriction Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{8e85c506-2964-4745-8f4e-3c2efe02f509}
Состояние: Включено
GPO: Software Restriction Policy
Параметр: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\
{739c2db8-8ef5-4b2d-b210-d84d7b697603}
Состояние: Включено
Перенаправление папки
---------------------
Н/Д
Пользовательский интерфейс обозревателя Internet Explorer
---------------------------------------------------------
Н/Д
Подключения Internet Explorer
-----------------------------
Н/Д
Адреса Internet Explorer
------------------------
Н/Д
Безопасность Internet Explorer
------------------------------
Н/Д
Программы Internet Explorer
---------------------------
Н/Д
Опции восстановления
Когда Вы запускаете Windows в безопасном режиме и входите в систему как локальный администратор, политика ограниченного использования программ не применяется. Безопасный режим позволяет Вам исправить политику, которая вызывает проблемы.
Чтобы исправить политику, которая вызывает проблемы
| 1. | Используйте оснастку Групповая политика (Group Policy) для исправления политики. |
| 2. | Выполните команду gpupdate.exe. |
| 3. | Перезагрузите Windows и загрузитесь в обычном режиме. |
Приложение
Этот раздел содержит список назначенных по умолчанию типов файлов, форматы системного реестра и руководство по цифровому подписыванию файлов тестовыми сертификатами.
| Таблица 11 - Назначенные типы файлов по умолчанию | |
| Расширение файла | Описание файла |
| . ADE | Расширение проекта Microsoft Office Access |
| . ADP | Проект Microsoft Office Access |
| . BAS | Модуль класса Visual Basic® |
| . BAT | Пакетный файл |
| . CHM | Файл справки компилированного языка HTML |
| . CMD | Сценарий Windows NT® |
| . COM | Приложение MS-DOS® |
| . CPL | Компонент панели управления |
| . CRT | Сертификат безопасности |
| . EXE | Приложение |
| . HLP | Файл справки Windows |
| . HTA | Приложения HTML |
| . INF | Информационный файл установки |
| . INS | Параметры связи через Интернет |
| . ISP | Параметры связи через Интернет |
| . JS | Файл JScript® |
| . JSE | Файл зашифрованного сценария JScript |
| . LNK | Ярлык |
| . MDB | Приложение Microsoft Access |
| . MDE | База данных MDE Microsoft Access |
| . MSC | Документ общей консоли |
| . MSI | Пакет установщика Windows Installer |
| . MSP | Исправления Windows Installer |
| . MST | Исходный файл Visual Test |
| . PCD | Образ Photo CD |
| . PIF | Ярлык к программе MS-DOS |
| . REG | Файл реестра |
| . SCR | Хранитель экрана |
| . SCT | Компонент сценария Windows |
| . SHS | Объект-фрагмент оболочки |
| . URL | Ярлык Интернета (URL) |
| . VB | Файл VBScript |
| . VBE | Файл зашифрованного сценария VBScript |
| . VBS | Файл сценария VBScript |
| . WSC | Компонент сценария Windows |
| . WSF | Файл сценария Windows |
| . WSH | Файл настроек сервера сценариев Windows |
Формат реестра
После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее.
Политика пользователя
Политика пользователя хранится в следующем разделе:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\
Политика компьютера
Политика компьютера хранится в следующем разделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
Описание формата реестра
[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
CodeIdentifiers
DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000 – Неограниченный (Unrestricted), 0 – Не разрешено (Disallowed))
ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: список расширений для назначенных типов файлов)
TransparentEnabled, DWORD (Опции принудительного применения: 0 – Не применять политику, 1 – применять ко всем файлам, кроме библиотек DLL (Skip DLL), 2 – применять ко всем файлам)
PolicyScope, DWORD (Область действия: 0 – Применять для всех пользователей, 1 – Применять для всех пользователей, кроме администраторов (Skip Administrators)), только для HKLM
[Необязательные значения реестра. Должны быть заданы вручную]
AuthenticodeEnabled, DWORD (Разрешение Authenticode: 1 – Применять правила для сертификата к файлам .EXE), только для HKLM
LogFileName, REG_SZ (Расширенное протоколирование: путь к файлу журнала и включение расширенного протоколирования), только для HKLM
0
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)
Hashes (Правила для хеша)
{0140090a-6e4d-4dc3-b1fa-27563cc91fda}
Примечание: Каждое число в скобках – это код GUID. Каждый код GUID является уникальным.
Description, REG_SZ (Описание: текстовое описание)
FriendlyName, REG_SZ (Сокращенное имя: информация о версии файла)
ItemData, REG_BINARY (Данные: значение хеша)
ItemSize, QWORD (Размер: размер файла)
HashAlg, DWORD (Алгоритм хеширования: 32771 – MD5, 32772 – SHA1)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
Path (Правила для пути)
{5c03dc31-e128-426e-bad6-9223ee92d0b8}
Description, REG_SZ (Описание: текстовое описание)
ItemData, REG_SZ (Данные: путь)
или
ItemData, REG_EXPAND_SZ
Примечание. тип REG_EXPAND_SZ имеют правила для пути в реестре и правила для пути, в которых используются переменные среды
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
UrlZones (Правила для зоны Интернета)
{dda3f824-d8cb-441b-834d-be2efd2c1a33}
ItemData, DWORD (Данные: идентификатор зоны Интернет)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
262144
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)
Hashes (Правила для хеша)
{0140090a-6e4d-4dc3-b1fa-27563cc91fda}
Paths (Правила для пути)
{302fe78d-0b85-484a-b16f-0ae6262b7969}
Правила для сертификата
Правила политик ограниченного использования программ для сертификата хранятся в отдельном разделе реестра.
Правила для политик пользователей хранятся в следующем разделе реестра:
| • | HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates |
Правила для политик компьютеров хранятся в следующем разделе реестра:
| • | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates |
[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\SystemCertificates
TrustedPublishers
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)
Certificates (Правила для сертификата)
D4C408A1F8EF6B49F837C54E5F697DC11EEB3F53
Примечание. Это хеш сертификата
Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)
Disallowed (Не разрешено)
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)
Certificates (Правила для сертификата)
C9902A94036312086FFAD974760D96CA93284555
Примечание. Это хеш сертификата
Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)
Параметры по умолчанию
[HKCU or HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
CodeIdentifiers
DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000)
ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: WSC, VB, URL, SHS, SCR, REG, PIF, PCD, OCX, MST, MSP, MSI, MSC, MDE, MDB, LNK, ISP, INS, INF, HTA, HLP, EXE, CRT, CPL, COM, CMD, CHM, BAT, BAS, ADP, ADE)
TransparentEnabled, DWORD (Опции принудительного применения: 1, не проверять библиотеки DLL)
PolicyScope, DWORD (Область действия: 0)
0
Path (Правила для пути)
{dda3f824-d8cb-441b-834d-be2efd2c1a33}
Description, REG_SZ (Описание: нет)
ItemData, REG_EXPAND_SZ (Данные:
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: 0)
Пошаговое руководство по цифровому подписыванию файлов тестовыми сертификатами
В этом разделе рассматриваются процессы и инструменты для цифрового подписывания файлов, которые используются при работе с правилами для сертификата.
Шаг 1: Загрузка инструментов
Загрузите инструменты проверки подлинности Authenticode для Internet Explorer 5.0. Эти инструменты используются для цифрового подписывания и проверки файлов с помощью подписей Authenticode.
http://msdn.microsoft.com/downloads/default.aspx
Step 2: Подача заявки на сертификат для подписывания кода
Следующий шаг – это получение действующего сертификата для подписывания кода. Для этого существует три способа:
| • | Подать заявку н сертификат в коммерческий центр сертификации, такой как VeriSign. Если Вы хотите, чтобы цифровые подписи Ваших файлов были действительны за пределами Вашей организации, Вам нужно воспользоваться этим способом. |
| • | Установить центр сертификации Windows 2000 или Windows Server 2003. Подайте заявку на сертификат через этот центр сертификации. Если цифровыми подписями пользуются только сотрудники Вашей организации, Вам нужно воспользоваться этим способом. |
| • | Создайте самоподписанный сертификат для задач тестирования. После загрузки инструментов Authenticode выполните следующие две команды: • makecert.exe -n "cn=TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -ss my -eku 1.3.6.1.5.5.7.3.3 • Setreg.exe 1 true |
Команда setreg.exe указывает локальному компьютеру доверять сертификату центра Test Root Agency (центр сертификации операционной системы, предназначенный для задач тестирования), который выдает Вам тестовый сертификат для подписывания кода. Вы не должны использовать сертификаты Test Root Agency на рабочих машинах.
Шаг 3: Подписывание файла
Создайте тестовый файл сценария Visual Basic под названием hello.vbs со следующим содержимым:
| • | msgbox " hello world" |
Подпишите этот файл и установите штамп времени, выполнив следующую команду:
| • | signcode.exe -cn "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -t http://timestamp.verisign.com/scripts/timstamp.dll hello.vbs |
Если операция подписывания и установки штампа времени завершена успешно, Вы увидите надпись "Succeeded". Файл сценария будет содержать дополнительную Base64–шифрованную секцию с цифровой подписью, как изображено на Рисунке 11.
Рисунок 11 - Файл сценария Visual Basic с цифровой подписью
Вы можете проверить, что файл был правильно подписан, выполнив команду:
| • | chktrust.exe hello.vbs |
Появится диалоговое окно, изображенное на Рисунке 12.
Рисунок 12 - Проверка подписанного файла
Шаг 4: Создание правила для сертификата и правила для пути
Выполните команду secpol.msc, чтобы начать редактирование локальной политики безопасности. Создайте два правила:
| • | Создать правило для пути (New Path Rule): Введите «*.VBS» в текстовом поле Путь (Path). Установите уровень безопасности Не разрешено (Disallowed) |
| • | Создать правило для сертификата (New Certificate Rule): Создайте правило для сертификата для Вашего сертификата тестового издателя с уровнем безопасности Неограниченный (Unrestricted). |
Выполните следующую команду, чтобы экспортировать сертификат в файл. Укажите этот файл во время создания правила для сертификата.
| • | certmgr.exe -put -c -v -n "TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)" -s my mytestcert.cer |
Вместе эти два правила запрещают выполнение любых файлов сценариев Visual Basic, кроме тех, которые подписаны тестовым сертификатом.
Ваша политика должна выглядеть так, как показано в примере на Рисунке 13.
Рисунок 13 - Политика ограниченного использования программ с правилом для сертификата и правилом для пути
Шаг 5: Повторный вход в систему и тестирование политики ограниченного использования программ
| 1. | Выйдите из системы и выполните повторный вход, чтобы убедиться, что новые правила используются Вашим компьютером. |
| 2. | Запустите файл hello.vbs. Вы должны увидеть диалоговое окно с сообщением «hello world». Это означает, что файл был подписан соответствующим сертификатом и выполнен в соответствии с правилами политики ограниченного использования программ. |
| 3. | Отредактируйте файл hello.vbs в текстовом редакторе и измените код сценария таким образом, чтобы он выводил сообщение "Hello world. This script has been changed". Сохраните файл, оставив часть с цифровой подписью нетронутой. |
| 4. | Запустите сценарий снова. Вы заметите, что теперь выполнение файла запрещено, потому что цифровая подпись сценария больше не соответствует подписи, указанной в правиле. |
Заключение
Политики ограниченного использования программ предоставляют администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролируют возможность их выполнения. Политики ограниченного использования программ могут применяться для блокирования вредоносных сценариев, обеспечения безопасности компьютера или предотвращения запуска нежелательных приложений. Они могут использоваться изолированно или управляться через групповую политику, и могут быть приспособлены к потребностям группы пользователей или компьютеров. Политики ограниченного использования программ обеспечивают улучшенную целостность и управляемость системы и существенно снижают стоимость владения компьютером.
Связанные ресурсы
Обратитесь к следующим ресурсам для получения дальнейшей информации:
| • | Технический обзор служб безопасности Technical Overview of Security Services (EN) |
| • | Технический обзор служб терминалов Technical Overview of Terminal Services (EN) |
| • | Групповая политика Windows 2000 Windows 2000 Group Policy (EN) |
| • | Что нового в безопасности для Windows XP Professional и Windows XP Home Edition What’s New in Security for Windows XP Professional and Windows XP Home Edition (EN) |
| • | Windows XP и платформа .NET: обзор Windows XP and .NET: An Overview (EN) |
| • | Улучшения в инфраструктуре открытых ключей в Windows XP Professional и Windows Server 2003 PKI Enhancements in Windows XP Professional and Windows Server 2003 (EN) |
| • | Шифрованная файловая система (EFS) в Windows XP Professional и Windows Server 2003 Encrypting File System in Windows XP and Windows Server 2003 (EN) |
| • | Защита мобильных компьютеров с помощью Windows XP Professional Securing Mobile Computers with Windows XP Professional (EN) |
| • | Authenticode для Internet Explorer 5.0 Authenticode for Internet Explorer 5.0 (EN) |
| • | Для получения самой последней информации о Windows XP посетите Веб-узел Windows XP |
| • | Для получения самой последней информации о Windows Server 2003 посетите Веб-узел Windows Server 2003 |