Как политики ограниченного использования программ Windows Server 2003 повышают безопасность

Опубликовано: 14 Апреля, 2023

Сетевые администраторы ведут непрекращающуюся борьбу с угрозами вирусов, вредоносных скриптов, элементов управления ActiveX и другого исполняемого кода, который может создать хаос в сети. В дополнение к принятию мер по предотвращению проникновения хакеров через брандмауэр сети и размещения такого кода, администраторы также должны защищаться от своих собственных пользователей, внедряющих вредоносные или проблемные программы, часто непреднамеренно.


У многих пользователей корпоративной сети есть домашние компьютеры, и часто сотрудники запускают дома программы, которые хотят использовать и на работе. Сотрудники также могут найти в Интернете программное обеспечение, которое они хотят загрузить и установить в системах своей компании. Некоторые из них связаны с играми и другими тратами времени, но во многих случаях сотрудник искренне верит, что установка программы поможет ему работать более эффективно. Сотрудники также устанавливают программы без намерения, например, посещая веб-сайт, на котором выполняется скрипт, или открывая исполняемый файл, вложенный в электронное письмо.


Разрешение запуска любого неавторизованного программного обеспечения на компьютерах компании, особенно на компьютерах, подключенных к сети, сопряжено со многими опасностями. Даже если программа не заражена вредоносным кодом, проблемы несовместимости могут привести к сбоям в работе операционной системы или работе других программ, а также усложнить техническую поддержку и устранение неполадок, не говоря уже о проблемах с лицензией. По этой причине Microsoft включает новую функцию в Windows Server 2003 и Windows XP: политики ограниченного использования программ.


В соответствии с тенденцией к обеспечению безопасности на основе политик, эта функция дает администраторам больший контроль над программным обеспечением, которое может работать на компьютерах организации. Конечно, в Windows 2000 были механизмы, которые можно было использовать для предотвращения установки программ пользователями, и вы даже могли контролировать доступ пользователей к установленным программам, удаляя их из меню «Пуск» или используя групповую политику для запрета доступа к команде «Выполнить». Но политики ограниченного использования программ делают гораздо больше.


ПРИМЕЧАНИЕ. Использование политик ограниченного использования программ не означает, что вы можете избавиться от своего антивирусного программного обеспечения; их следует использовать в сочетании друг с другом, чтобы лучше защитить вашу сеть.


Что делают политики ограниченного использования программ


Политики ограниченного использования программ учитывают непреднамеренно введенный враждебный код (например, через электронную почту или сценарии на веб-страницах), а также неавторизованные программы, установленные пользователями, классифицируя код как доверенный или недоверенный. Политики, созданные администраторами, определяют, какие программы могут или не могут запускаться. Эти политики, как и все групповые политики, можно применять к локальным компьютерам, сайтам, доменам или подразделениям. Политика создается администратором с помощью MMC групповой политики, которая применяется к компьютеру, сайту, домену или организационной единице, к которым вы хотите применить политику.


Политики ограниченного использования программ могут быть политиками пользователей или компьютеров. Политики компьютера применяются при запуске компьютера и будут применяться независимо от того, какой пользователь вошел в систему на компьютере, тогда как политики пользователя применяются, когда пользователь входит в систему, и будут применяться к этому пользователю независимо от того, на какой машине он / она входит. Также можно создавать политики, которые применяются к определенным пользователям только при входе на определенные машины. Для этого вам нужно будет использовать настройку групповой политики, называемую loopback. Для получения дополнительных сведений о параметре замыкания на себя см. файлы справки Windows Server 2003.


Как работают политики ограниченного использования программ


Вот как это работает. Существует два различных правила по умолчанию, с которых вы можете начать, в зависимости от требований безопасности вашей организации.



  • : если вы выберете это значение по умолчанию, все программы смогут работать, кроме тех, которые вы укажете, запуск которых будет запрещен. Это может работать в небольшой организации, где вы хотите, чтобы у сотрудников была большая свобода действий в том, что они могут устанавливать, но вы хотите защитить от определенных программ, которые, как известно, вызывают проблемы.
  • : это правило по умолчанию означает, что запуск всех программ будет заблокирован, если только они не входят в список программ, которые вы указали для запуска. Это более безопасный метод, и он лучше всего подходит для крупных организаций, где у вас меньше прямых знаний о том, что делают все сотрудники, и в средах, где вы хотите более конкретно контролировать, какие именно программы могут запускаться.

Политика определяет правила идентификации программ, являющихся исключениями из правила по умолчанию. То есть, если значение по умолчанию не ограничено, правила определяют программы, выполнение которых не должно быть разрешено, а если значение по умолчанию запрещено, правила определяют программы, выполнение которых должно быть разрешено. Существует четыре способа идентификации этих программ:



  • По хешу или криптографическому «отпечатку пальца». Это полезно, когда вы хотите указать конкретную версию программы, поскольку разные версии будут иметь разные «отпечатки пальцев».
  • Цифровым сертификатом, подписанным издателем программного обеспечения. Это может определить программу независимо от того, где она хранится.
  • По пути UNC или пути реестра, который определяет, где находится программный файл. Первый полезен, если программа всегда будет находиться по одному и тому же пути на всех машинах; второй используется, если программа находится в разных папках на разных машинах.
  • По Зоне Интернета, из которой загружается программа. Этот метод следует использовать, если вы хотите, чтобы пользователи могли загружать и устанавливать программы с интернет-сайтов, отмеченных вами как надежные.

Если существует несколько правил, которым программа соответствует, они оцениваются в порядке, показанном выше, при этом правило по умолчанию оценивается последним после четырех типов правил. Наиболее конкретное совпадение будет иметь приоритет.


Как создать новую политику


На первый взгляд не так просто найти узел политик ограниченного использования программ в консоли GPO. Помните: вы не найдете этого на компьютерах с Windows 2000. На компьютерах с XP и Windows Server 2003 он скрыт глубоко в настройках Windows | Параметры безопасности в разделе «Конфигурация компьютера» или «Конфигурация пользователя » (в зависимости от того, будет ли это политика пользователя или компьютера). При первом открытии этого узла вы получите сообщение о том, что политики ограниченного использования программ не определены.


Чтобы создать новую политику, щелкните меню «Действие» и выберите «Новые политики ограниченного использования программ ». Вы увидите пять элементов:



  • Уровни безопасности (папка)
  • Дополнительные правила (папка)
  • Правоприменение
  • Назначенные типы файлов
  • Надежные издатели

Уровни безопасности позволяют выбрать правило по умолчанию (запрещено или не ограничено). Дважды щелкните тот, который вы хотите, и нажмите кнопку «Установить по умолчанию». Эта кнопка будет недоступна для выбора, который в настоящее время является значением по умолчанию, и для этого элемента будет отображаться значок с галочкой, указывающий, что это текущее значение по умолчанию.


Папка Дополнительные правила содержит исключения по умолчанию. Щелкнув правой кнопкой мыши по этой папке, вы можете создать новый сертификат, хэш, зону Интернета или правило пути. Например, чтобы установить новое правило пути, вам нужно будет ввести или перейти к пути для программы, которая будет исключением по умолчанию, а затем выбрать «Запрещено» или «Неограниченно», чтобы указать, хотите ли вы, чтобы эта программа запускалась или быть заблокированным от запуска.


ПРИМЕЧАНИЕ. Для создания политик ограниченного использования программ вам необходимо войти в систему как локальный администратор или администратор домена, либо вам должны быть делегированы полномочия для этого.


Параметры применения политики


Элемент Enforcement на правой панели консоли содержит несколько параметров принудительного применения, которые можно применить к политикам ограниченного использования программ, чтобы изменить способ их применения. Во-первых, это проверка DLL, в результате которой политика также применяется к файлам библиотеки динамической компоновки (DLL), а также к исполняемым файлам (по умолчанию библиотеки DLL не проверяются). Вам нужно будет выбрать параметр « Применить политики ограниченного использования программ к следующему» > «Все файлы программного обеспечения» в диалоговом окне «Параметры применения». Другой вариант — «Пропустить администраторов», который сделает исключение для членов группы локальных администраторов, чтобы они могли запускать программное обеспечение, ограниченное для других пользователей. Для этого вам нужно выбрать Применить политики ограниченного использования программ к следующим пользователям > Все пользователи, кроме локальных администраторов. По понятным причинам этот работает только для машинных политик, а не для пользовательских политик.


Назначенные типы файлов


Пункт «Назначенные типы файлов» позволяет указать, какие типы файлов (в зависимости от расширения файла) должны считаться исполняемым кодом и, таким образом, подчиняться политикам ограничения программного обеспечения. Распространенные типы исполняемых файлов, такие как.exe,.inf,.vb,.com,.lnk,.pif,.msi и т. д., уже включены в список. Вы можете удалить любой из них, выделив и нажав кнопку «Удалить». Если вы удалите тип файла, программы с таким расширением смогут работать без ограничений, и ваши политики не будут применяться к ним.


Вы также можете добавить другие типы файлов, но введите расширение файла в поле внизу и нажмите кнопку «Добавить».


Надежные издатели


Последний элемент на правой панели, Доверенные издатели, позволяет указать, кто может указывать, какие издатели программного обеспечения будут считаться доверенными: конечные пользователи, администраторы локальных компьютеров или администраторы предприятия. В целях безопасности разрешайте определять доверенных издателей только администраторам. Вы также можете указать, что перед тем, как издатель программного обеспечения станет доверенным, система проверит издателя и/или метку времени, чтобы определить, что сертификат действителен и не был отозван.


Резюме


В этой статье представлен обзор новых политик ограниченного использования программ Microsoft, их функций, принципов работы и того, как администратор может создать новую политику для применения к локальному компьютеру, сайту, домену или организационной единице. Политика ограниченного использования программ — это дополнение к групповой политике для Windows Server 2003 и Windows XP, которое дает администраторам еще большую гибкость и контроль над программным обеспечением, которое могут запускать сетевые пользователи и/или сетевые компьютеры, тем самым повышая уровень безопасности между вашими системами. вредоносный или несанкционированный код.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023