Active Directory для Windows Server 2003

Политики ограничения программного обеспечения


В Active Directory Windows Server 2003 имеется один специальный тип конфигурации защиты, которого не было в Active Directory Windows 2000 -это политики ограничения программного обеспечения. Одно из самых больших беспокойств связано с пользователями, запускающими неизвестное или%е пользующееся доверием программное обеспечение. Во многих случаях пользователи запускают потенциально опасное программное обеспечение непреднамеренно. Например, миллионы пользователей запускали вирусы или устанавливали приложения типа «троянский конь», не имея ни малейших намерений выполнять опасное программное обеспечение. Политика ограничения программного обеспечения предназначена для предотвращения таких случаев.

Политика ограничения программного обеспечения защищает ваших пользователей от выполнения опасных программ, определяя, какие приложения можно выполнять, а какие -нет. Эта политика позволяет выполняться любому программному обеспечению, за исключением того, которое вы специально заблокируете. Или можно определить политику, не позволяющую выполнять никакое программное обеспечение за исключением того, которое вы явно позволите выполнять. Хотя вторая опция более безопасна, усилия, необходимые для перечисления всех приложений, которым позволяется выполняться в среде Сложного предприятия, слишком серьезны. Большинство компаний выберут первую опцию, разрешающую выполнение всего программного обеспечения и блокирующую только избранное программное обеспечение. Однако если вы развертываете среду с высоким уровнем безопасности, примените более безопасную опцию.

При создании политики ограничения программного обеспечения можно сконфигурировать пять типов правил, характеризующих приложения, на которые воздействует данная политика.

  • Hash rules (хэш-правила). Хэш-правило — это криптографический идентификатор, который уникально идентифицирует определенный файл приложения независимо от имени файла или его местоположения. Если в папке Security Levels (Уровни безопасности) был выбран объект Unrestricted (He ограничен), и нужно ограничить выполнение определенного приложения, создайте хэш-правило, используя политику ограничения программного обеспечения. Когда пользователь попытается выполнить это приложение, рабочая станция проверит его хэш-значение и предотвратит выполнение. Если политика блокирует выполнение всех приложений, используйте хэш-правило для допуска определенных приложений.

  • Certificate rules (Правила сертификата). Можно создавать правила сертификата так, что критерием выбора приложений будет сертификат издателя программного обеспечения. Например, если у вас есть собственное приложение, которое вы сами разработали, назначьте сертификат этому приложению, а затем сконфигурируйте правило ограничения программного обеспечения, состоящее в доверии соответствующему сертификату.


  • Path rules (Правило путей). Можно создавать правила, основанные на пути, характеризующем место, где расположено выполняемое приложение. Если вы выберете папку, то это правило будет распространяться на приложения, расположенные в этой папке. Можно использовать переменные среды (типа %systemroot %), чтобы определить путь и подстановочные знаки (типа *.vbs).


  • Registry path rules (Правило пути системного реестра). Можно создавать правила, основанные на месте расположения системного реестра, которые использует данное приложение. Каждое приложение имеет заданное по умолчанию место расположения в пределах системного реестра, где оно хранит специфическую для приложения информацию, позволяющую создавать правила, блокирующие или разрешающие выполнение приложений, основанные на этих ключах системного реестра. В меню не имеется никакой опции, специфичной для системного реестра, предназначенной для создания правил пути системного реестра, но опция New Path Rule (Новое правило пути) позволяет создавать этот уникальный набор правил. При создании новой политики ограничения программного обеспечения формируются четыре заданных по умолчанию правила пути системного реестра. Эти правила конфигурируют неограниченную программную групповую политику для приложений, расположенных в системной корневой папке и в заданной по умолчанию папке программных файлов.


  • Internet zone rules (Правило зон интернета). Заключительный тип правил основан на интерне-зоне, из которой было загружено программное обеспечение. Например, нужно сконфигурировать правило, позволяющее выполнение всех приложений, загруженных из зоны Trusted Sites (Доверенные сайты), или правило, предотвращающее выполнение любого программного обеспечения, загруженного из зоны Restricted Sites (Ограниченные сайты).




  • Если вы сконфигурируете свое ограничение так, что все приложения должны выполняться, за исключением указанных приложений, то эти правила определят те приложения, которые не будут выполняться. Если вы создаете более ограничительное правило, блокирующее все приложения, то оно определяет те приложения, которым позволено выполняться.

    Политики ограничения программного обеспечения могут быть определены для компьютеров в разделе Computer Configuration\Windows Settings\Security Settings, для пользователей - в разделе User Configuration\Windows Settings\Security Settings. По умолчанию в Active Directory не ус танавливается политики ограничения программного обеспечения. Чтобы создать политику, щелкните правой кнопкой мыши на папке Software Restrictions Policies (Политики ограничений программного обеспечения) и выберите New Software Restrictions Policy (Новая политика). В результате будет создана заданная по умолчанию политика (см. рис. 13-7).



    Рис. 13-7. Создание новой политики ограничения программного обеспечения

    Папка Security Levels (Уровни безопасности) используется для определения заданного по умолчанию уровня защиты. Внутри папки имеются два объекта: Disallowed (Запрещенный) и Unrestricted (Неограниченный). Если нужно сконфигурировать защиту так, чтобы выполнялись все приложения за исключением специально указанных, щелкните правой кнопкой мыши на объекте Unrestricted и выберите Set As Default (Установить по умолчанию). Если вы хотите задать более ограничительную установку, щелкните правой кнопкой мыши на Disallowed и установите его заданным по умолчанию.

    Папка Additional Rules (Дополнительные правила) используется для конфигурирования правил ограничений программного обеспечения. Чтобы сконфигурировать правило, щелкните правой кнопкой мыши на папке Additional Rules и выберите тип правила, которое вы хотите создать. Например, для нового хэш-правила выберите New Hash Rule. Чтобы создать новое хэш-правило, щелкните на кнопке Browse (Обзор) и найдите файл, который вы хотите идентифицировать хэш-значением. При выборе файла хэш-значение файла будет создано автоматически. За-



    тем можно сконфигурировать, будет ли это приложение разрешено для выполнения или заблокировано (см. рис. 13-8).



    Рис. 13-8. Конфигурирование хэш-правила

    Объект Enforcement (Принуждение) используется для определенного указания приложения, на которое оказывается воздействие. Можно сконфигурировать правила, которые будут применяться или ко всем приложениям, или ко всем приложениям, кроме DLL. Правила могут применяться или ко всем пользователям, или ко всем пользователям, кроме местных администраторов.

    Объект Designated File Types (Отмеченные типы файлов) определяет все расширения файлов, которые рассматриваются как расширения исполняемых файлов и поэтому подчиняются этой политике. Вы можете добавлять или удалять файловые расширения из этого списка.

    Объект Trusted Publishers (Доверенные издатели) используется для определения того, кто может выбирать, является ли издатель доверенным или нет. Вы можете указать всех пользователей, только локальных администраторов или только администраторов предприятия. Вы можете также сконфигурировать, должна ли рабочая станция проверять факт возможной отмены действия сертификата перед выполнением приложения.


    Содержание раздела