Практическая работа: Защита программной среды с помощью политики ограниченного использования программ в Windows

Цель практической работы:

• Изучить политики ограниченного использования программ в Windows;
• Ознакомиться с другими способами ограничения доступа к программам в Windows;
• Научиться управлять политиками ограниченного использования программ в Windows.

Описание политики ограниченного использования программ в Windows

Администраторы могут использовать политику ограничения использования программ для установки разрешений и запрещений на выполнение программ пользователями. Используя эту политику, администратор может предотвратить выполнение нежелательных программ, в том числе и вредоносного программного обеспечения.

Запуск настройки политики ограниченного использования программ

Чтобы создать политику ограниченного использования программ, проделайте следующее:

1. Запустите оснастку «Локальная политика безопасности»: 

• Start (Пуск)® Run (Выполнить).

• Наберите secpol.msc и затем нажмите ОК.

1. Найдите в списке политик категорию «Политики ограниченного использования программ».
2. В меню «Действие» выберите команду «Создать политику ограниченного использования программ».

Описание параметров политики ограниченного использования программ

Уровни безопасности по умолчанию

Уровни безопасности по умолчанию определяют, разрешено или запрещено использовать программы при отсутствии явных разрешений или запрещений, задаваемых дополнительными правилами конфигурирования.

Применение уровней безопасности позволяет упростить настройку разрешений и запрещений: по умолчанию настраивается тот уровень безопасности, который применим для большей части программ. Для оставшихся программ другой уровень безопасности настраивается индивидуально в дополнительных правилах.

Существуют следующие уровни безопасности:

• Не разрешено / Запрещено (Disallowed) — если вы установите этот уровень, то никакие программы не будет разрешено использовать. Вы должны создать дополнительные правила, которые разрешат исполнять отдельные программы. 
  Использование этого уровня рекомендуется в случае наличия у администратора полного списка разрешённых программ.
• Неограниченный (Unrestricted) — уровень, установленный операционной системой по умолчанию. Если вы установите этот уровень, все программы будут разрешены к исполнению. Вы должны создать дополнительные правила, которые запретят исполнять отдельные программы. 
  Использование этого уровня рекомендуется в случае, если администратор не имеет полного списка разрешённых программ, но надо предотвратить исполнение отдельных программ.

• (Windows 7) Обычный пользователь (Basic User) — разрешает выполнение программ без прав администратора, но позволяет обращаться к ресурсам, доступным обычным пользователям.

Установленный уровень безопасности по умолчанию обозначен галочкой.

Уровень безопасности по умолчанию повлияет на все файлы, к которым применяется политика ограниченного использования программ (перечень этих типов файлов задаётся в правиле «Назначенные типы файлов» общих правил конфигурирования).

Уровень безопасности по умолчанию задан операционной системой по умолчанию как «Неограниченный».

При применении уровня безопасности «Не разрешено» следует создать исключения для программ, которые могут быть запущены.

При применении уровня «Неограниченный» имеется возможность создать правила для программ, запуск которых необходимо запретить.

Общие правила конфигурирования

Общие правила конфигурирования определяют, каким образом политика ограничения использования программ применяется на компьютере. Они включают следующие правила:

• Принудительный / применение (Enforcement) —

это правило описывает, к каким файлам применяются политики ограниченного использования программ:

• ко всем файлам, кроме библиотек (установлено по умолчанию),
• ко всем файлам.

Правило также описывает, к каким пользователям применяются политики ограниченного использования программ:

• для всех пользователей (установлено по умолчанию),
• для всех пользователей, кроме локальных администраторов.

Установка уровня безопасности «Не разрешено», применяемая ко всем файлам, может потребовать индивидуальных разрешений на файлы библиотек, которые потребуются разрешённым программам.

Установка уровня безопасности «Не разрешено», применяемая ко всем пользователям, может запретить доступ администраторам к программам.

• Назначенные типы файлов (Designated Files Types) —

правило «Назначенные типы файлов» определяет перечень типов файлов, которые считаются исполняемым кодом, кроме стандартных типов .exe, .dll, .vbs. К этим типам файлов применяются уровни безопасности по умолчанию и общее правило «Принудительный».

• Доверенные издатели (Trusted Providers) —

Правило «Доверенные издатели» применяется, чтобы определить пользователей, которым разрешено выбирать доверенных издателей:

• обычным пользователям (по умолчанию),
• локальным администраторам,
• администраторам предприятия.

Правило «Доверенные издатели» также применяется, чтобы определить, будет ли проводиться проверка сертификата и виды проверки (по умолчанию никакая проверка не проводится):

• проверка самого издателя,
• проверка штампа времени.

Дополнительные правила

Вы можете определять несколько типов дополнительных правил:

• Хеш (Hash).

Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла.

Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.

• Сертификат (Certificate).

Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением .exe или .dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.

• Путь (Path).

Правило для пути позволяет разрешить или запретить выполнение программ, которые расположены в определённой папке (в том числе в сети) или в её подпапке.

Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.

Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.

• Зона сети / зона Интернета (Internet Zone).

Правила для зоны влияют только на пакеты установщика Windows.

Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.

Правило для зоны Интернета позволяет разрешать или запрещать выполнение программ, расположенных в определённых зонах Интернета. Сейчас это правило это применяется только к пакетам Microsoft Windows Installer, которые исполняются из этой зоны.

Это правило не применяется к программам, загруженным с использованием Internet Explorer.

Приоритет дополнительных правил

К файлу программы может применяться несколько правил. Правила применяются в приведенном ниже порядке приоритета. Правила перечислены в порядке убывания приоритета.

• Правило для хеша.
• Правило для сертификата.
• Правило для пути. При конфликте правил для пути приоритет имеет правило с большим ограничением. Ниже приведен набор путей в порядке от высшего приоритета (наибольшее ограничение) к низшему приоритету: 
  - диск:\папка1\папка2\имя_файла.расширение 
  - диск:\папка1\папка2\*.расширение 
  - *.расширение 
  - диск:\папка1\папка2\ 
  - диск:\папка1\
• Правило для зоны Интернета.

Приложение приоритета

Например, если имеется файл с хешем без ограничений, расположенный в папке, для которой задано правило «Не разрешено», файл будет запущен, поскольку правило для хеша имеет приоритет над правилом для пути.

При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением. Например, если имеется правило для пути C:\Windows\ с уровнем безопасности «Не разрешено» и правило для пути %windir% с уровнем «Неограниченный», будет применяться более строгое правило с уровнем безопасности «Не разрешено».

Управление политиками ограниченного использования программ

Политики ограниченного использования программ рекомендуется настраивать в следующем порядке:

• создание политики ограниченного использования программ (в случае, если она ещё не создана);
• настройка уровней безопасности по умолчанию;
• настройка общих правил конфигурирования;
• настройка дополнительных правил конфигурирования.

Другие способы ограничения доступа к программам в Windows XP

Если вы решили защитить компьютер от несанкционированного программного обеспечения, то самым важным действием будет предоставление всем пользователям ограниченных учётных записей. Любое приложение, которое попытается заменить защищаемые системные файлы или манипулировать параметрами реестра, не связанное с личным профилем пользователя, не сможет завершить установку. Обычно пользователи с ограниченными учётными записями будут иметь трудности с установкой любой программы.

Кроме того, вы можете применить следующие методики:

• Удалите ярлыки программ из папок %AllUsersProfile% и %AllUsersProfile%\StartMenu.
• Для программ, которые устанавливаются в папку ProgramFiles (как большинство Windows-приложений), измените разрешения для вложенных папок, содержащих программы, доступ к которым желательно ограничить. Удалите группы Everyone (Все) и Users (Пользователи) из списка доступных приложений, оставив только группы администраторов и опытных пользователей (Windows 2000 или XP), а также любых пользователей, которые должны иметь доступ к этим программам.
• Предотвратите доступ Пользователей к окну командной строки, из которого они легко могут запустить программу. Найдите файлы Cmd.exe и Command.com, оба файла находятся в папке %SystemRoot%\System32. Вы можете настроить разрешения для обоих файлов, чтобы их имели право исполнять только администраторы; если ваши пользователи не слишком хитроумны, можно просто переименовать эти файлы.

Практические задания

При выполнении данной работы одна часть действий выполняется под учётной записью администратора (пользователь сadm), а другая — под учётной записью пользователя (создайте учетную запись). Название учётной записи, под которой выполняются действия, указываются словами АДМИНИСТРАТОР или ПОЛЬЗОВАТЕЛЬ, предваряющими описание задания.

Задание 1

Создание политики ограниченного использования программ

Прежде всего, создадим политики ограниченного использования программ. Эта операция выполняется один раз, при первом обращении к настройке этих политик.

АДМИНИСТРАТОР

Шаг 1.

Откройте консоль Локальные политики безопасности.

Шаг 2.

В дереве консоли щёлкните компонент Политики ограниченного использования программ.

Если вы открываете эту консоль первый раз, то политики ограниченного использования программ не определены — об этом говорит сообщение в правой части окна консоли. Следуйте указаниям для создания политик (Перейдите по ссылке «Создать новые политики»).

При дальнейших обращениях к политикам ограниченного использования программ этот шаг повторять не потребуется.

Не закрывайте консоль Локальные политики безопасности для выполнения следующих заданий.

Задание 2

Конфигурирование уровня безопасности по умолчанию Неограниченный

АДМИНИСТРАТОР

Шаг 1.

Раскройте компонент Политики ограниченного использования программ и выберите компонент Уровни безопасности.

В правой части консоли видны 2 уровня безопасности по умолчанию. Установленный уровень отмечен чёрным кружком с галочкой.

Шаг 2.

Установите уровень безопасности по умолчанию Неограниченный.

Установить уровень безопасности по умолчанию можно двумя способами:

Способ 1: Вызовите контекстное меню того уровня, который вы хотите использовать по умолчанию, и выберите пункт По умолчанию (этот пункт отсутствует в контекстном меню установленного уровня безопасности).

Способ 2: Дважды щёлкните тот уровень безопасности, который вы хотите использовать по умолчанию, и нажмите кнопку По умолчанию (эта кнопка не функционирует для установленного уровня безопасности).

Задание 3

Конфигурирование общего правила Принудительный

АДМИНИСТРАТОР

Шаг 1.

Дважды щёлкните компонент Принудительный (или выберите пункт контекстного меню Свойства компонента Принудительный) и примените политики ограниченного использования программ ко всем файлам, кроме библиотек и для всех пользователей, кроме локальных администраторов.

Конфигурирование общего правила Назначенные типы файлов

АДМИНИСТРАТОР

Шаг 1.

Дважды щёлкните компонент Назначенные типы файлов (или выберите пункт контекстного меню Свойства компонента Назначенные типы файлов) и просмотрите типы файлов, которые определены как исполняемые. Ознакомьтесь с механизмом добавления и удаления типа файлов, который будет определяться как исполняемый.

Не вносите фактических изменений в этот список.

Конфигурирование общего правила Доверенные издатели

АДМИНИСТРАТОР

Шаг 1.

Дважды щёлкните компонент Доверенные издатели (или выберите пункт контекстного меню Свойства компонента Доверенные издатели) и просмотрите, каким пользователям разрешено выбирать доверенных издателей (убедитесь, что разрешено обычным пользователям) и какие выбраны виды проверок сертификатов (убедитесь, что не выбрано никаких видов проверок).

Задание 4

Конфигурирование дополнительного правила Для пути

ПОЛЬЗОВАТЕЛЬ

Выполните подготовительные шаги: скопируйте файл notepad.exe из папки C:/Windows/system32 на рабочий стол пользователя и переименуйте его в notepad-1.exe.

АДМИНИСТРАТОР

Шаг 1.

Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила.

В правой части консоли просмотрите, каким ресурсам, какой тип дополнительных правил и какой уровень безопасности уже настроен.

Шаг 2.

Добавьте правило Для пути:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт Создать правило для пути. В появившемся окне нажмите кнопку Обзор и выберите путь к файлу notepad-1.exe, расположенному на рабочем столе пользователя. Выберите уровень безопасности Не разрешено. Нажмите кнопку ОК.

Убедитесь, что в правом окне консоли добавилась строка с новым правилом для пути.

ПОЛЬЗОВАТЕЛЬ

Шаг3.

Убедитесь, что программа Блокнот запускается (Пуск ® Все программы ® Стандартные ® Блокнот).

Убедитесь, что файл программы notepad-1.exe, расположенный на рабочем столе пользователя, не запускается. Объясните, почему так происходит.

Шаг 4.

Скопируйте файл программы notepad-1.exe с рабочего стола в папку Мои документы.

Запустите файл программы notepad-1.exe из папки Мои документы. Убедитесь, что файл notepad-1.exe из папки Мои документы запускается. Объясните, почему так происходит.

Вопрос: Насколько надёжно перекрывает доступ к программам правило «Для пути»? Какие способы устранения недостатков вы можете предложить.

Задание 5

Конфигурирование дополнительного правила Для хеша

ПОЛЬЗОВАТЕЛЬ

Удалите файл notepad-1.exe из папки Мои документы.

АДМИНИСТРАТОР

Шаг 1.

Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила.

Удалите правило «Для пути», созданное в предыдущем задании.

Добавьте правило «Для хеша»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для хеша».

Выберите для хеширования файл notepad-1.exe на рабочем столе пользователя, нажав кнопку Обзор. После формирования хеша в поле хешируемый файл будет записан хеш файла, а в поле Информация файла — описание файла.

Если вам известен хеш файла программы, то вы можете ввести его в поле Хешируемый файл.

Выберите в поле Безопасность параметр Не разрешено. Нажмите ОК.

Убедитесь, что в списке дополнительных правил добавилась новая строка.

ПОЛЬЗОВАТЕЛЬ

Шаг 2.

Запустите файл notepad-1.exe. Объясните, почему файл не запускается.

Запустите программу Блокнот. Объясните, почему программа не запускается.

Скопируйте файл notepad-1.exe в папку Мои документы. Запустите файл notepad-1.exe из папки Мои документы. Объясните, почему файл не запускается.

Вопрос: Сформулируйте отличия правила «для хеша» от правила «для пути». Какое из этих двух правил более эффективно? Какие способы преодоления правила «для хеша» вы можете предложить?

Задание 6

Конфигурирование дополнительного правила Для сертификата

ПОЛЬЗОВАТЕЛЬ

Удалите файл notepad-1.exe из папки Мои документы.

АДМИНИСТРАТОР

Шаг 1.

Раскройте компонент Политики ограниченного использования программ и выберите компонент «Дополнительные правила».

Удалите правило «Для хеша», созданное в предыдущем задании.

Найдите с помощью Проводника файлы с расширением .cer (файлы сертификата) и запишите путь к одному из них.

Добавьте правило «Для сертификата»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для сертификата». Нажав кнопку Обзор, выберите файл сертификата, путь к которому вы записали.

Выберите уровень безопасности и нажмите ОК.

Убедитесь, что в списке дополнительных правил добавилась новая строка.

Вопрос: Объясните, чем отличается запись правила «для сертификата от записи правила «для пути»?

Удалите сделанную вами запись правила «для сертификата».

Контрольные задания и вопросы

1. Разработайте политики ограниченного использования программ для выполнения следующих требований:

• обычный пользователь должен работать с приложениями Word и Excel;

• администратор должен быть уверен, что программы Word и Excel, которые он установил, не были изменены.

1. Каков приоритет политик ограниченного использования программ?

1. Чем отличаются правила «для пути» от правил «для хеша»? Какое из них более строгое? Какие недостатки имеет правило «для хеша»?
2. Каков рекомендуемый порядок настройки политик ограниченного использования программ. Чем может быть обусловлен выбор уровня безопасности по умолчанию?