|
|||||||
SRP: Защита программной среды с помощью политики ограниченного использования программ в Windows
Время создания: 31.05.2014 23:28
Текстовые метки: windows, SRP, политики ограниченного использования программ
Раздел: Компьютер - Windows - Безопасность Windows - Шифрование в Windows
Запись: xintrea/mytetra_syncro/master/base/1401564537h93u9wxkae/text.html на raw.github.com
|
|||||||
|
|||||||
Практическая работа: Защита программной среды с помощью политики ограниченного использования программ в Windows Цель практической работы:
Описание политики ограниченного использования программ в Windows Администраторы могут использовать политику ограничения использования программ для установки разрешений и запрещений на выполнение программ пользователями. Используя эту политику, администратор может предотвратить выполнение нежелательных программ, в том числе и вредоносного программного обеспечения. Запуск настройки политики ограниченного использования программ Чтобы создать политику ограниченного использования программ, проделайте следующее:
Описание параметров политики ограниченного использования программ Уровни безопасности по умолчанию Уровни безопасности по умолчанию определяют, разрешено или запрещено использовать программы при отсутствии явных разрешений или запрещений, задаваемых дополнительными правилами конфигурирования. Применение уровней безопасности позволяет упростить настройку разрешений и запрещений: по умолчанию настраивается тот уровень безопасности, который применим для большей части программ. Для оставшихся программ другой уровень безопасности настраивается индивидуально в дополнительных правилах. Существуют следующие уровни безопасности:
Установленный уровень безопасности по умолчанию обозначен галочкой. Уровень безопасности по умолчанию повлияет на все файлы, к которым применяется политика ограниченного использования программ (перечень этих типов файлов задаётся в правиле «Назначенные типы файлов» общих правил конфигурирования). Уровень безопасности по умолчанию задан операционной системой по умолчанию как «Неограниченный». При применении уровня безопасности «Не разрешено» следует создать исключения для программ, которые могут быть запущены. При применении уровня «Неограниченный» имеется возможность создать правила для программ, запуск которых необходимо запретить. Общие правила конфигурирования Общие правила конфигурирования определяют, каким образом политика ограничения использования программ применяется на компьютере. Они включают следующие правила:
это правило описывает, к каким файлам применяются политики ограниченного использования программ:
Правило также описывает, к каким пользователям применяются политики ограниченного использования программ:
Установка уровня безопасности «Не разрешено», применяемая ко всем файлам, может потребовать индивидуальных разрешений на файлы библиотек, которые потребуются разрешённым программам. Установка уровня безопасности «Не разрешено», применяемая ко всем пользователям, может запретить доступ администраторам к программам.
правило «Назначенные типы файлов» определяет перечень типов файлов, которые считаются исполняемым кодом, кроме стандартных типов .exe, .dll, .vbs. К этим типам файлов применяются уровни безопасности по умолчанию и общее правило «Принудительный».
Правило «Доверенные издатели» применяется, чтобы определить пользователей, которым разрешено выбирать доверенных издателей:
Правило «Доверенные издатели» также применяется, чтобы определить, будет ли проводиться проверка сертификата и виды проверки (по умолчанию никакая проверка не проводится):
Дополнительные правила Вы можете определять несколько типов дополнительных правил:
Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm. Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла. Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.
Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением .exe или .dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.
Правило для пути позволяет разрешить или запретить выполнение программ, которые расположены в определённой папке (в том числе в сети) или в её подпапке. Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.
Правила для зоны влияют только на пакеты установщика Windows. Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты. Правило для зоны Интернета позволяет разрешать или запрещать выполнение программ, расположенных в определённых зонах Интернета. Сейчас это правило это применяется только к пакетам Microsoft Windows Installer, которые исполняются из этой зоны. Это правило не применяется к программам, загруженным с использованием Internet Explorer. Приоритет дополнительных правил К файлу программы может применяться несколько правил. Правила применяются в приведенном ниже порядке приоритета. Правила перечислены в порядке убывания приоритета.
Приложение приоритета Например, если имеется файл с хешем без ограничений, расположенный в папке, для которой задано правило «Не разрешено», файл будет запущен, поскольку правило для хеша имеет приоритет над правилом для пути. При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением. Например, если имеется правило для пути C:\Windows\ с уровнем безопасности «Не разрешено» и правило для пути %windir% с уровнем «Неограниченный», будет применяться более строгое правило с уровнем безопасности «Не разрешено». Управление политиками ограниченного использования программ Политики ограниченного использования программ рекомендуется настраивать в следующем порядке:
Другие способы ограничения доступа к программам в Windows XP Если вы решили защитить компьютер от несанкционированного программного обеспечения, то самым важным действием будет предоставление всем пользователям ограниченных учётных записей. Любое приложение, которое попытается заменить защищаемые системные файлы или манипулировать параметрами реестра, не связанное с личным профилем пользователя, не сможет завершить установку. Обычно пользователи с ограниченными учётными записями будут иметь трудности с установкой любой программы. Кроме того, вы можете применить следующие методики:
Практические задания При выполнении данной работы одна часть действий выполняется под учётной записью администратора (пользователь сadm), а другая — под учётной записью пользователя (создайте учетную запись). Название учётной записи, под которой выполняются действия, указываются словами АДМИНИСТРАТОР или ПОЛЬЗОВАТЕЛЬ, предваряющими описание задания. Задание 1 Создание политики ограниченного использования программ Прежде всего, создадим политики ограниченного использования программ. Эта операция выполняется один раз, при первом обращении к настройке этих политик. АДМИНИСТРАТОР Шаг 1. Откройте консоль Локальные политики безопасности. Шаг 2. В дереве консоли щёлкните компонент Политики ограниченного использования программ. Если вы открываете эту консоль первый раз, то политики ограниченного использования программ не определены — об этом говорит сообщение в правой части окна консоли. Следуйте указаниям для создания политик (Перейдите по ссылке «Создать новые политики»). При дальнейших обращениях к политикам ограниченного использования программ этот шаг повторять не потребуется. Не закрывайте консоль Локальные политики безопасности для выполнения следующих заданий. Задание 2 Конфигурирование уровня безопасности по умолчанию Неограниченный АДМИНИСТРАТОР Шаг 1. Раскройте компонент Политики ограниченного использования программ и выберите компонент Уровни безопасности. В правой части консоли видны 2 уровня безопасности по умолчанию. Установленный уровень отмечен чёрным кружком с галочкой. Шаг 2. Установите уровень безопасности по умолчанию Неограниченный. Установить уровень безопасности по умолчанию можно двумя способами: Способ 1: Вызовите контекстное меню того уровня, который вы хотите использовать по умолчанию, и выберите пункт По умолчанию (этот пункт отсутствует в контекстном меню установленного уровня безопасности). Способ 2: Дважды щёлкните тот уровень безопасности, который вы хотите использовать по умолчанию, и нажмите кнопку По умолчанию (эта кнопка не функционирует для установленного уровня безопасности). Задание 3 Конфигурирование общего правила Принудительный АДМИНИСТРАТОР Шаг 1. Дважды щёлкните компонент Принудительный (или выберите пункт контекстного меню Свойства компонента Принудительный) и примените политики ограниченного использования программ ко всем файлам, кроме библиотек и для всех пользователей, кроме локальных администраторов. Конфигурирование общего правила Назначенные типы файлов АДМИНИСТРАТОР Шаг 1. Дважды щёлкните компонент Назначенные типы файлов (или выберите пункт контекстного меню Свойства компонента Назначенные типы файлов) и просмотрите типы файлов, которые определены как исполняемые. Ознакомьтесь с механизмом добавления и удаления типа файлов, который будет определяться как исполняемый. Не вносите фактических изменений в этот список. Конфигурирование общего правила Доверенные издатели АДМИНИСТРАТОР Шаг 1. Дважды щёлкните компонент Доверенные издатели (или выберите пункт контекстного меню Свойства компонента Доверенные издатели) и просмотрите, каким пользователям разрешено выбирать доверенных издателей (убедитесь, что разрешено обычным пользователям) и какие выбраны виды проверок сертификатов (убедитесь, что не выбрано никаких видов проверок). Задание 4 Конфигурирование дополнительного правила Для пути ПОЛЬЗОВАТЕЛЬ Выполните подготовительные шаги: скопируйте файл notepad.exe из папки C:/Windows/system32 на рабочий стол пользователя и переименуйте его в notepad-1.exe. АДМИНИСТРАТОР Шаг 1. Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила. В правой части консоли просмотрите, каким ресурсам, какой тип дополнительных правил и какой уровень безопасности уже настроен. Шаг 2. Добавьте правило Для пути: Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт Создать правило для пути. В появившемся окне нажмите кнопку Обзор и выберите путь к файлу notepad-1.exe, расположенному на рабочем столе пользователя. Выберите уровень безопасности Не разрешено. Нажмите кнопку ОК. Убедитесь, что в правом окне консоли добавилась строка с новым правилом для пути. ПОЛЬЗОВАТЕЛЬ Шаг3. Убедитесь, что программа Блокнот запускается (Пуск ® Все программы ® Стандартные ® Блокнот). Убедитесь, что файл программы notepad-1.exe, расположенный на рабочем столе пользователя, не запускается. Объясните, почему так происходит. Шаг 4. Скопируйте файл программы notepad-1.exe с рабочего стола в папку Мои документы. Запустите файл программы notepad-1.exe из папки Мои документы. Убедитесь, что файл notepad-1.exe из папки Мои документы запускается. Объясните, почему так происходит. Вопрос: Насколько надёжно перекрывает доступ к программам правило «Для пути»? Какие способы устранения недостатков вы можете предложить. Задание 5 Конфигурирование дополнительного правила Для хеша ПОЛЬЗОВАТЕЛЬ Удалите файл notepad-1.exe из папки Мои документы. АДМИНИСТРАТОР Шаг 1. Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила. Удалите правило «Для пути», созданное в предыдущем задании. Добавьте правило «Для хеша»: Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для хеша». Выберите для хеширования файл notepad-1.exe на рабочем столе пользователя, нажав кнопку Обзор. После формирования хеша в поле хешируемый файл будет записан хеш файла, а в поле Информация файла — описание файла. Если вам известен хеш файла программы, то вы можете ввести его в поле Хешируемый файл. Выберите в поле Безопасность параметр Не разрешено. Нажмите ОК. Убедитесь, что в списке дополнительных правил добавилась новая строка. ПОЛЬЗОВАТЕЛЬ Шаг 2. Запустите файл notepad-1.exe. Объясните, почему файл не запускается. Запустите программу Блокнот. Объясните, почему программа не запускается. Скопируйте файл notepad-1.exe в папку Мои документы. Запустите файл notepad-1.exe из папки Мои документы. Объясните, почему файл не запускается. Вопрос: Сформулируйте отличия правила «для хеша» от правила «для пути». Какое из этих двух правил более эффективно? Какие способы преодоления правила «для хеша» вы можете предложить? Задание 6 Конфигурирование дополнительного правила Для сертификата ПОЛЬЗОВАТЕЛЬ Удалите файл notepad-1.exe из папки Мои документы. АДМИНИСТРАТОР Шаг 1. Раскройте компонент Политики ограниченного использования программ и выберите компонент «Дополнительные правила». Удалите правило «Для хеша», созданное в предыдущем задании. Найдите с помощью Проводника файлы с расширением .cer (файлы сертификата) и запишите путь к одному из них. Добавьте правило «Для сертификата»: Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для сертификата». Нажав кнопку Обзор, выберите файл сертификата, путь к которому вы записали. Выберите уровень безопасности и нажмите ОК. Убедитесь, что в списке дополнительных правил добавилась новая строка. Вопрос: Объясните, чем отличается запись правила «для сертификата от записи правила «для пути»? Удалите сделанную вами запись правила «для сертификата». Контрольные задания и вопросы
|
|||||||
Так же в этом разделе:
|
|||||||
|
|||||||
|