Security Watch - Политики за ограничаване на софтуера

Архив от броеве/2008/Брой №9 (70)/За охрана на сигурността - Политики за ограничаване на софтуера

ВАДИМ ПОДАНС

Притеснявате ли се от мрежовата сигурност? За това не е необходимо да купувате нови скъпи продукти, тъй като често високоефективните продукти вече са закупени от вас, но не се използват. Научете се да ги използвате ефективно.

Задачата на всеки системен администратор е да поддържа сигурността на ИТ инфраструктурата на своето предприятие, както и да ограничава стартирането на приложения, ненужни за работата на потребителя.

Microsoft предлага интегрирано решение в линията Windows Server и линията корпоративни настолни компютри Windows XP/Windows Vista, наречена Software Restriction Policies (SRP за кратко) - политики за ограничаване на софтуера.

Тази технология се предлага от линията Windows 2000 и все още се развива. Много системни администратори обаче дори не са наясно със съществуването на тази политика или избягват да я използват поради сложността на конфигурацията. В широк смисъл тази политика определя кои приложения могат да се стартират от потребителя и кои са забранени, като по този начин намалява риска потребителят да стартира нелегален софтуер, изтеглен от интернет, донесен на USB флаш устройство или получен по други начини, противоречащи на корпоративна политика.

Най-лесният начин за присвояване на политика е стартирането на конзолата за управление на групови правила. След това отидете до възела: „Конфигурация на компютър/потребител -> Настройки на Windows -> Настройки за сигурност -> Правила за ограничаване на софтуера“.

Когато се създаде политика (щракнете с десния бутон и изберете Създаване на нова политика), тя преминава в неограничено състояние, тоест не забранява нищо. Вътре в конзолата ще има 5 обекта (вж. Фиг. 1):

Нива на сигурност - определя основното ниво на защита на политиката по подразбиране.
Допълнителни правила - тук са зададени изключения за нивото по подразбиране.
Прилагане - прозорец за избор на степен на действие на политиката.
Определени типове файлове - прозорец за управление на списъка с файлови разширения, които са проверени от правилото по подразбиране.
Надеждни издатели - представя настройките за управление на списъка с доверени абонати за приложения и скриптове.

Политиките на SRP имат 3 нива на защита, които се показват в нивата на защита:

Забранено - всичко е забранено, с изключение на изключенията в Допълнителни правила.
Неограничен - всичко е позволено, с изключение на изключенията в Допълнителни правила.
Основен потребител - същият като неограничен, но допълнително включва забраната за стартиране на приложения с повишени привилегии.

Фигура 1. Външен вид на конзолата за управление на политиките за ограничаване на софтуера

Следва обектът за изпълнение (вж. Фигура 2). В този прозорец можете да принудите прилагането на политиката не само към изпълними файлове, но и към DLL, свързани с тях. Активирането на тази опция може значително да увеличи натоварването на системата, тъй като при стартиране на приложението всички библиотечни файлове също преминават през политиката, която консумира време и енергия на процесора. Но в същото време тази опция позволява на програмата да зарежда библиотеки при стартиране само от разрешени места. Например, ако при стартиране на програмата последният се опита да зареди библиотеки от потребителския профил и пътят на библиотеките не е посочен в изключенията, правилото блокира тяхното зареждане в паметта.

Фигура 2. Прозорецът за избор на степента на въздействие на политиката SRP. Настройките в този прозорец засягат глобалната ефективност на политиките за SRP.

По-долу е изборът за прилагане на политиката за всички потребители без изключение или за всички потребители, с изключение на членовете на групата администратори.

И последната опция е Enforce Certificate Rule. На практика правилата за сертификати се използват рядко и често има смисъл да се деактивира тяхната проверка, което ще ускори обработката на политиките.

След това идва елементът Designated File Type. Ето списък с разширения на файлове, които се контролират от политиките за ограничаване на софтуера. Ако потребителите трябва да стартират (или им е забранено да изпълняват) файлове с разширенията, посочени в този списък, тогава те трябва да създадат изключения за нивото на защита по подразбиране (повече за това малко по-късно). Този списък може да се редактира според вашите условия.

И последният елемент е Trusted Publishers (вижте фигура 3). В този прозорец можете да регулирате настройките за доверени издатели на сертификати, които подписват приложения. Този прозорец е подходящ само ако се използват правила за сертификати. В други случаи не се използва. За да работят обаче някои програми правилно (например Windows Update в Windows XP/Windows Server 2003), е необходимо да активирате управлението на списъка с доверени издатели за крайни потребители (най-горната опция).

Фигура 3. Прозорец с настройка на потребителски права за редактиране на списъка с доверени издатели на сертификати и поведение на системата при проверка на сертификати

И накрая, работната зона е раздел Допълнителни правила (вижте Фигура 4). Този раздел компилира всички изключения за действието на политиката по подразбиране.

Фигура 4. Основният прозорец, където администраторът създава правила за изключване. Правилата се създават чрез щракване с десен бутон и избор на желания тип изключване

Можете да използвате следните видове изключвания (допълнителни правила), като вземете предвид реда, в който се прилагат:

Правило за сертификата - правило за сертификати. Този тип правило се използва само за подписани приложения и скриптове. Например можете да разрешите на всички приложения, подписани със сертификат на Microsoft Corporation, да се изпълняват, независимо от местоположението им, и да предотвратите изпълнението на приложения, подписани от Adobe Systems. В този случай трябва да посочите сертификатите на съответните издатели, които трябва да бъдат изтеглени локално или в мрежова папка.
Правило за хеш - хеш правило. Всяко приложение изисква създаването на отделно правило. Този тип правило е много полезно за приложения и файлове, които се намират в потребителски папки. Например можете да разрешите стартирането на приложение от папката Моите документи (където потребителят има достъп за запис) чрез хеш. В този случай се гарантира защита срещу заместване на файл (със същото име) или когато файлът е заразен с вирус, тъй като и в двата случая хешът на самия файл ще се промени и няма да попадне под правилото за хеш на SRP и ще бъде невъзможно да го стартирате. Windows Vista/Windows Server 2008 съхранява 2 хеша - MD5 за съвместимост с клиенти на Windows XP и SHA256 като "роден" алгоритъм за хеширане за нови системи.
Правило за мрежова зона правило за мрежова зона -. Windows изпълнява няколко мрежови зони като Интернет, доверени сайтове, ограничени сайтове, локален интранет и локален компютър. Този тип правила уреждат кои инсталационни пакети са разрешени за изтегляне въз основа на условията за тяхното поставяне. За да работят правилата правилно въз основа на мрежовите зони, инсталационните пакети трябва да се базират на Windows Installer (имат разширението .MSI). Например можете да разрешите изтегляне на пакети за инсталиране на Windows от зоната на надеждни сайтове и да предотвратите изтегляния от зоната на ограничените сайтове. Моля, имайте предвид, че тази политика не засяга изтеглянето на файлове от Internet Explorer. На практика правилата на мрежовите зони се използват рядко.
Правило на пътя - правилото на пътя. Правилата от този тип ви позволяват да посочите местоположението на приложения и файлове, които няма да бъдат проверени от политиката и ще имат право да се изпълняват. По подразбиране вече са създадени две разрешителни правила за системните папки Windows и Program Files. Благодарение на това приложенията от тези папки ще могат да се изпълняват, освен ако, разбира се, не изтриете ръчно правилата (което не се препоръчва). Правилата за пътя са много гъвкави, тъй като ви позволяват да използвате системни и потребителски променливи на средата (например% windir%) и заместващи символи (например "?" И "*"). Освен това можете да посочите ключа на системния регистър, от който ще бъде получен пътят.

Практическо изпълнение чрез примери

И така, ние разгледахме всички необходими опции, които присъстват в MMC - Политики за ограничаване на софтуера. След като прегледате горния материал, можете да започнете да създавате свои собствени правила за политиката на SRP, но за пълнота ще говоря за някои принципи на изграждане на надеждни политики и важни неща при работа със SRP.

Най-ефективното приложение на политиките за ограничаване на софтуера би било да се позволи на файловете да се стартират от папки, където потребителите нямат достъп за запис, и да не се стартират файлове от папки, където потребителите имат достъп за запис. В този случай се гарантира, че потребителят няма да може да стартира файла от работния плот (където има достъп за запис), но той може да стартира файла от системната папка на Windows (където нормален потребител няма достъп за запис). Нивото на защита по подразбиране - Не е разрешено, което има значение - отказва всичко, освен правилата, посочени в Допълнителни правила.

Ако приложите нивото на защита по подразбиране Не е разрешено, за да стартирате файловете, ще трябва да стартирате самите файлове в папките, в които се намират, тъй като стартирането на преки пътища от потребителската среда е забранено. Следователно в Допълнителни правила ще е необходимо да се създадат разрешителни правила, които да позволяват стартиране на преки пътища от менюто "Старт" (това са преките пътища, които се показват в менюто "Старт" и "Старт -> Всички програми"). За да направите това, в Допълнителни правила трябва да създадете правила за пътя, които ще сочат към:

Тук се използва системната променлива% username%, вместо която името на текущия потребител автоматично ще бъде заменено по време на работа. Трябва обаче да се има предвид, че разрешението за стартиране на пряк път не означава, че е разрешено да се изпълнява програмата, посочена от самия пряк път; трябва да има и правило за разрешаване на самата програма. Тоест потребителят не може просто да промени пътя, посочен от прекия път за програмата в менюто "Старт".

За тези две правила трябва да зададете неограничено ниво, така че потребителите да могат безопасно да стартират преки пътища от менюто "Старт" и от подпапки на първото ниво (например "Аксесоари -> Paint.lnk"). Въпреки това, за Windows XP/Windows Server 2003 системи и системи с локализация на други езици, тези пътища могат да варират в зависимост от системния език.

За да унифицира работата с папките на потребителския профил, политиката SRP предлага възможност за четене на стойности от системния регистър. Клон на системния регистър: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders съдържа пътища за повечето потребителски папки на профили. Препоръчително е да използвате стойности в системния регистър за всяка локална машина, за да укажете пътя към менюто "Старт". За да използвате стойностите в системния регистър, затворете неговия ключ в знаци за процент "%", както е показано в примерите:

% HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersStart Menu% **. Lnk

За да разрешите стартирането на преки пътища от менюто за бързо стартиране, трябва да добавите правило за пътя:

% userprofile% AppDataRoamingMicrosoftInternet ExplorerБързо стартиране * .lnk

По този начин на потребителите вече е разрешено да стартират преки пътища от менюто "Старт" и "Програми", като абсолютното местоположение на менюто "Старт" се определя от всяка машина поотделно. Ако е необходимо да се разреши стартирането на преки пътища или програми от други места, това се постига чрез добавяне на правила за път или хеш, както е показано по-долу.

Ако имате инсталирано приложение на устройството D:, което поради своето естество изисква разрешение за записване в папката на програмата за потребители (уви, такива приложения все още се намират и трябва да се съобразите с тях), тогава пътят правило е като: D: ProgramsSpecProgram * .exe. Или посочването на името на програмата няма да бъде ефективно решение, тъй като няма да е трудно за потребителя да преименува програмата и да прикрие любимата си игра или заразен файл под това име. В такива случаи е по-разумно да се използват хеш правила. Ако според това правило са разрешени само необходимите изпълними (или скриптове) файлове на програмата, тогава при подмяна на файлове потребителят няма да може да стартира фалшиво приложение, тъй като хешът на новия файл няма да съвпада и файлът няма да попада под никакви изключения, в резултат на което стартирането ще бъде предотвратено от нивото на защита по подразбиране, т.е.

С такава комбинация от типове правила можете да получите достатъчно гъвкава и ефективна политика за ограничаване на използването на програми, която ще ви позволи да контролирате, че потребителите могат да изпълняват само тези файлове, които са разрешени от фирмената политика.

SRP_Enable - включва нивото на политиката в Забранено:

Редактор на системния регистър на Windows версия 5.00

SRP _ Disable - активира ниво на политика в неограничен:

Редактор на системния регистър на Windows версия 5.00

SRP _ Basic - включва ниво на политика в Basic User: