Security Watch - Политики за ограничаване на софтуера

Архив от броеве/2008/Брой №9 (70)/За охрана на сигурността - Политики за ограничаване на софтуера

ВАДИМ ПОДАНС

Притеснявате ли се от мрежовата сигурност? За това не е необходимо да купувате нови скъпи продукти, тъй като често високоефективните продукти вече са закупени от вас, но не се използват. Научете се да ги използвате ефективно.

Задачата на всеки системен администратор е да поддържа сигурността на ИТ инфраструктурата на своето предприятие, както и да ограничава стартирането на приложения, ненужни за работата на потребителя.

Microsoft предлага интегрирано решение в линията Windows Server и линията корпоративни настолни компютри Windows XP/Windows Vista, наречена Software Restriction Policies (SRP за кратко) - политики за ограничаване на софтуера.

Тази технология се предлага от линията Windows 2000 и все още се развива. Много системни администратори обаче дори не са наясно със съществуването на тази политика или избягват да я използват поради сложността на конфигурацията. В широк смисъл тази политика определя кои приложения могат да се стартират от потребителя и кои са забранени, като по този начин намалява риска потребителят да стартира нелегален софтуер, изтеглен от интернет, донесен на USB флаш устройство или получен по други начини, противоречащи на корпоративна политика.

Най-лесният начин за присвояване на политика е стартирането на конзолата за управление на групови правила. След това отидете до възела: „Конфигурация на компютър/потребител -> Настройки на Windows -> Настройки за сигурност -> Правила за ограничаване на софтуера“.

Когато се създаде политика (щракнете с десния бутон и изберете Създаване на нова политика), тя преминава в неограничено състояние, тоест не забранява нищо. Вътре в конзолата ще има 5 обекта (вж. Фиг. 1):

Нива на сигурност - определя основното ниво на защита на политиката по подразбиране.
Допълнителни правила - тук са зададени изключения за нивото по подразбиране.
Прилагане - прозорец за избор на степен на действие на политиката.
Определени типове файлове - прозорец за управление на списъка с файлови разширения, които са проверени от правилото по подразбиране.
Надеждни издатели - представя настройките за управление на списъка с доверени абонати за приложения и скриптове.

Политиките на SRP имат 3 нива на защита, които се показват в нивата на защита:

Забранено - всичко е забранено, с изключение на изключенията в Допълнителни правила.
Неограничен - всичко е позволено, с изключение на изключенията в Допълнителни правила.
Основен потребител - същият като неограничен, но допълнително включва забраната за стартиране на приложения с повишени привилегии.

Фигура 1. Външен вид на конзолата за управление на политиките за ограничаване на софтуера

Следва обектът за изпълнение (вж. Фигура 2). В този прозорец можете да принудите прилагането на политиката не само към изпълними файлове, но и към DLL, свързани с тях. Активирането на тази опция може значително да увеличи натоварването на системата, тъй като при стартиране на приложението всички библиотечни файлове също преминават през политиката, която консумира време и енергия на процесора. Но в същото време тази опция позволява на програмата да зарежда библиотеки при стартиране само от разрешени места. Например, ако при стартиране на програмата последният се опита да зареди библиотеки от потребителския профил и пътят на библиотеките не е посочен в изключенията, правилото блокира тяхното зареждане в паметта.

Фигура 2. Прозорецът за избор на степента на въздействие на политиката SRP. Настройките в този прозорец засягат глобалната ефективност на политиките за SRP.

По-долу е изборът за прилагане на политиката за всички потребители без изключение или за всички потребители, с изключение на членовете на групата администратори.

И последната опция е Enforce Certificate Rule. На практика правилата за сертификати се използват рядко и често има смисъл да се деактивира тяхната проверка, което ще ускори обработката на политиките.

След това идва елементът Designated File Type. Ето списък с разширения на файлове, които се контролират от политиките за ограничаване на софтуера. Ако потребителите трябва да стартират (или им е забранено да изпълняват) файлове с разширенията, посочени в този списък, тогава те трябва да създадат изключения за нивото на защита по подразбиране (повече за това малко по-късно). Този списък може да се редактира според вашите условия.

И последният елемент е Trusted Publishers (вижте фигура 3). В този прозорец можете да регулирате настройките за доверени издатели на сертификати, които подписват приложения. Този прозорец е подходящ само ако се използват правила за сертификати. В други случаи не се използва. За да работят обаче някои програми правилно (например Windows Update в Windows XP/Windows Server 2003), е необходимо да активирате управлението на списъка с доверени издатели за крайни потребители (най-горната опция).

Фигура 3. Прозорец с настройка на потребителски права за редактиране на списъка с доверени издатели на сертификати и поведение на системата при проверка на сертификати

И накрая, работната зона е раздел Допълнителни правила (вижте Фигура 4). Този раздел компилира всички изключения за действието на политиката по подразбиране.

Фигура 4. Основният прозорец, където администраторът създава правила за изключване. Правилата се създават чрез щракване с десен бутон и избор на желания тип изключване