В этом разделе обсуждаются различные опции, которые влияют на поведение политики ограниченного использования программ. Эти опции изменяют область применения политики или параметры доверия Authenticode для файлов с цифровой подписью.
Опции принудительного применения
Существуют две опции принудительного применения политики ограниченного использования программ: проверка библиотек DLL (DLL checking) и предотвращение применения политики к локальным администраторам (Skip Administrators).
Проверка библиотек DLL (DLL checking)
Некоторые программы, как например Internet Explorer, состоят из исполняемого файла (iexplore.exe) и множества вспомогательных библиотек динамической компоновки (DLL). По умолчанию правила политики ограниченного использования программ не применяются к библиотекам DLL. Этот вариант рекомендован для большинства пользователей по трем причинам:
| Запрет исполняемого файла предотвращает выполнение программы, поэтому нет необходимости запрещать все сопутствующие библиотеки DLL. | |
| Проверка библиотек DLL приводит к снижению производительности. Если пользователь запускает 10 программ во время сеанса работы, политика ограниченного использования программ оценивается 10 раз. Если проверка библиотек DLL включена, политика оценивается при загрузке каждой библиотеки DLL в каждой программе. Если каждая программа использует 20 библиотек DLL, это вызывает 10 проверок исполняемых программ плюс 200 проверок библиотек DLL и таким образом политика ограниченного использования программ оценивается 210 раз. | |
| Если уровнем безопасности по умолчанию является Не разрешено (Disallowed) , то в этом случае должна проверяться не только возможность выполнения исполняемого файла программы, но и всех ее составляющих библиотек DLL, что может негативно влиять на производительность системы. |
Проверка библиотек DLL предоставляется в качестве опции для окружений, в которых необходимо обеспечить максимальный уровень безопасности при выполнении программ. Хотя в основном компьютерные вирусы нацелены на заражение исполняемых файлов, некоторые из них заражают библиотеки DLL. Чтобы убедиться, что программа не заражена вирусом, Вы можете использовать набор правил для хеша который идентифицирует исполняемый файл и все его необходимые библиотеки DLL.
Для включения проверки библиотек DLL:
Рисунок 2 - Установка свойств принудительного режима
Предотвращение применения политики ограниченного использования программ к локальным администраторам (Skip Administrators)
Опции политики ограниченного использования программ позволяют запретить выполнение программ большинством пользователей, но в то же время позволить администраторам выполнять любые программы. Например, клиент может иметь общую машину, к которой пользователи подключаются через сервер терминалов. Администратор может захотеть ограничить пользователей выполнением только определенных приложений на этой машине, но при этом позволить членам группы локальных администраторов запускать любые программы. Чтобы сделать это, используйте опцию предотвращения применения политики к локальным администраторам (Skip Administrators ).
Если политика ограниченного использования программ создана в объекте групповой политики (GPO), присоединенному к объекту Active Directory, то предпочтительный способ для исключения администраторов - это убрать разрешение в свойствах группы GPO, в состав которой входят администраторы.
Чтобы включить предотвращение применения политики к локальным администраторам (Skip Administrators):
Определение исполняемых файлов
В диалоговом окне , изображенном на Рисунке 3, перечислены типы файлов, к которым применяется политика ограниченного использования программ. Назначенные типы файлов – это типы файлов, которые считаются исполняемыми. Например, файл хранителя экрана.SCR считается исполняемым, так как если сделать на нем двойной щелчок мышью в проводнике Windows, он загрузится как программа.
Правила политики ограниченного использования программ применяются только для типов файлов, перечисленных в диалоговом окне Свойства: Назначенные типы файлов (Designated File Types)
. Если в Вашем окружении используются типы файлов, для которых Вы хотите иметь возможность задавать правила, добавьте их в этот список. Например, если Вы используете файлы сценариев Perl, Вы можете добавить файлы *.pl и файлы других типов, связанными с модулями Perl, в список Назначенные типы файлов (Designated File Types)
.
Рисунок 3 - Диалоговое окно
Свойства: Назначенные типы файлов (Designated File Types)
Доверенные издатели
Опции диалогового окна , изображенного на Рисунке 4, позволяют Вам конфигурировать параметры, относящиеся к элементам управления ActiveX® и другому подписанному содержимому.
Рисунок 4 - Настройка параметров Доверенные издатели (Trusted Publishers)
В Таблице 3 перечислены опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers) , относящиеся к элементам управления ActiveX и другому подписанному содержимому.
| Таблица 3 - Доверенные издатели (Trusted Publishers) - задачи и параметры | |
| Задача | Необходимое значение параметра |
| Необходимо разрешить только администраторам домена принимать решения относительно подписанного активного содержимого | Администраторам предприятия (Enterprise Administrators) |
| Необходимо разрешить только администраторам компьютера принимать решения относительно подписанного активного содержимого | Администраторам локального компьютера (Local computer Administrators) |
| Необходимо разрешить любому пользователю принимать решения относительно подписанного активного содержимого | Обычным пользователям (End Users) |
| Необходимо удостовериться, что сертификат, используемый доверенным издателем, не был отозван. | Самого издателя (Publisher) |
| Удостовериться, что сертификат, используемый организацией, которая проставила дату активного содержимого, не был отозван. | Штамп времени (Timestamp) |
Область действия политик ограниченного использования программ
Действие политик ограниченного использования программ не распространяется на:
Проектирование политики ограниченного использования программ
В этом разделе описаны:
Объединение с групповой политикой
Политиками ограниченного использования программ можно управлять с помощью следующих оснасток групповой политики:
Политика домена
Для того, чтобы настроить политику домена
Локальная политика безопасности
Для того, чтобы настроить политику безопасности
Если Вы редактируете объект групповой политики (GPO), Вы можете задать политики ограниченного использования программ для пользователей и компьютеров, как показано на Рисунке 5.
Рисунок 5 - Редактирование политики ограниченного использования программ для пользователей и компьютеров
Если Вы редактируете локальную политику безопасности, расположение параметров политики ограниченного использования программ будет таким, как на Рисунке 6.
Рисунок 6 - Редактирование локальной политики безопасности
Первоначальные действия
При редактировании политики в первый раз Вы увидите сообщение, показанное на Рисунке 7. Это сообщение предупреждает о том, что создание политики установит значения по умолчанию, которые переопределят значения, унаследованные от политик ограниченного использования программ родительских объектов.
Рисунок 7 - Предупреждающее сообщение во время создания новой политики
Для создания политики:
Применение политики ограниченного использования программ к группе пользователей
Политика ограниченного использования программ распространяется через групповую политику на сайт, домен или подразделение. Тем не менее, администратор может столкнуться с необходимостью применить политику ограниченного использования программ к группе пользователей внутри домена. Для этого администратор может использовать фильтрацию объектов групповой политики.
Для получения более подробной информации о фильтрации объектов групповой политики обратитесь к статье Групповая политика Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)
Серверы терминалов
Политики ограниченного использования программ являются неотъемлемой частью системы защиты сервера терминалов Windows Server 2003. Администраторы серверов терминалов могут теперь полностью заблокировать доступ программного обеспечения к серверу терминалов. Применение политик ограниченного использования программ является исключительно важным именно на серверах терминалов ввиду потенциально большого количества пользователей на одном компьютере. На однопользовательском клиентском компьютере под управлением Windows XP выполнение нестабильного приложения может помешать только одному пользователю, в то время как выполнение такого приложения на сервере терминалов может доставить неудобства более чем 100 пользователям. Политики ограниченного использования программ предотвращают эту проблему. Эта служба также избавляет от необходимости использования программ, таких как appsec.exe, для ограничения выполнения приложений на сервере терминалов Windows Server 2003.
В дополнение к этому корпорация Microsoft рекомендует ознакомиться с документом Как заблокировать сессию сервера терминалов Windows 2000 (How to Lock Down a Windows 2000 Terminal Server Session)
В некоторых случаях на нескольких серверах терминалов установлено одинаковое программное обеспечение, но администраторы этих серверов хотят предоставить доступ разным группам пользователей к разному программному обеспечению. Часть приложений при этом может быть общей для нескольких групп. Рассмотрим пример, когда юридическая фирма размещает приложения на ферме серверов терминалов. На серверах установлено одинаковое программное обеспечение. Правила доступа к программному обеспечению выглядят следующим образом:
| Любой сотрудник может использовать Microsoft Office и Internet Explorer. Все сотрудники являются членами группы AllEmployees . | |
| Любой сотрудник бухгалтерии может использовать приложения из папки Accounting Software. Сотрудники бухгалтерии являются членами группы AccountingEmployees . | |
| Любой юрист может использовать приложения из папки Law Research software. Юристы являются членами группы Lawyers . | |
| Любой сотрудник внутренней почтовой службы может использовать приложения из папки Mail Room Processing software. Сотрудники внутренней почтовой службы являются членами группы MailRoomEmployees . | |
| Руководители могут использовать любое программное обеспечение, доступное для других сотрудников. Руководители являются членами группы Executives . | |
| Объекты групповой политики не применяются к администраторам. |
Чтобы разграничить доступ к программному обеспечению, администратор создает пять объектов групповой политики с персонально настроенными политиками ограниченного использования программ. Каждый объект групповой политики фильтруется так, чтобы он применялся только к пользователям одной из групп AllEmployees , AccountingEmployees , Lawyers, MailRoomEmployees или Executives (в зависимости от того, для какой группы он предназначен).
Поскольку руководители должны иметь доступ к любому программному обеспечению как на своих рабочих станциях, так и на серверах терминалов, администратор использует функциональную возможность групповой политики – замыкание на себя (Loopback). Установка замыкания на себя позволяет администратору применять к пользователям параметры объекта групповой политики (GPO) компьютера, на который они входят. Если замыкание на себя установлено в режиме замены (Loopback with Replace), параметры конфигурации GPO компьютера применяются к пользователю во время его входа в систему, а параметры конфигурации GPO пользователя игнорируются. Более подробная информация по конфигурированию замыкания на себя содержится в документе по групповой политике.
| Объект групповой политики пользователя A1, связан с доменом Law | |
| Фильтр: Для компьютеров домена Law установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %WINDIR% | |
| %PROGRAMFILES%\Common Files | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Internet Explorer | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Windows NT | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Microsoft Office | Неограниченный (Unrestricted) |
| Объект групповой политики пользователя A5, связан с доменом Lab Resource | |
| Фильтр: Для компьютеров домена Law и пользователей группы Executives установлено разрешение Применение групповой политики (Apply Group Policy) | |
| Установлено замыкание на себя в режиме замены (Enable Loopback in Replace Mode) | |
| Уровень безопасности по умолчанию | |
| Не разрешено (Disallowed) | |
| Правила для пути | |
| %PROGRAMFILES%\Law Research Software | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Mail Room Program | Неограниченный (Unrestricted) |
| %PROGRAMFILES%\Accounting Software | Неограниченный (Unrestricted) |
Пошаговое руководство по проектированию политики ограниченного использования программ
В этом разделе описаны шаги, которые необходимо выполнить в процессе проектирования политики ограниченного использования программ.
Вопросы для рассмотрения
При проектировании политики необходимо определиться со следующими аспектами:
Пошаговое выполнение процесса
Шаг 1. Объект групповой политики или локальная политика безопасности
Должна ли политика применяться ко многим компьютерам или пользователям домена или подразделения, или же она должна применяться только к локальному компьютеру?
Шаг 2. Политика пользователя или политика компьютера
Должна ли политика применяться к пользователям независимо от того, на какой компьютер они входят, или наоборот – к компьютеру независимо от того, кто осуществляет вход?
Шаг 3. Уровень безопасности по умолчанию
Известно ли Вам все программное обеспечение, с которым будут работать пользователи, или они могут устанавливать любое программное обеспечение на свой выбор?
Шаг 4. Дополнительные правила
Идентифицируйте выбранные разрешенные или запрещенные приложения, используя четыре типа правил, рассмотренные выше в разделе Архитектура политики ограниченного использования программ .
Шаг 5. Опции политики
Существует несколько опций политики:
| Если Вы используете локальную политику безопасности и не хотите, чтобы она применялась к администраторам на локальном компьютере, включите опцию предотвращения применения политики ограниченного использования программ к локальным администраторам (Skip Administrators ). | |
| Если Вы хотите проверять библиотеки DLL в дополнение к исполняемым файлам и сценариям, включите опцию проверки библиотек DLL (DLL checking ). | |
| Если Вы хотите задать правила для типов файлов, которые по умолчанию не входят в список назначенных типов файлов, считающимися исполняемыми, добавьте дополнительные типы файлов . | |
| Если Вы хотите определить, кто может принимать решения о загрузке управляющих элементов ActiveX и другого подписанного содержимого, установите требуемые опции в окне Свойства: Доверенные издатели (Trusted Publishers) . |
Шаг 6. Связывание политики с сайтом, доменом или подразделением
Чтобы связать объект групповой политики с сайтом.
Чтобы связать объект групповой политики с доменом или подразделением.
Фильтрация
На этом этапе может быть осуществлена фильтрация объектов групповой политики. Путем фильтрации, основанной на членстве в группах, Вы можете определить часть организационного подразделения Active Directory (Organizational Unit, OU), на которую будет действовать объект групповой политики. Вы также можете производить фильтрацию на основе запросов инструментария управления Windows (WMI).
Тестирование политики
Если Вы не хотите ждать следующего интервала обновления групповой политики, а хотите протестировать Вашу политику немедленно, запустите программу gpupdate.exe и выполните повторный вход в систему. После этого Вы можете приступать к тестированию Вашей политики.
Как показывает практика, чем меньше пользователей имеют доступ к конкретному компьютеру, тем дольше система остается на нем работоспособной и тем больше вероятность, что папки и файлы окажутся в целости и сохранности. Лучше всего, если у компьютера только один пользователь. Увы, в действительности так бывает далеко не всегда: на работе приходится пускать за свой компьютер других сотрудников, дома довольно часто один и тот же компьютер используется всеми членами семьи, а в публичных местах (в частности, в учебных заведениях и компьютерных клубах) число пользователей компьютера вообще может оказаться очень большим.
О необходимости ограничения доступа
Вполне понятно, что обычно ни коллеги, ни домочадцы не желают нанести вреда вашему компьютеру, но если они относятся к категории начинающих пользователей, то проблем не избежать. Да и подрастающее поколение в учебных заведениях обычно не ставит перед собой цели вывести компьютер из строя и уничтожить хранящуюся на нем информацию - просто активно экспериментирует, не задумываясь о том, к каким последствиям могут привести те или иные действия.
В итоге на компьютерах неизбежно возникают те или иные проблемы в работе отдельных приложений либо операционной системы. Это неудивительно, ведь достаточно случайно (просто по неосторожности или в ходе эксперимента) удалить, например, драйвер монитора - и изображение на экране станет не столь привлекательным, удалить принтер - и печать документов окажется невозможной, изменить сетевые настройки - и компьютер перестанет работать в локальной сети и т.д. И это еще не самый худший вариант - случайное удаление ряда системных папок и файлов может привести к полной неработоспособности операционной системы, так что ее придется переустанавливать. А уничтожение важных рабочих документов может иметь еще более печальные последствия - не исключено, что восстановить их в полном объеме не удастся и часть работы (а то и всю ее целиком) придется выполнять заново. Кроме того, нельзя сбрасывать со счетов и то, что если ваши личные либо корпоративные материалы представляют какую-либо коммерческую ценность, ими могут захотеть воспользоваться злоумышленники.
Таким образом, вопрос ограничения доступа к компьютеру, его отдельным устройствам, а также хранящимся на нем данным в той или иной мере актуален для всех компьютерных пользователей без исключения. Просто для одних (администраторов, преподавателей в компьютерных классах, имеющих детей домашних пользователей) на первый план выходят задачи блокирования доступа к настройкам операционной системы и защиты файлов и папок операционной системы и установленных приложений, а для других (сюда можно отнести администраторов, специалистов отделов компьютерной безопасности и преподавателей, которые в нашей стране наряду с преподавательской деятельностью часто также вынуждены обеспечивать работоспособность находящихся в их ведении компьютеров) важнее блокирование доступа к различным устройствам (USB, CD/DVD, FireWire и др.). Причин необходимости блокирования доступа к устройствам три: во-первых, именно на таких устройствах инсайдеры нередко выносят из компаний конфиденциальную информацию; во-вторых, посредством этих устройств в компьютер часто попадают вирусы и троянские программы; в-третьих, со сменных носителей устанавливаются разнообразные программы, что желательно предотвратить - в противном случае на компьютер, например в учебном заведении, уже через неделю будет установлено такое количество игрушек, что для других приложений просто не останется места.
Многих офисных сотрудников интересует полное блокирование доступа к включенному компьютеру в отсутствие законного пользователя. Необходимость подобной защиты в офисе весьма актуальна, ведь даже при наличии собственного компьютера пользователь не может находиться рядом с ним постоянно и нередки ситуации, когда включенный компьютер оказывается без присмотра, чем могут воспользоваться заинтересованные в ваших материалах другие сотрудники.
Еще одну группу пользователей (к ней относятся все офисные служащие и домашние пользователи) волнует защита персональных данных для предотвращения их порчи, удаления либо утечки. Проблема защиты персональных папок и файлов неизбежно возникает, когда за компьютером работает несколько человек. Это может быть и дома, когда нужно оградить других членов семьи (например, ребенка) от непредназначенной для них информации, и на работе, где даже при наличии у каждого пользователя своего компьютера возможны ситуации, когда другому сотруднику потребуется выполнить за вашим компьютером какие-то операции. В обоих случаях незачем демонстрировать посторонним свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно». Все гораздо проще: никто не любит вмешательства посторонних в свои дела. Кроме того, заблокировав доступ к своим папкам и файлам, можно не переживать, что с ними что-то случится по вине другого (недостаточно подготовленного) пользователя либо ими незаконно воспользуются, что, к сожалению, вполне возможно, если материалы представляют коммерческую ценность.
В общем вопрос разумного ограничения доступа весьма сложен и многогранен, и без подходящих приложений решить его невозможно. Таким приложениям и посвящена данная статья.
Программы для ограничения доступа
Ассортимент предлагаемых на рынке приложений для ограничения доступа достаточно широк и охватывает разноплановые программные продукты. Одни из них блокируют доступ к настройкам операционной системы, другие - позволяют контролировать доступ к разнообразным устройствам, третьи - полностью блокируют компьютер в отсутствии пользователя, четвертые - обеспечивают скрытие персональных данных. Нередко указанные возможности сочетаются в той или иной комбинации, что вполне понятно, ведь многим пользователям для решения стоящих перед ними задач требуется ограничить доступ сразу по нескольким направлениям.
Блокирование доступа к настройкам операционной системы и системным данным
Встроенные средства Windows позволяют вводить некоторые ограничения на доступ пользователей к настройкам операционной системы и системным данным путем управления локальной политикой безопасности (Панель управления=>Администрирование=>Локальная политика безопасности). В частности, можно запретить изменение пароля учетной записи и установку драйверов принтера, ограничить список допустимых для использования приложений и т.п., однако перечень ограничиваемых параметров невелик.
В то же время на практике для обеспечения стабильной работы системы довольно часто требуется больше ограничивать возможности пользователей, что можно сделать уже только с помощью узкоспециализированных утилит, предназначенных для управления доступом к компьютеру. В качестве примера мы рассмотрим программы Security Administrator, WinLock, Deskman и My Simple Desktop. Наибольший интерес из них представляет утилита Security Administrator, позволяющая ограничивать доступ ко всем важным настройкам системы и ориентированная на системных администраторов. Наименьшая функциональность у программы My Simple Desktop, зато она бесплатна для персонального применения и имеет вполне достаточные для части домашних пользователей возможности, да и освоить ее можно в считаные секунды.
Security Administrator 12.0
Разработчик : Getfreefile
Размер дистрибутива : 1,85 Мбайт
Работа под управлением : Windows 9x/Me/NT 4/2000/XP/2003/Vista
Способ распространения http://www.softheap.com/download/secagent.zip)
Цена : 69 долл.
Security Administrator - профессиональное решение для управления доступом к компьютеру, позволяющее ограничить доступ к компьютеру и всем его важным настройкам (рис. 1) как в целом, так и для отдельных пользователей. Возможно также полное блокирование включенного ПК при отсутствии пользователя. Помимо установки ограничений утилита может применяться для контроля работы пользователей на компьютере, поскольку ведет статистику использования локальной сети, Интернета и т.д.
Рис. 1. Ограничение доступа к системным настройкам и скрытие дисков
в Security Administrator
Данное решение пригодится для установки широкого спектра ограничений доступа. С его помощью несложно ограничить доступ к настройкам рабочего стола (запретить изменение свойств дисплея, скрыть определенные иконки и др.) и отключить некоторые пункты меню «Пуск», скрыть панель задач (всю либо только отдельные элементы). А также запретить установку/удаление приложений и ограничить возможности пользователей при работе в Интернете: запретить изменение параметров Internet Explorer, скачивание файлов, доступ к Интернету из приложений и т.д. Предусмотрены и широкие возможности для защиты критических настроек системы от изменений - например можно запретить редактирование системного реестра, активирование режима DOS, инсталляцию новых драйверов, добавление/удаление принтеров, копирование/перемещение файлов в системных папках и удаление файлов и папок из папки «Мой компьютер». А также скрыть в меню «Пуск» панель управления, принтеры, сетевые подключения и команду «Выполнить». При необходимости панель управления можно скрывать не полностью, а частично, спрятав наиболее критичные с точки зрения несанкционированного изменения элементы, такие как «Система», «Свойства экрана», «Сеть», «Пароли» и «Принтеры». Столь же несложно скрыть локальные, сетевые и USB-диски, запретить прожиг и автопроигрывание компакт-дисков, блокировать использование горячих клавиш Windows и запуск конкретных приложений, а также скрыть указанные папки - данные папки станут невидимыми в папке «Мой компьютер», проводнике и диалоговых окнах Open/Save Windows-приложений.
WinLock 5.0
Разработчик : Crystal Office Systems
Размер дистрибутива : 2,65 Мбайт
Работа под управлением : Windows 95/98/Me/NT 4.0/2000/XP/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.crystaloffice.com/winlock.exe)
Цена : WinLock - 21,95 долл.; WinLock Professional - 31,95 долл.
WinLock - удобное решение для ограничения доступа к важным системным ресурсам (рис. 2) и пользовательским данным, в том числе в удаленном режиме. Программа представлена в двух версиях: базовой WinLock и расширенной WinLock Professional (возможности базовой версии не позволяют ограничивать доступ к веб-ресурсам и использовать шифрование).
Рис. 2. Ограничение доступа к системным настройкам и скрытие дисков
в WinLock
С помощью данного решения можно запретить доступ к системному реестру, скрыть в меню «Пуск» команды доступа к панели управления, принтерам и сетевым подключениям и полностью заблокировать доступ к соответствующим системным папкам и к некоторым другим папкам («Мой компьютер», «Мои документы», корзине и др.). А также установить запрет на блокирование компьютера и сделать невозможным изменение настроек панели задач, параметров дисплея, сетевых настроек, добавление/удаление программ из меню «Пуск» и переименование иконок на рабочем столе. Столь же просто установить запреты на активирование режима DOS и загрузку Windows в безопасном режиме и заблокировать горячие клавиши Windows (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc и т.д.). При желании можно даже ограничить возможности управления окнами (например, запретить изменение их размеров и перемещение). Имеется в программе и инструментарий для блокирования доступа к сменным носителям (CD/DVD-приводам, USB-устройствам и др.) и скрытия отображения определенных дисков в папке «Мой компьютер» и проводнике. Можно блокировать запуск конкретных приложений (download-менеджеров, игр и т.д.) и запретить доступ к определенным файлам и папкам (первые нельзя будет открыть для просмотра или редактирования, а вторые - открыть, переименовать или удалить). А также предотвратить доступ к сомнительным веб-ресурсам (на базе белого списка разрешенных сайтов и черного списка запрещенных ключевых слов) и установить ограничения на время использования компьютера конкретными пользователями.
Deskman 8.1
Разработчик : Anfibia Software
Размер дистрибутива : 1,03 Мбайт
Работа под управлением : Windows 2000/2003/XP/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.anfibia-soft.com/download/deskmansetup.exe)
Цена : персональная лицензия - 25 евро; бизнес-лицензия - 35 евро
Deskman - простой инструмент для регулирования доступа к компьютеру и его настройкам (рис. 3), позволяющий полностью блокировать ПК (включая клавиатуру, мышь и рабочий стол) либо ограничивать доступ к тем или иным его функциям (для разных пользователей возможны индивидуальные ограничения).
Рис. 3. Настройка ограничений в Deskman
Воспользовавшись данным решением, можно ограничить доступ к настройкам рабочего стола (например, запретить изменение свойств дисплея, удаление иконок, вызов контекстного меню и др.), проводника Windows, панели задач, настройкам Internet Explorer и запретить изменение различных элементов меню «Пуск». А также ограничить доступ к панели управления и другим критическим параметрам настройки системы - например запретить удаление сетевых дисков, заблокировать перезагрузку и выключение компьютера и т.п. При необходимости несложно заблокировать все либо только определенные горячие клавиши Windows (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc и др.) и настроить утилиту на автоматическое удаление новых записей из автозапуска для предотвращения действия вирусов, adware- и spyware-модулей. Возможна установка запрета на использование другими пользователями конкретных жестких дисков и сменных носителей (CD/DVD-приводов, USB-устройств, дисководов и др.), блокирование автопроигрывания компакт-дисков и их прожиг. Настраивать ограничения можно через предустановленные профили (это удобнее для новичков и гораздо быстрее) либо вручную.
My Simple Desktop 2.0
Разработчик : Anfibia Software
Размер дистрибутива : 1, 76 Мбайт
Работа под управлением : Windows XP/Vista
Способ распространения : My Simple Desktop Office Edition и My Simple Desktop School Edition - shareware (30-дневная демо-версия - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - freeware (http://www.mysimpledesktop.com/download/msdsetup_home.exe)
Цена : My Simple Desktop Office Edition - 32 евро; My Simple Desktop School Edition - 20 евро; My Simple Desktop Home Edition - бесплатно (только для персонального применения)
My Simple Desktop - очень простая программа для ограничения доступа к компьютеру и его настройкам (рис. 4). Она представлена в трех редакциях: платных My Simple Desktop Office Edition и My Simple Desktop School Edition и бесплатной My Simple Desktop Home Edition (возможности редакций полностью идентичны).
Рис. 4. Установка ограничений доступа в My Simple Desktop
С помощью данной утилиты можно защитить от изменений рабочий стол, панель задач и меню «Пуск», сделать невозможным внесение изменений в настройки дисплея и контекстного меню проводника. А также запретить доступ к панели управления, свойствам папок и системному реестру и заблокировать использование горячих клавиш Windows и правой кнопки мыши. В плане ограничения доступа к устройствам предусмотрен запрет на использование стационарных дисков и внешних USB-устройств, а также скрытие сетевых дисков и блокирование автопроигрывания компакт-дисков. При необходимости можно установить ограничение на время использования компьютера - одинаковое для всех пользователей, за исключением администратора. Настройка ограничений производится путем назначения одного из предустановленных профилей либо вручную.
Ограничение доступа к устройствам
Встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах семейства Windows (кроме Windows Vista) не позволяют контролировать доступ других пользователей к потенциально опасным устройствам (USB-устройствам, CD/DVD-накопителям, FireWire и инфракрасным портам и др.). Конечно, можно отключить подобные устройства в BIOS, но это не выход, так как для работы с отключенным устройством (если это потребуется) придется каждый раз обращаться к BIOS и вновь его включать, что довольно долго и очень неудобно.
Гораздо разумнее осуществлять контроль доступа к устройствам с помощью дополнительных приложений, которые могут быть самыми разными. Нередко возможность скрытия или блокирования устройств предусмотрена в утилитах, предназначенных для управления доступом к настройкам операционной системы, включая рассмотренные нами. Правда, возможности ограничения доступа к устройствам в них невелики: контролировать доступ можно далеко не ко всем опасным устройствам, а уж о контроле носителей речь и не идет. Гораздо большей функциональностью в этом плане обладают утилиты - блокировщики доступа к устройствам и специализированные решения для защиты системы от утечек корпоративной информации. В качестве примера мы рассмотрим программы DeviceLock, USB Lock Standard и ID Devices Lock. Самой функциональной из них является программа DeviceLock, с помощью которой можно контролировать (а не только блокировать) доступ отдельных пользователей и групп пользователей практически к любым потенциально опасным устройствам (и даже носителям), но она ориентирована преимущественно на системных администраторов. Возможности двух других утилит гораздо скромнее, но их вполне достаточно для большинства пользователей.
DeviceLock 6.3
Разработчик : ЗАО «Смарт Лайн Инк»
Размер дистрибутива : 39,7 Мбайт
Работа под управлением : Windows NT/2000/XP/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.devicelock.com/ru/dl/download.html)
Цена : 1300 руб.
DeviceLock - специализированное решение для организации системы защиты от утечек корпоративной информации, позволяющее контролировать доступ ко всему спектру потенциально опасных устройств: USB-портам, дисководам, CD/DVD-приводам, а также FireWire, инфракрасным, параллельным и последовательным портам, Wi-Fi- и Bluetooth-адаптерам, ленточным накопителям, КПК и смартфонам, сетевым и локальным принтерам, внутренним и внешним сменным накопителям и жестким дискам. Программа имеет централизованную систему удаленного управления, обеспечивающую доступ ко всем функциям с рабочего места администратора системы. Реализуется подобное управление с помощью дополнительной консоли DeviceLock Enterprise Manager либо через групповые политики Actvie Directory, что позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку для новых компьютеров в автоматическом режиме.
Возможно либо полное блокирование определенного типа устройств, либо частичное, то есть в соответствии с белым списком носителей (рис. 5), при котором доступ к некоторым носителям будет разрешен несмотря на блокирование соответствующего типа устройства. Допускаются также задание режима «только чтение» и защита дисков от случайного или преднамеренного форматирования. Предусмотрено назначение различных прав доступа к устройствам и портам ввода-вывода для отдельных пользователей и групп пользователей с возможностью установки контроля в зависимости от времени и дня недели. При необходимости можно протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.) путем выполнения теневого копирования.
Рис. 5. Настройка ограничений доступа к устройствам в соответствии
с белым списком носителей в DeviceLock
USB Lock Standard 3.4.1
Разработчик : Advanced Systems International SAC
Размер дистрибутива : 2,02 Мбайт
Работа под управлением : Windows XP/Vista
Способ распространения : shareware (10-дневная демо-версия - http://www.advansysperu.com/down_st.php)
Цена : 44 долл.
USB Lock Standard - удобный инструмент для блокирования доступа (рис. 6) ко всем типам сменных носителей: USB-портам (USB-дискам, iPods, MP3-плеерам и др.), Zip-устройствам, дисководам, CD/DVD-накопителям, Bluetooth-адаптерам и устройствам чтения смарт-карт (CF, SD, MMC, XD и др.). Он позволяет полностью блокировать доступ к указанным устройствам либо сделать это частично, открыв доступ для авторизованных устройств. Для отмены блокирования требуется знание пароля либо USB-ключ. Операции с незаблокированными устройствами фиксируются в логах.
Рис. 6. Блокирование доступа
к CD/DVD-накопителям в USB Lock Standard
ID Devices Lock 1.2
Разработчик : ID Security Suite
Размер дистрибутива : 1,47 Мбайт
Работа под управлением : Windows 98/NT/2000/XP/Vista
Способ распространения http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)
Цена : 37 долл.
ID Devices Lock - простая утилита для ограничения доступа (рис. 7) к USB-устройствам, CD-накопителям и дисководам путем запрета копирования на них данных, что позволяет предотвратить утечку информации на мобильных носителях. Для отмены блокирования требуется знание пароля.
Рис. 7. Ограничение доступа к дисководу в ID Devices Lock
Полное блокирование компьютера в отсутствие пользователя
Самый простой способ блокировать доступ к включенному компьютеру - установить пароль на заставку, но это не лучший вариант, поскольку при перезагрузке пароль с заставки без проблем можно снять. Гораздо надежнее полностью заблокировать компьютер при помощи специальных программных средств, которые сделают невозможным доступ к любым элементам компьютера, включая клавиатуру, мышь и рабочий стол. После этого просмотреть на нем какую-либо информацию, запустить приложения, получить доступ к файлам и папкам (включая открытые на данный момент) и даже перезагрузить компьютер путем нажатия клавиатурной комбинации Ctrl+Alt+Del будет уже невозможно. Разблокировать компьютер можно, только зная пароль пользователя, а обычная перезагрузка (даже в безопасном режиме) или сбой в питании не приведут к снятию защиты.
Подобное блокирование компьютера обычно обеспечивается с помощью узкоспециализированных утилит: Desktop Lock, Lock My PC и аналогичных, однако такие возможности могут предоставляться и в программах, предназначенных для установки разного рода ограничений доступа, - в частности в Security Administrator и Deskman.
Desktop Lock 7.2.1
Разработчик : TopLang software
Размер дистрибутива : 792 Кбайт
Работа под управлением : Windows NT/2000/XP/2003/Vista
Способ распространения : shareware (15-дневная демо-версия - http://www.toplang.com/dlsetup.exe)
Цена : 24,95 долл.
Desktop Lock - утилита для блокирования компьютера (рис. 8) на время отсутствия пользователя. Установка блокирования производится из самой утилиты путем нажатия определенной комбинации клавиш автоматически в указанное пользователем время или, в случае неактивности пользователя, по истечении заданного срока. Введение компьютера в заблокированный режим может сопровождаться запуском скринсейвера, проигрыванием аудио- или видеофайла, что разумно, например, на выставках при демонстрации корпоративных презентаций. При блокировке отключается мышь и становится невозможным использование основных клавиатурных комбинаций. Для выхода из заблокированного режима требуется нажатие секретной клавиатурной комбинации или клавиши мыши с введением пароля. При желании можно настроить утилиту на фиксирование кратких сообщений от других пользователей, которые подходили к компьютеру во время отсутствия его владельца и пожелали что-либо ему написать.
Рис. 8. Настройка параметров блокирования компьютера в Desktop Lock
Lock My PC 4.7
Разработчик : FSPro Labs
Размер дистрибутива : 1,4 Мбайт
Работа под управлением : Windows 2000/XP/2003/Vista
Способ распространения: shareware (30-дневная демо-версия - http://www.fsprolabs.com/download/distr/lmpc.zip)
Цена : персональная лицензия - 19,95 долл.; бизнес-лицензия - 29,95 долл.
Lock My PC - инструмент для блокирования компьютера (рис. 9) на время отсутствия пользователя. Заблокировать компьютер несложно - достаточно дважды щелкнуть мышью по соответствующему значку в системном трее или нажать особую клавиатурную комбинацию. Возможно автоматическое блокирование по истечении заданного времени неактивности пользователя. При блокировке отключаются мышь и CD/DVD-приводы (это не позволит вынуть из них компакт-диски) и становится невозможным использование основных клавиатурных комбинаций: Ctrl+Alt+Del, Alt+Tab и др. На заблокированном компьютере в качестве скринсейверов могут демонстрироваться любые, в том числе созданные самостоятельно, изображения в форматах GIF, JPEG, BMP и animated GIF. Разблокировать компьютер можно, только зная пароль пользователя либо администратора.
Рис. 9. Настройка параметров блокирования компьютера в Lock My PC
Защита персональной информации
Существует несколько способов защиты персональных данных от несанкционированного доступа: можно сжать папки и файлы в архиве, защищенном паролем; скрыть их; поместить в секретную папку, доступ к которой для других пользователей будет закрыт паролем; зашифровать либо создать виртуальный зашифрованный диск, на который и записывать свои секретные материалы. Выбор наиболее предпочтительного способа зависит от ситуации, однако в большинстве случаев наилучшим является вариант сокрытия и шифрования папок и файлов, поэтому в данной статье мы только им и ограничимся.
Теоретически скрывать папки и файлы можно, используя встроенные возможности Windows - для этого достаточно в свойствах соответствующих объектов включить атрибут «Скрытый». Скрытые таким образом папки и файлы не будут видны в проводнике другим пользователям системы, но лишь при условии, что в свойствах содержащих их родительских папок включен флажок «Не показывать скрытые файлы и папки». В принципе, этого может оказаться достаточно для защиты данных от неподготовленных пользователей. Однако скрытые подобным образом объекты будут видны в приложениях, которые не используют стандартный диалог для отображения файлов и папок (FAR, Total Commander и т.п.), поэтому подобная защита не слишком хороша.
Более надежным вариантом защиты данных встроенными средствами Windows является использование шифрованной файловой системы EFS (Encrypting File System, EFS), позволяющей шифровать файлы путем включения для них в проводнике опции «Шифровать содержимое для защиты данных» (Свойства=>Общие=>Дополнительно). Прочитать зашифрованные таким способом файлы без знания пароля невозможно, однако система EFS позволяет защищать папки и файлы только в файловой системе NTFS.
По этим причинам для защиты персональных папок и файлов лучше пользоваться специализированными утилитами. Данные решения позволят более надежно скрывать папки и файлы (они не будут видны при отключении флажка «Не показывать скрытые файлы и папки»), а также блокировать доступ к ним. Более того, некоторые из таких утилит также дают возможность шифровать данные, что обеспечит их защиту от других пользователей даже при загрузке Windows в безопасном режиме, загрузке в другой операционной системе либо на другом компьютере (если на него предварительно будет установлен жесткий диск с защищенной информацией). В качестве примеров мы рассмотрим программы Folder Lock, Folder Guard и Hide Folders XP. Первая обеспечивает самый высокий уровень защиты шифруемых данных, вторая дополнительно предоставляет инструментарий для защиты базовых настроек ОС от изменений. Пакет Hide Folders XP заметно уступает названным решениям по своим возможностям, но зато имеет русскоязычный интерфейс и предлагается русскоязычным пользователям по весьма привлекательной цене.
Folder Lock 6.0.1
Разработчик : NewSoftware Professionals, Inc.
Размер дистрибутива : 2,78 Мбайт
Работа под управлением : Windows 2000/XP/2003/Vista
Способ распространения : shareware (20-дневная демо-версия - http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)
Цена : 35,95 долл.
Folder Lock - эффективное и надежное решение для зашиты персональных файлов, папок (рис. 10) и дисков путем установки на них пароля, сокрытия и шифрования (алгоритм AES с 256-битным ключом). Для большей безопасности в данном решении допускается применение блокирования и шифрования одновременно - защищенные таким способом файлы не отображаются в проводнике и в приложениях и полностью недоступны, так как получить доступ к ним без знания пароля нельзя даже в случае загрузки в DOS, в безопасном режиме Windows, с другой ОС или на другом компьютере. На случай, если пароль забыт, предусмотрена возможность получения доступа к данным по регистрационному ключу. Исходные данные, которые требуется защитить, могут находиться не только на жестком диске, но и на USB-носителях, картах памяти, дисках CD-RW, дискетах и ноутбуках. А процесс установки предусмотренной защиты может производиться автоматически в случае неактивности компьютера. В специальном режиме Stealth Mode программа умеет скрывать все следы, свидетельствующие об установке на компьютере защиты данных: препятствует отображению собственных ярлыков на рабочем столе и в меню «Пуск», скрывает данные об инсталляции/деинсталляции в соответствующем разделе панели управления, очищает историю и данные буфера обмена и т.д. Кроме того, в целях большей безопасности программа ведет учет всех неудачно введенных для снятия защиты паролей, что позволяет пользователю вовремя зафиксировать проявление нездорового интереса к собственному компьютеру со стороны других пользователей.
Рис. 10. Работа с защищенными папками в пакете Folder Lock
Folder Guard 7.6
Разработчик : WinAbility Software Corporation
Размер дистрибутива : Folder Guard Editions и Folder Guard x64 Edition - 1,8 Мбайт; Folder Guard Professional Edition - 2,5 Мбайт
Работа под управлением : Windows 2K/XP/2003/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.winability.com/folderguard/editions.htm)
Цена : Folder Guard Editions и Folder Guard x64 Edition - 39,95 долл.; Folder Guard Professional Edition - 59,95 долл.
Folder Guard - простое и удобное решение для ограничения доступа к папкам и файлам, а также предотвращения доступа к ряду настроек Windows. Оно представлено в трех версиях: Folder Guard Editions, Folder Guard x64 Edition и Folder Guard Professional Edition. Первая версия работает в 32-разрядных версиях Windows, вторая - в 64-разрядных, а третья - и в тех, и в других.
Ограничение доступа к персональным данным осуществляется путем их сокрытия (рис. 11), установки режима «только для чтения» либо блокирования. При этом сокрытие реализовано в двух вариантах: можно сделать папки и файлы скрытыми либо назначить их пустыми (Empty). Во втором случае папки будут видимыми, но при открытии окажутся пустыми, хотя в реальности содержат информацию - данный вариант защиты подходит для стандартных папок Windows, полное сокрытие которых будет свидетельствовать о том, что информация на компьютере заблокирована, что нежелательно. Защищенные папки без пароля не будут доступны другим пользователям системы даже при загрузке Windows в безопасном режиме, правда для этого потребуется произвести в программе некоторые настройки. На случай, если пароль забыт, предусмотрена функция его восстановления с помощью бесплатной утилиты Emergency Recovery (http://www.winability.com/folderguard/eru.htm). Реализована также возможность работы программы в скрытом режиме (Stealth Mode), при котором ее собственные ярлыки и файлы окажутся скрытыми.
Рис. 11. Сокрытие папки в Folder Guard
С помощью Folder Guard также можно защитить базовые настройки ОС от корректировки (рис. 12) - в частности закрыть доступ к свойствам панели задач, меню «Пуск» и ряда других окон, запретить сохранение свойств дисплея (если они были изменены), заблокировать изменение свойств папок и настроек Internet Explorer, не показывать на рабочем столе иконки. А также предотвратить изменение критических для работы системы параметров путем закрытия доступа к панели управления и установки серии запретов: на доступ в системный реестр, добавление/удаление принтеров, использование команды «Выполнить» и т.д. Можно также скрыть в окне «Мой компьютер», проводнике и стандартных диалоговых окнах Open/Save определенные диски и блокировать запись CD/DVD-дисков. Для разных пользователей возможен различный набор подобных ограничений.
Рис. 12. Установка ограничений на доступ к Windows-настройкам
в Folder Guard
Hide Folders XP 2.9.8
Разработчик : FSPro Labs
Размер дистрибутива : 1,23 Мбайт
Работа под управлением : Windows 2000/XP/2003/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.fsprolabs.com/download/distr/hfxp.zip)
Цена : 29,95 долл. (в магазине Softkey.ru - 400 руб.)
Hide Folders XP - простая программа для защиты папок и файлов (рис. 13) от несанкционированного доступа путем их сокрытия и/или блокирования. Защищенные папки не будут доступны другим пользователям, включая администратора системы, даже при загрузке Windows в безопасном режиме. При этом защищенными от удаления окажутся не только защищенные папки и файлы, но и содержащие их папки. А для того, чтобы другие пользователи не догадались о наличии на компьютере защищенных данных, программа может удалять следы об установленной защите и умеет скрывать саму себя (может не отображаться в списке часто загружаемых программ, не показывать строку о деинсталляции в панели управления, скрывать себя в списке запущенных процессов и др.).
Рис. 13. Работа с защищенными файлами в среде Hide Folders XP
С целью повышения безопасности сетей (в частности, доменов на основе Active Directory) используются политики ограниченного использования программ. Этот компонент присутствует в любом объекте групповой политики.
Но при использовании этого компонента есть пара моментов, о которых я однажды запямятовал, и в результате получил прямо-таки эпидемию новогодних украшательств на рабочих столах пользователей по всей сети.
Итак, расскажу о моментах, про которые не стоит забывать.
Создавая новый объект групповой политики и редактируя существующий, открываем его в редакторе групповых политик:
Разворачиваем ветку Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности , выбираем раздел Политики ограниченного использования программ . По умолчанию, эти политики не заданы:
Создаём политику:
По умолчанию запуск всех программ разрешён (Уровень безопасности - Неограниченый ). Задаём по умолчанию уровень Не разрешено :
А вот теперь важно не забыть следующее:
1. В разделе Дополнительные правила
удаляем параметр %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
. Этот параметр разрешает запуск всех программ, расположенных в
Program Files.
Этот шаг обусловлен тем, что пользователь, обладая правами записи в папку Program Files, может сохранить туда исполнимый файл и запустить его, что может привести к нарушению безопасности системы. Удалив этот параметр, мы лишаем пользователя такой возможности. Естественно, что надо не забыть прописать хэши разрешённых программ из Program Files в разделе Дополнительные правила.
2. В разделе Политики ограниченного использования программ в параметре Принудительный по умолчанию задано применение политики Для всех пользователей . Следует установить Для всех пользователей, кроме локальных администраторов .
Это необходимо для того, чтобы члены локальной группы Администраторы могли при необходимости выполнять установку программ, запуск необходимых утилит и т.п.
3. В разделе Политики ограниченного использования программ в параметре Назначенные типы файлов следует из списка удалить тип файлов LNK (Ярлык) .
Удалить тип файла LNK (Ярлык) необходимо для того, чтобы не прописывать в политике разрешение на исполнение для каждого ярлыка на компьютере.
Напоследок хочу заметить, что всё вышеизложенное я написал в первую очередь как памятку для себя, и приведенные рекомендации не являются "истиной в последней инстанции".
Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.
Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.
Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)
Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.
В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.
В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.
Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).
Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.
Политики ограниченного использования программ (Software Restriction Policies) - это технология клиентов Windows 7, доступная для Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики ограниченного использования программ управляются при помощи групповой политики. Соответствующий узел находится в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ (Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies ). Для этих политик доступны параметры Неограниченный (Unrestricted ), разрешающий выполнение приложений, и Запрещено (Disallowed ), блокирующий выполнение приложений.
Ограничить выполнение приложений можно и при помощи прав файловой системы NTFS. Однако настройка прав доступа NTFS для большого числа приложений на многих компьютерах - очень трудоемкий процесс.
В принципе, возможности политик ограниченного использования программ и AppLocker во многом перекрываются. Преимущество политик ограниченного использования программ заключается в том, что они могут применяться на компьютерах Windows XP и Windows Vista, а также в изданиях Windows 7, не поддерживающих AppLocker. С другой стороны, в политиках ограниченного использования программ все правила должны настраиваться вручную, поскольку отсутствуют встроенные мастера для их создания. Политики ограниченного использования программ применяются в заданном порядке, в котором более конкретные правила имеют приоритет по сравнению с более общими правилами. Приоритет правил от более конкретизированных (правила хеша) до менее конкретизированных (по умолчанию) таков:
- Правила хеша (hash rules).
- Правила сертификатов (certificate rules).
- Правила пути (path rules).
- Правила зоны (zone rules).
- Правила по умолчанию (default rules).
Если для одной программы задано два конфликтующих правила, приоритет имеет более специализированное правило. Например, правило хеша, задающее неограниченное использование приложения, перекрывает правило пути, которым это приложение запрещено. В этом заключается отличие от политик AppLocker, где приоритеты не используются и блокировка по любому правилу всегда доминирует над разрешающим правилом.
В средах, где используются и политики ограниченного использования программ, и AppLocker, политики AppLocker имеют приоритет. Если политика AppLocker явным образом разрешает работу приложения, заблокированного политикой ограниченного использования программ, приложение будет выполняться.
Уровни безопасности и правила по умолчанию
Узел Уровни безопасности (Security Levels) позволяет задавать правила ограниченного использования программ по умолчанию. Правило по умолчанию применяется, когда к приложению не применима никакая другая политика. Одновременно допускается активировать только одно правило по умолчанию. Три правила по умолчанию таковы:
- Запрещено (Disallowed ). Если включено это правило, пользователи смогут выполнять приложение, только если оно разрешено существующей политикой ограниченного использования программ.
- Обычный пользователь (Basic User ). Если включено это правило, пользователи смогут выполнять приложения, для которых не требуются административные полномочия. К приложению, требующему административных полномочий, пользователи получат доступ, только если было создано правило, охватывающее это приложение.
- Неограниченный (Unrestricted ). Если это правило задано в качестве правила по умолчанию, пользователь сможет выполнять это приложение, если оно не заблокировано существующей политикой ограниченного использования программ.
Если вы предполагаете ограничить возможности пользователей списком разрешенных приложений, настройте правило по умолчанию Запрещено (Disallowed ). Это гарантирует запрет на запуск любого приложения, не разрешенного явным образом. Если вы хотите лишь заблокировать пару проблемных программ, но не хотите запрещать использование всех прочих приложений, используемых в вашей среде, настройте правило по умолчанию Неограниченный (Unrestricted ). Это позволяет запускать любое приложение, если оно не заблокировано явным образом.
Способы применения политик
Окно Свойства: Применение (Enforcement Properties ), позволяет задать применение политик ограниченного использования программ ко всем файлам ПО, за исключением библиотек, например, DLL, или ко всем файлам ПО, включая библиотеки. Если по умолчанию задан уровень Запрещено (Disallowed ) и вы настроили применение политик к любым файлам ПО, для использования конкретной программы, вам необходимо будет настроить правила для библиотек DLL, используемых этой программой. Майкрософт не рекомендует ограничивать использование библиотек DLL, если среда, которой вы управляете, не требует повышенной безопасности. Это связано, главным образом, с тем, что управление правилами для библиотек DLL значительно увеличивает объем работы по сопровождению политик ограниченного использования программ.
Окно Свойства: Применение (Enforcement Properties ) позволяет настраивать применение политик ограниченного использования программ для всех пользователей или для всех пользователей, кроме администраторов. При помощи этой политики вы также можете задать, какие правила сертификатов будут принудительно применяться или игнорироваться. Недостаток принудительного применения правил сертификатов заключается в том, что они существенно снижают производительность компьютера.
Назначенные типы файлов
Политика Назначенные типы файлов (Designated File Types ), позволяет определять, по каким расширениям будут распознаваться исполняемые файлы, подпадающие под действие политик ограниченного использования программ. Список расширений редактируется при помощи кнопок Добавить (Add ) и Удалить (Remove ). Стандартные расширения (.com, .exe, и.vbs) удалить нельзя. Они всегда распознаются как исполняемые.
Правила пути
Правило пути позволяют указать в качестве объекта политики ограниченного использования программ файл, папку или параметр реестра. Чем конкретнее задано правило пути, тем выше его приоритет. Например, если у вас есть правило, задающее неограниченное использование файла C:\Program files\Application\App.exe , и правило, запрещающее использование файлов из папки C:\Program files\Application , приоритет будет иметь более специализированное правило: приложение будет выполняться. В правилах пути могут использоваться символы подстановки. Например, вполне возможно существование правила для пути C:\Program files\Application*.exe . Правила с использованием символов подстановки являются менее конкретными, чем правила, использующие полный путь к файлу. Недостатком правил пути является то, что в них предполагается неизменность расположения файлов и папок. Например, если вы создали правило пути для блокирования приложения C:\Apps\Filesharing.exe , злоумышленник сможет выполнить его, переместив файл в другую папку или присвоив ему другое имя. Правила пути работают только в том случае, если права доступа ОС не позволяют перемещать или переименовывать файлы.
Правила хеша
Правила хеша работают на основе цифрового отпечатка, который идентифицирует файл по его двоичному содержимому. Это означает, что файл, для которого вы создали правило хеша, будет идентифицирован независимо от его имени или расположения. Правила хеша работают для любых файлов и не требуют наличия цифровой подписи. Недостаток правил хеша в том, что их необходимо создавать отдельно для каждого файла. Нельзя автоматически создать правила хеша для политик ограниченного использования программ; вы должны генерировать каждое правило вручную. Также необходимо изменять правило хеша при каждом обновлении приложения, для которого действует правило, поскольку при обновлении ПО изменяется двоичное содержимое файла. Это означает, что измененный файл перестанет совпадать с первоначальным цифровым отпечатком.
Правила сертификатов
Правила сертификатов используют сертификаты издателя ПО с зашифрованной подписью для идентификации приложений, подписанных конкретным издателем. Правила сертификатов позволяют распространять на несколько приложений одно правило, гарантирующее такую же безопасность, что и правила хеша. Правила сертификатов не нужно изменять даже при обновлении ПО, поскольку модернизированное приложение по-прежнему будет подписано с использованием сертификата того же производителя. Для настройки правила сертификатов вам необходимо получить от производителя сертификат. Правила сертификатов увеличивают нагрузку на компьютер, поскольку перед началом выполнения приложения необходимо проверять действительность сертификата. Другой недостаток правил сертификатов в том, что они применяются ко всем приложениям данного производителя. Если на компьютере установлено двадцать приложений данной фирмы, а вы хотите разрешить выполнение лишь одного из них, вам предпочтительнее использовать другие правила. В противном случае пользователи смогут выполнять любые из этих двадцати приложений.
Правила сетевой зоны
Правила интернет-зоны применяются только к пакетам установщика Windows (.msi) , полученным при помощи Internet Explorer. К другим приложениям, например файлам .ехе , правила зоны неприменимы, даже если эти файлы также получены через Internet Explorer. Правила зоны определяют возможность использования пакета в зависимость от сайта, с которого он был скачан. Возможные расположения включают Интернет, интрасеть, ограниченные сайты (Restricted Sites), доверенные сайты (Trusted Sites) и Мой компьютер.
Более подробную информацию о политиках ограниченного использования программ вы найдете по адресу
