Александр Осипов: политика часто мешает принимать рациональные решения. Обзор решений для ограничения доступа к компьютеру и хранящимся на нем данным

Несмотря на то, что в составе Windows есть инструменты для ограничения доступа, на практике оказывается, что они не слишком удобны, причем в самых заурядных ситуациях. Достаточно упомянуть такие простые примеры, как установка пароля на директорию или запрет на открытие Панели управления.

Можно отметить, что в Windows 8, по сравнению с предшествующей ей Windows 7, был усовершенствован родительский контроль. Сейчас с ним можно ознакомиться в разделе «Семейная безопасность» Панели управления. Фильтр имеет следующие возможности:

• Фильтрация посещения веб-сайтов
• Ограничения по времени
• Ограничения на Магазин Windows и игры
• Ограничения на приложения
• Просмотр статистики активности пользователей

Из перечисленного ясно, что даже эти функции помогут администратору компьютера решить многие частные моменты. Поэтому далее пойдет речь о небольших программах, которые позволяют ограничить доступ к информации и системным разделам в дополнение к стандартным инструментам управления ОС Windows.

Лицензия: Shareware ($69)

Программа Security Administrator напоминает типичный системный твикер, но только с акцентом на системную безопасность. Каждая из опций отвечает за определенное ограничение, поэтому общее древо настроек так и называется - «Restrictions». Оно делится на 2 раздела: общие (Common Restrictions) и пользовательские ограничения (User Restrictions).

В первой секции - параметры и подразделы, которые касаются всех пользователей системы. К ним относятся загрузка и вход в систему, сеть, Проводник, собственно Интернет, система, Панель управления и другие. Условно их можно разделить на ограничения онлайн- и офлайн-доступа, но разработчики особо сложной разбивки по вкладкам не рассмотрели. По сути, достаточно и того, что каждый «твик» имеет описание: какое влияние на безопасность оказывает та или иная опция.

Во втором разделе, User Restrictions, можно настроить доступ для каждого пользователя Windows индивидуально. В список ограничений входят разделы Панели управления, элементы интерфейса, кнопки, горячие клавиши, съемные носители и др.

Предусмотрен экспорт настроек в отдельный файл, чтобы его можно было применить, например, на других системных конфигурациях. В программу встроен агент для слежения за активностью пользователей. Файлы журнала помогут администратору проследить потенциально опасные действия пользователя и принять соответствующие решения. Доступ к Security Administrator можно защитить паролем - в далее рассматриваемых программах это опция также имеется де факто.

Из недостатков - небольшой список программ, для которых можно применить ограничения: Media Player, MS Office и т. п. Популярных и потенциально опасных приложений намного больше. Усложняет работу отсутствие актуальной для Windows 8 версии и локализации - это как раз тот вариант, когда сложно обходиться без начальных знаний английского.

Таким образом, программа предназначена как для ограничения доступа, так и для гибкой настройки параметров безопасности ОС.

Лицензия: trialware ($23,95)

В WinLock нет распределения настроек на общие и пользовательские, вместо этого имеются разделы «Общие», «Система», «Интернет». В сумме, возможностей меньше, чем предлагает Security Administrator, но такая логика делает работу с программой более удобной.

К системным настройкам относятся ограничения элементов Рабочего стола, Проводника, меню «Пуск» и им подобных. Также можно установить запрет на определеные горячие клавиши и всевозможные меню. Если интересуют только эти аспекты ограничений - ниже см. программу Deskman.

Ограничения функций Интернета представлены весьма поверхностно. Они заменяют один из компонентов Семейной безопасности: блокировка доступа к сайтам. Безусловно, любой файрволл по этой части будет оптимальным решением. Отсутствие же возможности хотя бы задать маску для веб-узлов делает данный раздел WinLock маловажным для опытного пользователя.

Кроме названных разделов, следует упомянуть «Доступ», где доступно управление приложенями. Любую программу легко занести в черный список по названию либо ручным добавлением.

В разделы «Файлы» и «Папки» можно поместить данные, которые необходимо скрыть от других пользователей. Пожалуй, не хватает парольной защиты доступа (для этого нужно обратиться к помощи других программ, см. ниже).

Лицензия: freeware

WinGuard можно использовать для блокировки приложений и разделов Windows, а также для шифрования данных. Программа распространяется в двух редакциях - бесплатной и Advanced. Функциональные отличия между ними невелики - несколько опций в одноименной вкладке «Advanced». Среди них отключение Internet Explorer, Проводника, процесса установки, записи файлов на USB.

Контроль над запуском приложений осуществляется во вкладке «Task Lock». Если нужной программы нет в списке, ее можно добавить самостоятельно, указав название в заголовке либо выбрав из списка открытых в данный момент приложений (аналогично WinLock). Если же сравнивать функцию блокировки с Security Administrator, в случае с WinGuard можно отключить ограничения для администраторского аккаунта. Однако настроить черный список приложений для каждого пользователя нельзя.

Шифрование доступно посредством раздела Encryption. Реализован пользовательский интерфейс неудобно: нельзя составить список для обработки, нет контекстного меню. Все, что нужно сделать - это указать директорию, которая будет являться и исходной, и конечной. Все содержащиеся файлы будут зашифрованы в 128-битный AES (Advanced Encryption Standard). Аналогичным образом производится расшифровка.

Таким образом, функциональность достаточно бедная, даже если взять во внимание платную версию.

Лицензия: shareware ($34,95)

Еще одна программа для AES-шифрования данных, и все же отличие от WinGuard весьма заметно.

Во-первых, выбор файлов для шифрования происходит быстрее. Не нужно выбирать каждую папку по-отдельности, достаточно составить список директорий и файлов. При добавлении Advanced Folder Encryption требует выставить пароль для шифрования.

Вы, в программе нет возможности указать метод защиты, вместо этого позволяется выбрать метод Norman, High или Highest.

Второй удобный момент - шифрование через контекстное меню и расшифровка файлов одним кликом. Нужно понимать, что без установленной Advanced Folder Encryption данные не удастся просмотреть даже зная пароль. В этом отличие от архиваторов, которыми можно запаковать файлы в зашифрованный и всюду доступный exe-архив.

При выборе большого количества файлов для шифрования, как было замечено, не срабатывает кнопка отмены. Поэтому нужно быть осторожным, чтобы не получить результат в виде битого файла.

Лицензия: trialware (€39)

Программа для ограничения доступа к элементам интерфейса и системным разделам. Пожалуй, тут ее уместно сравнить с Security Administrator за той разницей, что Deskman более сконцентрирован на Рабочем столе. Системные опции также присутствуют, но это, скорее, то, что не подошло в другие разделы: отключение кнопок перезагрузки, Панели управления и другие смешанные опции.

В разделе Input - отключение горячих клавиш, функциональных кнопок и функций мыши. Помимо имеющегося списка, можно определить сочетания клавиш самостоятельно.

Любопытна опция Freeze, которая доступна на панели инструментов. По ее нажатию формируется «белый список» из приложений, запущенных в данный момент. Соответственно, не входящие во whitelist программы недоступны до того момента, пока функция Freeze не будет отключена.

Еще одна возможность, связанная с уже онлайн, - защищенный веб-серфинг. Суть «защищенного» метода заключается в том, что доступны будут только те страницы, которые содержат в заголовке определенные ключевые слова. Эту функцию можно назвать разве что экспериментальной. Вдобавок, акцент делается на Internet Explorer, который, безусловно, является стандартным браузером, но явно не единственным.

Следует отметить удобное управление программой. Для применения всех установленных ограничений достаточно нажать кнопку «Secure» на панели, либо босс-клавишу для снятия ограничений. Второй момент - поддерживается удаленный доступ к программе посредством веб-интерфейса. После предварительной настройки он доступен по адресу http://localhost:2288/deskman в виде панели управления. Это позволяет следить за пользовательской активностью (просмотр журналов), запускать программы, перезагружать компьютер/выходить из системы - как на одной, так и на нескольких машинах.

Password for Drive (Secure NTFS)

Лицензия: shareware ($21)

Программа работает только с файловой системой NTFS и использует ее возможности для хранения информации в скрытой области.

Для создания хранилища необходимо запустить Password for Drive с администраторскими правами и выбрать диск для создания хранилища. После этого файлы можно копировать в защищенную область с помощью виртуального диска. Для доступа к данным с другого компьютера не требуются администраторские права.

В качестве хранилища можно использовать также съемный носитель. Для этого предварительно нужно отформатировать диск, например, штатными инструментами Windows, в NTFS и установить Password for Drive в редакции portable.

Программа не отличается интуитивным и удобным интерфейсом, фактически управление осуществляется минимальным набором кнопок - «Открыть»/»Удалить хранилище» и «Активировать диск». В демонстрационном режиме возможно лишь протестировать функциональность программы, так как количество открытий хранилища ограничено сотней.

Лицензия: shareware ($19,95)

Программа предназначена для установки парольной данных на съемные носители.

В отличие от Secure NTFS, диалог настройки значительно более интуитивен, благодаря мастеру настройки. Так, для применения защиты необходимо подсоединить к компьютеру устройство, выбрать его в списке и следовать мастеру установки. После данной процедуры пользователь получает в свое распоряжение диск, защищенный паролем. Для разблокировки достаточно запустить exe-файл в корне диска и ввести пароль.

Зашифрованный диск при открытии доступен как виртуальный диск, с которым можно производить те же операции, что и с исходным. Не стоит забывать, что на компьютерах, где запрещен запуск сторонних программ (не находящихся в «белом» списке), доступ к содержимому будет закрыт.

Также на сайте разработчиков можно скачать другие программы для защиты данных, в том числе:

• Shared Folder Protector - защита файлов внутри сети;
• Folder Protector - защита файлов на съемных носителях.

Лицензия: freeware

Небольшая утилита, которая позволяет контролировать доступ пользователей к Реестру и файлам, находить уязвимости в выданных правах. Другими словами, программа будет полезна в том случае, если права доступа выставляются средствами Windows.

Удобство утилиты состоит в том, что ОС попросту не предоставляет средств для просмотра прав доступа к директориям в виде детального списка. Кроме файлов, также можно проверить доступ к веткам реестра.

Для проверки прав доступа необходимо указать директорию или раздел Реестра для сканирования и начать процесс сканирования. Результаты отображаются в виде колонок «Read»/»Write»/»Deny», соответствующих адресам. В свойства каждого из элементов списка можно зайти через контекстное меню.

Программа работает под всеми ОС семейства Windows NT.

Резюме

Утилиты, рассмотренные в обзоре, можно использовать в дополнение к базовому инструментарию Windows, комплексно и в довесок друг к другу. Их нельзя отнести в категорию «родительский контроль»: некоторые функции в чем-то схожи, но по большей части не совпадают.

И - утилиты-твикеры настроек безопасности, которые также можно использовать для отключения элементов Рабочего стола, системных разделов и др. В WinLock, кроме того, встроен интернет-фильтр и есть возможность блокировки файлов и папок.

В функции входит ограничение доступа к интерфейсу (превосходящее по гибкости и ), управление запуском приложений, интернет-фильтр.

Сочетает в себе функции шифровальщика и ограничителя доступа к программам и устройствам. имеет смысл рассматривать как замену WinGuard по части шифрования.

И ограничивают доступ к данным на съемных носителях.

Бесплатная удобная оболочка для проверки прав доступа пользователей к файлам и Реестру.

С целью повышения безопасности сетей (в частности, доменов на основе Active Directory) используются политики ограниченного использования программ. Этот компонент присутствует в любом объекте групповой политики.
Но при использовании этого компонента есть пара моментов, о которых я однажды запямятовал, и в результате получил прямо-таки эпидемию новогодних украшательств на рабочих столах пользователей по всей сети.
Итак, расскажу о моментах, про которые не стоит забывать.
Создавая новый объект групповой политики и редактируя существующий, открываем его в редакторе групповых политик:

Разворачиваем ветку Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности , выбираем раздел Политики ограниченного использования программ . По умолчанию, эти политики не заданы:

Создаём политику:

По умолчанию запуск всех программ разрешён (Уровень безопасности - Неограниченый ). Задаём по умолчанию уровень Не разрешено :

А вот теперь важно не забыть следующее:

1. В разделе Дополнительные правила удаляем параметр %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% . Этот параметр разрешает запуск всех программ, расположенных в Program Files.

Этот шаг обусловлен тем, что пользователь, обладая правами записи в папку Program Files, может сохранить туда исполнимый файл и запустить его, что может привести к нарушению безопасности системы. Удалив этот параметр, мы лишаем пользователя такой возможности. Естественно, что надо не забыть прописать хэши разрешённых программ из Program Files в разделе Дополнительные правила.


2. В разделе Политики ограниченного использования программ в параметре Принудительный по умолчанию задано применение политики Для всех пользователей . Следует установить Для всех пользователей, кроме локальных администраторов .

Это необходимо для того, чтобы члены локальной группы Администраторы могли при необходимости выполнять установку программ, запуск необходимых утилит и т.п.

3. В разделе Политики ограниченного использования программ в параметре Назначенные типы файлов следует из списка удалить тип файлов LNK (Ярлык) .

Удалить тип файла LNK (Ярлык) необходимо для того, чтобы не прописывать в политике разрешение на исполнение для каждого ярлыка на компьютере.

Напоследок хочу заметить, что всё вышеизложенное я написал в первую очередь как памятку для себя, и приведенные рекомендации не являются "истиной в последней инстанции".

Политики ограниченного использования программ (Software Restriction Policies) - это технология клиентов Windows 7, доступная для Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики ограниченного использования программ управляются при помощи групповой политики. Соответствующий узел находится в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ (Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies ). Для этих политик доступны параметры Неограниченный (Unrestricted ), разрешающий выполнение приложений, и Запрещено (Disallowed ), блокирующий выполнение приложений.

Ограничить выполнение приложений можно и при помощи прав файловой системы NTFS. Однако настройка прав доступа NTFS для большого числа приложений на многих компьютерах - очень трудоемкий процесс.

В принципе, возможности политик ограниченного использования программ и AppLocker во многом перекрываются. Преимущество политик ограниченного использования программ заключается в том, что они могут применяться на компьютерах Windows XP и Windows Vista, а также в изданиях Windows 7, не поддерживающих AppLocker. С другой стороны, в политиках ограниченного использования программ все правила должны настраиваться вручную, поскольку отсутствуют встроенные мастера для их создания. Политики ограниченного использования программ применяются в заданном порядке, в котором более конкретные правила имеют приоритет по сравнению с более общими правилами. Приоритет правил от более конкретизированных (правила хеша) до менее конкретизированных (по умолчанию) таков:

1. Правила хеша (hash rules).
2. Правила сертификатов (certificate rules).
3. Правила пути (path rules).
4. Правила зоны (zone rules).
5. Правила по умолчанию (default rules).

Если для одной программы задано два конфликтующих правила, приоритет имеет более специализированное правило. Например, правило хеша, задающее неограниченное использование приложения, перекрывает правило пути, которым это приложение запрещено. В этом заключается отличие от политик AppLocker, где приоритеты не используются и блокировка по любому правилу всегда доминирует над разрешающим правилом.

В средах, где используются и политики ограниченного использования программ, и AppLocker, политики AppLocker имеют приоритет. Если политика AppLocker явным образом разрешает работу приложения, заблокированного политикой ограниченного использования программ, приложение будет выполняться.

Уровни безопасности и правила по умолчанию

Узел Уровни безопасности (Security Levels) позволяет задавать правила ограниченного использования программ по умолчанию. Правило по умолчанию применяется, когда к приложению не применима никакая другая политика. Одновременно допускается активировать только одно правило по умолчанию. Три правила по умолчанию таковы:

• Запрещено (Disallowed ). Если включено это правило, пользователи смогут выполнять приложение, только если оно разрешено существующей политикой ограниченного использования программ.
• Обычный пользователь (Basic User ). Если включено это правило, пользователи смогут выполнять приложения, для которых не требуются административные полномочия. К приложению, требующему административных полномочий, пользователи получат доступ, только если было создано правило, охватывающее это приложение.
• Неограниченный (Unrestricted ). Если это правило задано в качестве правила по умолчанию, пользователь сможет выполнять это приложение, если оно не заблокировано существующей политикой ограниченного использования программ.

Если вы предполагаете ограничить возможности пользователей списком разрешенных приложений, настройте правило по умолчанию Запрещено (Disallowed ). Это гарантирует запрет на запуск любого приложения, не разрешенного явным образом. Если вы хотите лишь заблокировать пару проблемных программ, но не хотите запрещать использование всех прочих приложений, используемых в вашей среде, настройте правило по умолчанию Неограниченный (Unrestricted ). Это позволяет запускать любое приложение, если оно не заблокировано явным образом.

Способы применения политик

Окно Свойства: Применение (Enforcement Properties ), позволяет задать применение политик ограниченного использования программ ко всем файлам ПО, за исключением библиотек, например, DLL, или ко всем файлам ПО, включая библиотеки. Если по умолчанию задан уровень Запрещено (Disallowed ) и вы настроили применение политик к любым файлам ПО, для использования конкретной программы, вам необходимо будет настроить правила для библиотек DLL, используемых этой программой. Майкрософт не рекомендует ограничивать использование библиотек DLL, если среда, которой вы управляете, не требует повышенной безопасности. Это связано, главным образом, с тем, что управление правилами для библиотек DLL значительно увеличивает объем работы по сопровождению политик ограниченного использования программ.

Окно Свойства: Применение (Enforcement Properties ) позволяет настраивать применение политик ограниченного использования программ для всех пользователей или для всех пользователей, кроме администраторов. При помощи этой политики вы также можете задать, какие правила сертификатов будут принудительно применяться или игнорироваться. Недостаток принудительного применения правил сертификатов заключается в том, что они существенно снижают производительность компьютера.

Назначенные типы файлов

Политика Назначенные типы файлов (Designated File Types ), позволяет определять, по каким расширениям будут распознаваться исполняемые файлы, подпадающие под действие политик ограниченного использования программ. Список расширений редактируется при помощи кнопок Добавить (Add ) и Удалить (Remove ). Стандартные расширения (.com, .exe, и.vbs) удалить нельзя. Они всегда распознаются как исполняемые.

Правила пути

Правило пути позволяют указать в качестве объекта политики ограниченного использования программ файл, папку или параметр реестра. Чем конкретнее задано правило пути, тем выше его приоритет. Например, если у вас есть правило, задающее неограниченное использование файла C:\Program files\Application\App.exe , и правило, запрещающее использование файлов из папки C:\Program files\Application , приоритет будет иметь более специализированное правило: приложение будет выполняться. В правилах пути могут использоваться символы подстановки. Например, вполне возможно существование правила для пути C:\Program files\Application*.exe . Правила с использованием символов подстановки являются менее конкретными, чем правила, использующие полный путь к файлу. Недостатком правил пути является то, что в них предполагается неизменность расположения файлов и папок. Например, если вы создали правило пути для блокирования приложения C:\Apps\Filesharing.exe , злоумышленник сможет выполнить его, переместив файл в другую папку или присвоив ему другое имя. Правила пути работают только в том случае, если права доступа ОС не позволяют перемещать или переименовывать файлы.

Правила хеша

Правила хеша работают на основе цифрового отпечатка, который идентифицирует файл по его двоичному содержимому. Это означает, что файл, для которого вы создали правило хеша, будет идентифицирован независимо от его имени или расположения. Правила хеша работают для любых файлов и не требуют наличия цифровой подписи. Недостаток правил хеша в том, что их необходимо создавать отдельно для каждого файла. Нельзя автоматически создать правила хеша для политик ограниченного использования программ; вы должны генерировать каждое правило вручную. Также необходимо изменять правило хеша при каждом обновлении приложения, для которого действует правило, поскольку при обновлении ПО изменяется двоичное содержимое файла. Это означает, что измененный файл перестанет совпадать с первоначальным цифровым отпечатком.

Правила сертификатов

Правила сертификатов используют сертификаты издателя ПО с зашифрованной подписью для идентификации приложений, подписанных конкретным издателем. Правила сертификатов позволяют распространять на несколько приложений одно правило, гарантирующее такую же безопасность, что и правила хеша. Правила сертификатов не нужно изменять даже при обновлении ПО, поскольку модернизированное приложение по-прежнему будет подписано с использованием сертификата того же производителя. Для настройки правила сертификатов вам необходимо получить от производителя сертификат. Правила сертификатов увеличивают нагрузку на компьютер, поскольку перед началом выполнения приложения необходимо проверять действительность сертификата. Другой недостаток правил сертификатов в том, что они применяются ко всем приложениям данного производителя. Если на компьютере установлено двадцать приложений данной фирмы, а вы хотите разрешить выполнение лишь одного из них, вам предпочтительнее использовать другие правила. В противном случае пользователи смогут выполнять любые из этих двадцати приложений.

Правила сетевой зоны

Правила интернет-зоны применяются только к пакетам установщика Windows (.msi) , полученным при помощи Internet Explorer. К другим приложениям, например файлам .ехе , правила зоны неприменимы, даже если эти файлы также получены через Internet Explorer. Правила зоны определяют возможность использования пакета в зависимость от сайта, с которого он был скачан. Возможные расположения включают Интернет, интрасеть, ограниченные сайты (Restricted Sites), доверенные сайты (Trusted Sites) и Мой компьютер.

Более подробную информацию о политиках ограниченного использования программ вы найдете по адресу

Всем доброго времени суток и всего такого прочего-разного.

Частенько меня спрашивают о том как запретить пользователю использовать те или иные программы, их установку, а так же открывать различные типы файлов (которые ему не нужны и могут принести вред) и всё такое прочее. В общем-то для начинающих эникейщиков, системных администраторов и прочего рода -шников, - это достаточно популярный вопрос.

И вопрос этот небезоснователен, ибо ограничение неразумного пользователя в правах частенько сильно упрощает работу, повышает безопасность и всё такое прочее.

К тому же, полезно это бывает не только для тех, кто работает в IT -сфере, но и просто для пользователей, которые хотят защитить себя от различных вирусов, надстроек и тп. К слову, эту методику можно еще и использовать как родительский контроль.

В общем, давайте приступим.

Базовое администрирование политики ограниченного использования программ

Инструмент этот простой и в общем-то, должен быть известен примерно каждому, благо он существует достаточно давно, а да и применяется всякими айтишниками (и не только) многими повсеместно.

В некоторых версиях систем его нет (типа Home Edition ), но в большинстве присутствует. Перечислять все нет большого желания, благо наличие таковой поддержки Вы можете сделать за считанные минуты, собственно, попытавшись открыть сей инструмент.

Сия радость зовётся Software Restriction Policies (SPR ), что условно можно перевести как политики ограниченного использования программ (о чем и написано в подзаголовке).

Запустить можно через "Пуск - Выполнить (Win+R ) - secpol.msc " :

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

Или через Администрирование, которое живет по пути "Пуск - Настройка - Панель управления - Администрирование - Локальная политика безопасности - Политики ограниченного использования программ " . Выглядит следующим образом:

Здесь, для начала, тыкаем правой кнопкой мышки по названию "папки", т.е "Политики ограниченного использования программ " и выбираем пункт "Создать политику ограниченного использования программ " .

Далее необходимо будет определиться с, для начала, первичными настройками и произвести их. Для сего нажмем правой кнопкой мышки на пункте "Применение " и выбираем подпункт "Свойства ". Здесь (см. выше) можно оставить всё по умолчанию, либо включить применение ко всему без исключений (по умолчанию стоит игнорирование DLL ) и, например, переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (при учете, что у Вас аккаунты разграничены на администраторкие и пользовательские).

Далее, предварительно сохранив изменения, жмем правой кнопкой мышки на пункте "Назначенные типы файлов " и снова выбираем подпункт "Свойства ". Здесь можно управлять разрешениями, определяющими понятие исполнительного кода, которые мы в последствии запретим к использованию. Можете настроить на своё усмотрение, в зависимости от целей и задач, которые Вы ставите перед собой, но пока мы оставим всё как есть.

Далее развернем "папку" и перейдем в следующую ветку, т.е в "Уровни безопасности ". Здесь можно управлять уровнями безопасности, в том числе задавать таковые по умолчанию, экспортировать списки и тд и тп.

Простейшим, для теста, решением тут будет задать уровень безопасности "Запрещено " по умолчанию (для чего жмем по нему правой кнопкой мышки и жмем соответствующую кнопку), после чего, когда Вы согласитесь с уведомлением, ограничение будет активировано.

Теперь при запуске программ, если Вы не удалили из списка расширений EXE , Вы будете видеть уведомление как на скриншоте выше. Собственно, можно удалить расширение как таковое, а можно пойти более хитрым путём и, например, удалить только расширение LNK , т.е ярлык.

Тогда, собственно, пользователь сможет запускать только тот софт на который у него есть ярлык на рабочем столе. Способ конечно спорный, но в общем-то вполне себе такой хитрый (даже если пользователь умеет редактировать ярлыки, хотя и это можно ему запретить).

Как Вы понимаете, собственно, глобальные правила на всё в компьютере и манипулирование разрешениями только ярлыками не есть гуд, посему хорошо бы задать какие-то папки, откуда можно запускать приложения из сторонних папок (по умолчанию, в зависимости от системы, разрешения могут быть заданы из системных папок, т.е из Windows и ProgramFiles ).

Для этого переходим на вкладку "Дополнительные правила " и жамкаем правой кнопкой мышки на пустом месте, выбирая пункт "Создать правило для пути " , где задаём путь и разрешение или запрет для пользователя.

Таким же образом, как Вы уже, надеюсь, поняли, регламентируется запрет или разрешения доступа по хешу, зонам сетей или сертификату.

В двух словах, собственно, как-то вот так.

Послесловие

Надеюсь, что кому-то будет полезным и кто-то действительно не знал ничего о политиках, которые, к слову, очень важный инструмент в администрировании любого типа.

Как и всегда, если есть какие-то вопросы, мысли дополнения и всё такое прочее, то добро пожаловать в комментарии к этой записи.

В любой организации есть юзвери, которые пытаются использовать ресурсы Сети в
своих целях. В результате, несмотря на установленные антивирусы и брандмауэры,
клиентские системы начинают кишить вирусами, троянами, малварью и левыми
программами, периодически вызывающими сбои в работе Windows. Да и начальство
требует убрать лишнее с компов (игры, чаты, обучалки), контролировать
использование трафика и установить запрет на подключение флешек. Естественно,
хлопоты по разруливанию ситуаций ложатся на плечи админа.

Групповые политики

Групповые политики (GPO) — удобный и функциональный инструмент, позволяющий
управлять настройками безопасности Windows. С его помощью можно настроить
достаточно много параметров ОС. К сожалению, большая их часть скудно описана в
литературе, и начинающие админы часто даже не знают о том, какой потенциал у них
в руках. К тому же, групповые политики постоянно развиваются, и в новых версиях
ОС (а также сервис-паках) GPO получают новые функции. Узнать различия и
доступные параметры довольно просто, - скачай с сайта Microsoft cписок "Group
Policy Settings Reference" для используемой операционки.

В Win2k8 управление GPO осуществляется при помощи консоли Group Policy
Management Console (GPMC.msc) 2.0. Установки безопасности производятся в ветке
"Конфигурация компьютера — Конфигурация Windows — Параметры безопасности" (Computer
Configuration — Windows Settings — Security Settings). Здесь довольно много
настроек, при помощи которых можно определить политики паролей, задать
блокировки учетной записи, назначить права доступа, установить порядок аудита,
политики реестра, файловой системы, NAP, IP-безопасности и многое другое.
Разберем самые интересные из них.

Выбираем в консоли группу политик "Назначение прав пользователя". Политика
"Архивация файлов и каталогов" позволяет игнорировать разрешения файлов при
операциях резервного копирования. Следует четко определиться, кто будет входить
в такую группу, так как права на создание резервных копий, предоставленные кому
попало, могут привести к утечке корпоративных данных. Политика "Загрузка и
выгрузка драйверов устройств" (Load and Unload Device) позволяет устанавливать
драйвера после настройки системы; здесь лучше оставить в списке только
администраторов, чтобы пользователи не могли самостоятельно подключать сторонние
девайсы. Разрешив "Отладку программ", мы предоставим пользователю возможность
подключать отладчик к любому процессу или ядру, а ты сам понимаешь, какой это
риск. По умолчанию сюда входит только группа администраторов, но в организациях,
занимающихся разработкой ПО, хочешь не хочешь, а такое право давать придется.
Соответственно, нужно отслеживать легитимность его применения.

Особое внимание удели политикам в группе "Параметры безопасности", где много
полезных пунктов. Например, мы можем: отключить возможность анонимного доступа к
сетевым ресурсам, переименовать учетную запись гостя (если такая используется и
необходима). В политиках, начинающихся с "Устройства", одним щелчком мышки можно
заблокировать возможность подключения и форматирования сменных устройств,
дискет, компакт дисков и внешних хардов. Впервые политики блокировки сменных
устройств появились в Vista и Win2k8. Ранее для этих целей приходилось
использовать программы сторонних разработчиков вроде DeviceLock. В этой же
вкладке разрешаем или запрещаем подключение принтера выбранной группе
пользователей.

Политики ограниченного использования программ

Одной из самых важных в контексте статьи будет группа объектов GPO "Политики
ограниченного использования программ" (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.

По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
"Политики ограниченного использования программ" (в "Конфигурация компьютера" и
"Конфигурация пользователя" есть свои пункты) и выбрать в контекстном меню
"Создать политику ограниченного использования программ" (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
"Неограниченный" (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку "Уровни
безопасности", где находятся пункты активации еще двух политик – "Запрещено" (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика "Обычный пользователь" (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.

В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
"Запрещено" и в появившемся окне нажимаем кнопку "Установить по умолчанию" (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень -
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку "Дополнительные правила".
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в "Неограниченный". То есть после
активации политики "Запрещено" системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.

Если щелкнуть по ярлыку "Политики ограниченного использования программ",
получим доступ еще к трем настройкам. Выбор политики "Применение" (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.

С помощью политики "Назначенные типы файлов" определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
"Доверенные издатели" задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.

AppLocker

За несколько лет существования технология SRP так и не смогла завоевать
популярность, ведь, как ты мог убедиться из предыдущего раздела, точно настроить
политики — не такая уж и простая задача. Максимум, на что обычно хватало админа,
- запрет отдельных прог и игрушек. В Win7/Win2k8R2 было представлено логическое
продолжение SRP — AppLocker. Впрочем, сам SRP никуда не делся, оставлен в целях
совместимости. В отличие от SRP, Applocker работает не в пользовательском
окружении, а в системном: устанавливаемые политики более эффективны.

Настройки AppLocker находятся во вкладке Security Settings (secpol.msc) —
Application Сontrol Policies. Если раскрыть дерево, то увидим три подпункта, в
которых настраиваются политики в соответствии с типами файлов:

• Executable Rules — правила для файлов с расширением exe, com и src;
• Windows Installer Rules — правила для msi и msp файлов;
• Script Rules — правила для bat, cmd, js, ps1 и vbs скриптов.

По умолчанию используется политика Default, работа которой основывается на
установке GPO. Но для каждого типа правил можно выбрать еще одну из двух
политик:

• Enforced - политики активны, и все, что не описано в правилах,
  блокируется;
• Audit Only - режим аудита, все события, для которых созданы правила,
  вместо блокировки заносятся в журнал. Полезен при знакомстве и
  первоначальной отладке работы AppLocker.

Для активации нужного варианта переходим во вкладку "Enforcement" окна
свойств AppLocker. Перейдя в "Advanced" и установив флажок "Enable DLL rule
collection", можно активировать проверку DLL. Как и в случае с SRP, проверка
потребует дополнительных системных ресурсов. По умолчанию правил нет, поэтому
ограничения на запуск программ не накладываются (кроме прав NTFS, естественно),
и в отличие от SRP, рулесеты нужно создать самому. Этот процесс в AppLocker
выглядит несколько проще. Контекстное меню предлагает для этого три варианта:

• Create New Rule — при помощи визарда создаются правила для издателя (Publisher),
  пути (Path, каталог или файл) и хеша (File Hash);
• Automatically generate Rules — здесь просто указываем на каталог, в
  котором находятся установленные проги, и мастер автоматически создает
  правила (Path/Hash) для всех исполняемых файлов внутри;
• Create Default Rules — создается набор правил по умолчанию.

При выборе последнего пункта будут созданы разрешающие правила для запуска
приложений из каталогов Windows (%WINDIR%) и Program Files (%PROGRAMFILES%);
пользователи, входящие в группу локальных администраторов (BUILTIN\Administrator),
ограничений по запуску не имеют. После того как первые правила в категории
сформированы и выбран вариант Enforced, запуск приложений возможен только в том
случае, если он разрешен политикой. В последующем корректируем имеющиеся правила
и создаем новые. Чтобы отредактировать правило, вызываем его свойства и меняем:
учетные записи и группы, которые попадают под политику, путь к каталогу или
файлу, действие (Action) блокировать или разрешить. Использование учетных
записей и групп в правилах AppLocker группы достаточно удобно, так как можно
создать группу пользователей, которым разрешен запуск офисных приложений, группу
"интернетчиков" и так далее, и затем включать в них отдельных пользователей.

Настройки во вкладке Exceptions позволяют задать исключения для отдельных
объектов. Нажав кнопку Add, указываем отдельный файл, хеш или издателя, которые
не будут подпадать под действие редактируемой политики. Так можно достаточно
тонко указать разрешения для большого количества файлов.

Да, и как ты, наверное, заметил, возможность настройки правила для зоны сети
в AppLocker отсутствует.

После доводки Default Rules приступаем к созданию индивидуальных политик. Для
чего выбором Create New Rule запускаем мастер и в пошаговом режиме производим
нужные настройки. Первое окно пропускаем, во втором задаем действие Allow/Deny и
указываем пользователя или группу, для которых будет действовать политика. Далее
выбираем тип политики Publisher/Path/File Hash и, в зависимости от
произведенного выбора, отмечаем объект. При определении пути AppLocker
использует переменные. То есть, если указать в Проводнике C:\soft, путь будет
преобразован к виду %OSDrive%\soft\*. Кроме того, возможны такие переменные: %WINDIR%,
%SYSTEM32%, %PROGRAMFILES%, %REMOVABLE% (CD/DVD) и %HOT% (USB-устройства).
Причем особо отмечается, что это внутренние переменные AppLocker, а не
системные, хотя некоторые названия совпадают.

Политики созданы, но чтобы они применялись, нужно запустить службу
Application Identity (AppIDSvc). Делается это через консоль Services (services.msc)
или в редакторе групповых политик (Security Settings -> System Services). После
изменений обновляем политики:

> gpupdate /force

Еще один метод контроля за установленным ПО и подключенными девайсами —
использование специальных программ инвентаризации (например, SCCM, о котором
говорилось в статьях " " и " ", опубликованных соответственно в августовском и
сентябрьском номерах ][ за 2009 год). Также не забываем о службе "Управление
приложениями" (AppMgmt), отключив которую, мы блокируем возможность установки
ПО.

Борьба с NAT’ом

С "халявным" интернетом на работе у многих пользователей появляется соблазн
использовать его в своих целях. Конечно, времена, когда к системному блоку
подключался модем и через него выходили в интернет, практически канули в лету
(для некоторых провинциальных городов это все еще актуально), но менеджеры порой
берут работу на дом, а доступ к нужной инфе пытаются получить посредством
диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут
развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает
любителей, и остается удивляться, как народ на выдумки горазд. Кроме
сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь
через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза
(+ может быть похищена конфиденциальная информация).

Методов обнаружения работы клиентов из-за NAT предостаточно — контроль TTL,
анализ идентификатора IP-пакета и диапазона TCP/UDP портов и так далее
(подробнее о методах обнаружения NAT читай в статье Криса " " в ][ #111). Мы же разберем практическую реализацию.
Инструментом номер один здесь является
Wireshark —
мультиплатформенный (Windows, Linux, xBSD, Solaris, Mac OS X и т.д.) снифер и
анализатор в одном флаконе. Возможность использования фильтров и сортировки
делает эту программу весьма удобной для решения многих задач: контроль
определенного типа трафика (аська, сетевые игры, проги для удаленного доступа и
так далее), поиск проблем в сети и анализ безопасности.

Для определения работы из-за NAT нас интересует возможность контроля TTL
(время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое
значение TTL, например, все версии Windows — 128, Linux — 64 (максимально 255),
а при прохождении пакета на каждом роутере отнимается единица. То есть, если
получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о
наличии NAT (виртуальные машины также работают из-за NAT). Открываем список
фильтров и в "IP only" устанавливаем значение поля ip.ttl в отлов всех пакетов,
TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа,
поэтому можно захватить трафик с минимальными ограничениями, а затем
просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.

Кроме графического интерфейса, возможен запуск Wireshark в командой строке.
Смотрим список сетевых интерфейсов по команде "tshark -D", а затем вылавливаем
значение поля TTL в проходящих пакетах.

> tshark -i 1 -e ip.ttl -Tfields

Поддерживаются tcpdump-подобные правила, поэтому можно просто считать
значения нужного поля IP (ip < 64, поле TTL находится в 8-м байте
IP-заголовка).

Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm),
совмещающий в себе функции файрвола и монитора трафика, с возможностью
построения различного рода графиков. Система фильтров позволяет задать любое
правило и затем отслеживать все пакеты, которые под него попадают.

К этому списку можно добавить практически все файрволы, что встретишь в
корпоративной сети: Kerio WinRoute (подробнее о нем читай в статье " ", опубликованной в сентябрьском номере ][ за 2007 год),
UserGate Proxy & Firewall (" ", июльский ][ за 2009 год), ISA Server/Forefront TMG (" ", ноябрьский ][ за 2009 год) и другие, которые также
имеют все необходимое для анализа и блокировки трафика.

Кроме того, не забываем производить периодическое сканирование сети при
помощи Nmap и сравнивать
результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений
в списке открытых портов производим расследование. Это позволит обнаружить
лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так
далее.

Обнаруживаем сниферы

В любой LAN найдется парочка умников, которые захотят знать больше, чем им
положено. Любопытный кекс запускает снифер в надежде поймать пароль, если не
админа, то любого другого пользователя, или почитать инфу, ему не
предназначенную. Для перехвата всех пакетов сетевая карта переводится в
неразборчивый режим (promiscuous mode), обнаружить который можно как локально,
так и удаленно. В первом случае регистрируемся в системе и просматриваем
настройки интерфейсов, во втором — актуальны два способа:

• мониторинг ресурсов на всех хостах сети — при переводе NIC в promiscuous
  mode возрастает нагрузка, так как ядру приходится обрабатывать большее
  количество информации, быстро заполняется место на харде;
• ошибки в реализации — сетевой интерфейс должен "забирать" только свои
  пакеты; так и настроены ОС, но поскольку теперь ядро получает инфу обо всех
  пакетах, можно попробовать послать ARP-пакет с правильным IP или именем, но
  неправильным МАС-адресом.

В последнем случае система может ответить на неправильный пакет. Добавляем
заведомо неверные данные в ARP таблицу и пингуем "подозрительный" хост:

> arp -s hackerhost 00:11:22:33:44:55
> ping hackerhost

Если ответ получен, значит, с большой долей вероятности можно сказать, что
узел находится в режиме прослушивания. Не забываем удалить неправильную запись
после проверки:

> arp -d hackerhost

Удобнее для выявления нарушителей использовать специальные утилиты. Например,
proDETECT ,
которая, правда, уже несколько лет не обновлялась, поэтому грешит багами.
Настройки позволяют задать список узлов и указать периодичность их проверки.
Отчет отправляется на e-mail.