SRP: uw softwareomgeving beschermen met het Windows-softwarebeperkingsbeleid. Alexander Osipov: politiek bemoeit zich vaak met het nemen van rationele beslissingen

Alexander Osipov, geboren op het Ministerie van Ontwikkeling van de Russische Federatie, werd eind oktober benoemd tot waarnemend gouverneur van het Trans-Baikal-gebied. Osipov gaf zijn eerste interview in zijn nieuwe functie aan RIA Novosti. Hij sprak over hoe Transbaikalia deel zal gaan uitmaken van het Federaal District van het Verre Oosten en welke mechanismen en voordelen voor bewoners en investeerders binnenkort in de regio zullen werken, evenals de verbetering van Chita na kritiek op Valentina Matvienko, plannen om deel te nemen aan de verkiezingen voor het hoofd van Transbaikalia en een recept voor een favoriet nieuwjaarsgerecht ...

Alexander Mikhailovich, u bent vrij recentelijk verantwoordelijk geweest voor de regio, er zijn minder dan twee maanden verstreken. Is het u in deze tijd gelukt om de belangrijkste knelpunten en prioritaire opgaven in de regio te formuleren? En heb je een werkplan voor kerngebieden?

Ik kwam aan in Transbaikalia en ontdekte op dat moment meteen twee belangrijke problemen. Dit is een onevenwichtigheid in de begroting - we hadden geen geld om salarissen te betalen aan staatswerknemers, om nutsvoorzieningen voor de hele begrotingssector te betalen, en we betaalden geen verzekeringspremies voor lonen. Een aantal andere prioritaire sociale uitgaven werden niet voorzien in de gewestelijke begroting. Dit moest dringend worden aangepakt. Dankzij de beslissing van de leiders van het land werd ons budget tegen het einde van 2018 versterkt en kregen we nog eens 2,5 miljard roebel toegewezen. We hebben de meest brandende problemen kunnen oplossen.

Het tweede belangrijke probleem waren de schulden voor huisvesting en gemeentelijke diensten, die lokale problemen veroorzaakten met het stookseizoen in gemeenten. Over het algemeen had de regionale begroting minder dan 13 miljard roebel aan achterstallige schulden. Hierdoor konden resource leverende organisaties geen contracten op tijd sluiten, brandstof inkopen, we hadden simpelweg geen geld.

Het derde belangrijke probleem waar we mee te maken hebben, is dat de problematiek van de financieringsbronnen voor het wegwerken van de gevolgen van een grootschalige overstroming nog niet is opgelost. In het algemeen werden 180 kilometer wegen, 36 bruggen en 50 andere objecten beschadigd door de ramp in Transbaikalia. Vanaf de eerste dagen zijn we actief begonnen met de problemen van hun herstel. De regering van de Russische Federatie overweegt een order waarin de financieringsbronnen voor het herstel van deze faciliteiten worden vastgesteld.

Ik heb gesproken over de problemen en we hebben twee belangrijke prioriteiten. Het is immers niet alleen belangrijk om problemen aan te pakken, maar om de regio te ontwikkelen. De eerste prioriteit is de deelname van de regio aan nationale projecten. Voor ons zijn nationale projecten een unieke kans om de problemen op te lossen die zich in de loop van twee decennia hebben opgestapeld. We hebben een lijst gemaakt van alle objecten die we nodig hebben, evenementen waaraan we kunnen deelnemen, en nu keuren we het regionale deel van de paspoorten voor de projecten zelf goed.

Dankzij dit werk zal het Trans-Baikal-gebied alleen al op de wegen meer dan 13 miljard roebel ontvangen. Dit is een van de meest pijnlijke problemen voor de regio. Zoveel geld heeft de regio niet gezien. Nu wordt het heel belangrijk om ze effectief te investeren. We moderniseren meer dan duizend kilometer snelweg, waarvan bijna 300 in de agglomeratie Chita. We gaan feldsher- en verloskundige stations bouwen, culturele voorzieningen, kleuterscholen, scholen en andere sociale voorzieningen.

Tegelijkertijd worden in het kader van landelijke projecten ook de kenmerken van het Verre Oosten aan de kansen toegevoegd. We willen heel actief gebruik maken van alle instrumenten van het Verre Oosten, zowel van sociale als economische aard. Dit is onze tweede ontwikkelingsprioriteit.

- U heeft op een aantal gebieden een noodregeling ingevoerd vanwege brandstofgebrek, is deze nog van kracht?

Op gemeentelijk niveau werden lokale noodregimes ingevoerd. Er was een periode dat we geen geld en geen kolen hadden. Hier en daar waren de brandstofreserves maar voor een dag, zij het volgens de normen - 14 dagen bij levering per spoor en zeven bij wegvervoer. Natuurlijk moesten we in dergelijke omstandigheden zeer snel reageren op het hele grondgebied van de hele regio. We namen beslissingen, voerden de juiste noodregimes in, zochten waar we op zijn minst enige brandstofreserves hadden en transporteerden ze.

Nu we extra middelen hebben gekregen, hebben we die nu naar gemeenten gestuurd voor de aankoop van kolen. Hiermee hebben we de situatie gestabiliseerd: we betalen volledig voor huisvesting en gemeentelijke diensten in de budgetsector, we hebben een deel van de opgebouwde schuld afgesloten en de reserve standaard brandstofreserves hersteld.

- Dus de winter zal soepel verlopen?

Hier zullen we naar streven. Al is duidelijk dat er door de jaren heen zoveel problemen zijn opgestapeld in de gemeentelijke sector dat dit zich alleen maar manifesteert. Er zijn netwerkbreuken, ketels vallen hier uit, leidingen breken daar, we hebben hier constant mee te maken. We zijn constant bezig met het verplaatsen van elektrische back-upstations, we moeten constant noodteams sturen. Maar dit zijn al speciale gevallen en we hebben de problemen systematisch opgelost.

Terugkomend op het onderwerp inclusie in het Verre Oosten, kunt u al aangeven welke mechanismen u wilt gebruiken? Welke voorstellen bereidt u voor over de toepassing van preferenties van het Federaal District in het Verre Oosten in Transbaikalia?

Er zijn twee belangrijke toepassingsgebieden van de mechanismen voor de ontwikkeling van het Verre Oosten. In de sociale richting bereiden we nu een plan voor voor de sociale ontwikkeling van het Trans-Baikal-gebied. In februari zijn we van plan om het goed te keuren en het naar de regering te sturen om te overwegen het te financieren. Het Ministerie voor de Ontwikkeling van het Russische Verre Oosten heeft een overeenkomstig staatsprogramma, er zijn bronnen en ik zou graag willen dat onze faciliteiten uit dit programma worden gefinancierd.

We hebben nu vier economische gebieden. Mijnbouwondernemingen, er is hier een groot potentieel, meer dan 14 biljoen roebel. In de houtverwerking hebben we een toegestane snede van meer dan 8 miljoen kubieke meter. We kunnen een groot aantal verwerkingsfabrieken bouwen. Nu worden helaas de meeste van deze bossen ondoeltreffend gebruikt, er zijn bijna geen andere banen dan houtkap. De derde richting is dat we bijna 1,5 miljoen hectare braakliggend land hebben, dat we van plan zijn om te ploegen. We zullen graan verbouwen, koolzaad, bezig zijn met verwerking, melkveehouderij, vleesveefokkerij, pluimveehouderij. Ten slotte zijn we van plan om in de glastuinbouw te gaan werken, omdat we nogal barre klimatologische omstandigheden hebben en mensen het hele jaar door verrijkte normale voeding nodig hebben.

We zijn van plan om deze industrieën in de eerste plaats te ondersteunen. We zullen de prioritaire ontwikkelingsgebieden gebruiken, het mechanisme van de vrijhaven van Vladivostok. In het Kalarsky-district hebben we bijvoorbeeld de Udokan-koperafzetting en de Apsatsky-steenkoolafzetting. Dit zijn grote deposito's, waarvan er één 88 miljard roebel aan investeringen heeft, volgens de eerste schattingen van investeerders. Omdat ze zich in de buurt bevinden, hebben ze gemeenschappelijke infrastructuuroplossingen nodig. Daarom zijn we begonnen met de creatie van een terrein voor een prioritair ontwikkelingsgebied, waardoor we energie- en transportinfrastructuur zullen voorzien van de mogelijkheid van toegang tot de spoorlijn. De daar gelegen nederzettingen zullen dan ook worden voorzien van sociale voorzieningen.

- Wanneer kan deze TOP gemaakt worden?

We hebben de taak gesteld om eind februari, in extreme gevallen - medio maart materialen te sturen naar de subcommissie van de regering over de uitvoering van investeringsprojecten in het Verre Oosten. Ik denk dat het tegelijkertijd zal overgaan.

- Bent u klaar om het Far Eastern Hectare-programma in Transbaikalia te introduceren?

We willen het introduceren. Het is noodzakelijk om geschikte kaarten te maken, maar hiervoor is het noodzakelijk om veel werk te verrichten aan het herzien van de staat van het land. Zoals de praktijk van soortgelijk werk in andere regio's van het Verre Oosten heeft aangetoond, is er veel verwarring over landkwesties.

Binnen zes maanden zal er zeer actief moeten worden gewerkt om dit alles op te ruimen, een informatiesysteem voor te bereiden, het technologische werk van gemeentelijke en regionale instanties, die te maken krijgen met toewijzing en registratie, correct op te bouwen. Daarna zullen we eerst land gaan leveren aan het Transbaikal-volk, dan aan het Verre Oosten en dan aan iedereen. We willen gebruik maken van de beste ervaring die in het Verre Oosten was, en natuurlijk zullen we proberen enkele van de moeilijkheden en moeilijkheden die zich eerder voordeden, te vermijden.

- Wanneer kan dit gebeuren? Zomer 2019 - een echte tijd?

Ik denk dat de herfst realistischer zal zijn.

Zowel in Transbaikalia als in Boerjatië gelden vrij hoge prijzen voor vliegreizen. Wilt u gebruik maken van de subsidieregeling vliegreizen?

We hebben twee hoofdmechanismen. Een daarvan is subsidies voor een aantal categorieën die in aanmerking komen voor een uitkering. Dit zijn mensen met een handicap, grote gezinnen. Het tweede mechanisme is flat fares, wanneer de luchtvaartmaatschappijen zelf bepalen dat een retourticket precies zoveel kost. We willen beide mechanismen implementeren. Chita was eerder opgenomen in het regeringsbesluit over subsidiëring van een aantal luchtroutes, nu werken we aan uitbreiding van het aantal routes.

We kijken forfaitair met welke vliegroutes, met welke luchtvaartmaatschappij we kunnen onderhandelen. Hoogstwaarschijnlijk zullen dit vluchten zijn van Moskou naar Chita, van Chita naar Moskou. Dit is een lastige vraag. Het belangrijkste is om een ​​luchtvaartmaatschappij te vinden die klaar is om vaste tarieven in te voeren en die de markt goed genoeg begrijpt om een ​​dergelijke route een jaar lang te plannen en aan te bieden.

Hoe lang duurt het volgens u voordat de twee regio's volledig in het Federaal District van het Verre Oosten zijn opgenomen en alle mechanismen werken?

Het is onmogelijk om hier strakke tijdsgrenzen te stellen, het is noodzakelijk om over perioden te praten. De eerste - tot het einde van het eerste kwartaal van 2019 - is het gebruik van de belangrijkste mechanismen met het ontvangen van de eerste economische effecten. Prioritaire ontwikkelingsgebieden, gebieden waar we het vrijhavenregime zullen uitbreiden, investeringsprojecten die we een infrastructuursubsidie ​​zullen geven, enzovoort. We zullen proberen dit al in het eerste kwartaal te doen.

De tweede periode is langer, dit is de directe uitvoering van de aangewezen investeringsprojecten. Alles zal moeten worden gebouwd, gelanceerd, enzovoort. Het zal waarschijnlijk twee of drie jaar duren. En de derde periode, voorwaardelijk kan het worden genoemd - voor altijd. Wat ik bedoel? Het ontwikkelingssysteem van het Verre Oosten is nog niet in zijn definitieve staat, het ontwikkelt zich voortdurend, mechanismen veranderen, worden aangevuld, nieuwe worden ontwikkeld. Dit is een traject waarvan ik de grenzen in de nabije toekomst niet zie.

Bovendien zie ik vandaag al dat we na de fase van de eerste implementatie van bestaande steunmaatregelen zullen overgaan tot de ontwikkeling van individuele mechanismen die rekening houden met de specifieke kenmerken van het Trans-Baikal-gebied. De regio met zijn problemen lijkt in veel opzichten op die in het Verre Oosten, maar heeft ook zijn eigen kenmerken. Hoogstwaarschijnlijk zullen sommige steunmaatregelen een aanzienlijke correctie ondergaan, en ergens is het mogelijk om nieuwe ontwikkelingsmechanismen te bedenken die exclusief voor het Trans-Baikal-gebied zijn.

Een van de kenmerken van het Trans-Baikal-gebied is de grensoverschrijdende ligging, de regio grenst direct aan China. Hoe bent u van plan om met Chinese investeerders samen te werken?

Je hebt helemaal gelijk, Transbaikalia heeft in het algemeen een unieke positie, die helaas nog niet correct is gebruikt. Wij zijn zo'n punt, de poort tussen het Verre Oosten en de rest van het land, terwijl het punt erg rijk is aan rijkdom en mineralen. We hebben een staatsgrens met de grootste economie ter wereld - China, een grens met Mongolië, die grote kansen biedt voor buitenlandse economische ontwikkeling. Dit kon natuurlijk niet anders dan zich manifesteren, er zijn enkele Chinese investeringen in de regio. Maar nu wordt dit potentieel niet optimaal benut. China is een grote economie, het investeert in hightech, hoogwaardige moderne banen, maar heeft nog geen grote investeringsvolumes gerealiseerd in het Trans-Baikal-gebied. Daarom moeten we het beleid om investeerders aan te trekken opnieuw opstarten. Het is belangrijk om banen met een hoge productiviteit te creëren in de verwerkende sector, in de verwerkende sector, maar niet in de primaire sector.

Wanneer Chinese toeristen naar ons toe komen, kopen ze bovendien actief Russische producten - zoetwaren, chocolade, melk, brood, plantaardige olie. Maar nu bestaan ​​​​deze industrieën in het Trans-Baikal-gebied praktisch niet, of staan ​​​​ze nog in de kinderschoenen. Het is dan ook onze taak om een ​​dergelijke productie te verhogen en deze te vergezellen met een buitenlandse economische agenda - om de markten van China te openen, om niet alleen tussen de twee landen, maar ook tussen de provincies te onderhandelen, zodat zoveel mogelijk van deze goederen gaan naar China. Een van de groeipunten hier is de stad Zabaikalsk, het gebied dat het dichtst bij China ligt.

Het Verre Oosten besteedt niet alleen aandacht aan Chinese, maar ook aan Zuid-Koreaanse en Japanse investeerders. Zijn er plannen voor voorkeuren in het algemeen voor buitenlandse investeerders? Hoe trek je hun hoofdstad naar het grondgebied van het Trans-Baikal-gebied?

De mechanismen van economische ontwikkeling in het Verre Oosten scheiden investeerders niet afhankelijk van of ze Russisch, Chinees of uit een ander land zijn. Elke belegger die naar het land komt, een rechtspersoon heeft geregistreerd en handelt in overeenstemming met de wet, heeft recht op passende steunmaatregelen, passende voorkeuren en voordelen.

We zullen geen prioriteit geven aan de investeringen van welk land dan ook. Als we verantwoordelijk en eerlijk spreken, is onze topprioriteit hoogwaardige, moderne en hoogwaardige werkgelegenheid voor onze mensen. Zodat zoveel mogelijk inwoners van Transbaikal een goede baan hebben, zodat elk bedrijf, waar het ook vandaan komt, ondersteuning krijgt als het aan deze eisen voldoet.

We werken nu actief samen met Zuid-Korea. We hebben een zakenmissie gepland voor Koreaanse zakenlieden, ze zijn erg geïnteresseerd.

- Wanneer mag ze erdoor?

Nu zijn we de tijd aan het bepalen, we doen voorbereidend werk met de Koreaanse kant.

- Heb je het over volgend jaar?

Ja, hoogstwaarschijnlijk is dit volgend jaar, dit jaar zijn we niet op tijd. Maar kwaliteit is belangrijker dan timing. Feit is dat de prioriteiten die ik u heb genoemd, een vraag creëren naar een groot aantal fabrikanten van mijnbouwapparatuur, landbouwmachines en houtverwerkingsapparatuur. We weten dat Zuid-Koreaanse bedrijven concurrerend zijn in veel soorten van deze producten. We willen hen de kans geven om te investeren in deze prioritaire sectoren. Nu voeren we voorbereidend werk uit, we stellen een lijst op van bedrijven die over de relevante competenties beschikken en die kunnen investeren in Transbaikalia en het concurrentievermogen van projecten op deze gebieden op lange termijn kunnen waarborgen. Zodat deze projecten economisch duurzaam zijn, en de mensen die er voor werken begrijpen dat dit voor een lange tijd is, dat dit een goede baan is die hen een toekomst geeft.

- Staan er Chinese zakenmissies gepland voor volgend jaar?

Ze zijn zeker gepland, maar de belangrijkste factor, zoals ik al zei, is het verkrijgen van een praktisch resultaat van dergelijke bezoeken. Daarom zullen we ze zo voorbereiden dat het concreet en begrijpelijk werk is voor Chinese investeerders.

Ik heb herhaaldelijk gezien hoe de onderhandelingen met Chinese partners jarenlang worden gevoerd, met als resultaat dat er niets gebeurt. Toen hebben we duidelijk gemaakt wat er aan de hand was. Het bleek dat het onderhandelingsproces zich op conceptueel niveau afspeelt en dat het voor mensen in een ander land erg moeilijk is om zich te oriënteren en te begrijpen waar ze moeten beginnen, hoe ze dat moeten doen. En alles strekt zich ofwel lang uit, of eindigt zonder succes. Het is noodzakelijk om het tegenovergestelde te doen: alles moet bijna turnkey worden voorbereid en daarna moet je op zoek naar die investeerders die hierin het meest geïnteresseerd zijn, die snel tot de uitvoering van projecten kunnen komen.

Over twee à drie maanden kunnen we de meest voor de hand liggende projecten voorbereiden. We zullen begrijpen welke sites, welke soorten bedrijven en infrastructuren daar nodig zijn. En met deze eerste projecten kun je al naar de Koreanen en Chinezen.

Aangezien u over drie maanden praat, kunt u de eerste projecten dan al presenteren op het investeringsforum in Sochi en op het SPIEF?

Ik reken vooral op het Eastern Economic Forum. En ik verplaats mijn directe zoektocht naar investeerders naar bilaterale betrekkingen met China, Zuid-Korea, Japan en India. We zullen ook kijken naar de rest van onze buren, die belangen zullen hebben in die industrieën en in het soort investeringsprojecten dat we kunnen aanbieden.

De Chinese autoriteiten hebben vorige week de regels voor het bezoeken van een winkelcentrum in Mantsjoerije gewijzigd en vragen nu aan de Russen om medische attesten. Geldt dit voor alle toeristen of alleen voor ondernemers?

Dit betreft de categorie Russische staatsburgers die Russische voedselproducten van Rusland naar het grondgebied van de VRC exporteren naar het grenshandelscomplex van Mantsjoerije en ze daar verkopen. Volgens de Volksregering van Mantsjoerije is het de bedoeling dat deze eis wordt ingevoerd in overeenstemming met de wetten van de VRC.

Alexander Mikhailovich, u vormt nu het team van de regionale regering. Hoe gaat u een personeelsbeleid opbouwen? Trekt u specialisten uit andere regio's aan of zoekt u lokaal personeel?

Er is niet één aanpak, die op deze manier of op een andere manier moet worden gedaan. Nu moeten we op zoek naar echte mensen die de problemen en problemen in Transbaikalia kunnen oplossen. Daarom hebben we een speciaal project georganiseerd voor het zoeken, beoordelen en selecteren van kandidaten voor ambtelijke functies. De werktitel van het project is "Trans-Baikal Call". We zullen dit doen samen met de Russische Academie voor Nationale Economie en Openbaar Bestuur (RANEPA), maar we zullen ons natuurlijk aanpassen aan de specifieke kenmerken van het Trans-Baikal-gebied. De belangrijkste technologische oplossingen bestaan ​​al, we hebben de ervaring van andere regio's bestudeerd, de beste praktijken toegepast.

Er zijn drie hoofdcriteria waarop we kandidaten zullen beoordelen. De eerste is de eerlijkheid en rechtvaardigheid van een persoon. Ten tweede moet het belangrijkste motief van zijn werk het dienen van mensen zijn. En de derde is zijn kwalificaties, hij moet een professional zijn die in staat is om onmiddellijk resultaten te produceren zonder speciale training, zonder over te schakelen.

De tarieven voor nutsvoorzieningen voor de bevolking zijn sinds 1 januari gestegen in Transbaikalia, ze zijn vrij hoog in vergelijking met andere regio's. Hoe bent u van plan dit probleem op te lossen?

Er zijn twee niveaus van oplossing voor het probleem. Een daarvan is de korte termijn - het is vandaag de dag om weloverwogen tariefbeslissingen te nemen, om alle factoren van een versnelde tariefgroei uit te sluiten. De tweede is langer: het is om die voorwaarden te veranderen die leiden tot hogere tarieven in Transbaikalia dan in andere regio's.

Ten eerste volgen we nauwlettend waarmee de tariefgereguleerde bedrijven contact met ons opnemen, hoe gerechtvaardigd hun verzoeken om tariefverhogingen zijn. En natuurlijk nemen we alle maatregelen om deze groei in te dammen.

Een voorbeeld is het warmtetarief. Er zijn een aantal omstandigheden. Onze regio wordt niet van gas voorzien, bovendien zijn de capaciteiten die we hebben gebouwd voor bijvoorbeeld warmtekrachtkoppeling - waarbij zowel elektriciteit als warmte wordt geproduceerd - deze installaties bijvoorbeeld gebouwd in 1936, in 1961. Het is daarom duidelijk dat ze niet voldoen aan de moderne eisen en normen op het gebied van brandstof- en energie-efficiëntie. Dit leidt natuurlijk tot te hoge prijzen. Op dit deel oriënteren we bedrijven, laten we ze niet toe om tarieven te verhogen, aan de andere kant nemen we beslissingen over hoe ze te moderniseren of nieuwe te bouwen om dit probleem op de lange termijn te verhelpen.

De bedrijven hebben gevraagd om de warmtetarieven met vrij hoge waarden te verhogen, maar we hebben besloten dat de groei slechts binnen de grenzen blijft van wat absoluut noodzakelijk is - vanaf 1 januari met 1,7%.

Het tweede niveau is een belangrijk vraagstuk voor het hele land over de toepassing van een nieuw systeem van werken met gemeentelijk afval. Hier werden alle beslissingen genomen voordat ik in de functie werd benoemd, en vanaf de eerste dag dat we vertrouwd raakten met de situatie. Helaas bleek de regio niet klaar voor dit systeem. We hebben geen normaal afvalbeheersysteem aangenomen - waar ze worden verzameld, waar ze zich ophopen, waar ze worden gesorteerd, waar ze worden afgevoerd, waar ze worden verwijderd. In de regio van Chita is er geen enkele vuilstortplaats waar afval zou kunnen worden verwijderd, rekening houdend met de nieuwe vereisten. We weten vaak hoe grootschalige projecten worden uitgevoerd: er is geen enkele oogstmachine en u krijgt een bonnetje. Ook bij veel andere soorten materieel - containers, platforms, tassen - rezen er vragen. Het was duidelijk dat de voorbereidingstijd grotendeels ineffectief was. Daarom heb ik besloten dat het Trans-Baikal-gebied vanaf 1 januari geen nieuw systeem kan invoeren. We zijn nu op zoek naar regelgevende oplossingen om dit legaal te doen, en ik heb onze afgevaardigden en senatoren gevraagd om een ​​aanvraag in te dienen bij de Federale Vergadering van de Russische Federatie om de mogelijkheid te overwegen om de invoering van dit systeem in het Trans-Baikal-gebied uit te stellen voor minstens een jaar.

Valentina Matvienko, voorzitter van de Federatieraad, bekritiseerde Chita in de zomer vanwege zijn onverzorgde uiterlijk, de slechte staat van het dramatheater en de "lelijke fontein" in het centrum. Hoe ben je van plan om de stad op orde te brengen en wanneer nodig je Valentina Ivanovna de volgende keer uit voor een bezoek?

We wachten altijd op Valentina Ivanovna. Ten eerste omdat Valentina Ivanovna een zeer ervaren staatsman is en haar kritiek opbouwend is. Ze bekritiseerde en hielp meteen. Dankzij dit hebben we dit jaar al fondsen toegewezen voor de reparatie van ons dramatheater in de federale begroting, er is meer dan 1 miljard roebel toegewezen voor de wederopbouw en we zullen vanaf volgend jaar beginnen met de reparaties.

Het tweede project, dat ook werd uitgevoerd dankzij Valentina Ivanovna, is de toewijzing van een federale subsidie ​​voor de voorbereiding van de zesde mijn in de stad Krasnokamensk. Het geeft een tweede wind aan de stad, mensen zullen banen hebben.

Ik zal op deze manier antwoorden: vandaag is er in het Trans-Baikal-gebied verdeeldheid, een aanzienlijke hoeveelheid, laten we zeggen, negatieve energie is al verzameld, waardoor mensen worden gescheiden. Ik denk dat het vandaag niet het belangrijkste is in welke politieke kleur de regio zal worden geschilderd. Bovendien zie ik zelfs dat het vuur van de politieke strijd het niet toelaat om rationele, pragmatische beslissingen te nemen. Daarom denk ik dat het belangrijkste vandaag echt praktisch werk is en de eenwording van iedereen voor het welzijn van Transbaikalia.

Tot slot een vakantievraag - heb je besloten hoe je het nieuwe jaar gaat vieren? En heb je een kenmerkend nieuwjaarsrecept?

Ik zal het nieuwe jaar traditioneel vieren. Mijn vrouw en ik hebben nog niets gepland. Hoogstwaarschijnlijk ontmoeten we elkaar in de familiekring of bezoeken we iemand. En voor culinaire hoogstandjes - het lijkt mij dat een van de meest verbazingwekkende gerechten die de Russische keuken heeft uitgevonden, haring is onder een bontjas. Ik hou heel veel van haar, ze moet zijn waar ik aan tafel zit.

Ik vermeldde dat parallel aan deze reeks artikelen, artikelen over de zogenaamde "grote broer" van de hierboven genoemde technologie nog steeds op mijn blog zullen verschijnen. Met andere woorden, soms, om de een of andere reden, zult u in uw organisatie AppLocker niet kunnen gebruiken. Een van de redenen is dat naast computers met het Windows 7-besturingssysteem, de meeste van uw gebruikers kunnen werken, laten we zeggen , onder Windows XP-besturingssystemen. En zoals u weet, heeft AppLocker zo'n "prachtige beperking" met betrekking tot het platform waarop het beleid dat u configureert van toepassing is.

Dienovereenkomstig, zoals je misschien al geraden hebt, is dit artikel een inleiding tot het werken met een technologie die softwarebeperkingsbeleid wordt genoemd en die dateert uit de tijd van Windows XP, waarmee je de mogelijkheden van applicaties op de computers van je gebruikers kunt beheren. Aangezien ik in het inleidende artikel van de AppLocker-cyclus al schreef over alle voor- en nadelen van deze technologie in vergelijking met AppLocker, heeft het geen zin om dezelfde informatie te dupliceren. Daarom zal dit artikel u vertellen welke programma's de toegang tot programma's beperken, en ook hoe en waarvoor dergelijk beleid kan worden opgesteld.

Wat is een softwarebeperkingsbeleid?

Voordat u begint met het maken van de volgende GPO's met de juiste beveiligingsinstellingen, moet u eerst beslissen wat het Software Restriction Policies (SRP) is. Deze technologie, die deel uitmaakt van Groepsbeleid, biedt functionaliteit die is ontworpen om de toepassingen te besturen die gebruikers op hun desktops uitvoeren.

Zoals u zich herinnert, biedt AppLocker-technologie in feite bijna dezelfde kansen, maar het is SRP in deze richting dat een "oldtimer" kan worden genoemd, aangezien deze technologie meer dan 5 jaar ouder is dan AppLocker, of beter gezegd , SRP-technologie verscheen in oktober 2001, samen met de release van het besturingssysteem Windows XP. Op dezelfde manier als in het geval van AppLocker, zal met behulp van de functionaliteit van deze technologie software die verboden is door SRP niet van de computer van de gebruiker worden verwijderd, en de gebruiker zal op zijn beurt niet in staat zijn om een ​​dergelijke toepassing te starten of enige actie uit te voeren. specifieke acties....

In het inleidende artikel over AppLocker heb ik uit alle vergelijkingen van de functionaliteit van de twee technologieën (namelijk softwarebeperkingsbeleid en AppLocker) niet vermeld dat in het geval dat de instellingen voor het softwarebeperkingsbeleid en AppLocker-regels, alleen AppLocker beleid is van toepassing op Windows 7-computers. U moet er ook op letten dat, in tegenstelling tot het beleid dat is geconfigureerd met AppLocker-technologie, alle SRP-instellingen niet van toepassing zijn op een specifieke gebruiker of groep gebruikers, maar op alle gebruikers die inloggen op de computer waarop ze worden beïnvloed SRP-beleid.

Ondanks alle voordelen van de technologie die in verschillende artikelen in deze serie aan de orde komen, kunnen alle beperkingen die worden gepropageerd via de functionaliteit van softwarebeperkingsbeleid worden omzeild. De SRP wordt niet toegepast op de gebruiker als de gebruiker zich in de veilige modus bij zijn computer aanmeldt. Dit is tot op zekere hoogte een nadeel. Als gebruikers echter niet over dit punt praten, is het onwaarschijnlijk dat ze deze cheat voor hun eigen doeleinden zullen gebruiken.

Een softwarebeperkingsbeleid maken

Als u in het geval van AppLocker-technologie geen standaardbeleid hoeft te configureren voor het maken van uw eigen regels, dan kunt u niet werken met softwarebeperkingsbeleid zonder dat er standaard regels zijn gemaakt. Om u de kans te geven om dergelijke beleidsregels aan te maken en te wijzigen, moet u daarom eerst vooraf gedefinieerde beleidsregels maken. Dus om uw eigen softwarebeperkingsbeleid te maken, moet u deze stappen volgen:

1. In een handomdraai gebruiken "Groepsbeleidsmanagement" creëren een nieuwe GPO, zeg maar "Beperkingen voor alle gebruikers van het bedrijf" en open vervolgens het venster Editor voor Groepsbeleidsbeheer;

2. SRP-beleid kan zowel op de computers van de organisatie als op de gebruikers zelf worden toegepast, dat wil zeggen dat het vereiste knooppunt van de module Groepsbeleidsbeheer-editor zowel in de computerconfiguratie als in de gebruikersconfiguratie kan worden gevonden. Stel in dit geval dat u wilt dat de SRP wordt toegepast op alle gebruikers in de organisatie. Vouw daarom in de weergegeven module het knooppunt uit Computerconfiguratie \ Beleid \ Configuratieramen\ Beveiligings opties en ga naar knooppunt Softwarebeperkingsbeleid... Hier, zoals ik hierboven al zei, om aan de slag te gaan met softwarebeperkingsbeleid, moet u standaardbeleid maken. Om dit te doen, klikt u met de rechtermuisknop op dit knooppunt en selecteert u de opdracht in het contextmenu "Maak een softwarebeperkingsbeleid" zoals weergegeven in de volgende afbeelding:

Rijst. 1. Creatie van het eerste softwarebeperkingsbeleid

3. Na het uitvoeren van deze opdracht worden twee extra knooppunten gemaakt, evenals drie beleidsinstellingen voor het configureren van de functionaliteit van het softwarebeperkingsbeleid. Knoop "Beveiligingsniveaus" stelt u in staat om aan te geven welke machtigingen in de SRP worden ingesteld. Er zijn maar weinig van dergelijke niveaus, namelijk drie:

· Verboden... Als u dit niveau selecteert, ondanks alle machtigingen die niet expliciet in het beleid zijn gespecificeerd, zal de software niet werken op gebruikers die onderworpen zijn aan SRP-beleid;

· Regelmatige gebruiker... In dit geval kunnen gebruikers applicaties starten onder een aangepast toegangstoken;

· Onbeperkt... Door dit beveiligingsniveau te kiezen, start de software afhankelijk van de gebruikersrechten. Trouwens, wanneer u voor het eerst SRP-beleid maakt, wordt het standaardniveau voor dergelijke regels automatisch ingesteld "Onbeperkt"... Om de componenten van het besturingssysteem normaal te laten functioneren, moet dit niveau natuurlijk worden gespecificeerd voor sommige van de gemaakte SRP's.

Om het standaard beveiligingsniveau te wijzigen, selecteert u het vereiste beveiligingsniveau en selecteert u de opdracht in het contextmenu "Standaard"... Een voorbeeld van het wijzigen van het standaardbeveiligingsniveau wordt weergegeven in de volgende afbeelding:

Rijst. 2. Het standaard beveiligingsniveau wijzigen

4. Het knooppunt gebruiken "Extra opties" u kunt regels maken om beleid voor softwarebeperking te maken en te beheren. Wanneer u het eerste beleid maakt dat in de tweede stap van deze handleiding is gemaakt, worden standaard de eerste twee regels gemaakt. Dit is de regel voor het pad% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SystemRoot%, waarmee u alle toepassingen vanuit de Windows-map kunt starten, evenals de regel voor het pad% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%, waarmee u programma's kunt starten vanuit de map Program Files. Met padregels kunnen programma's worden geïdentificeerd aan de hand van de locatie van de bijbehorende bestanden. Gewoonlijk worden padregels gemaakt met het exacte bestandspad, maar u kunt ook variabelen gebruiken zoals% userprofile%,% windir%,% appdata%,% programfiles% en% temp% bij het maken van dergelijke regels. Ook kunt u, net als bij de standaardregels, registersleutels gebruiken.

Het is raadzaam om de standaard gemaakte regels niet te wijzigen, en in het geval dat u de gebruikerstoegang tot bepaalde specifieke programma's moet beperken, moet u afzonderlijke blokkeringsregels maken.

Hoewel deze regels prima werken op clients onder Windows XP-besturingssystemen, kunnen gebruikers met een 64-bits Windows 7-besturingssysteem problemen ondervinden. En dit is waar uw gebruikers alle toepassingen vanuit de map proberen te starten « ProgrammaBestanden (x86) " er kan een fout optreden die aangeeft dat de gebruiker geen toepassingen mag uitvoeren vanaf de overeenkomstige locatie.

Daarom moet een nieuwe padregel worden gemaakt zodat toepassingen vanuit de juiste mappen kunnen worden gestart. Om dit te doen, opent u in het detailvenster van dit knooppunt het contextmenu en selecteert u de opdracht "Regel voor pad maken"... Selecteer in het dialoogvenster dat verschijnt het onbeperkte beveiligingsniveau (omdat u wilt dat gebruikers programma's kunnen uitvoeren vanaf de geselecteerde locatie) en specificeer de% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir (x86)% registersleutel .

Optioneel kunt u in het tekstvak "Beschrijving" voeg wat extra informatie toe. Het dialoogvenster voor de nieuwe padregel wordt weergegeven in de volgende afbeelding:

Rijst. 3. Een regel maken om het starten van programma's in de map toe te staanProgrammaBestanden (x86)

5. Nu wordt als voorbeeld een andere padregel gemaakt, die de lancering van het programma verbiedt. "Notitieboekje" uit map « Systeem32"... Open hiervoor het dialoogvenster voor het maken van een regel voor het pad, in het tekstvak "Manier" specificeer het pad naar dit programma, in dit geval is het: "C: \ Windows \ System32 \ notepad.exe", uit de vervolgkeuzelijst "Beveiligings niveau" Kiezen "Verboden" en voeg een beschrijving toe zoals "Verbod op het gebruik van kladblok", die te zien is in de onderstaande afbeelding:

Rijst. 4. Een blokkeerregel maken voor notebook

6. Nu moet u het gemaakte GPO binden aan de organisatie-eenheid die de computeraccounts van het bedrijf bevat. Sluit de snap "Groepsbeleidsbeheer-editor" en in de snapboom "Groepsbeleidsmanagement" selecteer de OU die de computeraccounts bevat (in mijn geval is dit de OU "Klanten"), klik er met de rechtermuisknop op en selecteer de opdracht Bestaande groepsbeleidsobject koppelen... In het weergegeven dialoogvenster Selecteer een groepsbeleidsobject selecteer deze GPO en klik op de knop "OKE".

Log in op de computer in de organisatie-eenheid "Klanten" en probeer het programma te openen "Notitieboekje"... Zoals u in de volgende afbeelding kunt zien, verschijnt het volgende dialoogvenster wanneer u Kladblok probeert te openen:

Rijst. 5. Een poging om "Notepad" te openen

Conclusie

In dit artikel hebt u kennis genomen van het softwarebeperkingsbeleid. Je hebt geleerd wat dit beleid is, wanneer dergelijk beleid niet van toepassing is op gebruikers, over beveiligingsniveaus, over het standaard SRP-beleid en over het maken van nieuw softwarebeperkingsbeleid. In het volgende artikel in deze serie leert u over alle methoden voor het maken van SRP-beleid.

Ik raakte opgewonden van dit idee van veiligheid en besloot hetzelfde voor mezelf te proberen.

Aangezien ik Windows 7 Professional heb, was het eerste idee om AppLocker "a te gebruiken, maar het werd al snel duidelijk dat hij niet in mijn editie van Windows wilde werken en Ultimate of Enterprise nodig had. Vanwege de licentie van mijn Windows en de leegte van mijn portemonnee, de optie met AppLocker" ohm verdwenen.

De volgende poging was om groepsbeleid te configureren voor softwarebeperking. Aangezien AppLocker een "opgewaardeerde" versie van dit mechanisme is, is het logisch om het beleid te proberen, vooral omdat ze gratis zijn voor Windows-gebruikers :)

We gaan naar de instellingen:
gpedit.msc -> Computerconfiguratie -> Windows-configuratie -> Beveiligingsopties -> Softwarebeperkingsbeleid

Als er geen regels zijn, biedt het systeem aan om automatische regels te genereren waardoor programma's kunnen worden uitgevoerd vanuit de map Windows en Program Files. We zullen ook een deny-regel toevoegen voor het pad * (elk pad). Als gevolg hiervan willen we programma's alleen vanuit beveiligde systeemmappen kunnen uitvoeren. En wat?
Ja, we zullen dit begrijpen, maar hier is slechts een klein ongelukje - snelkoppelingen en http-links werken niet. Je kunt nog steeds scoren op links, maar het is niet goed om te leven zonder labels.
Als u het starten van bestanden toestaat met het * .lnk-masker, kunnen we een snelkoppeling maken voor elk uitvoerbaar bestand en het starten met de snelkoppeling, zelfs als het niet in de systeemmap staat. Beroerd.
Een verzoek aan Google leidt tot dergelijke beslissingen: ofwel toestaan ​​dat snelkoppelingen worden gestart vanuit een gebruikersmap, of balken van derden met snelkoppelingen gebruiken. Geen andere manier. Persoonlijk hou ik niet van deze optie.

Hierdoor worden we geconfronteerd met de situatie dat *.lnk vanuit het oogpunt van Windows geen link naar een uitvoerbaar bestand is, maar een uitvoerbaar bestand. Gek, maar wat kun je doen ... Ik zou willen dat Windows niet de locatie van de snelkoppeling controleert, maar de locatie van het bestand waarnaar het verwijst.

En toen kwam ik per ongeluk de instellingen tegen voor de lijst met extensies die uitvoerbaar zijn vanuit het oogpunt van Windows (gpedit.msc -> Computerconfiguratie -> Windows-configuratie -> Beveiligingsopties -> Toegewezen bestandstypen). We verwijderen daar LNK en tegelijkertijd HTTP en loggen opnieuw in. We krijgen volledig werkende snelkoppelingen en een controle op de locatie van het uitvoerbare bestand.
Er was twijfel of het mogelijk zou zijn om parameters via snelkoppelingen door te geven - het is mogelijk, dus alles is in orde.

Als gevolg hiervan kregen we de implementatie van het idee beschreven in het artikel "Windows-computer zonder antivirussoftware" zonder enig ongemak voor de gebruiker.

Ook voor degenen die zichzelf graag in de voet schieten, kun je een map maken in Program Files en er een snelkoppeling voor op het bureaublad plaatsen, bijvoorbeeld "Sandbox". Hierdoor kunt u vanaf daar programma's uitvoeren zonder het beleid uit te schakelen, met behulp van beveiligde opslag (bescherming via UAC).

Ik hoop dat de beschreven methode voor iemand nuttig en nieuw zal zijn. Ik heb dit in ieder geval van niemand gehoord en ook nergens gezien.

Het doel van het praktijkwerk:

• Bekijk het Windows-softwarebeperkingsbeleid;
• Meer informatie over andere manieren om de toegang tot programma's in Windows te beperken;
• Leer softwarebeperkingsbeleid beheren in Windows.

Beschrijving van het softwarebeperkingsbeleid in Windows

Beheerders kunnen een softwarebeperkingsbeleid gebruiken om machtigingen en weigeringen in te stellen voor gebruikers om programma's uit te voeren. Door dit beleid te gebruiken, kan de beheerder de uitvoering van ongewenste programma's, inclusief schadelijke software, voorkomen.

Configuratie van softwarebeperkingsbeleid uitvoeren

Ga als volgt te werk om een ​​softwarebeperkingsbeleid te maken:

1. Start de module Lokaal beveiligingsbeleid:

• Start ® Uitvoeren.

• Typ secpol.msc en klik vervolgens op OK.

1. Zoek de categorie Softwarebeperkingsbeleid in de lijst met beleid.
2. Selecteer in het menu Actie de optie Softwarebeperkingsbeleid maken.

Beschrijving van instellingen voor softwarebeperkingsbeleid

Standaard beveiligingsniveaus

De standaardbeveiligingsniveaus bepalen of programma's worden toegestaan ​​of geweigerd bij afwezigheid van expliciete machtigingen of weigeringen die zijn gespecificeerd door aanvullende configuratieregels.

Het gebruik van beveiligingsniveaus maakt het eenvoudiger om machtigingen en weigeringen te configureren: de standaardinstelling is het beveiligingsniveau dat van toepassing is op de meeste programma's. Voor de overige programma's wordt in aanvullende regels afzonderlijk een ander beveiligingsniveau geconfigureerd.

Er zijn de volgende beveiligingsniveaus:

• Niet toegestaan ​​- Als u dit niveau instelt, mogen programma's niet worden gebruikt. U moet aanvullende regels maken waarmee afzonderlijke programma's kunnen worden uitgevoerd.
  Het gebruik van dit niveau wordt aanbevolen als de beheerder een volledige lijst met toegestane programma's heeft.
• Onbeperkt - het niveau dat standaard door het besturingssysteem is ingesteld. Als u dit niveau instelt, mogen alle programma's worden uitgevoerd. U moet aanvullende regels maken om te voorkomen dat afzonderlijke programma's worden uitgevoerd.
  Het gebruik van dit niveau wordt aanbevolen als de beheerder geen volledige lijst van toegestane programma's heeft, maar het noodzakelijk is om de uitvoering van afzonderlijke programma's te voorkomen.

• (Windows 7) Basisgebruiker - Staat de uitvoering van programma's toe zonder beheerdersrechten, maar geeft toegang tot bronnen die beschikbaar zijn voor gewone gebruikers.

Het ingestelde standaardbeveiligingsniveau wordt aangegeven met een vinkje.

Het standaardbeveiligingsniveau is van invloed op alle bestanden waarop het softwarebeperkingsbeleid wordt toegepast (de lijst met deze bestandstypen wordt gespecificeerd in de regel Toegewezen bestandstypen van de algemene configuratieregels).

Het standaardbeveiligingsniveau wordt door het besturingssysteem standaard ingesteld op Onbeperkt.

Wanneer u het beveiligingsniveau Niet toegestaan ​​toepast, moet u uitzonderingen maken voor programma's die kunnen worden uitgevoerd.

Bij gebruik van het niveau "Onbeperkt" is het mogelijk om regels te maken voor applicaties waarvan de lancering moet worden verboden.

Algemene configuratieregels

Algemene configuratieregels bepalen hoe een softwarebeperkingsbeleid wordt toegepast op een computer. Ze bevatten de volgende regels:

• Handhaving -

deze regel beschrijft op welke bestanden het softwarebeperkingsbeleid van toepassing is:

• naar alle bestanden behalve bibliotheken (standaard geïnstalleerd),
• naar alle bestanden.

De regel beschrijft ook op welke gebruikers het softwarebeperkingsbeleid van toepassing is:

• voor alle gebruikers (standaard ingesteld),
• voor alle gebruikers behalve lokale beheerders.

Als u het beveiligingsniveau instelt op "Niet toegestaan", toegepast op alle bestanden, zijn mogelijk afzonderlijke bibliotheekbestandsmachtigingen vereist, die vereist zijn door geautoriseerde programma's.

Als u het beveiligingsniveau "Niet toegestaan" instelt op alle gebruikers, kan beheerderstoegang tot programma's worden geweigerd.

• Aangewezen bestandstypen -

de regel "Toegewezen bestandstypen" definieert de lijst met bestandstypen die als uitvoerbare code worden beschouwd, met uitzondering van de standaard typen.exe, .dll, .vbs. De standaard beveiligingsniveaus en de algemene regel "Afgedwongen" zijn van toepassing op deze bestandstypen.

• Vertrouwde leveranciers -

De regel voor vertrouwde uitgevers wordt toegepast om de gebruikers te definiëren die vertrouwde uitgevers mogen selecteren:

• gewone gebruikers (standaard),
• lokale beheerders,
• bedrijfsbeheerders.

De Trusted Publishers-regel wordt ook toegepast om te bepalen of certificaatvalidatie en soorten validatie worden uitgevoerd (standaard wordt er geen validatie uitgevoerd):

• de uitgever zelf controleren,
• het controleren van de tijdstempel.

Aanvullende regels

U kunt verschillende soorten aanvullende regels definiëren:

• hasj

Een hash is een reeks bytes met een vaste lengte die een programma of bestand op unieke wijze identificeert. De hash wordt berekend met behulp van een hash-algoritme. Softwarebeperkingsbeleid kan bestanden identificeren aan de hand van hun hash met behulp van het Secure Hash Algorithm (SHA-1) en MD5 hash-algoritme.

U kunt bijvoorbeeld een hash-regel maken en het beveiligingsniveau instellen op "Niet toegestaan" om te voorkomen dat een specifiek bestand wordt uitgevoerd.

Softwarebeperkingsbeleid herkent alleen hashes die zijn berekend met behulp van softwarebeperkingsbeleid.

• Certificaat.

Softwarebeperkingsbeleid kan een bestand identificeren aan de hand van het handtekeningcertificaat. Certificaatregels zijn niet van toepassing op .exe- of .dll-bestanden. Ze worden gebruikt voor scripts en Windows Installer-pakketten. Het is mogelijk om een ​​certificaatregel te maken die de toepassing identificeert en vervolgens, afhankelijk van het beveiligingsniveau, toestaat of niet toestaat dat deze wordt uitgevoerd. Een beheerder kan bijvoorbeeld certificaatregels gebruiken om programma's van een vertrouwde bron in het domein automatisch te vertrouwen zonder de gebruiker hierom te vragen. Bovendien kunnen certificaatregels worden gebruikt in beperkte delen van het besturingssysteem.

• Pad

Met de regel voor het pad kunt u de uitvoering van programma's die zich in een specifieke map (inclusief het netwerk) of in de submap ervan bevinden, toestaan ​​of weigeren.

De padregel identificeert programma's op bestandspad. Als je bijvoorbeeld een computer hebt met een standaard weigeringsbeleid, heb je de mogelijkheid om elke gebruiker onbeperkte toegang te verlenen tot een bepaalde map. Voor dit type regel kunnen enkele veelgebruikte paden worden gebruikt:% gebruikersprofiel%,% windir%,% appdata%,% programmabestanden% en% temp%.

Aangezien deze regels worden gedefinieerd met behulp van een pad, wordt de padregel niet toegepast wanneer het programma wordt verplaatst.

• Internetzone / Internetzone.

Zoneregels zijn alleen van invloed op Windows Installer-pakketten.

De zoneregel identificeert software uit de door Internet Explorer gespecificeerde zone. Deze zones zijn Internet, Lokale computer, Lokaal intranet, Websites met beperkte toegang en Vertrouwde websites.

Met de regel voor de internetzone kunt u de uitvoering van programma's in bepaalde zones van internet toestaan ​​of weigeren. Momenteel is deze regel alleen van toepassing op Microsoft Windows Installer-pakketten die vanuit deze zone worden uitgevoerd.

Deze regel is niet van toepassing op programma's die zijn gedownload met Internet Explorer.

Prioriteit van aanvullende regels

Op een programmabestand kunnen verschillende regels worden toegepast. De regels worden toegepast in de volgorde van prioriteit die hieronder wordt weergegeven. De regels worden weergegeven in aflopende volgorde van prioriteit.

• Hash-regel.
• De regel voor het certificaat.
• De regel voor het pad. Als er een conflict is van regels voor een pad, heeft de meest beperkende regel voorrang. Het volgende is een reeks paden, in volgorde van de hoogste prioriteit (hoogste limiet) tot de laagste prioriteit:
  - station: \ map1 \ map2 \ bestandsnaam.extensie
  - station: \ map1 \ map2 \ *.extensie
  - *.verlenging
  - station: \ map1 \ map2 \
  - schijf: \ map1 \
• Regel voor de internetzone.

Prioritaire toepassing

Als u bijvoorbeeld een bestand met een onbeperkte hash hebt in een map waarvoor de regel niet is toegestaan, wordt het bestand uitgevoerd omdat de hashregel voorrang heeft op de padregel.

Wanneer twee vergelijkbare padregels conflicteren, heeft de meest beperkende regel voorrang. Als u bijvoorbeeld een regel heeft voor het pad C: \ Windows \ met het beveiligingsniveau "Niet toegestaan" en een regel voor het pad% windir% met het niveau "Onbeperkt", de strengere regel met het beveiligingsniveau "Niet toegestaan" " zal gelden.

Beheer van softwarebeperkingsbeleid

We raden u aan het beleid voor softwarebeperking in de volgende volgorde te configureren:

• het creëren van een softwarebeperkingsbeleid (als dit nog niet is gemaakt);
• standaard beveiligingsniveaus instellen;
• het opstellen van algemene configuratieregels;
• aanvullende configuratieregels instellen.

Andere manieren om de toegang tot programma's in Windows XP te beperken

Als u besluit uw computer te beschermen tegen ongeautoriseerde software, is de belangrijkste stap om alle gebruikers een beperkt aantal accounts te geven. Elke toepassing die probeert beveiligde systeembestanden te vervangen of registerinstellingen te manipuleren die niet zijn gekoppeld aan het persoonlijke profiel van een gebruiker, kan de installatie niet voltooien. Gewoonlijk zullen gebruikers met beperkte accounts moeite hebben met het installeren van een programma.

Daarnaast kun je de volgende technieken toepassen:

• Verwijder programmasnelkoppelingen uit de mappen% AllUsersProfile% en% AllUsersProfile% \ StartMenu.
• Voor programma's die zijn geïnstalleerd in de map ProgramFiles (zoals de meeste Windows-toepassingen), wijzigt u de machtigingen voor de submappen met de programma's waartoe u de toegang wilt beperken. Verwijder de groepen Iedereen en Gebruikers uit de lijst met beschikbare toepassingen, zodat alleen de groepen Beheerders en Hoofdgebruikers (Windows 2000 of XP) en alle gebruikers die toegang tot deze programma's nodig hebben, overblijven.
• Voorkom dat gebruikers toegang krijgen tot een opdrachtregelvenster van waaruit ze het programma gemakkelijk kunnen starten. Zoek de bestanden Cmd.exe en Command.com, beide bestanden bevinden zich in de map% SystemRoot% \ System32. U kunt machtigingen voor beide bestanden configureren, zodat alleen beheerders ze kunnen uitvoeren; als uw gebruikers niet al te slim zijn, kunt u deze bestanden eenvoudig hernoemen.

praktische taken

Bij het uitvoeren van dit werk wordt een deel van de acties uitgevoerd onder het beheerdersaccount (cadm-gebruiker) en het andere onder het gebruikersaccount (account aanmaken). De naam van het account waaronder de acties worden uitgevoerd, wordt aangegeven met de woorden BEHEERDER of GEBRUIKER, voorafgaand aan de beschrijving van de taak.

Oefening 1

Een softwarebeperkingsbeleid maken

Laten we eerst een softwarebeperkingsbeleid maken. Deze bewerking wordt één keer uitgevoerd, tijdens de eerste toegang tot de configuratie van dit beleid.

BEHEERDER

Open de console Lokaal beveiligingsbeleid.

Klik in de consolestructuur op het onderdeel Softwarebeperkingsbeleid.

Als dit de eerste keer is dat u deze console opent, is er geen softwarebeperkingsbeleid gedefinieerd - dit wordt aangegeven door het bericht aan de rechterkant van het consolevenster. Volg de instructies om beleid te maken (klik op de link "Nieuw beleid maken").

Deze stap hoeft niet te worden herhaald bij verdere oproepen naar het softwarebeperkingsbeleid.

Sluit de console Lokaal beveiligingsbeleid niet om de volgende taken uit te voeren.

Opdracht 2

Het standaard beveiligingsniveau configureren Onbeperkt

BEHEERDER

Vouw het onderdeel Softwarebeperkingsbeleid uit en selecteer het onderdeel Beveiligingsniveaus.

Er zijn 2 standaard beveiligingsniveaus zichtbaar aan de rechterkant van de console. Het ingestelde niveau is gemarkeerd met een zwarte cirkel met een vinkje.

Stel het standaard beveiligingsniveau in op Onbeperkt.

Er zijn twee manieren om het standaard beveiligingsniveau in te stellen:

Methode 1: Roep het contextmenu op van het niveau dat u standaard wilt gebruiken en selecteer het item Standaard (dit item ontbreekt in het contextmenu van het ingestelde beveiligingsniveau).

Methode 2: Dubbelklik op het beveiligingsniveau dat u als standaard wilt gebruiken en klik op de knop Standaard (deze knop is niet functioneel voor het ingestelde beveiligingsniveau).

Opdracht 3

Algemene regelconfiguratie Geforceerd

BEHEERDER

Dubbelklik op het onderdeel Forceren (of selecteer het contextmenu-item Eigenschappen van onderdeel Forces) en pas softwarebeperkingsbeleid toe op alle bestanden behalve bibliotheken en op alle gebruikers behalve lokale beheerders.

De aan de algemene regel toegewezen bestandstypen configureren

BEHEERDER

Dubbelklik op het onderdeel Toegewezen bestandstypen (of selecteer Eigenschappen van het onderdeel Toegewezen bestandstypen in het contextmenu) en bekijk de bestandstypen die als uitvoerbaar zijn gedefinieerd. Bekijk het mechanisme voor het toevoegen en verwijderen van een bestandstype dat als uitvoerbaar wordt geïdentificeerd.

Breng geen daadwerkelijke wijzigingen aan in deze lijst.

Een algemene regel configureren Trusted Publishers

BEHEERDER

Dubbelklik op het onderdeel Vertrouwde uitgevers (of selecteer Eigenschappen van het onderdeel Vertrouwde uitgevers in het contextmenu) en bekijk welke gebruikers vertrouwde uitgevers mogen selecteren (zorg ervoor dat standaardgebruikers zijn toegestaan) en welke soorten certificaatcontroles zijn geselecteerd (zorg ervoor dat zeker dat er geen cheques zijn geselecteerd).

Opdracht 4

Een aanvullende regel voor een pad configureren

GEBRUIKER

Volg de voorbereidende stappen: kopieer het bestand notepad.exe van de map C: / Windows / system32 naar het bureaublad van de gebruiker en hernoem het naar notepad-1.exe.

BEHEERDER

Bekijk aan de rechterkant van de console welke bronnen, welk type aanvullende regels en welk beveiligingsniveau al zijn geconfigureerd.

Voeg een regel toe voor het pad:

Klik met de rechtermuisknop aan de rechterkant van de console en selecteer Nieuwe padregel in het contextmenu. Klik in het venster dat verschijnt op de knop Bladeren en selecteer het pad naar het bestand notepad-1.exe op het bureaublad van de gebruiker. Selecteer het beveiligingsniveau Niet toegestaan. Klik OK.

GEBRUIKER

Zorg ervoor dat Kladblok start (Start ® Alle programma's ® Accessoires ® Kladblok).

Zorg ervoor dat het programmabestand notepad-1.exe op het bureaublad van de gebruiker niet start. Leg uit waarom dit gebeurt.

Kopieer het programmabestand notepad-1.exe van het bureaublad naar de map Mijn documenten.

Voer het programmabestand notepad-1.exe uit vanuit de map Mijn documenten. Zorg ervoor dat het bestand notepad-1.exe uit de map Mijn documenten wordt gestart. Leg uit waarom dit gebeurt.

Vraag: Hoe betrouwbaar blokkeert de For Path-regel de toegang tot programma's? Welke manieren om de tekortkomingen weg te werken, kunt u voorstellen.

Opdracht 5

Een extra hashregel configureren

GEBRUIKER

BEHEERDER

Vouw het onderdeel Softwarebeperkingsbeleid uit en selecteer het onderdeel Aanvullende regels.

Verwijder de regel "Voor pad" die u in de vorige taak hebt gemaakt.

Voeg de regel "Voor hash" toe:

Klik met de rechtermuisknop aan de rechterkant van de console en selecteer Hash-regel maken in het contextmenu.

Selecteer notepad-1.exe voor hashing op het bureaublad van de gebruiker door op Bladeren te klikken. Nadat de hash is gegenereerd, wordt de bestandshash in het veld met de hash van het bestand geschreven en wordt de bestandsbeschrijving in het veld Bestandsinformatie geschreven.

Als u de hash van het programmabestand kent, kunt u deze invoeren in het veld Hashed file.

Selecteer de optie Niet toegestaan ​​in het veld Beveiliging. Klik OK.

GEBRUIKER

Voer notepad-1.exe uit. Leg uit waarom het bestand niet start.

Start het Kladblok-programma. Leg uit waarom het programma niet start.

Kopieer het bestand notepad-1.exe naar uw map Mijn documenten. Voer het bestand notepad-1.exe uit vanuit de map Mijn documenten. Leg uit waarom het bestand niet start.

Vraag: Formuleer de verschillen tussen de "for hash"-regel en de "for the path"-regel. Welke van deze twee regels is effectiever? Welke manieren kunt u voorstellen om de hash-regel te omzeilen?

Opdracht 6

Een aanvullende regel voor een certificaat configureren

GEBRUIKER

Verwijder het bestand notepad-1.exe uit de map Mijn documenten.

BEHEERDER

Vouw het onderdeel Softwarebeperkingsbeleid uit en selecteer het onderdeel Aanvullende regels.

Verwijder de "Voor hash"-regel die u in de vorige taak hebt gemaakt.

Gebruik Verkenner om de .cer-bestanden (certificaatbestanden) te zoeken en noteer het pad naar een ervan.

Voeg de regel "Voor certificaat" toe:

Klik met de rechtermuisknop aan de rechterkant van de console en selecteer Nieuwe certificaatregel in het contextmenu. Door op de knop Bladeren te klikken, selecteert u het certificaatbestand, het pad waarnaar u hebt genoteerd.

Selecteer een beveiligingsniveau en klik op OK.

Zorg ervoor dat er een nieuwe regel is toegevoegd aan de lijst met aanvullende regels.

Vraag: Leg uit wat het verschil is tussen de regelinvoer "voor certificaat" en de regelinvoer "pad"?

Verwijder het regelitem "voor certificaat" dat u zojuist hebt gemaakt.

Controletaken en vragen

1. Ontwikkel een softwarebeperkingsbeleid om aan de volgende vereisten te voldoen:

• een gewone gebruiker moet werken met Word- en Excel-toepassingen;

• de beheerder moet er zeker van zijn dat de door hem geïnstalleerde Word- en Excel-programma's niet zijn gewijzigd.

1. Wat is de prioriteit van het softwarebeperkingsbeleid?

1. Waarin verschillen "path"-regels van "hash"-regels? Welke is strenger? Wat zijn de nadelen van de hash-regel?
2. Wat is de aanbevolen volgorde voor het configureren van beleid voor softwarebeperking. Wat zou de reden kunnen zijn voor de keuze voor het standaard beveiligingsniveau?

MOSKOU, 20 december. / TAS /. De perssecretaris van de president van de Russische Federatie Dmitry Peskov noemde het gebruik van een smartphone vrijwillig exhibitionisme. Mede door deze overdreven openheid gebruikt het staatshoofd, Vladimir Poetin, geen mobiele telefoon. Dat zei de Kremlin-woordvoerder in een interview met de tv-zender Russia-24.

Op de vraag of het staatshoofd een smartphone heeft, zei Peskov: "Voor zover ik weet, nee. Hij heeft geen telefoon."

"Vergeet niet dat het hebben van een smartphone zo'n vrijwillig exhibitionisme is, volledige transparantie. Als je willens en wetens een smartphone oppakt, vink je het vakje aan dat ik klaar ben om alles te tonen, - zei de perssecretaris. - Helaas is dit hoe de wereld werkt. , en je moet je hiervan bewust zijn. Dienovereenkomstig zou de president het niet moeten hebben, vooral een land als Rusland. En een president als Poetin zou het niet moeten hebben. "

Volgens hem zullen "de goede oude telefoons van gesloten overheidscommunicatie alle smartphones overleven."

Afdrukken gebruiken

De woordvoerder van het Kremlin zei ook dat mappen met afdrukken nog steeds worden gebruikt bij het voorbereiden van voorlichtingsmateriaal voor de president. "Er zijn mappen met afdrukken, er zijn samenvattingen die op papier worden gemaakt, televisiesamenvattingen die op elektronische media worden gemaakt. Maar de president zelf kan traditioneel internet kijken en televisie op een computer", voegde hij eraan toe.

Peskov beantwoordde de vraag of hij de president raadpleegt voordat hij commentaar geeft op deze of gene luide verklaring van de buitenlandse leider voor de media, en legde uit dat "er indien nodig altijd een mogelijkheid is om de positie van de president te vragen."

Als voorbeeld noemde de journalist de recente verklaring van de president van Oekraïne, die het incident in de Straat van Kertsj een oorlog noemde. Peskov merkte hierop op dat "er veel situaties zijn waarin de positie van Rusland consistent en bekend is."

"Zulke uitspraken van de president van Oekraïne zijn niets nieuws. Het was een voor de hand liggende poging tot provocatie, dus hier is geen nieuwigheid in. Alleen het pre-electorale palet is in Oekraïne toegevoegd, wat de provocerende elementen in de retoriek van het Oekraïense leiderschap", voegde de perssecretaris eraan toe.