Denne delen diskuterer de ulike alternativene som påvirker retningslinjene. begrenset bruk programmer. Disse alternativene endrer policyomfanget eller Authenticode-tillitsinnstillingene for digitalt signerte filer.
Håndhevingsalternativer
Det er to alternativer for å håndheve en programvarerestriksjonspolicy: DLL-er(DLL-sjekking) og forhindrer at policyen blir brukt på lokale administratorer (Skip Administrators).
Sjekke DLL-er (DLL-sjekking)
Noen programmer, som f.eks Internet Explorer, består av en kjørbar fil (iexplore.exe) og mange hjelpebibliotek for dynamiske lenker (DLL). Som standard gjelder ikke retningslinjer for programvarerestriksjoner for DLL-er. Dette alternativet anbefales for de fleste brukere av tre grunner:
| Å forby en kjørbar fil forhindrer programmet i å kjøre, så det er ikke nødvendig å deaktivere alle medfølgende DLL-er. | |
| Kontroll av DLL-er forårsaker ytelsesforringelse. Hvis en bruker starter 10 programmer i løpet av en økt, blir programvarerestriksjonspolicyen evaluert 10 ganger. Hvis DLL-kontroll er aktivert, blir policyen evaluert når hver DLL lastes inn i hvert program. Hvis hvert program bruker 20 DLL-er, forårsaker dette 10 kjørbare programkontroller pluss 200 DLL-kontroller, og derfor blir programvarerestriksjonspolicyen evaluert 210 ganger. | |
| Hvis standard sikkerhetsnivå er Ikke tillatt (ikke tillatt), så i dette tilfellet bør ikke bare muligheten for å kjøre programmets kjørbare fil, men også alle dets DLL-er kontrolleres, noe som kan påvirke systemytelsen negativt. |
DLL-kontroll er gitt som et alternativ for miljøer som krever det høyeste sikkerhetsnivået når du kjører programmer. Selv om det meste datavirus er rettet mot å infisere kjørbare filer, noen av dem infiserer DLL-er. For å sikre at programmet ikke er infisert med et virus, kan du bruke et hash-regelsett som identifiserer den kjørbare filen og alle dens nødvendige biblioteker DLL.
Slik aktiverer du DLL-kontroll:
Figur 2 - Stille inn egenskapene for tvungen modus
Hindre retningslinjer for programvarerestriksjoner fra å gjelde lokale administratorer (hopp over administratorer)
Alternativer for programvarerestriksjoner lar deg forhindre de fleste brukere fra å kjøre programmer, samtidig som administratorer kan kjøre alle programmer. For eksempel kan en klient ha en delt maskin som brukere kobler seg til via en terminalserver. En administrator vil kanskje begrense brukere til kun å kjøre visse applikasjoner på den maskinen, mens de fortsatt lar medlemmer av den lokale administratorgruppen kjøre alle programmer. For å gjøre dette, bruk alternativet for å forhindre at policyen brukes på lokale administratorer ( Hopp over administratorer).
Hvis en programvarerestriksjonspolicy er opprettet i objektet gruppepolitikk(GPO) knyttet til objekt aktivt Directory, den foretrukne måten å ekskludere administratorer på er å fjerne tillatelsen fra egenskapene til GPO-gruppen som inkluderer administratorer.
Slik gjør du det mulig å forhindre at policyen brukes på lokale administratorer (hopp over administratorer):
Definisjon av kjørbare filer
Dialogboksen vist i figur 3 viser filtypene som programvarerestriksjonspolicyen gjelder for. Utpekte filtyper er filtypene som anses som kjørbare. For eksempel regnes screensaver.SCR-filen som kjørbar, fordi hvis du gjør det på den Dobbeltklikk mus i Windows Utforsker, vil den lastes inn som et program.
Regler for programvarerestriksjoner gjelder bare for filtypene som er oppført i dialogboksen. Egenskaper: Utpekte filtyper. Hvis miljøet ditt bruker filtyper som du ønsker å kunne sette regler for, legg dem til i denne listen. Hvis du for eksempel bruker Perl-skriptfiler, kan du legge til *.pl-filer og andre filtyper knyttet til Perl-moduler til listen Utpekte filtyper.
Figur 3 - Dialogboks Egenskaper: Utpekte filtyper
Betrodde utgivere
Alternativene i dialogboksen vist i figur 4 lar deg konfigurere innstillinger relatert til ActiveX®-kontroller og annet signert innhold.
Figur 4 - Konfigurering av klarerte utgivere
Tabell 3 viser alternativene for dialogboksen. Egenskaper: Trusted Publishers, relatert til ActiveX-kontroller og annet signert innhold.
| Tabell 3 - Trusted Publishers - Oppgaver og alternativer | |
| Oppgave | Nødvendig parameterverdi |
| Bare domeneadministratorer skal ha lov til å ta avgjørelser om signert aktivt innhold | Bedriftsadministratorer |
| Bare dataadministratorer skal ha lov til å ta avgjørelser om signert aktivt innhold | Lokale datamaskinadministratorer |
| Enhver bruker må ha lov til å ta avgjørelser om signert aktivt innhold | Generelle brukere(Sluttbrukere) |
| Du må sørge for at sertifikatet brukt av den pålitelige utstederen ikke er tilbakekalt. | Forlaget selv |
| Bekreft at sertifikatet som ble brukt av organisasjonen som daterte det aktive innholdet, ikke er tilbakekalt. | Tidsstempel |
Omfanget av retningslinjer for programvarerestriksjoner
Retningslinjer for programvarerestriksjoner gjelder ikke for:
Utforme en programvarerestriksjonspolicy
Denne delen beskriver:
Sammenslåing med gruppepolicy
Programvarebegrensningspolicyer kan administreres ved hjelp av følgende snapin-moduler for gruppepolicy:
Domenepolicy
For å sette opp en domenepolicy
Lokal sikkerhetspolicy
For å sette opp en sikkerhetspolicy
Hvis du redigerer et gruppepolicyobjekt (GPO), kan du angi programvarerestriksjoner for brukere og datamaskiner, som vist i figur 5.
Figur 5 - Redigere programvarerestriksjonspolicyen for brukere og datamaskiner
Hvis du redigerer lokal politikk sikkerhet, vil plasseringen av innstillingene for programvarerestriksjonspolicy være som vist i figur 6.
Figur 6 - Redigere den lokale sikkerhetspolicyen
Innledende handlinger
Når du redigerer en policy for første gang, vil du se meldingen vist i figur 7. Denne meldingen advarer om at å opprette en policy vil sette standardverdier som vil overstyre verdier som er arvet fra overordnede objekters programvarerestriksjonspolicyer.
Figur 7 - Advarselsmelding under oppretting ny politikk
Slik oppretter du en policy:
Bruke en programvarerestriksjonspolicy på en brukergruppe
En programvarerestriksjonspolicy distribueres gjennom gruppepolicy til et nettsted, et domene eller en organisasjonsenhet. Imidlertid kan det hende at en administrator må bruke en programvarerestriksjonspolicy for en gruppe brukere innenfor et domene. En administrator kan bruke GPO-filtrering for å gjøre dette.
For mer informasjon om filtrering av GPOer, se artikkelen Gruppepolicy Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp
Terminalservere
Retningslinjer for programvarerestriksjoner er en integrert del av serversikkerhetssystemet Windows-terminaler Server 2003. Terminal Server-administratorer kan nå fullstendig blokkere programvaretilgang til Terminal Server. Anvendelse av programvarerestriksjoner er ekstremt viktig på terminalservere på grunn av potensialet et stort antall brukere på samme datamaskin. På en enkeltbrukerklientdatamaskin som kjører Windows XP, kan det å kjøre et ustabilt program bare forstyrre en enkelt bruker, mens å kjøre et slikt program på en terminalserver kan irritere mer enn 100 brukere. Retningslinjer for programvarerestriksjoner forhindrer dette problemet. Denne tjenesten eliminerer også behovet for å bruke programmer som appsec.exe for å begrense programmer fra å kjøre på terminalserveren Windows Server 2003.
I tillegg anbefaler Microsoft at du går gjennom dokumentet Hvordan låse en Windows 2000 Terminal Server-økt(Hvordan låse en Windows 2000 Terminal Server-økt)
I noen tilfeller har flere terminalservere den samme programvaren installert, men administratorene for disse terminalserverne ønsker å gi forskjellige brukergrupper tilgang til forskjellig programvare. Noen av applikasjonene kan være felles for flere grupper. Tenk på et eksempel der et advokatfirma er vert for applikasjoner på en terminalserverfarm. Serverne har samme programvare installert. Programvaretilgangsreglene ser slik ut:
| Enhver ansatt kan bruke Microsoft office og Internet Explorer. Alle ansatte er medlemmer av gruppen Alle ansatte. | |
| Enhver regnskapsansatt kan bruke applikasjoner fra mappen Regnskapsprogramvare. Regnskapsansatte er medlemmer av konsernet Regnskap Ansatte. | |
| Enhver advokat kan bruke applikasjoner fra programvaremappen for Law Research. Advokater er medlemmer av gruppen Advokater. | |
| Ethvert medlem av den interne postvesen kan bruke programmer fra mappen Mail Room Processing-programvare. Ansatte i det interne postvesenet er medlemmer av gruppen MailRoom-ansatte. | |
| Ledere kan bruke all programvare som er tilgjengelig for andre ansatte. Ledere er teammedlemmer ledere. | |
| GPOer gjelder ikke for administratorer. |
For å begrense tilgangen til programvare oppretter en administrator fem GPOer med personlige retningslinjer for programvarerestriksjoner. Hvert GPO filtreres slik at det kun gjelder brukere i én av gruppene Alle ansatte, Regnskap Ansatte, Advokater, MailRoom-ansatte eller ledere(avhengig av hvilken gruppe det er beregnet på).
Fordi ledere må ha tilgang til all programvare på både arbeidsstasjonene og terminalserverne, bruker administratoren gruppepolicyfunksjonen, Loopback. Ved å installere en loopback kan en administrator bruke innstillingene for gruppepolicyobjekt (GPO) på datamaskinen de logger på for brukere. Hvis loopback er satt til Loopback med Erstatt, blir datamaskinens GPO-konfigurasjonsinnstillinger brukt på brukeren ved pålogging, og brukerens GPO-konfigurasjonsinnstillinger ignoreres. For mer informasjon om konfigurering av loopback, se gruppepolicydokumentet.
| GPO-bruker A1, tilknyttet Law-domenet | |
| Filter: Datamaskiner med lovdomene har tillatelsessett Bruk gruppepolicy | |
| Ikke tillatt (ikke tillatt) | |
| Regler for stien | |
| %WINDIR% | |
| %PROGRAMFILER%\Vanlige filer | Ubegrenset |
| %PROGRAMFILER%\Internet Explorer | Ubegrenset |
| %PROGRAMFILER%\Windows NT | Ubegrenset |
| %PROGRAMFILER%\Microsoft Office | Ubegrenset |
| Bruker GPO A5 knyttet til Lab Resource-domenet | |
| Filter: Datamaskiner i Law-domenet og brukere i Executives-gruppen har tillatelsen Bruk gruppepolicy | |
| Enable Loopback i Replace Mode er satt | |
| Standard sikkerhetsnivå | |
| Ikke tillatt (ikke tillatt) | |
| Regler for stien | |
| %PROGRAMFILER%\Law Research Software | Ubegrenset |
| %PROGRAMFILER%\Mail Room Program | Ubegrenset |
| %PROGRAMFILER%\Regnskapsprogramvare | Ubegrenset |
En trinn-for-trinn-guide for å utforme en programvarerestriksjonspolicy
Denne delen beskriver trinnene du må ta når du designer en programvarerestriksjonspolicy.
Problemer å vurdere
Når du utformer en policy, er det nødvendig å ta stilling til følgende aspekter:
Trinn for trinn prosess
Trinn 1: GPO eller lokal sikkerhetspolicy
Bør policyen gjelde for mange datamaskiner eller brukere i et domene eller en organisasjonsenhet, eller bør den bare gjelde for den lokale datamaskinen?
Trinn 2: Brukerpolicy eller datamaskinpolicy
Bør policyen brukes på brukere uavhengig av hvilken datamaskin de logger på, eller omvendt - på datamaskinen uavhengig av hvem som logger på?
Trinn 3: Standard sikkerhetsnivå
Kjenner du til all programvaren som brukerne vil bruke, eller kan de installere hvilken som helst programvare etter eget valg?
Trinn 4 Ytterligere regler
Identifiser valgte tillatte eller nektede applikasjoner ved å bruke de fire typene regler som er omtalt i avsnittet ovenfor. Arkitektur for programvarerestriksjoner.
Trinn 5 Retningslinjer
Det er flere policyalternativer:
| Hvis du bruker en lokal sikkerhetspolicy og ikke vil at den skal brukes på administratorer på den lokale datamaskinen, aktiverer du alternativet for å forhindre at programvarerestriksjonspolicy brukes på lokale administratorer ( Hopp over administratorer). | |
| Hvis du vil sjekke DLL-er i tillegg til kjørbare filer og skript, aktiverer du alternativet Sjekk DLL-er ( DLL-kontroll). | |
| Hvis du vil angi regler for filtyper som ikke er inkludert i listen over tildelte filtyper som anses som kjørbare som standard, legge til flere filtyper. | |
| Hvis du vil kontrollere hvem som kan ta avgjørelser om nedlasting av ActiveX-kontroller og annet signert innhold, angi de nødvendige alternativene i Egenskaper: Pålitelige utgivere. |
Trinn 6: Knytte en policy til et nettsted, et domene eller en organisasjonsenhet
For å koble en GPO til et nettsted.
For å koble en GPO til et domene eller en organisasjonsenhet.
Filtrering
På dette tidspunktet kan GPOer filtreres. Ved å filtrere basert på gruppemedlemskap kan du bestemme hvilken del av Active Directory Organizational Unit (OU) som vil bli påvirket av GPO. Du kan også filtrere basert på Windows Management Instrumentation (WMI)-spørringer.
Politisk testing
Hvis du ikke vil vente på neste oppdateringsintervall for gruppepolicy, men vil teste policyen umiddelbart, kjører du programmet gpupdate.exe og logger på igjen. Etter det kan du begynne å teste politikken din.
Som praksis viser, enn færre brukere har tilgang til en bestemt datamaskin, jo lenger systemet forblir operativt på den, og jo mer sannsynlig er det at mapper og filer vil være trygge. Det er best hvis datamaskinen bare har én bruker. Akk, i virkeligheten er dette langt fra alltid tilfelle: på jobben må du la andre ansatte bruke datamaskinen din, hjemme brukes ganske ofte den samme datamaskinen av alle familiemedlemmer, og på offentlige steder (spesielt i utdanningsinstitusjoner og dataklubber) kan antallet brukere datamaskinen være veldig stort.
Om behovet for å begrense tilgangen
Det er ganske forståelig at vanligvis verken kolleger eller husstandsmedlemmer ønsker å skade datamaskinen din, men hvis de tilhører kategorien nybegynnere, kan problemer ikke unngås. Og den yngre generasjonen i utdanningsinstitusjoner setter seg vanligvis ikke som mål å deaktivere datamaskinen og ødelegge informasjonen som er lagret på den - de eksperimenterer ganske enkelt aktivt, uten å tenke på hvilke konsekvenser visse handlinger kan føre til.
Som et resultat oppstår det uunngåelig visse problemer på datamaskiner i driften av individuelle applikasjoner eller operativsystemet. Dette er ikke overraskende, fordi det er nok å ved et uhell (bare ved uaktsomhet eller i løpet av et eksperiment) slette for eksempel en skjermdriver - og bildet på skjermen vil bli mindre attraktivt, fjerne skriveren - og skrive ut dokumenter vil være umulig, endre nettverksinnstillinger - og datamaskinen slutter å fungere i de lokale nettverkene osv. Og dette er ikke det verste alternativet - utilsiktet sletting en rekke systemmapper og filer kan føre til at operativsystemet ikke fungerer fullstendig, så det må installeres på nytt. Og ødeleggelsen av viktige arbeidsdokumenter kan få enda mer triste konsekvenser - det er mulig at det ikke vil være mulig å gjenopprette dem i sin helhet, og en del av arbeidet (eller til og med alt) må gjøres på nytt. I tillegg kan det ikke utelukkes at hvis ditt personlige eller bedriftsmateriale er av kommersiell verdi, kan det hende at angripere vil bruke dem.
Derfor er spørsmålet om å begrense tilgangen til en datamaskin, dens individuelle enheter, samt dataene som er lagret på den, til en viss grad relevant for alle databrukere uten unntak. Bare for noen (administratorer, lærere i datakurså ha barn av hjemmebrukere) oppgavene med å blokkere tilgang til operativsysteminnstillinger og beskytte filer og mapper i operativsystemet og installerte applikasjoner, og for andre (dette inkluderer administratorer, spesialister på avdelinger datasikkerhet og lærere, som i vårt land, sammen med undervisningsvirksomhet, ofte også er tvunget til å sikre driften av datamaskinene de administrerer) er det viktigere å blokkere tilgang til ulike enheter(USB, CD/DVD, FireWire, etc.). Det er tre grunner til behovet for å blokkere tilgang til enheter: For det første er det på slike enheter innsidere ofte tar ut konfidensiell informasjon; for det andre kommer virus ofte inn i datamaskinen gjennom disse enhetene og Trojanere; for det tredje installeres forskjellige programmer fra flyttbare medier, noe som er ønskelig å forhindre - ellers vil det i løpet av en uke bli installert et slikt antall leker på en datamaskin, for eksempel i en utdanningsinstitusjon, at det rett og slett ikke er plass igjen for andre applikasjoner.
Mange kontorarbeidere er interessert i å fullstendig blokkere tilgangen til en kjørende datamaskin i fravær av en legitim bruker. Behovet for slik beskyttelse på kontoret er svært relevant, for selv om du har din egen datamaskin, kan ikke brukeren være i nærheten av ham hele tiden, og det er ofte situasjoner når datamaskinen slås på uten tilsyn, som kan brukes av andre ansatte interessert i materialene dine.
En annen gruppe brukere (den inkluderer alle kontorarbeidere og hjemmebrukere) er bekymret for beskyttelsen av personopplysninger for å forhindre skade, sletting eller lekkasje. Problemet med å beskytte personlige mapper og filer oppstår uunngåelig når flere personer jobber ved en datamaskin. Dette kan være hjemme, når du trenger å beskytte andre familiemedlemmer (for eksempel et barn) mot informasjon som ikke er ment for dem, og på jobb, der selv om hver bruker har sin egen datamaskin, er situasjoner mulig når en annen ansatt må utføre noen oppgaver på datamaskinen. I begge tilfeller er det ikke nødvendig å vise utenforstående arbeidsmateriellet ditt, og slett ikke fordi de er klassifisert som "topphemmelige". Alt er mye enklere: ingen liker at utenforstående blander seg inn i deres saker. I tillegg, ved å blokkere tilgangen til mappene og filene dine, kan du ikke bekymre deg for at noe vil skje med dem på grunn av en annen (ikke nok trent) bruker eller at de vil bli ulovlig brukt, noe som dessverre er fullt mulig hvis materialet er av kommersiell verdi.
Generelt er spørsmålet om rimelig tilgangsbegrensning svært komplekst og mangefasettert, og uten passende applikasjoner det er umulig å løse det. Denne artikkelen er viet til slike applikasjoner.
Programmer for å begrense tilgang
Utvalget av applikasjoner som tilbys på markedet for å begrense tilgangen er ganske bredt og dekker mangfoldig programvareprodukter. Noen av dem blokkerer tilgang til operativsysteminnstillingene, andre lar deg kontrollere tilgangen til forskjellige enheter, andre blokkerer datamaskinen fullstendig i fravær av brukeren, og de fjerde gir skjulte personlige data. Ofte kombineres disse funksjonene i en eller annen kombinasjon, noe som er ganske forståelig, fordi mange brukere trenger å begrense tilgangen i flere retninger samtidig for å løse oppgavene de står overfor.
Blokkering av tilgang til operativsysteminnstillinger og systemdata
Innebygde Windows-verktøy lar deg angi noen begrensninger for brukertilgang til operativsysteminnstillinger og systemdata ved å administrere lokal politikk Sikkerhet (Kontrollpanel=>Administrasjon=>Lokal sikkerhetspolicy). Spesielt kan du deaktivere endring av passord regnskap og installasjon av skriverdrivere, begrense listen over tillatte programmer som skal brukes osv., men listen over begrensede alternativer er begrenset.
Samtidig, i praksis, for å sikre stabil drift av systemet, er det ofte nødvendig å begrense brukernes evner mer, noe som bare kan gjøres ved å bruke høyt spesialiserte verktøy designet for å kontrollere tilgangen til en datamaskin. Som et eksempel vil vi vurdere sikkerhetsprogrammer Administrator, WinLock, Deskman og My Simple Desktop. Den mest interessante av dem er Security Administrator-verktøyet, som lar deg begrense tilgangen til alle viktige innstillinger systemer og fokusert på systemadministratorer. My Simple Desktop-programmet har minst funksjonalitet, men det er gratis for personlig bruk og har ganske tilstrekkelige muligheter for noen hjemmebrukere, og du kan mestre det i løpet av sekunder.
Sikkerhetsadministrator 12.0
Utvikler: getfreefile
Distribusjonsstørrelse: 1,85 MB
Arbeid under kontroll: Windows 9x/Me/NT4/2000/XP/2003/Vista
Distribusjonsmetode http://www.softheap.com/download/secagent.zip)
Pris: $69
Sikkerhetsadministrator- profesjonell løsning for administrasjon av tilgang til en datamaskin, som lar deg begrense tilgangen til en datamaskin og alle dens viktige innstillinger (fig. 1) både generelt og for individuelle brukere. Det er også mulig å blokkere den påslåtte PC-en fullstendig i fravær av brukeren. I tillegg til å sette begrensninger, kan verktøyet brukes til å kontrollere arbeidet til brukere på datamaskinen, siden det fører statistikk over bruken av det lokale nettverket, Internett, etc.
Ris. 1. Begrens tilgang til systeminnstillinger og skjul stasjoner
i Security Administrator
Denne løsningen er nyttig for å angi et bredt spekter av tilgangsbegrensninger. Med den er det enkelt å begrense tilgangen til skrivebordsinnstillinger (forby endring av visningsegenskaper, skjule visse ikoner osv.) og deaktivere noen Start-menyelementer, skjule oppgavelinjen (alle eller bare visse elementer). I tillegg til å forby installasjon / fjerning av applikasjoner og begrense brukerens alternativer når du arbeider på Internett: forby modifikasjoner Internett-innstillinger Utforsker, laste ned filer, få tilgang til Internett fra applikasjoner, etc. Forutsatt og brede muligheter for å beskytte kritiske systeminnstillinger mot endringer - for eksempel kan du deaktivere redigering av systemregisteret, aktivere DOS-modus, installere nye drivere, legge til / fjerne skrivere, kopiere / flytte filer i systemmapper og slette filer og mapper fra Min datamaskin-mappen . Og skjul også kontrollpanelet, skrivere, nettverkstilkoblinger og Kjør-kommandoen fra Start-menyen. Om nødvendig kan kontrollpanelet skjules ikke helt, men delvis, og skjuler de mest kritiske elementene fra synspunktet til uautoriserte endringer, for eksempel "System", "Skjermegenskaper", "Nettverk", "Passord" og "Skrivere" ". Det er like enkelt å skjule lokale, nettverks- og USB-stasjoner, deaktivere brenning og autoavspilling av CDer, blokkere bruken av hot Windows-taster og lansering spesifikke applikasjoner, i tillegg til å skjule de angitte mappene - disse mappene vil bli usynlige i mappen "Min datamaskin", Utforsker og Åpne/Lagre-dialogboksene i Windows-applikasjoner.
WinLock 5.0
Utvikler: Crystal Office Systems
Distribusjonsstørrelse: 2,65 MB
Arbeid under kontroll: Windows 95/98/Me/NT4.0/2000/XP/Vista
Distribusjonsmetode: shareware (30 dagers demo - http://www.crystaloffice.com/winlock.exe)
Pris: WinLock - $21,95; WinLock Professional - $31,95
Winlock- praktisk løsningå begrense tilgangen til viktige systemressurser (fig. 2) og brukerdata, inkludert eksternt. Programmet presenteres i to versjoner: grunnleggende WinLock og utvidet WinLock Professional (funksjonene til den grunnleggende versjonen tillater ikke å begrense tilgang til nettressurser og bruke kryptering).
Ris. 2. Begrens tilgang til systeminnstillinger og skjul stasjoner
i WinLock
Med denne løsningen kan du deaktivere tilgang til systemregisteret, skjule kommandoer fra Start-menyen for å få tilgang til kontrollpanelet, skrivere og nettverkstilkoblinger og fullstendig blokkere tilgangen til de tilsvarende systemmappene og til noen andre mapper (Min datamaskin, Mine dokumenter, Papirkurv, etc.). Og sett også et forbud mot å blokkere datamaskinen og gjør det umulig å endre innstillingene på oppgavelinjen, skjerminnstillinger, nettverksinnstillinger, legge til/fjerne programmer fra Start-menyen og gi nytt navn til skrivebordsikoner. Det er like enkelt å sette forbud mot aktivering av DOS-modus og oppstart av Windows sikkerhetsmodus og blokker Windows-hurtigtaster (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc, etc.). Om ønskelig kan du til og med begrense muligheten til å administrere vinduer (for eksempel forby å endre størrelse og flytte dem). Programmet har også verktøy for å blokkere tilgang til flyttbare medier (CD/DVD-stasjoner, USB-enheter osv.) og skjule visningen av enkelte stasjoner i Min datamaskin-mappen og Utforsker. Du kan blokkere lanseringen av spesifikke applikasjoner (nedlastingsbehandlere, spill osv.) og nekte tilgang til enkelte filer og mapper (førstnevnte kan ikke åpnes for visning eller redigering, mens sistnevnte ikke kan åpnes, gi nytt navn eller slettes). Og forhindrer også tilgang til tvilsomme nettressurser (basert på hvit liste Tillatte nettsteder og blokkerte søkeord svarteliste) og sett grenser for hvor lenge spesifikke brukere kan bruke datamaskinen.
Deskman 8.1
Utvikler: Anfibia-programvare
Distribusjonsstørrelse: 1,03 MB
Arbeid under kontroll: Windows 2000/2003/XP/Vista
Distribusjonsmetode: shareware (30 dagers demo - http://www.anfibia-soft.com/download/deskmansetup.exe)
Pris: personlig lisens - 25 euro; forretningslisens - 35 euro
Deskman er et enkelt verktøy for å kontrollere tilgangen til en datamaskin og dens innstillinger (fig. 3), som lar deg blokkere PC-en fullstendig (inkludert tastatur, mus og skrivebord) eller begrense tilgangen til enkelte av dens funksjoner (individuelle begrensninger er mulige) for forskjellige brukere).
Ris. 3. Sette grenser i Deskman
Ved å bruke denne løsningen kan du begrense tilgangen til skrivebordsinnstillinger (for eksempel forhindre endring av skjermegenskaper, sletting av ikoner, ringe opp kontekstmenyen osv.), Windows Utforsker, oppgavelinjen, Internet Explorer-innstillinger og forby endring av ulike elementer i Start-menyen . Og begrense tilgangen til kontrollpanelet og andre kritiske systeminnstillinger - for eksempel forby fjerning av nettverksstasjoner, blokker omstart og avslutning av datamaskinen, etc. Om nødvendig er det enkelt å blokkere alle eller bare visse Windows-hurtigtaster (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc osv.) og konfigurere verktøyet til å automatisk sletting nye oppføringer fra autorun for å forhindre handling av virus, adware og spyware-moduler. Det er mulig å sette et forbud mot bruk av andre brukere av spesifikke harddisk og flyttbare medier (CD/DVD-stasjoner, USB-enheter, diskstasjoner, etc.), blokkerer autoavspilling av CDer og brenner dem. Du kan konfigurere begrensninger gjennom forhåndsinstallerte profiler (det er mer praktisk for nybegynnere og mye raskere) eller manuelt.
My Simple Desktop 2.0
Utvikler: Anfibia-programvare
Distribusjonsstørrelse: 1,76 MB
Arbeid under kontroll: Windows XP/Vista
Veiformidling: My Simple Desktop Office Edition og My Simple Desktop School Edition - shareware (30-dagers demo - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - gratisprogram (http://www.mysimpledesktop.com/download/msdsetup_home.exe)
Pris: My Simple Desktop Office Edition - 32 euro; My Simple Desktop School Edition - 20 euro; My Simple Desktop Home Edition - gratis (kun for personlig bruk)
My Simple Desktop - veldig enkelt program for å begrense tilgangen til datamaskinen og dens innstillinger (fig. 4). Den presenteres i tre utgaver: den betalte My Simple Desktop Office Edition og My Simple Desktop School Edition og den gratis My Simple Desktop Home Edition (mulighetene til utgavene er helt identiske).
Ris. 4. Angi tilgangsbegrensninger i My Simple Desktop
Med dette verktøyet kan du beskytte skrivebordet, oppgavelinjen og Start-menyen mot endringer, gjøre det umulig å gjøre endringer i skjerminnstillingene og kontekstmenyen i Explorer. Og også nekte tilgang til kontrollpanelet, mappeegenskaper og systemregisteret og blokkere bruken av Windows-hurtigtaster og høyre museknapp. Begrensningsplanen for enhetstilgang inkluderer et forbud mot bruk av faste stasjoner og eksterne USB-enheter, samt å skjule nettverksstasjoner og blokkere autoavspilling av CDer. Om nødvendig kan du sette en grense for bruk av datamaskinen - den samme for alle brukere, bortsett fra administratoren. Begrensninger konfigureres ved å tilordne en av de forhåndsinnstilte profilene eller manuelt.
Begrens tilgang til enheter
De innebygde mekanismene for distribusjon av tilgangsrettigheter og innstilling av sikkerhetspolicyer i operativsystemene til Windows-familien (unntatt Windows Vista) tillater ikke kontroll av andre brukeres tilgang til potensielt farlige enheter (USB-enheter, CD/DVD-stasjoner, FireWire og infrarøde porter og så videre.). Selvfølgelig kan du deaktivere lignende enheter i BIOS, men dette er ikke et alternativ, siden for å jobbe med en deaktivert enhet (om nødvendig), må du få tilgang til BIOS hver gang og slå den på igjen, noe som er ganske langt og veldig upraktisk.
Det er mye smartere å kontrollere tilgangen til enheter ved hjelp av tilleggsapplikasjoner, som kan være veldig forskjellige. Ofte er muligheten til å skjule eller blokkere enheter gitt i verktøy utviklet for å kontrollere tilgang til operativsysteminnstillinger, inkludert de som er vurdert av oss. Det er sant at mulighetene for å begrense tilgangen til enheter ikke er store i dem: du kan kontrollere tilgangen til langt fra alle farlige enheter, og vi snakker ikke engang om mediekontroll. Mye mer funksjonalitet i denne forbindelse leveres av verktøy - enhetstilgangsblokkere og spesialiserte løsninger for å beskytte systemet mot lekkasjer av bedriftsinformasjon. Som et eksempel vil vi vurdere programmene DeviceLock, USB Lock Standard og ID Devices Lock. Den mest funksjonelle av dem er DeviceLock-programmet, som du kan kontrollere (og ikke bare blokkere) tilgangen til individuelle brukere og brukergrupper til nesten alle potensielt farlige enheter (og til og med media), men det er hovedsakelig rettet mot systemadministratorer. Mulighetene til de to andre verktøyene er mye mer beskjedne, men de er ganske nok for de fleste brukere.
Enhetslås 6.3
Utvikler: CJSC "Smart Line Inc"
Distribusjonsstørrelse: 39,7 MB
Arbeid under kontroll: Windows NT/2000/XP/Vista
Distribusjonsmetode: shareware (30 dagers demo - http://www.devicelock.com/ru/dl/download.html)
Pris: 1300 rubler.
DeviceLock er en spesialisert løsning for å organisere et lekkasjebeskyttelsessystem for bedrifter som lar deg kontrollere tilgangen til hele spekteret av potensielt farlige enheter: USB-porter, diskettstasjoner, CD/DVD-stasjoner, samt FireWire, infrarød, parallell og serielle porter, Wi-Fi- og Bluetooth-adaptere, båndstasjoner, PDA-er og smarttelefoner, nettverk og lokale skrivere, internt og eksternt flyttbare stasjoner Og harddisk. Programmet har et sentralisert system fjernkontroll, gir tilgang til alle funksjoner fra arbeidsplassen til systemadministratoren. Slik administrasjon implementeres ved å bruke den valgfrie DeviceLock Enterprise Manager-konsollen eller gjennom Actvie Directory-gruppepolicyer, som lar deg installere DeviceLock automatisk på nye datamaskiner koblet til bedriftsnettverk, og konfigurer for nye datamaskiner automatisk.
Enten fullstendig blokkering er mulig bestemt type enheter, eller delvis, det vil si i samsvar med den hvite listen over medier (fig. 5), der tilgang til enkelte medier vil være tillatt til tross for blokkering av den tilsvarende typen enhet. Du kan også angi skrivebeskyttet modus og beskytte disker mot utilsiktet eller tilsiktet formatering. Det er mulig å tildele ulike tilgangsrettigheter til enheter og I/O-porter for individuelle brukere og brukergrupper med mulighet for å stille inn kontroll avhengig av tid og ukedag. Om nødvendig kan du logge alle brukerhandlinger med enheter og filer (kopiere, lese, slette osv.) ved å utføre skyggekopiering.
Ris. 5. Innstilling av enhetstilgangsbegrensninger iht
med hvitliste over medier i DeviceLock
USB-lås Standard 3.4.1
Utvikler: Advanced Systems International S.A.C.
Distribusjonsstørrelse: 2,02 MB
Arbeid under kontroll: Windows XP/Vista
Distribusjonsmetode: shareware (10 dagers demo - http://www.advansysperu.com/down_st.php)
Pris: $44
USB Lock Standard er et praktisk verktøy for å blokkere tilgang (fig. 6) til alle typer flyttbare medier: USB-porter (USB-stasjoner, iPoder, MP3-spillere, etc.), Zip-enheter, diskettstasjoner, CD/DVD-stasjoner, Bluetooth-adaptere og smartkortlesere (CF, SD, MMC, XD, etc.). Den lar deg blokkere tilgangen til de angitte enhetene fullstendig eller gjøre det delvis ved å åpne tilgang for autoriserte enheter. For å avbryte blokkeringen må du vite passordet eller en USB-nøkkel. Operasjoner med ulåste enheter registreres i loggene.
Ris. 6. Adgangsblokkering
til CD/DVD-stasjoner i USB Lock Standard
ID-enhetslås 1.2
Utvikler: ID Security Suite
Distribusjonsstørrelse: 1,47 MB
Arbeid under kontroll: Windows 98/NT/2000/XP/Vista
Distribusjonsmetode http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)
Pris: $37
ID Devices Lock er et enkelt verktøy for å begrense tilgangen (fig. 7) til USB-enheter, CD-stasjoner og stasjoner ved å forby kopiering av data til dem, noe som bidrar til å forhindre informasjonslekkasje på mobile medier. For å kansellere låsen må du vite passordet.
Ris. 7. Begrense tilgangen til stasjonen i ID-enhetslås
Fullstendig blokkering av datamaskinen i fravær av brukeren
Den enkleste måten å blokkere tilgang til en datamaskin som er slått på er å angi et passord for splash-skjermen, men dette er ikke det beste alternativet, siden du enkelt kan fjerne passordet fra skjermspareren når du starter på nytt. Det er mye mer pålitelig å blokkere datamaskinen fullstendig ved hjelp av spesielle programvareverktøy, som vil gjøre det umulig å få tilgang til noen elementer på datamaskinen, inkludert tastatur, mus og skrivebord. Deretter kan du se all informasjon om den, starte programmer, få tilgang til filer og mapper (inkludert de som er åpne på dette øyeblikket) og til og med å starte datamaskinen på nytt ved å trykke hurtigtasten Ctrl + Alt + Del vil ikke lenger være mulig. Du kan låse opp datamaskinen bare ved å kjenne brukerens passord, og en enkel omstart (selv i sikker modus) eller et strømbrudd vil ikke føre til fjerning av beskyttelsen.
Slik datamaskinlåsing leveres vanligvis ved hjelp av svært spesialiserte verktøy: Desktop Lock, Lock My PC og lignende, men slike funksjoner kan også leveres i programmer som er utviklet for installasjon. annen type tilgangsbegrensninger - spesielt i Security Administrator og Deskman.
Desktop Lock 7.2.1
Utvikler: TopLang-programvare
Distribusjonsstørrelse: 792 KB
Arbeid under kontroll: Windows NT/2000/XP/2003/Vista
Distribusjonsmetode: shareware (15 dagers demo - http://www.toplang.com/dlsetup.exe)
Pris: $24,95
Desktop Lock er et verktøy for å blokkere en datamaskin (fig. 8) mens brukeren er borte. Blokkering settes fra selve verktøyet ved å trykke en bestemt tastekombinasjon automatisk på tidspunktet spesifisert av brukeren eller, hvis brukeren er inaktiv, etter en spesifisert periode. Å sette datamaskinen i låst modus kan være ledsaget av lansering av en skjermsparer, avspilling av en lyd- eller videofil, noe som er rimelig, for eksempel på utstillinger når du demonstrerer bedriftspresentasjoner. Når den er låst, slår musen seg av og blir umulig bruk grunnleggende hurtigtaster. For å gå ut av låst modus, må du trykke på en hemmelig tastaturkombinasjon eller museknapp med et passord. Hvis ønskelig, kan du konfigurere verktøyet for å fikse korte meldinger fra andre brukere som henvendte seg til datamaskinen under eierens fravær og ønsket å skrive noe til ham.
Ris. 8. Angi alternativer for datamaskinlås i Desktop Lock
Lås min PC 4.7
Utvikler: FSPro Labs
Distribusjonsstørrelse: 1,4 MB
Arbeid under kontroll: Windows 2000/XP/2003/Vista
Distribusjonsmetode: shareware (30-dagers demo - http://www.fsprolabs.com/download/distr/lmpc.zip)
Pris: personlig lisens - $19,95; virksomhetslisens - $29,95
Lock My PC er et verktøy for å blokkere en datamaskin (fig. 9) mens brukeren er borte. Det er enkelt å låse en datamaskin - bare dobbeltklikk på det tilsvarende ikonet i systemstatusfeltet eller trykk på en spesiell tastaturkombinasjon. Det er mulig å blokkere automatisk etter et spesifisert tidsrom med brukerinaktivitet. Når den er låst, slås musen og CD/DVD-stasjonene av (dette vil ikke tillate deg å fjerne CDer fra dem) og det blir umulig å bruke hovedtastaturkombinasjonene: Ctrl + Alt + Del, Alt + Tab, osv. På en låst datamaskin, hvilken som helst , inkludert selvlagde bilder i GIF, JPEG, BMP og animerte GIF-formater. Du kan bare låse opp datamaskinen hvis du kjenner bruker- eller administratorpassordet.
Ris. 9. Tilpass datamaskinlåsinnstillingene i Lås min PC
Beskyttelse av personopplysninger
Det er flere måter å beskytte personlige data mot uautorisert tilgang: du kan komprimere mapper og filer i et passordbeskyttet arkiv; skjule dem; legge i en hemmelig mappe, tilgang som for andre brukere vil være beskyttet av et passord; krypter eller lag en virtuell kryptert disk, som du kan registrere ditt hemmelige materiale på. Valget av den mest foretrukne metoden avhenger av situasjonen, men i de fleste tilfeller er det beste alternativet å skjule og kryptere mapper og filer, så i denne artikkelen vil vi begrense oss til det.
Teoretisk kan du skjule mapper og filer ved å bruke de innebygde egenskapene til Windows - for dette er det nok å aktivere "Skjult" -attributtet i egenskapene til de tilsvarende objektene. Mapper og filer som er skjult på denne måten vil ikke være synlige i Utforsker for andre brukere av systemet, men bare under forutsetning av at avkrysningsboksen "Ikke vis skjulte filer og mapper" er aktivert i egenskapene til overordnede mapper som inneholder dem. I prinsippet kan dette være nok til å beskytte data mot utrente brukere. Objekter som er skjult på denne måten vil imidlertid være synlige i applikasjoner som ikke bruker standarddialogen for å vise filer og mapper (FAR, Totalkommandør etc.), så denne beskyttelsen er ikke særlig god.
Et mer robust databeskyttelsesalternativ innebygd Windows-verktøy er bruk av kryptert filsystem EFS (Encrypting File System, EFS), som lar deg kryptere filer ved å aktivere alternativet "Krypter innhold for å beskytte data" for dem i Utforsker (Egenskaper => Generelt => Avansert). Det er umulig å lese filer kryptert på denne måten uten å kjenne passordet, men EFS-systemet lar deg beskytte mapper og filer kun i NTFS-filsystemet.
Av disse grunner, for å beskytte personlige mapper og filer, er det bedre å bruke spesialiserte verktøy. Disse løsningene vil tillate deg å skjule mapper og filer på en tryggere måte (de vil ikke være synlige når du deaktiverer avmerkingsboksen "Ikke vis skjulte filer og mapper"), samt blokkere tilgang til dem. Dessuten gir noen av disse verktøyene også muligheten til å kryptere data, noe som vil sikre deres beskyttelse mot andre brukere selv når du starter Windows i sikker modus, starter opp i et annet operativsystem eller på en annen datamaskin (hvis en harddisk med beskyttet informasjon er installert på det på forhånd). Som eksempler vil vi vurdere Mappeprogrammer Lås, mappevakt og skjul mapper XP. Den første gir mest høy level beskyttelse av krypterte data, den andre gir i tillegg verktøy for å beskytte de grunnleggende OS-innstillingene mot endringer. Hide Folders XP-pakken er merkbart dårligere enn de navngitte løsningene når det gjelder dens evner, men den har et russiskspråklig grensesnitt og tilbys russisktalende brukere til en svært attraktiv pris.
Mappelås 6.0.1
Utvikler: NewSoftware Professionals, Inc.
Distribusjonsstørrelse: 2,78 MB
Arbeid under kontroll: Windows 2000/XP/2003/Vista
Distribusjonsmetode: shareware (20 dagers demo - http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)
Pris: $35,95
Mappelås er en effektiv og pålitelig løsning for å beskytte personlige filer, mapper (fig. 10) og stasjoner ved å angi et passord, skjule og kryptere dem ( AES algoritme med en 256-bits nøkkel). For større sikkerhet tillater denne løsningen bruk av blokkering og kryptering samtidig - filer som er beskyttet på denne måten vises ikke i Explorer og i applikasjoner og er helt utilgjengelige, siden de ikke kan nås uten å kjenne passordet selv om de er lastet inn i DOS, i en sikker Windows-modus, fra et annet operativsystem eller på en annen datamaskin. I tilfelle passordet er glemt, er det mulig å få tilgang til data ved hjelp av registreringsnøkkelen. De originale dataene som må beskyttes, kan ikke bare finnes på harddisken, men også på USB-stasjoner, minnekort, CD-RW-disker, disketter og bærbare datamaskiner. Og installasjonsprosessen for den medfølgende beskyttelsen kan utføres automatisk i tilfelle inaktivitet på datamaskinen. I spesialbehandling Stealth Mode er et program som kan skjule alle spor som indikerer at databeskyttelse er installert på datamaskinen: det forhindrer at dets egne snarveier vises på skrivebordet og i Start-menyen skjuler installasjons-/avinstalleringsdata i den tilsvarende delen av kontrollpanel, sletter historikken og utklippstavledata osv. .d. I tillegg, av hensyn til større sikkerhet, fører programmet en oversikt over alle passord som ble angitt uten hell for å fjerne beskyttelsen, noe som lar brukeren rettidig fikse manifestasjonen av en usunn interesse for egen datamaskin av andre brukere.
Ris. 10. Arbeide med beskyttede mapper i Folder Lock-pakken
Folder Guard 7.6
Utvikler: WinAbility Software Corporation
Størrelsedistribusjonssett: Folder Guard Editions og Folder Guard x64 Edition - 1,8 MB; Folder Guard Professional Edition - 2,5 MB
Arbeid under kontroll: Windows 2K/XP/2003/Vista
Distribusjonsmetode: shareware (30 dagers demo - http://www.winability.com/folderguard/editions.htm)
Pris: Folder Guard Editions og Folder Guard x64 Edition - $39,95; Folder Guard Professional Edition - $59,95
Folder Guard er en enkel og praktisk løsning for å begrense tilgangen til mapper og filer, samt hindre tilgang til en rekke Windows-innstillinger. Den kommer i tre utgaver: Folder Guard Editions, Folder Guard x64 Edition og Folder Guard Professional Edition. Den første versjonen kjører i 32-bit Windows-versjoner, den andre - i 64-bit, og den tredje - i begge.
Begrensning av tilgang til personopplysninger utføres ved å skjule dem (fig. 11), stille inn skrivebeskyttet modus eller blokkere. Samtidig er skjul implementert i to versjoner: du kan gjøre mapper og filer skjult eller sette dem tomme (Tomme). I det andre tilfellet vil mappene være synlige, men når de åpnes vil de være tomme, selv om de i virkeligheten inneholder informasjon - dette alternativet beskyttelse er egnet for standard Windows-mapper, hvis fullstendige skjul vil indikere at informasjon på datamaskinen er blokkert, noe som er uønsket. Beskyttede mapper uten passord vil ikke være tilgjengelig for andre brukere av systemet selv når Windows startes opp i sikker modus, selv om dette vil kreve noen innstillinger i programmet. I tilfelle passordet er glemt, er det en funksjon for å gjenopprette det ved hjelp av gratis verktøy Emergency Recovery (http://www.winability.com/folderguard/eru.htm). Også implementert er muligheten til å kjøre programmet i Stealth Mode, der egne snarveier og filer vil bli skjult.
Ris. 11. Skjule en mappe i Folder Guard
MED Mappe Guard kan også beskytte de grunnleggende OS-innstillingene fra å bli endret (fig. 12) - spesielt blokkere tilgang til egenskapene til oppgavelinjen, Start-menyen og en rekke andre vinduer, forby lagring av skjermegenskaper (hvis de er endret) , blokker endringer i mappeegenskaper og innstillinger Internet Explorer, ikke vis skrivebordsikoner. Og forhindre også endringer i kritiske parametere for driften av systemet ved å stenge tilgangen til kontrollpanelet og sette en rekke forbud: tilgang til systemregisteret, legge til / fjerne skrivere, bruke Kjør-kommandoen, etc. Du kan også skjule visse plater i Min datamaskin, Utforsker og standard Åpne/Lagre dialogbokser og blokkere CD/DVD-brenning. For forskjellige brukere er et annet sett med slike begrensninger mulig.
Ris. 12. Sette begrensninger for tilgang til Windows-innstillinger
i Folder Guard
Skjul mapper XP 2.9.8
Utvikler: FSPro Labs
Distribusjonsstørrelse: 1,23 MB
Arbeid under kontroll: Windows 2000/XP/2003/Vista
Distribusjonsmetode: shareware (30 dagers demo - http://www.fsprolabs.com/download/distr/hfxp.zip)
Pris: $ 29,95 (i Softkey.ru-butikken - 400 rubler)
Hide Folders XP er et enkelt program for å beskytte mapper og filer (fig. 13) mot uautorisert tilgang ved å skjule og/eller blokkere dem. Beskyttede mapper vil ikke være tilgjengelige for andre brukere, inkludert systemadministratoren, selv når Windows starter opp i sikker modus. I dette tilfellet vil ikke bare beskyttede mapper og filer, men også mapper som inneholder dem, være beskyttet mot sletting. Og for å hindre andre brukere fra å gjette om tilstedeværelsen av beskyttede data på datamaskinen, kan programmet fjerne spor av etablert beskyttelse og kan skjule seg selv (kan hende ikke vises i listen over ofte nedlastede programmer, ikke vise avinstalleringslinjen i kontrollpanelet, skjule seg selv i listen kjørende prosesser og så videre.).
Ris. 13. Arbeide med beskyttede filer i Hide Folders XP-miljøet
For å forbedre sikkerheten til nettverk (spesielt domener på basert på Active Directory) bruker retningslinjer for programvarerestriksjoner. Denne komponenten finnes i enhver GPO.
Men når jeg bruker denne komponenten, er det et par punkter som jeg en gang glemte, og som et resultat fikk jeg en direkte epidemi av julepynt på brukernes skrivebord i hele nettverket.
Så jeg vil fortelle deg om øyeblikkene som ikke bør glemmes.
Ved å skape nytt objekt gruppepolicy og redigere en eksisterende, åpne den i gruppepolicyredigereren:
Utvide en gren Datamaskinkonfigurasjon -> Windows-konfigurasjon-> Sikkerhetsalternativer, velg en seksjon Retningslinjer for programvarerestriksjoner. Som standard er disse retningslinjene ikke angitt:
Lag en policy:
Som standard har alle programmer lov til å kjøre ( Sikkerhetsnivå - ubegrenset ). Angi standardnivået Er ikke lov :
Og nå er det viktig å ikke glemme følgende:
1. Seksjon Ytterligere regler slette parameteren %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%. Dette alternativet tillater alle programmer som ligger i programfiler.
Dette trinnet skyldes det faktum at brukeren har skriverettigheter til mappen Programfiler , kan lagre en kjørbar fil der og kjøre den, noe som kan føre til et systemsikkerhetsbrudd. Ved å fjerne denne parameteren fratar vi brukeren denne muligheten. Naturligvis bør man ikke glemme å registrere hashen av tillatte programmer fra Programfiler i delen Tilleggsregler.
2. Seksjon Programvarerestriksjoner i håndhevet-innstillingen policy er satt som standard For alle brukere. Bør installeres For alle brukere unntatt lokale administratorer.
Dette er nødvendig for at medlemmer lokal gruppe Administratorer kan om nødvendig installere programmer, starte nødvendige hjelpemidler og så videre.
3. Seksjon Retningslinjer for programvarerestriksjoner i parameter Tilordnede filtyper fjern filtypen fra listen LNK (snarvei) .
Slett filtype LNK (snarvei) nødvendig for ikke å gi tillatelse til å utføre for hver snarvei på datamaskinen i policyen.
Til slutt vil jeg merke meg at jeg skrev alt det ovennevnte primært som en påminnelse for meg selv, og anbefalingene som er gitt er ikke "den ultimate sannheten."
Jeg tok fyr med denne ideen om sikkerhet og bestemte meg for å prøve å gjøre det samme for meg selv.
Siden jeg har Windows 7 Professional, var den første ideen å bruke AppLocker "a, men det ble raskt klart at han ikke ønsket å jobbe i min utgave av Windows, og krevde Ultimate eller Enterprise. På grunn av lisensiering av Windows og tomheten i lommeboken min, alternativet med AppLocker" er borte.
Neste forsøk var å konfigurere gruppepolicyer for programvarerestriksjoner. Siden AppLocker er en "pumpet" versjon av denne mekanismen, er det logisk å prøve policyer, spesielt siden de er gratis for Windows-brukere :)
La oss gå til innstillinger:
gpedit.msc -> Datamaskinkonfigurasjon -> Windows-innstillinger -> Sikkerhetsinnstillinger -> Retningslinjer for programvarerestriksjoner
Hvis det ikke er noen regler, vil systemet tilby å generere automatiske regler som tillater oppstart av programmer fra Windows-mappen og Programfiler. Vi legger også til en avvisningsregel for banen * (en hvilken som helst bane). Som et resultat ønsker vi å kunne kjøre programmer bare fra beskyttede systemmapper. Og hva?
Ja, dette er hva vi får, men her er bare litt uflaks - etiketter og http-lenker fungerer ikke. Du kan fortsatt score på lenker, men det er ikke bra å leve uten etiketter.
Hvis du tillater at filer startes ved å bruke *.lnk-masken, vil vi kunne lage en snarvei for en hvilken som helst kjørbar fil, og starte den ved å bruke snarveien, selv om den ikke er i systemmappen. Elendig.
En forespørsel til Google fører til følgende løsninger: enten tillat at snarveier kan startes fra tilpasset mappe, eller bruk tredjepartslinjer med snarveier. Ingen annen vei. Personlig liker jeg ikke dette alternativet.
Som et resultat står vi overfor den situasjonen at *.lnk fra Windows-synspunktet ikke er en kobling til en kjørbar fil, men en kjørbar fil. Det er sprøtt, men hva kan du gjøre ... Jeg vil at Windows ikke skal sjekke plasseringen til snarveien, men plasseringen til filen den refererer til.
Og så kom jeg tilfeldigvis over innstillingene for listen over utvidelser som er kjørbare fra Windows-synspunktet (gpedit.msc -> Datamaskinkonfigurasjon -> Windows-konfigurasjon -> Sikkerhetsalternativer -> Tilordnede filtyper). Vi sletter LNK derfra og samtidig HTTP og relogging. Vi får fullt fungerende snarveier og ser etter plasseringen av den kjørbare filen.
Det var tvil om det ville være mulig å sende parametere gjennom snarveier - det er mulig, så alt er ok.
Som et resultat fikk vi implementeringen av ideen beskrevet i artikkelen "Windows-datamaskin uten antivirus" uten noen ulempe for brukeren.
Dessuten, for de som liker å skyte seg selv i foten, kan du opprette en mappe i Program Files og kaste en snarvei for den på skrivebordet, for eksempel kalle den "Sandbox". Dette vil tillate deg å kjøre programmer derfra uten å deaktivere policyer, ved å bruke beskyttet lagring (beskyttelse via UAC).
Jeg håper den beskrevne metoden vil være nyttig og ny for noen. Jeg har i hvert fall aldri hørt om noe slikt fra noen og har ikke sett det noe sted.
Retningslinjer for programvarerestriksjoner er en teknologi Windows-klienter 7, tilgjengelig for Windows XP, Windows Vista, Windows Server 2003 og Windows Server 2008. Programvarerestriksjoner administreres gjennom gruppepolicy. Den tilsvarende noden er under Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies ( Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Software Restriction Policies). Alternativene som er tilgjengelige for disse retningslinjene er ubegrensede ( Ubegrenset) for å la programmer kjøre, og nektet ( Ikke tillatt) blokkerer kjøringen av applikasjoner.
Du kan også begrense kjøringen av applikasjoner ved å bruke rettighetene til NTFS-filsystemet. Men å angi NTFS-tillatelser for et stort antall applikasjoner på mange datamaskiner er en svært tidkrevende prosess.
I prinsippet er det mye overlapp mellom programvarerestriksjoner og AppLocker. Fordelen med retningslinjer for programvarerestriksjoner er at de kan brukes på Windows-datamaskiner XP og Windows Vista, samt utgaver av Windows 7 som ikke støtter AppLocker. På den annen side, i Software Restriction Policies, må alle regler konfigureres manuelt, siden det ikke er innebygde veivisere for å lage dem. Retningslinjer for programvarerestriksjoner brukes i en gitt rekkefølge, med mer spesifikke regler som går foran mer spesifikke. generelle regler. Prioriteten til regler fra mer spesifikke (hash-regler) til mindre spesifikke (standard) er:
- Hash regler.
- Sertifikatregler.
- Veiregler.
- Soneregler.
- Standard regler.
Hvis to motstridende regler er definert for samme program, har den mer spesialiserte regelen forrang. For eksempel en hash-regel som spesifiserer ubegrenset bruk applikasjon, overstyrer baneregelen om at denne applikasjonen avvises. Dette er forskjellig fra AppLocker-policyer, der prioriteringer ikke brukes og blokkering av noen regel alltid dominerer tillatelsesregelen.
I miljøer som bruker både programvarerestriksjoner og AppLocker, har AppLocker-policyene forrang. Hvis AppLocker-policyen eksplisitt tillater et program som er blokkert av programvarerestriksjonspolicyen, vil programmet kjøre.
Sikkerhetsnivåer og standardregler
Sikkerhetsnivånoden lar deg angi standard applikasjonsbegrensningsregler. Standardregelen brukes når ingen andre retningslinjer gjelder for applikasjonen. Bare én standardregel kan aktiveres om gangen. De tre standardreglene er:
- Forbudt (Ikke tillatt). Når denne policyen er aktivert, vil brukere bare kunne kjøre programmet hvis det er tillatt av en eksisterende programvarerestriksjonspolicy.
- Vanlig bruker (Grunnleggende bruker). Hvis denne policyen er aktivert, vil brukere kunne kjøre programmer som ikke krever administrative rettigheter. En applikasjon som krever administrative rettigheter vil bare være tilgjengelig for brukere hvis det er opprettet en regel som dekker den applikasjonen.
- Ubegrenset (Ubegrenset). Hvis denne regelen er satt som standardregel, vil brukeren kunne kjøre denne applikasjonen med mindre den er blokkert av en eksisterende programvarerestriksjonspolicy.
Hvis du har tenkt å begrense brukeropplevelsen til en liste over tillatte applikasjoner, sett standardregelen til Nekt ( Ikke tillatt). Dette sikrer at enhver applikasjon som ikke er eksplisitt tillatt, ikke får lov til å kjøre. Hvis du bare vil blokkere et par problematiske programmer, men ikke vil blokkere alle andre programmer i miljøet ditt, setter du standardregelen til Ubegrenset ( Ubegrenset). Dette lar enhver applikasjon kjøre så lenge den ikke er eksplisitt blokkert.
Hvordan retningslinjer brukes
Egenskapsvindu: Applikasjon ( Håndhevingsegenskaper) lar deg spesifisere om retningslinjer for programvarerestriksjoner gjelder for alle programvarefiler bortsett fra biblioteker, for eksempel DLL-er, eller for alle programvarefiler, inkludert biblioteker. Hvis standardnivået er deaktivert ( Ikke tillatt) og du har konfigurert policyer til å gjelde for alle programvarefiler, for å bruke et bestemt program, må du konfigurere regler for DLL-ene som brukes av det programmet. Microsoft anbefaler ikke å begrense bruken av DLL-er med mindre miljøet du administrerer krever økt sikkerhet. Dette er hovedsakelig fordi administrasjon av DLL-regler øker mengden arbeid som er involvert i vedlikehold av programvarerestriksjoner.
Egenskapsvindu: Applikasjon ( Håndhevingsegenskaper) lar deg konfigurere bruken av programvarerestriksjoner for alle brukere eller for alle brukere unntatt administratorer. Med denne policyen kan du også spesifisere hvilke sertifikatregler som skal håndheves eller ignoreres. Ulempen med å håndheve sertifikatregler er at de reduserer ytelsen til datamaskinen betydelig.
Tilordnede filtyper
Tilordnede filtyper policy ( Utpekte filtyper), lar deg bestemme hvilke utvidelser som skal gjenkjennes kjørbare filer som er underlagt retningslinjer for programvarerestriksjoner. Listen over utvidelser redigeres ved å bruke Legg til-knappene ( Legg til) og Slett ( Fjerne). Standardutvidelser (.com, .exe og .vbs) kan ikke fjernes. De er alltid anerkjent som kjørbare.
Veiregler
Baneregler lar deg spesifisere en fil, mappe eller registerinnstilling som objektet for en programvarerestriksjonspolicy. Jo mer spesifikk en baneregel er, desto høyere prioritet er den. Hvis du for eksempel har en regel som lar C:\Program files\Application\App.exe være ubegrenset og en regel som ikke tillater filer fra C:\Program files\Application , vil den mer spesialiserte regelen ha forrang: applikasjonen vil kjøre. Jokertegn kan brukes i stiregler. For eksempel er det fullt mulig at det finnes en regel for banen C:\Program files\Application*.exe . Regler som bruker jokertegn er mindre spesifikke enn regler som bruker hele banen til en fil. Ulempen med stiregler er at de antar at plasseringen av filer og mapper ikke endres. Hvis du for eksempel oppretter en baneregel for å blokkere applikasjonen C:\Apps\Filesharing.exe , kan en angriper kjøre den ved å flytte filen til en annen mappe eller gi den et annet navn. Banereglene fungerer bare hvis OS-tillatelsene ikke tillater deg å flytte eller gi nytt navn til filer.
Hash regler
Hash-regler fungerer basert på et digitalt fingeravtrykk som identifiserer en fil ved dets binære innhold. Dette betyr at filen du har opprettet en hash-regel for, vil bli identifisert uavhengig av navn eller plassering. Hash-regler fungerer for alle filer og krever ikke digital signatur. Ulempen med hash-regler er at de må opprettes separat for hver fil. Du kan ikke opprette hash-regler for programvarerestriksjoner automatisk. du må generere hver regel manuelt. Du må også endre hash-regelen hver gang du oppdaterer programmet som regelen gjelder for, fordi oppdatering av programvaren endrer det binære innholdet i filen. Dette betyr at den endrede filen ikke lenger vil samsvare med det originale digitale fingeravtrykket.
Sertifikatregler
Sertifikatregler bruker kryptert-signerte programvareutgiversertifikater for å identifisere applikasjoner signert av en bestemt utgiver. Sertifikatregler lar flere applikasjoner dele én enkelt regel som gir samme sikkerhet som hash-regler. Sertifikatreglene trenger ikke endres selv om programvaren er oppgradert, fordi den oppgraderte applikasjonen fortsatt vil være signert med samme produsentens sertifikat. For å sette opp en sertifikatregel må du få et sertifikat fra produsenten. Sertifikatregler øker belastningen på datamaskinen fordi gyldigheten av sertifikatet må kontrolleres før programmet kan kjøres. En annen ulempe med sertifikatregler er at de gjelder for alle søknader fra en gitt leverandør. Hvis du har tjue applikasjoner fra dette selskapet installert på datamaskinen din, og du vil la bare én av dem kjøre, bør du bruke de andre reglene. Ellers vil brukerne kunne kjøre hvilken som helst av disse tjue applikasjonene.
Nettverkssoneregler
Regler for Internett-soner gjelder bare for pakker Windows Installer (.msi) oppnådd med Internett-hjelp utforsker. Til andre applikasjoner som filer .exe, gjelder ikke sonereglene selv om disse filene også er hentet gjennom Internet Explorer. Sonereglene bestemmer om en pakke kan brukes, avhengig av siden den ble lastet ned fra. Mulige steder inkluderer Internett, intranett, begrensede nettsteder, klarerte nettsteder og min datamaskin.
Mer detaljert informasjon For retningslinjer for programvarerestriksjoner, se
