Alexander Osipov, hjemmehørende i det russiske departementet for utvikling av det russiske fjerne østen, ble utnevnt til fungerende guvernør for Trans-Baikal-territoriet i slutten av oktober. Osipov ga sitt første intervju i sin nye stilling til RIA Novosti. Han snakket om hvordan Transbaikalia vil bli en del av det fjerne østlige føderale distriktet og hvilke mekanismer og fordeler for innbyggere og investorer som snart vil begynne å jobbe i regionen, samt forbedringen av Chita etter kritikk av Valentina Matvienko, planlegger å delta i valget for lederen av Transbaikalia og en oppskrift på en favoritt nyttårsrett ...
Alexander Mikhailovich, du har vært ansvarlig for regionen ganske nylig, mindre enn to måneder har gått. Klarte du i løpet av denne tiden å formulere hovedproblemene og prioriterte oppgaver i regionen? Og har du en arbeidsplan for sentrale områder?
Jeg ankom Transbaikalia og identifiserte umiddelbart to nøkkelproblemer på den tiden. Dette er en ubalanse i budsjettet - vi hadde ikke penger til å betale lønn til statsansatte, til å betale for verktøy for hele budsjettsektoren, og vi betalte ikke forsikringspremier for lønn. En rekke andre prioriterte sosiale utgifter ble ikke dekket over regionbudsjettet. Dette måtte raskt løses. Takket være beslutningen fra landets ledelse, ved slutten av 2018, ble budsjettet vårt forsterket, ytterligere 2,5 milliarder rubler ble tildelt oss. Vi klarte å løse de mest brennende problemene.
Det andre viktige problemet var gjeld til boliger og fellestjenester, som forårsaket lokale problemer med fyringssesongen i kommunene. Generelt sett hadde det regionale budsjettet under 13 milliarder rubler forfalt gjeld. På grunn av dette kunne ikke ressursforsynende organisasjoner inngå kontrakter i tide, kjøpe drivstoff, vi hadde rett og slett ikke penger.
Det tredje viktige problemet vi står overfor er at spørsmålene om finansieringskildene for eliminering av konsekvensene av storflommen ennå ikke er avgjort. Generelt ble 180 kilometer med veier, 36 broer, 50 andre gjenstander skadet av katastrofen i Transbaikalia. Fra de første dagene begynte vi aktivt å håndtere problemene med restaureringen deres. Den russiske føderasjonens regjering vurderer en ordre som bestemmer finansieringskildene for restaurering av disse fasilitetene.
Jeg snakket om problemene, og vi har to viktige prioriteringer. Tross alt er det viktig ikke bare å håndtere problemer, men å utvikle regionen. Første prioritet er regionens deltakelse i nasjonale prosjekter. For oss er nasjonale prosjekter en unik mulighet til å løse problemene akkumulert gjennom to tiår. Vi har satt sammen en liste over alle objektene vi trenger, arrangementer vi kan delta på, og nå godkjenner vi den regionale delen av passene for selve prosjektene.
Takket være dette arbeidet vil Trans-Baikal-territoriet motta mer enn 13 milliarder rubler på veiene alene. Dette er et av de mest smertefulle problemene for regionen. Regionen har ikke sett slike penger. Nå vil det være svært viktig å investere dem effektivt. Vi skal modernisere mer enn tusen kilometer med veier, nesten 300 av dem i tettstedet Chita. Vi skal bygge feltsher- og jordmorstasjoner, kulturgjenstander, barnehager, skoler og andre sosiale tilbud.
Samtidig legges også trekk ved Fjernøsten til mulighetene innenfor rammen av nasjonale prosjekter. Vi ønsker å aktivt bruke alle fjernøstens virkemidler av både sosial og økonomisk karakter. Dette er vår andre utviklingsprioritet.
– Dere innførte et nødregime på en rekke områder på grunn av mangel på drivstoff, er det fortsatt i kraft?
Lokale beredskapsregimer ble innført på kommunalt nivå. Det var en periode da vi ikke hadde penger og ikke kull. Her og der var drivstoffreservene bare for en dag, men i henhold til standardene - 14 dager ved levering med jernbane og syv ved veitransport. Naturligvis, under slike forhold, var det nødvendig å reagere veldig raskt over hele territoriet til hele regionen. Vi tok beslutninger, innførte passende nødregimer, lette etter hvor vi i det minste har noen drivstoffreserver, og transporterte dem.
Nå har vi, takket være at vi har fått tilleggsmidler, rettet dem til kommuner for innkjøp av kull. Med dette har vi stabilisert situasjonen: vi betaler fullt ut for boliger og kommunale tjenester i budsjettsektoren, vi har stengt en del av gjelden som har akkumulert og gjenopprettet reservestandarden for drivstoffreserver.
– Så vinteren går knirkefritt?
Dette vil vi tilstrebe. Selv om det er klart at det gjennom årene har blitt akkumulert så mange problemer i forsyningssektoren at dette ikke kan annet enn å manifestere seg. Det er nettverksbrudd, her svikter kjeler, rør går i stykker der, dette må vi hele tiden forholde oss til. Vi flytter stadig elektriske reservestasjoner, vi må hele tiden sende nødteam. Men dette er allerede spesielle tilfeller, og vi har løst problemene systematisk.
Tilbake til temaet inkludering i Fjernøsten, kan du allerede fortelle hvilke mekanismer du vil bruke? Hvilke forslag forbereder du om anvendelsen av preferanser for det føderale distriktet i Fjernøsten i Transbaikalia?
Det er to viktige anvendelsesområder for mekanismene for utviklingen av Fjernøsten. I sosial retning utarbeider vi nå en plan for sosial utvikling av Trans-Baikal-territoriet. I februar planlegger vi å godkjenne den og sende den til regjeringen for å vurdere spørsmålet om finansieringen. Departementet for utvikling av det russiske fjerne østen har et tilsvarende statlig program, det er kilder, og jeg ønsker at våre anlegg skal finansieres fra dette programmet.
Vi har nå fire økonomiske områder. Gruvebedrifter, det er et stort potensial her, over 14 billioner rubler. Innen treforedling har vi et tillatt hogst på mer enn 8 millioner kubikkmeter. Vi kan bygge et stort antall prosessanlegg. Nå brukes dessverre de fleste av disse skogene ineffektivt, det er nesten ingen andre jobber enn hogst. Den tredje retningen er at vi har nesten 1,5 millioner hektar brakkmark, som vi planlegger å pløye. Vi skal dyrke korn, raps, drive med foredling, melkeproduksjon, kjøttfeavl, fjørfeoppdrett. Til slutt planlegger vi å drive drivhusdrift, fordi vi har ganske tøffe klimatiske forhold, og folk trenger beriket normal ernæring hele året.
Vi planlegger å støtte disse næringene i første omgang. Vi vil bruke de prioriterte utviklingsområdene, mekanismen til frihavnen i Vladivostok. I Kalarsky-regionen har vi for eksempel Udokan-kobberforekomsten og Apsatsky-kullforekomsten. Dette er store innskudd, hvorav ett har 88 milliarder rubler med investeringer, ifølge de første estimatene fra investorer. Siden de ligger i nærheten trenger de felles infrastrukturløsninger. Derfor startet vi opprettelsen av et nettsted for avansert utvikling, takket være hvilket vi vil gi energi- og transportinfrastruktur mulighet for tilgang til jernbanen. Følgelig vil tettstedene som ligger der få sosiale fasiliteter.
– Når kan denne TOPPEN lages?
Vi satte i oppgave å sende materiale til regjeringens underutvalg om gjennomføring av investeringsprosjekter i Fjernøsten innen utgangen av februar, i ekstreme tilfeller - innen midten av mars. Jeg tror det går over samtidig.
– Er du klar til å introdusere Far Eastern Hectare-programmet i Transbaikalia?
Vi ønsker å introdusere det. Det er nødvendig å lage passende kart, men dette krever mye arbeid for å revidere landets tilstand. Som praksisen med lignende arbeid i andre regioner i Fjernøsten har vist, er det mye forvirring i landspørsmål.
I løpet av seks måneder skal det jobbes veldig aktivt for å rydde opp i alt dette, forberede informasjonssystemet, bygge det teknologiske arbeidet til kommunale og regionale organer, som skal håndtere spørsmålene om tildeling og registrering, riktig. Etter det vil vi begynne å gi land først til Transbaikal-folket, deretter til Fjernøsten, og deretter til alle. Vi ønsker å bruke den beste opplevelsen som var i Fjernøsten, og vi vil selvfølgelig prøve å unngå noen av vanskelighetene og vanskelighetene som dukket opp tidligere.
– Når kan dette skje? Sommeren 2019 - en sanntid?
Jeg tror høsten blir mer realistisk.
Både i Transbaikalia og i Buryatia er det ganske høye priser på flyreiser. Ønsker du å bruke subsidiemekanismen for flyreiser?
Vi har to hovedmekanismer. Den ene er tilskudd til en rekke kategorier som er stønadsberettiget. Dette er mennesker med nedsatt funksjonsevne, store familier. Den andre mekanismen er flate priser, når flyselskapene selv bestemmer at en tur-retur-billett koster akkurat så mye. Vi ønsker å implementere begge disse mekanismene. Chita var tidligere inkludert i regjeringsvedtaket om subsidiering av en rekke flyruter, og nå jobber vi med å utvide antall ruter.
Til en flat rate ser vi på hvilke flyruter, med hvilket flyselskap vi kan forhandle. Mest sannsynlig vil dette være flyvninger fra Moskva til Chita, fra Chita til Moskva. Dette er et vanskelig spørsmål. Det viktigste er å finne et flyselskap som er klar for innføring av flate priser og forstår markedet godt nok til å planlegge og tilby en slik rute i et år.
Etter din mening, hvor lang tid vil det ta før de to regionene kommer inn i det fjerne østlige føderale distriktet og før alle mekanismene fungerer?
Det er umulig å sette stive tidsgrenser her, det er nødvendig å snakke om perioder. Den første - frem til utgangen av første kvartal 2019 - er bruken av de viktigste mekanismene med mottak av de første økonomiske effektene. Prioriterte utviklingsområder, territorier hvor vi skal utvide frihavnsregimet, investeringsprosjekter som vi skal gi infrastrukturtilskudd, og så videre. Dette vil vi prøve å gjøre allerede i første kvartal.
Den andre perioden er lengre, dette er den direkte gjennomføringen av de utpekte investeringsprosjektene. Alt må bygges, lanseres og så videre. Det vil trolig vare i to-tre år. Og den tredje perioden, betinget, kan den kalles - for alltid. Hva jeg mener? Utviklingssystemet i Fjernøsten er ikke i sin endelige tilstand, det utvikler seg stadig, mekanismer endres, suppleres, nye utvikles. Dette er en bane som jeg ikke ser grensene for i nær fremtid.
Dessuten ser jeg allerede i dag at etter stadiet med den første implementeringen av eksisterende støttetiltak, vil vi gå videre til utviklingen av individuelle mekanismer som tar hensyn til spesifikasjonene til Trans-Baikal-territoriet. Regionen med sine problemer ligner på mange måter de fjerne østlige, men den har også sine egne særtrekk. Mest sannsynlig vil noen støttetiltak stå overfor en betydelig korreksjon, og et sted er det mulig å finne opp nye utviklingsmekanismer eksklusivt for Trans-Baikal-territoriet.
En av egenskapene til Trans-Baikal-territoriet er dets grenseoverskridende posisjon, regionen grenser direkte til Kina. Hvordan planlegger du å jobbe med kinesiske investorer?
Du har helt rett, Transbaikalia har en unik posisjon generelt, som dessverre ennå ikke har blitt brukt riktig. Vi er et slikt punkt, porten mellom Fjernøsten og resten av landet, mens punktet er veldig rikt på rikdom og mineraler. Vi har en statsgrense med den største økonomien i verden – Kina, en grense til Mongolia, som åpner for store muligheter for utenlandsk økonomisk utvikling. Naturligvis kunne dette ikke annet enn å manifestere seg, det er noen kinesiske investeringer i regionen. Men nå blir ikke dette potensialet utnyttet på beste måte. Kina er en stor økonomi, den investerer i høyteknologiske, moderne jobber med høy ytelse, men har ennå ikke oppnådd store investeringsvolumer i Trans-Baikal-territoriet. Derfor må vi starte politikken for å tiltrekke investorer på nytt. Det er viktig å skape høyproduktive arbeidsplasser i industrien, i foredlingssektoren, men ikke i primærsektoren.
I tillegg, når kinesiske turister kommer til oss, kjøper de aktivt russiske produkter - godteri, sjokolade, melk, brød, vegetabilsk olje. Men nå eksisterer disse industriene i Trans-Baikal-territoriet enten praktisk talt ikke, eller så er de i sin spede begynnelse. Vår oppgave er følgelig å øke slik produksjon, ledsaget av en utenlandsk økonomisk agenda - å åpne markedene i Kina, å forhandle ikke bare mellom de to landene, men også provinsene, slik at så mange av disse varene som mulig går til Kina. Et av vekstpunktene her er byen Zabaikalsk, territoriet nærmest Kina.
Fjernøsten tar ikke bare hensyn til kinesiske, men også til sørkoreanske og japanske investorer. Er det noen planer for preferanser generelt for utenlandske investorer? Hvordan vil du tiltrekke hovedstaden deres til territoriet til Trans-Baikal-territoriet?
Mekanismene for økonomisk utvikling i Fjernøsten skiller ikke investorer avhengig av om de er russiske, kinesiske eller fra et annet land. Enhver investor som kom til landet, registrerte en juridisk enhet og handler i samsvar med loven, har rett til å motta passende støttetiltak, passende preferanser og fordeler.
Vi vil ikke prioritere investeringene til noe land. Når vi snakker ansvarlig og ærlig, er vår toppprioritet høy ytelse, moderne, høykvalitets ansettelse for våre ansatte. Slik at så mange innbyggere i Transbaikal som mulig har gode jobber, så vil ethvert selskap, uansett hvor det kommer fra, motta støtte hvis det oppfyller disse kravene.
Vi jobber nå aktivt med Sør-Korea. Vi har planlagt et forretningsoppdrag for koreanske forretningsmenn, de er veldig interesserte.
– Når kan hun komme gjennom?
Nå setter vi tiden, vi driver forberedende arbeid med koreansk side.
– Snakker du om neste år?
Ja, mest sannsynlig, dette er neste år, i år kommer vi ikke i tide. Men kvalitet er viktigere enn timing. Faktum er at prioriteringene som jeg har gitt dere, skaper etterspørsel etter et stort antall produsenter av gruveutstyr, landbruks- og tømmerforedlingsutstyr. Vi vet at sørkoreanske selskaper er konkurransedyktige på mange typer av disse produktene. Vi ønsker å gi dem muligheten til å investere i disse prioriterte sektorene. Nå er vi i gang med forarbeid, vi definerer en liste over selskaper som har relevant kompetanse og som kan investere i Transbaikalia og sikre langsiktig konkurranseevne til prosjekter på disse områdene. Slik at disse prosjektene er økonomisk bærekraftige, og menneskene som jobber for dem forstår at dette er for lang tid, at dette er en god jobb som vil gi dem en fremtid.
– Er de kinesiske forretningsoppdragene planlagt neste år?
De er definitivt planlagt, men hovedfaktoren, som jeg allerede har sagt, er å få et praktisk resultat fra slike besøk. Derfor vil vi forberede dem på en slik måte at det er konkret og forståelig arbeid for kinesiske investorer.
Jeg har gjentatte ganger observert hvordan forhandlinger med kinesiske partnere har blitt ført i årevis, og som et resultat skjer ingenting. Da avklarte vi hva som var saken. Det viste seg at forhandlingsprosessen foregår på konseptuelt nivå, og det er veldig vanskelig for folk i et annet land å finne sine peilinger og forstå hvor de skal begynne, hvordan de skal gjøre det. Og alt strekker seg enten ut i lang tid, eller ender opp uten hell. Det er nødvendig å gjøre det motsatte: alt skal forberedes nesten på nøkkelferdig basis, og etter det må du se etter de investorene som vil være mest interessert i dette, som raskt kan komme til gjennomføringen av prosjekter.
Vi vil være i stand til å forberede de mest åpenbare prosjektene i løpet av to eller tre måneder. Vi vil forstå hvilke nettsteder, hvilke typer virksomheter og infrastrukturer som trengs der. Og med disse første prosjektene kan du allerede gå til koreanerne og kineserne.
Siden du snakker om tre måneder, så vil du kunne presentere de første prosjektene allerede på investeringsforumet i Sotsji og på SPIEF?
Jeg regner mest med Eastern Economic Forum. Og jeg overfører det direkte søket etter investorer i større grad til bilaterale forbindelser med Kina, Sør-Korea, Japan og India. Vi vil også se på resten av naboene våre, som vil ha interesser i de bransjene og i den type investeringsprosjekter vi kan tilby.
Kinesiske myndigheter endret forrige uke reglene for å besøke et kjøpesenter i Manchuria og ber nå russere om å fremlegge legeerklæringer. Gjelder dette alle turister eller bare gründere?
Dette gjelder kategorien russiske statsborgere som eksporterer russiske matvarer fra Russland til Kinas territorium til grensehandelskomplekset Manchuria og selger dem der. I følge People's Government of Manchuria er dette kravet planlagt innført i samsvar med lovene i Kina.
Alexander Mikhailovich, du danner nå et team av den regionale regjeringen. Hvordan planlegger du å bygge en personalpolitikk? Vil du tiltrekke deg spesialister fra andre regioner eller søker du etter personell lokalt?
Det er ingen enkelt tilnærming, hva som bør gjøres enten på denne måten eller på en annen måte. Vi må nå se etter ekte mennesker som er i stand til å løse problemer og problemer som finnes i Transbaikalia. Derfor har vi organisert et eget prosjekt for søk, vurdering og utvelgelse av kandidater til offentlige tjenestestillinger. Arbeidstittelen på prosjektet er "Trans-Baikal Call". Vi vil gjøre dette sammen med det russiske akademiet for nasjonal økonomi og offentlig administrasjon (RANEPA), men vi vil selvfølgelig tilpasse oss spesifikasjonene til Trans-Baikal-territoriet. Vi har allerede de viktigste teknologiske løsningene, vi studerte erfaringer fra andre regioner, tok de beste praksisene.
Det er tre hovedkriterier som vi vil vurdere kandidater etter. Den første er ærligheten og rettferdigheten til en person. For det andre bør hovedmotivet for arbeidet hans være service til mennesker. Og den tredje er hans kvalifikasjoner, han må være en profesjonell som umiddelbart kan produsere resultater uten spesiell trening, uten å bytte.
Nyttetariffer for befolkningen har økt siden 1. januar, i Transbaikalia er de ganske høye sammenlignet med andre regioner. Hvordan planlegger du å løse dette problemet?
Det er to nivåer av løsning på problemet. En av dem er kortsiktig - det er i dag å ta informerte tariffbeslutninger, for å utelukke alle faktorer for akselerert vekst av tariffer. Den andre er lengre: det er å endre de forholdene som fører til et høyere tollnivå i Transbaikalia enn i andre regioner.
På det første følger vi bare nøye med på hvilke tariffregulerte selskaper som henvender seg til oss, hvor berettigede deres forespørsler om tarifføkninger er. Og naturligvis tar vi alle tiltak for å dempe denne veksten.
Et eksempel er varmetariffen. Det er en rekke forhold. Vår region er ikke forsynt med gass, dessuten kapasiteten som vi har bygget for for eksempel kraftvarme - hvor det er en samtidig produksjon av både elektrisitet og varme - disse anleggene ble bygget for eksempel i 1936, i 1961. Derfor er det tydelig at de ikke oppfyller moderne krav og standarder når det gjelder drivstoff og energieffektivitet. Naturligvis fører dette til en oppblåst kostnad. På denne delen orienterer vi bedrifter, lar dem ikke heve tariffene, på den annen side tar vi beslutninger om hvordan vi skal modernisere dem eller bygge nye for å lukke dette problemet på lang sikt.
Selskapene ba om å heve varmetariffene med ganske høye verdier, men vi tok en beslutning om at veksten kun skal være innenfor grensene av absolutt nødvendig – fra 1. januar med 1,7 %.
Det andre nivået er en viktig sak for hele landet å ta i bruk et nytt system for arbeid med kommunalt avfall. Her ble alle avgjørelser tatt før jeg ble tilsatt i stillingen, og fra første dag begynte vi å sette oss inn i situasjonen. Dessverre viste det seg at regionen ikke var klar for dette systemet. Vi har ikke vedtatt en vanlig renovasjonsordning – hvor de samles inn, hvor de samles, hvor de sorteres, hvor de tas ut, hvor de kastes. I Chita-regionen er det ikke et eneste deponi som, tatt i betraktning de nye kravene, kan fjerne søppel. Vi vet ofte hvordan store prosjekter gjennomføres: det er ikke en eneste hogstmaskin, og du vil motta en kvittering. På mange andre typer utstyr - containere, plattformer, sekker - dukket det også opp spørsmål. Det var tydelig at forberedelsestiden stort sett var ineffektiv. Derfor tok jeg en beslutning om at Trans-Baikal-territoriet ikke vil kunne innføre et nytt system fra 1. januar. Vi leter nå etter regulatoriske løsninger på hvordan vi lovlig kan gjøre dette, og jeg ba våre varamedlemmer og senatorer om å søke den russiske føderasjonens føderale forsamling for å vurdere muligheten for å utsette innføringen av dette systemet i Trans-Baikal-territoriet i minst ett år.
Forbundsrådets speaker Valentina Matvienko kritiserte Chita i sommer for dets upleide utseende, den dårlige tilstanden til dramateateret og den "stygge fontenen" i sentrum. Hvordan planlegger du å sette byen i orden og når neste gang invitere Valentina Ivanovna på besøk?
Vi venter alltid på Valentina Ivanovna. For det første fordi Valentina Ivanovna er en veldig erfaren statsmann, og kritikken hennes er konstruktiv. Hun kritiserte og hjalp umiddelbart. Takket være dette har vi i år allerede bevilget midler til reparasjon av dramateateret vårt i det føderale budsjettet, mer enn 1 milliard rubler er bevilget til gjenoppbyggingen, og vi vil begynne reparasjoner fra neste år.
Det andre prosjektet, som også begynte å bli implementert takket være Valentina Ivanovna, er tildelingen av et føderalt tilskudd til forberedelsen av den sjette gruven i byen Krasnokamensk. Det gir en ny vind til byen, folk vil ha jobb.
Jeg vil svare på denne måten: i dag er det uenighet i Trans-Baikal-territoriet, en betydelig mengde, for eksempel, negativ energi har allerede blitt akkumulert, som skiller mennesker. Jeg tror at det i dag ikke er det viktigste i hvilken politisk fargelegging regionen skal males. Dessuten ser jeg til og med at gløden til politiske kamper ikke tillater å ta rasjonelle, pragmatiske beslutninger. Derfor tror jeg at det viktigste i dag er reelt praktisk arbeid og foreningen av alle til beste for Transbaikalia.
Til slutt et festlig spørsmål - har du bestemt deg for hvordan du skal feire det nye året? Og har du en signatur nyttårsoppskrift?
Jeg skal feire nyttår på tradisjonelt vis. Min kone og jeg har ikke planlagt noe ennå. Mest sannsynlig vil vi enten møtes i familiekretsen, eller besøke noen. Og for kulinariske herligheter - det virker for meg at en av de mest fantastiske rettene som russisk mat har oppfunnet er sild under en pels. Jeg elsker henne veldig høyt, hun må være der jeg er ved bordet.
Jeg nevnte at parallelt med denne artikkelserien vil det fortsatt dukke opp artikler om den såkalte «storebroren» til teknologien nevnt ovenfor på bloggen min. Med andre ord, noen ganger, av en eller annen grunn, vil du i din organisasjon ikke være i stand til å bruke AppLocker, for eksempel, en av grunnene er at i tillegg til datamaskiner som kjører under Windows 7-operativsystemet, kan de fleste av brukerne dine kjøre, si, under Windows XP-operativsystemer. Og som du vet, har AppLocker-teknologi denne "fantastiske begrensningen" knyttet til plattformen som policyene du konfigurerer vil gjelde.
Følgelig, som du kanskje har gjettet, er denne artikkelen en introduksjon til å jobbe med en teknologi som kalles programvarerestriksjonspolicyer, som dateres tilbake til tiden med Windows XP, som lar deg kontrollere funksjonene til applikasjoner på brukernes datamaskiner. Siden jeg allerede skrev om alle fordelene og ulempene med denne teknologien sammenlignet med AppLocker i den innledende artikkelen til AppLocker-syklusen, tror jeg det ikke er noen vits i å duplisere den samme informasjonen. Derfor vil vi i denne artikkelen snakke om hva programvarerestriksjoner er, samt hvordan og hvorfor slike retningslinjer kan opprettes.
Hva er retningslinjer for programvarerestriksjoner?
Før du begynner å opprette de neste GPOene med de riktige sikkerhetsinnstillingene, må du først bestemme hva Software Restriction Policies (SRP) er. Denne teknologien, som er en del av Group Policy, gir funksjonalitet utformet for å kontrollere applikasjonene som brukere kjører på sine skrivebord.
Som du husker gir AppLocker-teknologien faktisk nesten de samme mulighetene, men det er SRP i denne retningen som kan kalles en "old-timer", siden denne teknologien er mer enn 5 år eldre enn AppLocker, eller mer presist , SRP-teknologi dukket opp i oktober 2001, sammen med utgivelsen av Windows XP-operativsystemet. På samme måte som i tilfellet med AppLocker, ved bruk av funksjonaliteten til denne teknologien, vil programvare som er forbudt av SRP ikke fjernes fra brukerens datamaskin, og brukeren vil på sin side ikke kunne starte en slik applikasjon eller utføre noen spesifikke handlinger....
I den innledende artikkelen om AppLocker, fra alle sammenligningene av funksjonaliteten til de to teknologiene (nemlig programvarerestriksjonspolicyer og AppLocker), nevnte jeg ikke at i tilfelle innstillingene for og AppLocker-reglene, bare AppLocker retningslinjer vil gjelde på Windows 7-datamaskiner. Du bør også være oppmerksom på det faktum at, i motsetning til retningslinjene som er konfigurert ved hjelp av AppLocker-teknologi, vil ikke alle SRP-innstillinger gjelde for en bestemt bruker eller gruppe av brukere, men for alle brukere som vil logge på datamaskinen de vil bli berørt av. SRP-policyer.
Til tross for alle fordelene med teknologien som vil bli dekket i flere artikler i denne serien, kan eventuelle forbud som dekkes av funksjonaliteten for programvarerestriksjoner omgås. SRP vil ikke bli brukt på brukeren hvis brukeren logger på datamaskinen sin i sikkermodus. Dette er til en viss grad en ulempe. Men hvis brukere ikke snakker om dette punktet, er det usannsynlig at de vil bruke denne juksen til sine egne formål.
Lag en programvarerestriksjonspolicy
Hvis du, når det gjelder AppLocker-teknologi, ikke trenger å konfigurere standardpolicyene for å lage dine egne regler, vil du ikke kunne jobbe med programvarerestriksjoner uten regler opprettet som standard. Følgelig, for at du skal få muligheten til å opprette og endre slike retningslinjer, bør du først opprette forhåndsdefinerte retningslinjer. Så for å lage din egen programvarerestriksjonspolicy, må du følge disse trinnene:
1. Ved hjelp av en snap "Administrasjon av gruppepolicy" skape en ny GPO, si "Restriksjoner for alle brukere av selskapet" og åpne deretter Group Policy Management Editor-vinduet;
2. SRP-policyer kan brukes både på datamaskinene i organisasjonen og på brukerne selv, det vil si at den nødvendige noden til snapin-modulen for gruppkan finnes både i datamaskinens konfigurasjon og i brukerens konfigurasjon. I dette tilfellet, anta at du vil at SRP skal brukes på alle brukere i organisasjonen. Utvid derfor noden i den viste snapin-modulen Datamaskinkonfigurasjon \ Retningslinjer \ KonfigurasjonWindows\ Sikkerhetsinnstillinger og gå til node Retningslinjer for programvarerestriksjoner... Her, som jeg nevnte ovenfor, for å komme i gang med retningslinjer for programvarerestriksjoner, bør du lage standardpolicyer. For å gjøre dette, høyreklikk på denne noden og velg kommandoen fra kontekstmenyen "Opprett en programvarerestriksjonspolicy" som vist i følgende illustrasjon:
Ris. 1. Oppretting av de første programvarerestriksjonene
3. Etter å ha utført denne kommandoen, opprettes to ekstra noder, samt tre policyinnstillinger for å konfigurere funksjonaliteten til programvarerestriksjonspolicyen. Knute "Sikkerhetsnivåer" lar deg spesifisere hvilke tillatelser som skal angis i SRP. Det er få slike nivåer, nemlig tre:
· Forbudt... Hvis du velger dette nivået, til tross for alle tillatelsene som ikke er eksplisitt spesifisert i policyene, vil ikke programvaren kjøre på brukere som er underlagt SRP-policyer;
· Vanlig bruker... I dette tilfellet vil brukere kunne kjøre applikasjoner under et tilpasset tilgangstoken;
· Ubegrenset... Ved å velge dette sikkerhetsnivået vil programvaren starte avhengig av brukerens rettigheter. Forresten, når du først oppretter SRP-policyer, settes standarden for slike regler automatisk til nivået "Ubegrenset"... Naturligvis, for at komponentene i operativsystemet skal fungere normalt, bør dette nivået spesifiseres for noen av SRPene du oppretter.
Følgelig, for å endre standard sikkerhetsnivå, velg det nødvendige sikkerhetsnivået og velg kommandoen "Misligholde"... Et eksempel på endring av standard sikkerhetsnivå er vist i følgende illustrasjon:
Ris. 2. Endre standard sikkerhetsnivå
4. Bruke noden "Ekstra alternativer" du kan lage regler for å opprette og administrere retningslinjer for programvarerestriksjoner. Som standard, når du oppretter den første policyen som ble opprettet i det andre trinnet i denne veiledningen, opprettes de to første reglene. Dette er regelen for banen% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SystemRoot%, som lar deg starte alle programmer fra Windows-mappen, samt regelen for banen% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%, som lar deg starte programmer fra Program Files-mappen. Banereglene gjør at programmer kan identifiseres ved plasseringen av de tilsvarende filene. Vanligvis opprettes stiregler ved å bruke den eksakte filbanen, men du kan også bruke variabler som% userprofile%,% windir%,% appdata%,% programfiles% og% temp% når du oppretter slike regler. Også, som med standardreglene, kan du bruke registernøkler.
Det anbefales ikke å endre reglene som er opprettet som standard, og i tilfelle du trenger å begrense brukertilgang til noen spesifikke programmer, bør du opprette separate blokkeringsregler.
Men selv om disse reglene vil fungere fint på klienter, under Windows XP-operativsystemer, hvis brukerne dine har et 64-bits Windows 7-operativsystem, kan de ha noen problemer. Og det er her brukerne dine prøver å starte applikasjoner fra mappen « ProgramFiler (x86) " det kan oppstå en feil som indikerer at brukeren ikke har lov til å kjøre noen applikasjoner fra riktig sted.
Derfor bør en ny baneregel opprettes for å tillate at applikasjoner kan startes fra de aktuelle mappene. For å gjøre dette, i detaljruten til denne noden, åpne kontekstmenyen og velg kommandoen "Opprett baneregel"... I dialogboksen som vises, velg det ubegrensede sikkerhetsnivået (fordi du vil at brukerne skal kunne kjøre programmer fra den valgte plasseringen), og spesifiser % HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir (x86)% registernøkkel .
Eventuelt kan du i tekstboksen "Beskrivelse" legge til litt tilleggsinformasjon. Dialogboksen for den nye baneregelen vises i følgende illustrasjon:
Ris. 3. Opprette en regel for å tillate oppstart av programmer som ligger i mappenProgramFiler (x86)
5. Nå, som et eksempel, vil en annen baneregel bli opprettet, som forbyr lansering av programmet. "Notisbok" fra mappen « System32"... For å gjøre dette, åpne dialogboksen for å lage en regel for banen, i tekstboksen "Vei" spesifiser banen til dette programmet, i dette tilfellet er det det "C: \ Windows \ System32 \ notepad.exe", fra rullegardinlisten "Sikkerhetsnivå" velge "Forbudt" og legg til en beskrivelse som "Forbud mot bruk av notisblokk", som kan sees i illustrasjonen nedenfor:
Ris. 4. Opprette en blokkeringsregel for notisbok
6. Nå skal du binde den opprettede GPO til organisasjonsenheten som inneholder firmaets datamaskinkontoer. Lukk låsen Redaktør for gruppepolicyadministrasjon og i snaptreet "Administrasjon av gruppepolicy" velg organisasjonsenheten som inneholder datamaskinkontoene (i mitt tilfelle er dette organisasjonen "Kunder"), høyreklikk på den, og velg deretter kommandoen Koble til eksisterende GPO... I den viste dialogboksen Velg et gruppepolicyobjekt velg denne GPO og klikk på knappen "OK".
Logg inn på datamaskinen som ligger i organisasjonsenheten "Kunder" og prøv å åpne programmet "Notisbok"... Som du kan se i følgende illustrasjon, når du prøver å åpne Notisblokk, vises følgende dialogboks:
Ris. 5. Prøver å åpne "Notepad"
Konklusjon
I denne artikkelen lærte du om retningslinjer for programvarerestriksjoner. Du lærte om hva disse retningslinjene er, om når slike retningslinjer ikke vil gjelde for brukere, om sikkerhetsnivåer, om standard SRP-policyer og om å lage nye retningslinjer for programvarerestriksjoner. I den neste artikkelen i denne serien vil du lære om alle metodene for å lage SRP-policyer.
Jeg ble tent med denne ideen om sikkerhet og bestemte meg for å prøve å gjøre det samme for meg selv.
Siden jeg har Windows 7 Professional, var den første ideen å bruke AppLocker "a, men det ble raskt klart at han ikke ønsket å jobbe i min utgave av Windows, og krevde Ultimate eller Enterprise. På grunn av lisensiering av Windows og tomheten i lommeboken min, alternativet med AppLocker" ohm forsvant.
Neste forsøk var å konfigurere gruppepolicyer for programvarerestriksjoner. Siden AppLocker er en "oppgradert" versjon av denne mekanismen, er det logisk å prøve policyene, spesielt siden de er gratis for Windows-brukere :)
Vi går inn i innstillingene:
gpedit.msc -> Datamaskinkonfigurasjon -> Windows-konfigurasjon -> Sikkerhetsalternativer -> Retningslinjer for programvarerestriksjoner
Hvis det ikke er noen regler, vil systemet tilby å generere automatiske regler som tillater å starte programmer fra Windows-mappen og Programfiler. Vi vil også legge til en avvisningsregel for banen * (en hvilken som helst bane). Som et resultat ønsker vi å kunne kjøre programmer kun fra beskyttede systemmapper. Og hva?
Ja, vi får dette, men her er bare en liten ulykke - snarveier og http-lenker fungerer ikke. Du kan fortsatt score på lenker, men det er ikke så bra å leve uten etiketter.
Hvis vi tillater lansering av filer ved hjelp av *.lnk-masken, vil vi kunne lage en snarvei for enhver kjørbar fil, og starte den ved å bruke snarveien, selv om den ikke er i systemmappen. Elendig.
En forespørsel til Google fører til slike avgjørelser: enten tillat lansering av snarveier fra en egendefinert mappe, eller bruk tredjepartslinjer med snarveier. Ingen annen vei. Personlig liker jeg ikke dette alternativet.
Som et resultat står vi overfor situasjonen at * .lnk fra Windows-synspunktet ikke er en kobling til en kjørbar fil, men en kjørbar fil. Galt, men hva kan du gjøre ... Jeg vil at Windows ikke skal sjekke plasseringen av snarveien, men plasseringen av filen den refererer til.
Og så kom jeg tilfeldigvis over innstillingene for listen over utvidelser som er kjørbare fra Windows-synspunktet (gpedit.msc -> Datamaskinkonfigurasjon -> Windows-konfigurasjon -> Sikkerhetsalternativer -> Tilordnede filtyper). Vi fjerner LNK derfra og samtidig HTTP og logger inn på nytt. Vi får fullt fungerende snarveier og en sjekk for plasseringen av den kjørbare filen.
Det var tvil om det ville være mulig å sende parametere gjennom snarveier - det er mulig, så alt er ok.
Som et resultat fikk vi implementeringen av ideen beskrevet i artikkelen "Windows-datamaskin uten antivirusprogramvare" uten noen ulempe for brukeren.
Også for de som liker å skyte seg selv i foten kan du lage en mappe i Program Files og slippe en snarvei til den på skrivebordet, og kalle den for eksempel «Sandbox». Dette vil tillate deg å kjøre programmer derfra uten å deaktivere policyer, ved å bruke beskyttet lagring (beskyttelse gjennom UAC).
Jeg håper den beskrevne metoden vil være nyttig og ny for noen. Jeg har i hvert fall ikke hørt om dette fra noen og ikke sett det noe sted.
NS Praktisk arbeid: Beskytte programvaremiljøet ditt med Windows-retningslinjer for programvarerestriksjonerHensikten med det praktiske arbeidet:
- Se gjennom Windows-programvarerestriksjoner;
- Lær om andre måter å begrense tilgangen til programmer i Windows på;
- Lær å administrere retningslinjer for programvarerestriksjoner i Windows.
Beskrivelse av retningslinjer for programvarerestriksjoner i Windows
Administratorer kan bruke programvarerestriksjonspolicyen til å angi tillatelser og avslag for brukere til å kjøre programmer. Ved å bruke denne policyen kan administratoren forhindre kjøring av uønskede programmer, inkludert skadelig programvare.
Kjør konfigurasjon av programvarerestriksjonspolicy
Gjør følgende for å lage en programvarerestriksjonspolicy:
- Start snapin-modulen for lokal sikkerhetspolicy:
- Start ® Kjør.
- Skriv inn secpol.msc og klikk deretter OK.
- Finn kategorien Programvarerestriksjoner i listen over retningslinjer.
- Fra Handling-menyen, velg Opprett programvarerestriksjonspolicy.
Beskrivelse av innstillinger for programvarerestriksjoner
Standard sikkerhetsnivåer
Standard sikkerhetsnivåer avgjør om programmer er tillatt eller nektet i fravær av eksplisitte tillatelser eller avslag spesifisert av ytterligere konfigurasjonsregler.
Bruk av sikkerhetsnivåer gjør det enklere å konfigurere tillatelser og avslag: standard er sikkerhetsnivået som gjelder for de fleste programmer. For de resterende programmene er et annet sikkerhetsnivå konfigurert individuelt i tilleggsregler.
Det er følgende sikkerhetsnivåer:
- Ikke tillatt - Hvis du angir dette nivået, vil ingen programmer få lov til å bruke. Du må lage flere regler som lar individuelle programmer kjøre.
Bruk av dette nivået anbefales hvis administratoren har en fullstendig liste over tillatte programmer. - Ubegrenset - nivået satt av operativsystemet som standard. Hvis du angir dette nivået, vil alle programmer få lov til å kjøre. Du må lage flere regler for å forhindre at individuelle programmer kjøres.
Bruk av dette nivået anbefales hvis administratoren ikke har en fullstendig liste over tillatte programmer, men det er nødvendig for å forhindre kjøring av individuelle programmer.
- (Windows 7) Grunnbruker – Tillater kjøring av programmer uten administratorrettigheter, men gir tilgang til ressurser tilgjengelig for vanlige brukere.
Det innstilte standard sikkerhetsnivået er angitt med en hake.
Standard sikkerhetsnivå vil påvirke alle filer som programvarerestriksjonspolicyen brukes på (listen over disse filtypene er spesifisert i regelen Tilordnede filtyper i de generelle konfigurasjonsreglene).
Standard sikkerhetsnivå er satt av operativsystemet som Ubegrenset som standard.
Når du bruker sikkerhetsnivået Ikke tillatt, bør du opprette unntak for programmer som kan kjøres.
Når du bruker nivået "Ubegrenset", er det mulig å lage regler for applikasjoner som bør forbys å kjøre.
Generelle konfigurasjonsregler
Generelle konfigurasjonsregler styrer hvordan en programvarerestriksjonspolicy brukes på en datamaskin. De inkluderer følgende regler:
- Håndhevelse -
denne regelen beskriver hvilke filer programvarerestriksjoner gjelder:
- til alle filer unntatt biblioteker (installert som standard),
- til alle filer.
Regelen beskriver også hvilke brukere programvarerestriksjonene gjelder for:
- for alle brukere (angitt som standard),
- for alle brukere unntatt lokale administratorer.
Å sette sikkerhetsnivået til "Ikke tillatt" for alle filer kan kreve individuelle bibliotekfiltillatelser som kreves av autoriserte programmer.
Hvis du angir sikkerhetsnivået "Ikke tillatt" for alle brukere, kan det nekte administratortilgang til programmer.
- Utpekte filtyper -
regelen "Tilordnede filtyper" definerer en liste over filtyper som anses som kjørbar kode, bortsett fra standardtypene.exe, .dll, .vbs. Standard sikkerhetsnivåer og den generelle regelen "Enforced" gjelder for disse filtypene.
- Pålitelige leverandører -
Trusted Publishers-regelen brukes for å definere brukerne som har tillatelse til å velge Trusted Publishers:
- vanlige brukere (standard),
- lokale administratorer,
- bedriftsadministratorer.
Trusted Publishers-regelen brukes også for å avgjøre om sertifikatvalidering og typer validering utføres (som standard utføres ingen validering):
- sjekke utgiveren selv,
- sjekke tidsstemplet.
Ytterligere regler
Du kan definere flere typer tilleggsregler:
- Hash.
En hash er en serie byte med fast lengde som unikt identifiserer et program eller en fil. Hashen beregnes ved hjelp av en hashing-algoritme. Retningslinjer for programvarerestriksjoner kan identifisere filer ved hjelp av hash-algoritmen Secure Hash Algorithm (SHA-1) og MD5-hash-algoritmen.
Du kan for eksempel opprette en hash-regel og sette sikkerhetsnivået til "Ikke tillatt" for å forhindre at en bestemt fil kjøres.
Retningslinjer for programvarerestriksjoner gjenkjenner bare hasher beregnet ved hjelp av retningslinjer for programvarerestriksjoner.
- Sertifikat.
Retningslinjer for programvarerestriksjoner kan identifisere en fil ved hjelp av signeringssertifikatet. Sertifikatregler gjelder ikke for .exe- eller .dll-filer. De brukes til skript og Windows Installer-pakker. Det er mulig å lage en sertifikatregel som identifiserer applikasjonen og deretter, avhengig av sikkerhetsnivået, tillater eller ikke tillater den å kjøre. En administrator kan for eksempel bruke sertifikatregler for automatisk å stole på programmer fra en klarert kilde i domenet uten å spørre brukeren. I tillegg kan sertifikatregler brukes i begrensede områder av operativsystemet.
- Sti.
Regelen for banen lar deg tillate eller nekte kjøring av programmer som er plassert i en bestemt mappe (inkludert nettverket) eller i undermappen.
Stiregelen identifiserer programmer etter filbane. Hvis du for eksempel har en datamaskin med en standard avvisningspolicy, har du muligheten til å gi ubegrenset tilgang til en spesifisert mappe for hver bruker. Noen vanlige stier kan brukes for denne typen regel:% userprofile%,% windir%,% appdata%,% programfiles% og% temp%.
Siden disse reglene er definert ved hjelp av en bane, vil baneregelen ikke brukes når programmet flyttes.
- Internett-sone / Internett-sone.
Soneregler påvirker bare Windows Installer-pakker.
Soneregelen identifiserer programvare fra sonen spesifisert av Internet Explorer. Disse sonene er Internett, lokal datamaskin, lokalt intranett, begrensede nettsteder og klarerte nettsteder.
Regelen for Internett-sonen lar deg tillate eller nekte kjøring av programmer som ligger i visse soner på Internett. For øyeblikket gjelder denne regelen bare for Microsoft Windows Installer-pakker som kjøres fra denne sonen.
Denne regelen gjelder ikke for programmer som lastes ned med Internet Explorer.
Prioritering av tilleggsregler
Flere regler kan brukes på en programfil. Reglene brukes i rekkefølgen vist nedenfor. Reglene er oppført i synkende prioritetsrekkefølge.
- Hash regel.
- Regelen for sertifikatet.
- Regelen for stien. Hvis det er en konflikt med regler for en bane, har den mest restriktive regelen forrang. Følgende er et sett med baner i rekkefølge fra høyeste prioritet (høyeste grense) til laveste prioritet:
- stasjon: \ mappe1 \ mappe2 \ filnavn.utvidelse
- stasjon: \ mappe1 \ mappe2 \ *. utvidelse
- *.Utvidelse
- stasjon: \ mappe1 \ mappe2 \
- stasjon: \ mappe1 \ - Internett-soneregel.
Prioritert søknad
Hvis du for eksempel har en fil med ubegrenset hash i en mappe som regelen ikke er tillatt for, vil filen kjøres fordi hashregelen har forrang over baneregelen.
Når to lignende stiregler er i konflikt, har den mest restriktive regelen forrang. For eksempel, hvis du har en regel for banen C: \ Windows \ med sikkerhetsnivået "Ikke tillatt" og en regel for banen% windir% med nivået "Ubegrenset", den strengere regelen med sikkerhetsnivået "Ikke tillatt" " vil gjelde.
Administrasjon av programvarerestriksjoner
Vi anbefaler at du konfigurerer retningslinjer for programvarerestriksjoner i følgende rekkefølge:
- opprette en programvarerestriksjonspolicy (hvis den ennå ikke er opprettet);
- sette sikkerhetsnivåer som standard;
- sette opp generelle regler for konfigurasjon;
- sette opp ytterligere konfigurasjonsregler.
Andre måter å begrense tilgangen til programmer i Windows XP
Hvis du bestemmer deg for å beskytte datamaskinen din mot uautorisert programvare, vil det viktigste trinnet være å gi alle brukere begrensede kontoer. Ethvert program som forsøker å erstatte beskyttede systemfiler eller manipulere registerinnstillinger som ikke er knyttet til brukerens personlige profil, vil ikke fullføre installasjonen. Vanligvis vil brukere med begrensede kontoer ha problemer med å installere noe program.
I tillegg kan du bruke følgende teknikker:
- Fjern programsnarveier fra mappene% AllUsersProfile% og% AllUsersProfile% \ StartMenu.
- For programmer som er installert i ProgramFiles-mappen (som de fleste Windows-applikasjoner), endre tillatelsene for undermappene som inneholder programmene du vil begrense tilgangen til. Fjern gruppene Alle og brukere fra listen over tilgjengelige applikasjoner, og la bare gruppene administratorer og hovedbrukere (Windows 2000 eller XP) og eventuelle brukere som trenger tilgang til disse programmene.
- Hindre brukere fra å få tilgang til et kommandolinjevindu der de enkelt kan starte programmet. Finn filene Cmd.exe og Command.com, begge filene ligger i mappen % SystemRoot% \ System32. Du kan konfigurere tillatelser for begge filene slik at bare administratorer kan kjøre dem; hvis brukerne dine ikke er for smarte, kan du ganske enkelt gi nytt navn til disse filene.
Praktiske oppgaver
Når du utfører dette arbeidet, utføres en del av handlingene under administratorkontoen (cadm-bruker), og den andre under brukerkontoen (opprett en konto). Navnet på kontoen som handlingene utføres under er indikert med ordene ADMINISTRATOR eller BRUKER, foran beskrivelsen av oppgaven.
Øvelse 1
Lag en programvarerestriksjonspolicy
Først av alt, la oss lage retningslinjer for programvarerestriksjoner. Denne operasjonen utføres én gang under den første tilgangen til konfigurasjonen av disse policyene.
ADMINISTRATOR
Åpne konsollen for lokale sikkerhetspolicyer.
I konsolltreet klikker du på Software Restriction Policies-komponenten.
Hvis dette er første gang du åpner denne konsollen, er ingen programvarerestriksjoner definert - dette indikeres av meldingen på høyre side av konsollvinduet. Følg instruksjonene for å opprette retningslinjer (klikk på koblingen "Opprett nye retningslinjer").
Dette trinnet trenger ikke å gjentas ved ytterligere anrop til.
Ikke lukk konsollen for lokale sikkerhetspolicyer for å utføre følgende oppgaver.
Oppgave 2
Konfigurere standard sikkerhetsnivå Ubegrenset
ADMINISTRATOR
Utvid komponenten Software Restriction Policies og velg komponenten Security Levels.
Det er 2 standard sikkerhetsnivåer synlige på høyre side av konsollen. Det innstilte nivået er markert med en svart sirkel med en hake.
Sett standard sikkerhetsnivå til Ubegrenset.
Det er to måter å angi standard sikkerhetsnivå på:
Metode 1: Kall opp kontekstmenyen til nivået du vil bruke som standard, og velg Som standard-elementet (dette elementet er fraværende i kontekstmenyen til det angitte sikkerhetsnivået).
Metode 2: Dobbeltklikk på sikkerhetsnivået du vil bruke som standard, og klikk på Standard-knappen (denne knappen fungerer ikke for det angitte sikkerhetsnivået).
Oppgave 3
Generell regelkonfigurasjon Tvunget
ADMINISTRATOR
Dobbeltklikk på Force-komponenten (eller velg kontekstmenyelementet Force component Properties) og bruk programvarerestriksjoner på alle filer unntatt biblioteker og på alle brukere unntatt lokale administratorer.
Konfigurere de generelle regeltildelte filtypene
ADMINISTRATOR
Dobbeltklikk på Tilordnede filtyper-komponenten (eller velg Egenskaper for Tilordnede filtyper-komponenten fra kontekstmenyen) og vis filtypene som er definert som kjørbare. Bli kjent med mekanismen for å legge til og fjerne en filtype som vil bli identifisert som kjørbar.
Ikke gjør noen faktiske endringer i denne listen.
Konfigurere en generell regel Trusted Publishers
ADMINISTRATOR
Dobbeltklikk på Trusted Publishers-komponenten (eller velg Egenskaper for Trusted Publishers-komponenten i kontekstmenyen) og se hvilke brukere som har lov til å velge klarerte utgivere (sørg for at standardbrukere er tillatt) og hvilke typer sertifikatkontroller som er valgt (lag at ingen sjekker er valgt).
Oppgave 4
Konfigurere en tilleggsregel for en bane
BRUKER
Følg de forberedende trinnene: kopier notepad.exe-filen fra mappen C: / Windows / system32 til brukerens skrivebord og gi den nytt navn til notepad-1.exe.
ADMINISTRATOR
På høyre side av konsollen kan du se hvilke ressurser, hvilken type tilleggsregler og hvilket sikkerhetsnivå som allerede er konfigurert.
Legg til en regel for banen:
Høyreklikk på høyre side av konsollen og velg Ny baneregel fra hurtigmenyen. I vinduet som vises, klikker du på Bla gjennom-knappen og velger banen til notepad-1.exe-filen som ligger på brukerens skrivebord. Velg sikkerhetsnivået Ikke tillatt. Klikk OK.
BRUKER
Sørg for at Notisblokk starter (Start ® Alle programmer ® Tilbehør ® Notisblokk).
Pass på at notepad-1.exe-programfilen som ligger på brukerens skrivebord ikke starter. Forklar hvorfor dette skjer.
Kopier notepad-1.exe-programfilen fra skrivebordet til mappen Mine dokumenter.
Kjør programfilen notepad-1.exe fra mappen Mine dokumenter. Sørg for at notepad-1.exe-filen fra My Documents-mappen starter. Forklar hvorfor dette skjer.
Spørsmål: Hvor pålitelig blokkerer For Path-regelen tilgang til programmer? Hvilke måter å eliminere manglene kan du foreslå.
Oppgave 5
Konfigurere en ekstra hash-regel
BRUKER
ADMINISTRATOR
Utvid komponenten Software Restriction Policies og velg komponenten Tilleggsregler.
Slett "For Path"-regelen som du opprettet i forrige oppgave.
Legg til «For hash»-regelen:
Høyreklikk på høyre side av konsollen og velg Create Hash Rule fra hurtigmenyen.
Velg notepad-1.exe for hashing på brukerens skrivebord ved å klikke Bla gjennom. Etter at hashen er generert, vil filhashen bli skrevet i filen som skal hashes, og filbeskrivelsen skrives i Filinformasjonsfeltet.
Hvis du kjenner hashen til programfilen, kan du skrive den inn i feltet Hashed fil.
Velg alternativet Ikke tillatt i feltet Sikkerhet. Klikk OK.
BRUKER
Kjør notepad-1.exe. Forklar hvorfor filen ikke starter.
Start Notepad-programmet. Forklar hvorfor programmet ikke starter.
Kopier notepad-1.exe-filen til mappen Mine dokumenter. Kjør notepad-1.exe-filen fra mappen Mine dokumenter. Forklar hvorfor filen ikke starter.
Spørsmål: Formuler forskjellene mellom hashregelen og stiregelen. Hvilken av disse to reglene er mest effektiv? Hvilke måter kan du foreslå for å overvinne hasjregelen?
Oppgave 6
Konfigurere en tilleggsregel for et sertifikat
BRUKER
Slett notepad-1.exe-filen fra mappen Mine dokumenter.
ADMINISTRATOR
Utvid komponenten Software Restriction Policies og velg komponenten Tilleggsregler.
Slett "For hash"-regelen som du opprettet i forrige oppgave.
Bruk Utforsker til å finne .cer-filene (sertifikatfiler) og skriv ned banen til en av dem.
Legg til regelen "For sertifikat":
Høyreklikk på høyre side av konsollen og velg Ny sertifikatregel fra hurtigmenyen. Ved å klikke på Bla gjennom-knappen, velg sertifikatfilen, banen du skrev ned til.
Velg et sikkerhetsnivå og klikk OK.
Sørg for at en ny linje er lagt til listen over tilleggsregler.
Spørsmål: Forklar hva som er forskjellen mellom "for sertifikat"-regeloppføringen og "bane"-regeloppføringen?
Slett "for sertifikat"-regeloppføringen du nettopp gjorde.
Kontroller oppgaver og spørsmål
- Utvikle retningslinjer for programvarerestriksjoner for å oppfylle følgende krav:
- en vanlig bruker må jobbe med Word- og Excel-applikasjoner;
- administratoren må være sikker på at Word- og Excel-programmene han har installert ikke er endret.
- Hva er prioriteten til retningslinjer for programvarerestriksjoner?
- Hva er forskjellen mellom "sti"-regler og "hash"-regler? Hvilken er strengere? Hva er ulempene med hasjregelen?
- Hva er den anbefalte rekkefølgen for å konfigurere retningslinjer for programvarerestriksjoner. Hva kan være årsaken til valget av standard sikkerhetsnivå?
MOSKVA, 20. desember. / TASS /. Pressesekretæren til presidenten for den russiske føderasjonen Dmitry Peskov kalte bruken av en smarttelefon frivillig ekshibisjonisme. Blant annet på grunn av denne overdrevne åpenheten, bruker ikke statsoverhodet, Vladimir Putin, mobiltelefon. Kreml-talsmannen sa dette i et intervju med Russland-24 TV-kanalen.
Da han svarte på spørsmålet om statsoverhodet har en smarttelefon, sa Peskov: "Så vidt jeg vet, nei. Han har ikke telefon."
"Ikke glem at det å ha en smarttelefon er en slik frivillig ekshibisjonisme, fullstendig åpenhet. Du med vitende, tar opp en smarttelefon, setter et hake for at jeg er klar til å vise alt, - sa pressesekretæren. - Dessverre er det slik verden fungerer. Og du må være klar over dette. Derfor burde presidenten ikke ha det, spesielt et land som Russland. Og en president som Putin burde ikke ha det.
Ifølge ham, "vil de gode gamle telefonene med lukket offentlig kommunikasjon overleve alle smarttelefoner."
Bruke utskrifter
Kreml-talsmannen sa også at mapper med utskrifter fortsatt brukes i utarbeidelsen av informasjonsmateriell for presidenten. "Mapper med utskrifter finnes, det er sammendrag som er laget på papir, TV-sammendrag som er laget på elektroniske medier. Men presidenten selv kan se på Internett, tradisjonelt, og TV på en datamaskin," la han til.
Peskov svarte på spørsmålet om han rådfører seg med presidenten før han kommenterer denne eller den høylytte uttalelsen fra den utenlandske lederen for media, og forklarte at "om nødvendig er det alltid en mulighet til å spørre presidentens posisjon."
Som et eksempel nevnte journalisten den nylige uttalelsen fra Ukrainas president, som kalte hendelsen i Kertsjstredet en krig. Peskov bemerket til dette at "det er mange situasjoner når Russlands posisjon er konsistent og velkjent."
"Slike uttalelser fra presidenten i Ukraina, de er ikke noe nytt. Det var et åpenbart forsøk på provokasjon, så det er ingen nyhet i dette. Bare paletten før valget i Ukraina er lagt til, som bare styrket de provoserende elementene i Ukraina. retorikk til den ukrainske ledelsen," la pressesekretæren til.
