SRP: Защита программной среды с помощью политики ограниченного использования программ в Windows. Александр Осипов: политика часто мешает принимать рациональные решения

Выходец из Минвостокразвития РФ Александр Осипов в конце октября был назначен врио губернатора Забайкальского края. Свое первое интервью в новой должности Осипов дал РИА Новости. Он рассказал о том, как Забайкалье будет переходить в состав Дальневосточного федерального округа и какие механизмы и льготы для жителей и инвесторов скоро заработают в регионе, а также о благоустройстве Читы после критики Валентины Матвиенко, планах по участию в выборах главы Забайкалья и рецепте любимого новогоднего блюда.

Александр Михайлович, вы руководите регионом совсем недавно, меньше двух месяцев прошло. Успели ли вы за это время сформулировать основные проблемы и приоритетные задачи в регионе? И есть ли у вас план работы по ключевым направлениям?

Я приехал в Забайкалье и сразу выявил две ключевые проблемы на тот момент. Это несбалансированность бюджета - у нас не было денег на выплату зарплат бюджетникам, на оплату коммунальных услуг всего бюджетного сектора, не уплачивались страховые взносы на заработную плату. Еще ряд первоочередных социальных расходов не предусматривались краевым бюджетом. Это необходимо было срочно решать. Благодаря решению руководства страны, до конца 2018 года наш бюджет подкрепили, выделили нам дополнительно 2,5 миллиарда рублей. Мы смогли решить самые горящие вопросы.

Второй важной проблемой были долги по жилищно-коммунальному хозяйству, из-за этого возникали локальные проблемы с отопительным сезоном в муниципалитетах. Если говорить в целом, у краевого бюджета было под 13 миллиардов рублей просроченных долгов. Из-за этого ресурсоснабжающие организации не могли вовремя заключить договоры, приобрести топливо, у нас просто не было денег.

Третья важная проблема, с которой мы столкнулись: до сих пор не урегулированы вопросы об источниках финансирования ликвидации последствий масштабного паводка. В целом в Забайкалье от стихии пострадало 180 километров автодорог, 36 мостов, 50 других объектов. С первых дней мы активно начали заниматься вопросами их восстановления. Правительство РФ рассматривает распоряжение, которым определяются источники финансирования мероприятий по восстановлению этих объектов.

Это я говорил о проблемах, при этом у нас есть два важных приоритета. Ведь важно не только заниматься проблемами, а развивать край. Первый приоритет - это участие края в национальных проектах. Для нас нацпроекты – уникальная возможность решить накопленные за два десятилетия проблемы. Мы сформировали перечень всех объектов, которые нам нужны, мероприятия, в которых мы можем участвовать, и сейчас утверждаем региональную часть паспортов на сами проекты.

Благодаря этой работе только по дорогам Забайкальский край получит более 13 миллиардов рублей. Для региона это одна из самых болезненных проблем. Таких денег край не видел. Сейчас очень важно будет эффективно их вкладывать. Мы будем модернизировать более тысячи километров автодорог, почти 300 из них – по читинской агломерации. Будем строить и фельдшерско-акушерские пункты, и объекты культуры, и детские сады, и школы, и другие объекты социальной сферы.

При этом к возможностям в рамках нацпроектов еще добавляются особенности Дальнего Востока. Мы хотим очень активно использовать все дальневосточные инструменты как социального, так и экономического характера. Это второй наш приоритет по развитию.

- Вы вводили режим ЧС в ряде районов из-за отсутствия топлива, он до сих пор действует?

На муниципальном уровне вводились локальные режимы ЧС. Был период, когда у нас не было денег и не было угля. То там, то здесь запасы топлива были лишь на сутки, хотя по нормативам - 14 дней в случае поставки железнодорожным транспортом и семь в случае автодорожного транспорта. Естественно, в таких условиях приходилось очень быстро реагировать по территории всего края. Мы принимали решения, вводили соответствующие режимы ЧС, искали, где у нас есть хоть какие-то запасы топлива, перевозили.

Сейчас, благодаря тому, что нам дали дополнительные средства, мы направили их муниципалитетам на приобретение угля. Этим мы стабилизировали ситуацию: полностью оплачиваем услуги жилищно-коммунального хозяйства по бюджетному сектору, мы закрыли часть задолженности, которая накоплена, и восстановили резервные нормативные запасы топлива.

- То есть зима пройдет без сбоев?

Мы будем к этому стремиться. Хотя понятно, что за эти годы накоплено такое количество проблем в коммунальном хозяйстве, что это не может не проявляться. Там обрывы сетей, тут выходят из строя котлы, там рвутся трубы, нам приходится непрерывно этим заниматься. Мы постоянно перебрасываем электрические резервные станции, нам приходится постоянно посылать аварийные бригады. Но это уже частные случаи, а системно мы вопросы решили.

Возвращаясь к теме включения в состав Дальнего Востока, вы уже можете рассказать, какие механизмы хотите использовать? Какие предложения готовите по применению преференций ДФО в Забайкалье?

Есть два важных направления применения механизмов развития Дальнего Востока. По социальному направлению мы сейчас готовим план социального обустройства Забайкальского края. В феврале планируем утвердить его и направить в правительство для рассмотрения вопроса о его финансировании. У Минвостокразвития есть соответствующая государственная программа, есть источники, и я бы хотел, чтобы наши объекты финансировались из этой программы.

Экономических направлений сейчас у нас четыре. Горнодобывающие предприятия, здесь очень большой потенциал, свыше 14 триллионов рублей. В деревопереработке у нас расчетная лесосека более 8 миллионов кубометров. У нас можно построить большое количество предприятий по переработке. Сейчас, к сожалению, большая часть этих лесов используется неэффективно, рабочих мест, кроме лесозаготовления, почти нет. Третье направление – у нас почти 1,5 миллиона гектаров залежных земель, которые мы планируем распахать. Будем выращивать зерно, рапс, заниматься переработкой, молочным животноводством, мясным скотоводством, птицеводством. Наконец, планируем заниматься тепличным хозяйством, потому что у нас достаточно суровые природно-климатические условия, а людям требуется витаминизированное нормальное питание круглый год.

Эти отрасли мы планируем поддержать в первую очередь. Будем использовать территории опережающего развития, механизм свободного порта Владивосток. В Каларском районе, например, у нас есть Удоканское месторождение меди, Апсатское месторождение угля. Это крупные месторождения, на одном из них 88 миллиардов рублей инвестиций по первоначальным подсчетам инвесторов. Так как они рядом расположены, им необходимы общие инфраструктурные решения. Поэтому мы инициировали создание площадки территории опережающего развития, благодаря которой будем обеспечивать энергетическую, транспортную инфраструктуру с возможностью выхода на железную дорогу. Соответственно, те населенные пункты, которые там находятся, будем обеспечивать социальными объектами.

- Когда может быть создана эта ТОР?

Мы ставим задачу направить материалы на правительственную подкомиссию по реализации инвестпроектов на Дальнем Востоке до конца февраля, в крайнем случае – до середины марта. Думаю, что она в эти же сроки и пройдет.

- Готовы вводить программу "Дальневосточный гектар" в Забайкалье?

Мы хотим ее вводить. Надо создавать соответствующие карты, но для этого необходимо провести большую работу по ревизии состояния земель. Как показала практика подобной работы в других субъектах Дальнего Востока, в земельных вопросах существует большая неразбериха.

В течение полугода предстоит очень активная работа, чтобы все это вычистить, подготовить информационную систему, правильно построить технологическую работу муниципальных и региональных органов, которые должны будут заниматься вопросами выделения и оформления. После этого начнем предоставлять земли сначала забайкальцам, потом дальневосточникам, потом всем. Мы хотим использовать лучший опыт, который был на Дальнем Востоке, и постараемся, конечно, некоторых сложностей и трудностей, которые возникали ранее, избежать.

- Когда это может произойти? Лето 2019 года – реальный срок?

Я думаю, что более реалистично будет осень.

И в Забайкалье, и в Бурятии довольно высокие цены на авиаперелеты. Хотите ли вы использовать механизм субсидирования авиаперевозок?

У нас есть два основных механизма. Один – субсидирование для ряда категорий, которые имеют право на льготы. Это люди с ограниченными возможностями здоровья, многодетные семьи. Второй механизм - это плоские тарифы, когда сами авиакомпании принимают решение о том, что билет туда и обратно стоит ровно столько-то. Мы хотим внедрить оба этих механизма. Чита уже ранее была включена в постановление правительства по субсидированию ряда авиационных маршрутов, а сейчас мы работаем над тем, чтобы количество маршрутов расширить.

По плоскому тарифу смотрим, по каким авиационным маршрутам, с какой авиакомпанией мы сможем договориться. Скорее всего, это будут рейсы из Москвы в Читу, из Читы в Москву. Это непростой вопрос. Самое главное – найти авиакомпанию, которая будет готова к введению плоского тарифа и понимает рынок настолько хорошо, чтобы на год спланировать и обеспечить такой маршрут.

На ваш взгляд, сколько времени понадобится двум регионам, чтобы полностью войти в ДФО и чтобы все механизмы заработали?

Здесь нельзя ставить жесткие временные границы, надо говорить о периодах. Первый - до конца первого квартала 2019 года – это применение самых главных механизмов с получением первых экономических эффектов. Территории опережающего развития, территории, на которых будем распространять режим свободного порта, инвестиционные проекты, которым дадим инфраструктурную субсидию, и так далее. Это мы постараемся сделать уже в первом квартале.

Второй период – более длительный, это непосредственная реализация обозначенных инвестиционных проектов. Надо будет все строить, запускать и так далее. Он будет длиться, наверное, два-три года. И третий период, условно его можно назвать – навсегда. Что я имею в виду? Система развития Дальнего Востока не находится в окончательном состоянии, она непрерывно развивается, механизмы меняются, дополняются, разрабатываются новые. Это траектория, границ которой я в ближайшее время не вижу.

Более того, я уже сегодня вижу, что за этапом первичного внедрения существующих мер поддержки мы перейдем к разработке отдельных механизмов, учитывающих специфику Забайкальского края. Регион со своими проблемами во многом похож на дальневосточные, но у него есть и свои особенности. Скорее всего, по каким-то мерам поддержки предстоит значительная коррекция, а где-то возможно и изобретение новых механизмов развития исключительно для Забайкальского края.

Одна из особенностей Забайкальского края – трансграничное положение, регион непосредственно граничит с Китаем. Как планируете выстраивать работу с китайскими инвесторами?

Вы совершенно правы, у Забайкалья вообще уникальное положение, которое, к сожалению, пока правильно не использовано. Мы такая точка, ворота между Дальним Востоком и всей остальной частью страны, при этом точка очень насыщенная богатствами, полезными ископаемыми. У нас государственная граница с крупнейшей экономикой мира - Китаем, граница с Монголией, что открывает большие возможности внешнеэкономического развития. Естественно, это не могло не проявиться, отдельные китайские инвестиции в крае есть. Но сейчас потенциал этот используется не лучшим образом. Китай - крупная экономика, он инвестирует в высокотехнологичные, высокопроизводительные современные рабочие места, но больших объемов инвестиций на территории Забайкальского края пока не добились. Поэтому мы должны перезагрузить политику привлечения инвесторов. Важно создавать высокопроизводительные рабочие места в обрабатывающем секторе, в переработке, но не в сырьевом секторе.

К тому же, когда китайские туристы приезжают к нам, они активно покупают российские продукты – кондитерские изделия, шоколад, молоко, хлеб, растительное масло. Но сейчас этих производств в Забайкальском крае либо практически нет, либо они в зачаточном состоянии. Наша задача, соответственно, такие производства наращивать, сопровождая это внешнеэкономической повесткой – открывать рынки Китая, договариваться не только между двумя странами, но и провинциями, чтобы как можно больше этих товаров уходило в Китай. Одна из точек роста здесь - это город Забайкальск, ближайшая к Китаю территория.

Дальний Восток уделяет внимание не только китайским, но и южнокорейским, и японским инвесторам. Планируются ли какие-то преференции в целом для иностранных инвесторов? Как будете привлекать их капитал на территорию Забайкальского края?

Механизмы экономического развития на Дальнем Востоке не сепарируют инвесторов в зависимости от того, российские они, китайские или из какой-то другой страны. Любой инвестор, который пришел в страну, зарегистрировал юридическое лицо и действует в соответствии с законодательством, имеет право получить соответствующие меры поддержки, соответствующие преференции и льготы.

Мы не будем ставить для себя приоритетом инвестиции какой-то страны. Говоря ответственно и честно, для нас главным приоритетом является высокопроизводительная, современная, качественная занятость для наших людей. Чтобы как можно больше забайкальцев имели хорошие рабочие места, поэтому любая компания, откуда бы она ни пришла, получит поддержку, если отвечает этим требованиям.

Сейчас мы активно работаем с Южной Кореей. У нас запланирована бизнес-миссия корейских бизнесменов, им очень интересно.

- Когда она может пройти?

Сейчас как раз определяем время, ведем подготовительную работу с корейской стороной.

- Речь про следующий год?

Да, скорее всего, это следующий год, в этом году мы не успеем. Но качество важнее сроков. Дело в том, что приоритеты, которые я вам назвал, формируют спрос на большое количество производителей горнодобывающего оборудования, сельскохозяйственной и лесоперерабатывающей техники. Мы знаем, что по многим видам этой продукции южнокорейские компании конкурентоспособны. Мы хотим дать им возможность инвестировать в эти приоритетные отрасли. Сейчас ведем предварительную работу, определяем перечень компаний, у которых есть соответствующие компетенции и которые могут инвестировать в Забайкалье и обеспечить долгосрочную конкурентоспособность проектов в этих сферах. Чтобы эти проекты были устойчивы с экономической точки зрения, а люди, которые на них работают, понимали, что это надолго, что это хорошее рабочее место, которое обеспечит им будущее.

- А китайские бизнес-миссии планируются в следующем году?

Обязательно планируются, но главным фактором, как я уже говорил, является получение практического результата от таких визитов. Поэтому мы будем готовить их таким образом, чтобы это была конкретная и понятная китайским инвесторам работа.

Я неоднократно наблюдал, как годами ведутся переговоры с китайскими партнерами, а в результате ничего не происходит. Потом мы уточняли, в чем дело. Оказывалось, что переговорочный процесс происходит на концептуальном уровне, а людям в другой стране очень трудно сориентироваться и понять, с чего начинать, как это делать. И все либо растягивается надолго, либо в итоге заканчивается неуспешно. Надо делать наоборот: все должно быть подготовлено почти под ключ, а после этого нужно искать тех инвесторов, которым это будет наиболее интересно, которые смогут быстро прийти к реализации проектов.

Самые очевидные проекты мы сможем хорошо подготовить уже через два-три месяца. Поймем, какие площадки, какие виды бизнеса и инфраструкты там нужны. И с этими первыми проектами можно уже ехать к корейцам и китайцам.

Раз вы говорите про три месяца, значит, первые проекты вы сможете презентовать уже на инвестиционном форуме в Сочи и на ПМЭФ?

Я в большей степени рассчитываю на Восточный экономический форум. А непосредственный поиск инвесторов в большей степени переношу на двусторонние отношения с Китаем, Южной Кореей, Японией, Индией. Посмотрим и по остальным соседям, у которых будут интересы в тех отраслях и в тех видах инвестиционных проектов, которые сможем предлагать.

Власти Китая на прошлой неделе изменили правила посещения торгового комплекса в Маньчжурии и теперь просят россиян предоставлять медицинские справки. Это касается всех туристов или только предпринимателей?

Это касается той категории российских граждан, которая вывозит из России на территорию КНР в приграничный торговый комплекс "Маньчжурия" российские продукты питания и там их реализует. По информации народного правительства города Маньчжурия, это требование планируется к введению в соответствии с нормами законодательства КНР.

Александр Михайлович, вы сейчас формируете команду правительства региона. Как планируете выстраивать кадровую политику? Будете привлекать специалистов из других регионов или искать кадры на месте?

Здесь нет единого подхода, что надо делать либо так, либо по-другому. Нам сейчас необходимо искать реальных людей, которые способны решать задачи и проблемы, которые есть в Забайкалье. Поэтому мы организовали специальный проект по поиску, оценке и отбору кандидатов на должности государственной службы. Рабочее название проекта - "Забайкальский призыв". Мы будем это делать совместно с Российской академией народного хозяйства и государственной службы (РАНХиГС), но, конечно, адаптируем к специфике Забайкальского края. Основные технологические решения уже есть, мы изучали опыт других регионов, брали лучшие практики.

Есть три основных критерия, по которым будем оценивать кандидатов. Первый - это честность и справедливость человека. Второй – главным мотивом его работы должно быть служение людям. И третий – его квалификация, он должен быть профессионалом, который способен без специального обучения, без переключения сразу выдавать результат.

Коммунальные тарифы для населения повышаются с 1 января, в Забайкалье они довольно высоки по сравнению с другими регионами. Как планируете решать эту проблему?

Здесь два уровня решения проблемы. Один из них краткосрочный - это сегодня принимать обоснованные тарифные решения, исключать все факторы ускоренного роста тарифов. Второй - более длительный: это изменять те условия, которые приводят к более высокому уровню тарифов в Забайкалье, чем в других регионах.

По первому мы просто внимательно следим за тем, с чем обращаются к нам тарифно-регулируемые компании, насколько обоснованы их запросы по росту тарифов. И естественно, принимаем все меры для того, чтобы этот рост сдерживать.

Один из примеров - тариф на тепло. Есть ряд обстоятельств. У нас край не газифицирован, более того, мощности, которые у нас построены, например, по когенерации - там, где идет одновременное производство и электроэнергии, и тепла, - эти объекты построены, например, в 1936, в 1961 году. Поэтому понятно, что они по топливной, энергетической эффективности не соответствуют современным требованиям и нормам. Естественно, это приводит к завышенной стоимости. По этой части мы ориентируем компании, не позволяем им поднимать тарифы, с другой стороны - принимаем решения о том, как можно их модернизировать или построить новые, чтобы в долгосрочном периоде эту проблему закрыть.

Компании обращались с просьбой поднять тарифы на тепло с достаточно высокими значениями, но мы приняли решение, что рост будет только в пределах безусловно необходимого – с 1 января на 1,7%.

Второй уровень – важный для всей страны вопрос применения новой системы работы с коммунальными отходами. Здесь все решения были приняты до того, как я был назначен на должность, и с первого дня мы начали знакомиться с ситуацией. К сожалению, оказалось, что край не готов к этой системе. У нас не было принято нормальной схемы обращения с отходами – где они собираются, где они накапливаются, где сортируются, куда вывозятся, где утилизируются. В районе Читы нет ни одного полигона, на который можно было бы с учетом новых требований вывозить мусор. Мы знаем нередко, как масштабные проекты реализуются: уборочной машины ни одной нет, а квитанцию ты получишь. По многим другим видам оборудования – контейнерам, площадкам, мешкам – тоже возникали вопросы. Понятно было, что время подготовки было в значительной степени использовано нерезультативно. Поэтому я принял решение, что Забайкальский край не сможет с 1 января ввести новую систему. Мы сейчас ищем нормативные решения, каким образом это законно сделать, и я попросил наших депутатов и сенаторов обратиться в Федеральное собрание Российской Федерации с тем, чтобы рассмотреть возможность отложить введение этой системы в Забайкальском крае не менее чем на год.

Спикер Совета Федерации Валентина Матвиенко летом раскритиковала Читу за неухоженный внешний вид, плохое состояние драматического театра и "уродище-фонтан" в центре. Как вы планируете приводить город в порядок и когда в следующий раз пригласите в гости Валентину Ивановну?

Валентину Ивановну мы ждем всегда. Во-первых, потому что Валентина Ивановна очень опытный государственный деятель, и ее критика носит созидательный характер. Она раскритиковала и тут же помогла. Благодаря этому мы уже в этом году заложили средства на ремонт нашего драмтеатра в федеральный бюджет, на его реконструкцию выделили более 1 миллиарда рублей, со следующего года начнем ремонт.

Второй проект, который также начал реализовываться благодаря Валентине Ивановне, - выделение федеральной субсидии на подготовку шестого рудника в городе Краснокаменске. Он дает второе дыхание городу, у людей будут рабочие места.

Отвечу так: сегодня в Забайкальском крае есть разъединенность, накоплено уже существенное количество, скажем, негативной энергии, разъединяющей людей. Я думаю, что сегодня не самое главное, в какую политическую окраску край окрасится. Более того, я даже вижу, что пыл политических баталий не дает принимать рациональные, прагматичные решения. Поэтому, я думаю, что самое главное сегодня – это реальная практическая работа и объединение всех на благо Забайкалья.

Наконец, праздничный вопрос - определились ли вы, как будете встречать Новый год? И есть ли у вас фирменный рецепт новогоднего блюда?

Встречать Новый год я буду традиционно. Мы с супругой еще ничего не планировали. Скорее всего, будем либо в семейном кругу встречать, либо к кому-то пойдем в гости. А по кулинарным изыскам – мне кажется, одно из самых удивительных блюд, которые изобрела русская кухня, это сельдь под шубой. Я ее очень люблю, она обязательно должна быть там, где я нахожусь за столом.

Я упомянул, что параллельно с этим циклом статей на моем блоге будут еще появляться статьи, посвященные так называемому «старшему брату» упомянутой выше технологии. Другими словами, иногда, по некоторым причинам вы в своей организации не сможете использовать AppLocker, например, одна из причин та, что помимо компьютеров, работающих под операционной системой Windows 7, большая часть ваших пользователей может работать, скажем, под операционными системами Windows XP. А как вы знаете, у технологии AppLocker есть такое «замечательное ограничение», связанное с платформой, на которую будут распространяться настроенные вами политики.

Соответственно, как вы уже догадались, данная статья является введением в работу с технологией, которая называется политиками ограниченного доступа к программам, появившейся еще во времена Windows XP, которая позволяет управлять возможностями приложений на компьютерах ваших пользователей. Так как обо всех преимуществах и недостатках данной технологии по сравнению с AppLocker я уже писал во вводной статье цикла по AppLocker, думаю, нет смысла дублировать одну и ту же информацию. Поэтому, в данной статье будет рассказываться о том, что такое политики ограниченного доступа к программам, также как и для чего можно создать такие политики.

Что такое политики ограниченного использования программ?

Перед тем как начать создавать очередные объекты групповой политики с соответствующими параметрами безопасности, прежде всего, следует определиться, что же представляют собой политики ограниченного использования программ (Software Restriction Policies, SRP). Данная технология, которая входит в состав групповой политики, предоставляет функциональные возможности, предназначенные для обеспечения контроля над приложениями, запускаемыми пользователями на своих рабочих местах.

Как вы помните, технология AppLocker предоставляет, по сути, практически такие же возможности, однако, именно SRP в этом направлении можно назвать «старожилом», так как данная технология старше AppLocker более чем на 5 лет, а если говорить точнее, то технология SRP появилась в октябре 2001 года, вместе с выходом операционной системы Windows XP. Точно так же, как и в случае с AppLocker, используя функциональные возможности данной технологии, запрещённое при помощи SRP программное обеспечение не будет удаляться с пользовательского компьютера, а пользователь, в свою очередь, не сможет запустить такое приложение или же выполнить какие-то специфические действия.

Во вводной статье по AppLocker изо всех сравнений функциональных возможностей этих двух технологий (а именно, политик ограниченного использования программ и AppLocker), я не упомянул, что в том случае, если в одном объекте групповой политики будут настроены и параметры политик ограниченного доступа к программам и правила AppLocker, то на компьютерах под управлением ОС Windows 7 будут применяться только политики AppLocker. Также следует обратить внимание на тот момент, что, в отличие от политик, настроенных при помощи технологии AppLocker, все параметры SRP будут применяться не к определенному пользователю или группе пользователей, а ко всем пользователям, которые будут выполнять вход на компьютер, на который будут распространяться политики SRP.

Несмотря на все преимущества технологии, которая будет рассмотрена в нескольких статьях данного цикла, все запреты, распространяемые при помощи функциональных возможностей политик ограниченного использования программ можно обойти. Политики SRP не будут распространяться на пользователя в том случае, если пользователь выполнит вход на свой компьютер в безопасном режиме. Вот такой, получается, в какой-то степени, недостаток. Однако, если пользователям не говорить об этом моменте, вряд ли они будут в своих целях использовать данный чит.

Создание политики ограниченного использования программ

Если в случае с технологией AppLocker, вы можете не настраивать дефолтные политики для создания своих правил, то с политиками ограниченного использования программ без правил, создаваемых по умолчанию, вы работать не сможете. Соответственно, чтобы вам была предоставлена возможность создания и изменения таких политик, для начала вам следует создать предустановленные политики. Итак, чтобы создать свою политику ограниченного использования программ, нужно выполнить следующие действия:

1. При помощи оснастки «Управление групповой политики» создайте новый объект групповой политики, скажем, «Ограничения для всех пользователей компании» , после чего откройте окно редактора управления групповыми политиками;

2. Политики SRP могут распространяться как на компьютеры организации, так и на самих пользователей, то есть, необходимый узел оснастки редактора управления групповыми политиками можно найти как в конфигурации компьютера, так и в конфигурации пользователя. Предположим, что в данном случае следует, чтобы политики SRP распространялись на всех пользователей в организации. Поэтому в отобразившейся оснастке разверните узел Конфигурация компьютера\Политики\Конфигурация Windows \Параметры безопасности и перейдите к узлу «Политики ограниченного использования программ» . Здесь, как я уже упомянул выше, для того чтобы начать работать с политиками ограниченного использования программ, вам следует создать политики по умолчанию. Для этого нужно нажать на данном узле правой кнопкой мыши и из контекстного меню выбрать команду «Создать политику ограниченного использования программ» , как показано на следующей иллюстрации:

Рис. 1. Создание первых политик ограниченного использования программ

3. После выполнения данной команды, будут созданы два дополнительных узла, а также три параметра политики, предназначенных для настройки функциональных возможностей политики ограниченного использования программ. Узел «Уровни безопасности» позволяет вам указать, какие разрешения будут установлены в политиках SRP. Таких уровней немного, а именно три:

· Запрещено . При выборе данного уровня, несмотря на все разрешения, которые не указанны в политиках в явном виде, программное обеспечение не будут запускаться у пользователей, на которых распространяются политики SRP;

· Обычный пользователь . В данном случае, пользователи смогут запускать приложения под пользовательским маркером доступа;

· Неограниченный . Выбрав этот уровень безопасности, программное обеспечение будет запускаться, в зависимости от прав пользователя. Кстати, при первом создании политик SRP, по умолчанию для таких правил автоматически устанавливается уровень «Неограниченный» . Естественно, чтобы компоненты операционной системы нормально функционировали, для некоторых создаваемых политик SRP, следует указывать именно этот уровень.

Соответственно, чтобы изменить уровень безопасности по умолчанию, следует выбрать необходимый уровень безопасности и из контекстного меню выбрать команду «По умолчанию» . Пример изменения уровня безопасности по умолчанию отображен на следующей иллюстрации:

Рис. 2. Изменение уровня безопасности по умолчанию

4. При помощи узла «Дополнительные параметры» вы можете создавать правила, предназначенные для создания и управления политиками ограниченного использования программ. По умолчанию, при создании первой политики, которая была создана на втором шаге данного руководства, создается два первых правила. Это правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, которое позволяет запускать любые приложения из папки Windows, а также правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, позволяющее запускать программы из папки Program Files. Правила для пути позволяют идентифицировать программы по расположению соответствующим файлам. Обычно правила для пути создаются с использованием точного пути к файлу, однако при создании таких правил вы можете использовать еще и такие переменные как %userprofile%, %windir%, %appdata%, %programfiles% и %temp%. Также, как и в случае с правилами по умолчанию, вы можете использовать разделы системного реестра.

Желательно не изменять правила, созданные по умолчанию, а в том случае, если вам необходимо ограничить доступ пользователей к каким-то определенным программам, следует создавать отдельные запрещающие правила.

Однако, несмотря на то, что данные правила будут отлично отрабатываться на клиентах, под операционными системами Windows XP, если у ваших пользователей будет установлена 64-разрядная операционная система Windows 7, у них могут возникнуть некоторые проблемы. И вот тут у ваших пользователей при попытке запуска любых приложений из папки « Program Files (x 86)» может возникнуть ошибка, свидетельствующая о том, что пользователю запрещается выполнять любые приложения из соответствующего расположения.

В связи с этим следует создать новое правило для пути, позволяющее запускать приложения из соответствующих папок. Для этого в области сведений данного узла вызовите контекстное меню и выберите команду «Создать правило для пути» . В отобразившемся диалоговом окне следует выбрать неограниченный уровень безопасности (так как нужно, чтобы пользователи могли запускать программы из выбранного расположения), а также указать раздел реестра %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%.

При желании, вы можете в текстовом поле «Описание» добавить какую-то дополнительную информацию. Диалоговое окно нового правила пути показано на следующей иллюстрации:

Рис. 3. Создание правила для разрешения запуска программ, расположенных в папке Program Files (x 86)

5. Теперь, в качестве примера, будет создано еще одно правило пути, запрещающее запускать программу «Блокнот» из папки « System 32» . Для этого откройте диалоговое окно создания правила для пути, в текстовом поле «Путь» укажите путь к данной программе, в данном случае это «C:\Windows\System32\notepad.exe» , из раскрывающегося списка «Уровень безопасности» выберите «Запрещено» и добавьте какое-то описание, например, «Запрет на использование блокнота» , что можно увидеть на иллюстрации ниже:

Рис. 4. Создание запрещающего правила для блокнота

6. Теперь следует привязать созданный объект групповой политики к подразделению, содержащему учетные записи компьютеров компании. Закройте оснастку «Редактор управления групповой политики» и в дереве оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров (в моем случае, это подразделение «Клиенты» ), нажмите на нем правой кнопкой мыши, а затем из контекстного меню выберите команду «Связать существующий объект групповой политики» . В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК» .

Выполните вход на компьютер, расположенный в подразделении «Клиенты» и попробуйте открыть программу «Блокнот» . Как видно на следующей иллюстрации, при попытке открытия блокнота появится следующее диалоговое окно:

Рис. 5. Попытка открытия «Блокнот»

Заключение

Из этой статьи вы узнали о политиках ограниченного использования программ. Вы узнали о том, что представляют собой эти политики, о ситуации, когда такие политики не будут распространяться на пользователей, а также об уровнях безопасности, о политиках SRP по умолчанию и о создании новых политик ограниченного использования программ. В следующей статье данного цикла вы узнаете обо всех методах создания политик SRP.

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Цель практической работы:

• Изучить политики ограниченного использования программ в Windows;
• Ознакомиться с другими способами ограничения доступа к программам в Windows;
• Научиться управлять политиками ограниченного использования программ в Windows.

Описание политики ограниченного использования программ в Windows

Администраторы могут использовать политику ограничения использования программ для установки разрешений и запрещений на выполнение программ пользователями. Используя эту политику, администратор может предотвратить выполнение нежелательных программ, в том числе и вредоносного программного обеспечения.

Запуск настройки политики ограниченного использования программ

Чтобы создать политику ограниченного использования программ, проделайте следующее:

1. Запустите оснастку «Локальная политика безопасности»:

• Start (Пуск)® Run (Выполнить).

• Наберите secpol.msc и затем нажмите ОК.

1. Найдите в списке политик категорию «Политики ограниченного использования программ».
2. В меню «Действие» выберите команду «Создать политику ограниченного использования программ».

Описание параметров политики ограниченного использования программ

Уровни безопасности по умолчанию

Уровни безопасности по умолчанию определяют, разрешено или запрещено использовать программы при отсутствии явных разрешений или запрещений, задаваемых дополнительными правилами конфигурирования.

Применение уровней безопасности позволяет упростить настройку разрешений и запрещений: по умолчанию настраивается тот уровень безопасности, который применим для большей части программ. Для оставшихся программ другой уровень безопасности настраивается индивидуально в дополнительных правилах.

Существуют следующие уровни безопасности:

• Не разрешено / Запрещено (Disallowed) - если вы установите этот уровень, то никакие программы не будет разрешено использовать. Вы должны создать дополнительные правила, которые разрешат исполнять отдельные программы.
  Использование этого уровня рекомендуется в случае наличия у администратора полного списка разрешённых программ.
• Неограниченный (Unrestricted) - уровень, установленный операционной системой по умолчанию. Если вы установите этот уровень, все программы будут разрешены к исполнению. Вы должны создать дополнительные правила, которые запретят исполнять отдельные программы.
  Использование этого уровня рекомендуется в случае, если администратор не имеет полного списка разрешённых программ, но надо предотвратить исполнение отдельных программ.

• (Windows 7) Обычный пользователь (Basic User) - разрешает выполнение программ без прав администратора, но позволяет обращаться к ресурсам, доступным обычным пользователям.

Установленный уровень безопасности по умолчанию обозначен галочкой.

Уровень безопасности по умолчанию повлияет на все файлы, к которым применяется политика ограниченного использования программ (перечень этих типов файлов задаётся в правиле «Назначенные типы файлов» общих правил конфигурирования).

Уровень безопасности по умолчанию задан операционной системой по умолчанию как «Неограниченный».

При применении уровня безопасности «Не разрешено» следует создать исключения для программ, которые могут быть запущены.

При применении уровня «Неограниченный» имеется возможность создать правила для программ, запуск которых необходимо запретить.

Общие правила конфигурирования

Общие правила конфигурирования определяют, каким образом политика ограничения использования программ применяется на компьютере. Они включают следующие правила:

• Принудительный / применение (Enforcement) -

это правило описывает, к каким файлам применяются политики ограниченного использования программ:

• ко всем файлам, кроме библиотек (установлено по умолчанию),
• ко всем файлам.

Правило также описывает, к каким пользователям применяются политики ограниченного использования программ:

• для всех пользователей (установлено по умолчанию),
• для всех пользователей, кроме локальных администраторов.

Установка уровня безопасности «Не разрешено», применяемая ко всем файлам, может потребовать индивидуальных разрешений на файлы библиотек, которые потребуются разрешённым программам.

Установка уровня безопасности «Не разрешено», применяемая ко всем пользователям, может запретить доступ администраторам к программам.

• Назначенные типы файлов (Designated Files Types) -

правило «Назначенные типы файлов» определяет перечень типов файлов, которые считаются исполняемым кодом, кроме стандартных типов.exe, .dll, .vbs. К этим типам файлов применяются уровни безопасности по умолчанию и общее правило «Принудительный».

• Доверенные издатели (Trusted Providers) -

Правило «Доверенные издатели» применяется, чтобы определить пользователей, которым разрешено выбирать доверенных издателей:

• обычным пользователям (по умолчанию),
• локальным администраторам,
• администраторам предприятия.

Правило «Доверенные издатели» также применяется, чтобы определить, будет ли проводиться проверка сертификата и виды проверки (по умолчанию никакая проверка не проводится):

• проверка самого издателя,
• проверка штампа времени.

Дополнительные правила

Вы можете определять несколько типов дополнительных правил:

• Хеш (Hash).

Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла.

Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.

• Сертификат (Certificate).

Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением.exe или.dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.

• Путь (Path).

Правило для пути позволяет разрешить или запретить выполнение программ, которые расположены в определённой папке (в том числе в сети) или в её подпапке.

Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.

Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.

• Зона сети / зона Интернета (Internet Zone).

Правила для зоны влияют только на пакеты установщика Windows.

Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.

Правило для зоны Интернета позволяет разрешать или запрещать выполнение программ, расположенных в определённых зонах Интернета. Сейчас это правило это применяется только к пакетам Microsoft Windows Installer, которые исполняются из этой зоны.

Это правило не применяется к программам, загруженным с использованием Internet Explorer.

Приоритет дополнительных правил

К файлу программы может применяться несколько правил. Правила применяются в приведенном ниже порядке приоритета. Правила перечислены в порядке убывания приоритета.

• Правило для хеша.
• Правило для сертификата.
• Правило для пути. При конфликте правил для пути приоритет имеет правило с большим ограничением. Ниже приведен набор путей в порядке от высшего приоритета (наибольшее ограничение) к низшему приоритету:
  - диск:\папка1\папка2\имя_файла.расширение
  - диск:\папка1\папка2\*.расширение
  - *.расширение
  - диск:\папка1\папка2\
  - диск:\папка1\
• Правило для зоны Интернета.

Приложение приоритета

Например, если имеется файл с хешем без ограничений, расположенный в папке, для которой задано правило «Не разрешено», файл будет запущен, поскольку правило для хеша имеет приоритет над правилом для пути.

При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением. Например, если имеется правило для пути C:\Windows\ с уровнем безопасности «Не разрешено» и правило для пути %windir% с уровнем «Неограниченный», будет применяться более строгое правило с уровнем безопасности «Не разрешено».

Управление политиками ограниченного использования программ

Политики ограниченного использования программ рекомендуется настраивать в следующем порядке:

• создание политики ограниченного использования программ (в случае, если она ещё не создана);
• настройка уровней безопасности по умолчанию;
• настройка общих правил конфигурирования;
• настройка дополнительных правил конфигурирования.

Другие способы ограничения доступа к программам в Windows XP

Если вы решили защитить компьютер от несанкционированного программного обеспечения, то самым важным действием будет предоставление всем пользователям ограниченных учётных записей. Любое приложение, которое попытается заменить защищаемые системные файлы или манипулировать параметрами реестра, не связанное с личным профилем пользователя, не сможет завершить установку. Обычно пользователи с ограниченными учётными записями будут иметь трудности с установкой любой программы.

Кроме того, вы можете применить следующие методики:

• Удалите ярлыки программ из папок %AllUsersProfile% и %AllUsersProfile%\StartMenu.
• Для программ, которые устанавливаются в папку ProgramFiles (как большинство Windows-приложений), измените разрешения для вложенных папок, содержащих программы, доступ к которым желательно ограничить. Удалите группы Everyone (Все) и Users (Пользователи) из списка доступных приложений, оставив только группы администраторов и опытных пользователей (Windows 2000 или XP), а также любых пользователей, которые должны иметь доступ к этим программам.
• Предотвратите доступ Пользователей к окну командной строки, из которого они легко могут запустить программу. Найдите файлы Cmd.exe и Command.com, оба файла находятся в папке %SystemRoot%\System32. Вы можете настроить разрешения для обоих файлов, чтобы их имели право исполнять только администраторы; если ваши пользователи не слишком хитроумны, можно просто переименовать эти файлы.

Практические задания

При выполнении данной работы одна часть действий выполняется под учётной записью администратора (пользователь сadm), а другая - под учётной записью пользователя (создайте учетную запись). Название учётной записи, под которой выполняются действия, указываются словами АДМИНИСТРАТОР или ПОЛЬЗОВАТЕЛЬ, предваряющими описание задания.

Задание 1

Создание политики ограниченного использования программ

Прежде всего, создадим политики ограниченного использования программ. Эта операция выполняется один раз, при первом обращении к настройке этих политик.

АДМИНИСТРАТОР

Откройте консоль Локальные политики безопасности.

В дереве консоли щёлкните компонент Политики ограниченного использования программ.

Если вы открываете эту консоль первый раз, то политики ограниченного использования программ не определены - об этом говорит сообщение в правой части окна консоли. Следуйте указаниям для создания политик (Перейдите по ссылке «Создать новые политики»).

При дальнейших обращениях к политикам ограниченного использования программ этот шаг повторять не потребуется.

Не закрывайте консоль Локальные политики безопасности для выполнения следующих заданий.

Задание 2

Конфигурирование уровня безопасности по умолчанию Неограниченный

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент Уровни безопасности.

В правой части консоли видны 2 уровня безопасности по умолчанию. Установленный уровень отмечен чёрным кружком с галочкой.

Установите уровень безопасности по умолчанию Неограниченный.

Установить уровень безопасности по умолчанию можно двумя способами:

Способ 1: Вызовите контекстное меню того уровня, который вы хотите использовать по умолчанию, и выберите пункт По умолчанию (этот пункт отсутствует в контекстном меню установленного уровня безопасности).

Способ 2: Дважды щёлкните тот уровень безопасности, который вы хотите использовать по умолчанию, и нажмите кнопку По умолчанию (эта кнопка не функционирует для установленного уровня безопасности).

Задание 3

Конфигурирование общего правила Принудительный

АДМИНИСТРАТОР

Дважды щёлкните компонент Принудительный (или выберите пункт контекстного меню Свойства компонента Принудительный) и примените политики ограниченного использования программ ко всем файлам, кроме библиотек и для всех пользователей, кроме локальных администраторов.

Конфигурирование общего правила Назначенные типы файлов

АДМИНИСТРАТОР

Дважды щёлкните компонент Назначенные типы файлов (или выберите пункт контекстного меню Свойства компонента Назначенные типы файлов) и просмотрите типы файлов, которые определены как исполняемые. Ознакомьтесь с механизмом добавления и удаления типа файлов, который будет определяться как исполняемый.

Не вносите фактических изменений в этот список.

Конфигурирование общего правила Доверенные издатели

АДМИНИСТРАТОР

Дважды щёлкните компонент Доверенные издатели (или выберите пункт контекстного меню Свойства компонента Доверенные издатели) и просмотрите, каким пользователям разрешено выбирать доверенных издателей (убедитесь, что разрешено обычным пользователям) и какие выбраны виды проверок сертификатов (убедитесь, что не выбрано никаких видов проверок).

Задание 4

Конфигурирование дополнительного правила Для пути

ПОЛЬЗОВАТЕЛЬ

Выполните подготовительные шаги: скопируйте файл notepad.exe из папки C:/Windows/system32 на рабочий стол пользователя и переименуйте его в notepad-1.exe.

АДМИНИСТРАТОР

В правой части консоли просмотрите, каким ресурсам, какой тип дополнительных правил и какой уровень безопасности уже настроен.

Добавьте правило Для пути:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт Создать правило для пути. В появившемся окне нажмите кнопку Обзор и выберите путь к файлу notepad-1.exe, расположенному на рабочем столе пользователя. Выберите уровень безопасности Не разрешено. Нажмите кнопку ОК.

ПОЛЬЗОВАТЕЛЬ

Убедитесь, что программа Блокнот запускается (Пуск ® Все программы ® Стандартные ® Блокнот).

Убедитесь, что файл программы notepad-1.exe, расположенный на рабочем столе пользователя, не запускается. Объясните, почему так происходит.

Скопируйте файл программы notepad-1.exe с рабочего стола в папку Мои документы.

Запустите файл программы notepad-1.exe из папки Мои документы. Убедитесь, что файл notepad-1.exe из папки Мои документы запускается. Объясните, почему так происходит.

Вопрос: Насколько надёжно перекрывает доступ к программам правило «Для пути»? Какие способы устранения недостатков вы можете предложить.

Задание 5

Конфигурирование дополнительного правила Для хеша

ПОЛЬЗОВАТЕЛЬ

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила.

Удалите правило «Для пути», созданное в предыдущем задании.

Добавьте правило «Для хеша»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для хеша».

Выберите для хеширования файл notepad-1.exe на рабочем столе пользователя, нажав кнопку Обзор. После формирования хеша в поле хешируемый файл будет записан хеш файла, а в поле Информация файла - описание файла.

Если вам известен хеш файла программы, то вы можете ввести его в поле Хешируемый файл.

Выберите в поле Безопасность параметр Не разрешено. Нажмите ОК.

ПОЛЬЗОВАТЕЛЬ

Запустите файл notepad-1.exe. Объясните, почему файл не запускается.

Запустите программу Блокнот. Объясните, почему программа не запускается.

Скопируйте файл notepad-1.exe в папку Мои документы. Запустите файл notepad-1.exe из папки Мои документы. Объясните, почему файл не запускается.

Вопрос: Сформулируйте отличия правила «для хеша» от правила «для пути». Какое из этих двух правил более эффективно? Какие способы преодоления правила «для хеша» вы можете предложить?

Задание 6

Конфигурирование дополнительного правила Для сертификата

ПОЛЬЗОВАТЕЛЬ

Удалите файл notepad-1.exe из папки Мои документы.

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент «Дополнительные правила».

Удалите правило «Для хеша», созданное в предыдущем задании.

Найдите с помощью Проводника файлы с расширением.cer (файлы сертификата) и запишите путь к одному из них.

Добавьте правило «Для сертификата»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для сертификата». Нажав кнопку Обзор, выберите файл сертификата, путь к которому вы записали.

Выберите уровень безопасности и нажмите ОК.

Убедитесь, что в списке дополнительных правил добавилась новая строка.

Вопрос: Объясните, чем отличается запись правила «для сертификата от записи правила «для пути»?

Удалите сделанную вами запись правила «для сертификата».

Контрольные задания и вопросы

1. Разработайте политики ограниченного использования программ для выполнения следующих требований:

• обычный пользователь должен работать с приложениями Word и Excel;

• администратор должен быть уверен, что программы Word и Excel, которые он установил, не были изменены.

1. Каков приоритет политик ограниченного использования программ?

1. Чем отличаются правила «для пути» от правил «для хеша»? Какое из них более строгое? Какие недостатки имеет правило «для хеша»?
2. Каков рекомендуемый порядок настройки политик ограниченного использования программ. Чем может быть обусловлен выбор уровня безопасности по умолчанию?

МОСКВА, 20 декабря. /ТАСС/. Пресс-секретарь президента РФ Дмитрий Песков назвал использование смартфона добровольным эксгибиционизмом. В том числе из-за этой чрезмерной открытости глава государства Владимир Путин не пользуется мобильным телефоном. Об этом представитель Кремля заявил в интервью телеканалу "Россия-24 ".

Отвечая на вопрос, есть ли у главы государства смартфон, Песков сказал: "Насколько я знаю, нет. У него телефона нет".

"Вы не забывайте, что иметь смартфон - это такой добровольный эксгибиционизм, полная прозрачность. Вы заведомо, беря в руки смартфон, ставите галочку, что я готов выставлять все на всеобщий показ, - отметил пресс- секретарь. - К сожалению, так устроен мир, и нужно отдавать себе в этом отчет. Соответственно, это не должно быть у президента, тем более такой страны, как Россия. И у такого президента, как Путин".

По его словам, "старые добрые телефоны закрытой правительственной связи все смартфоны переживут".

Использование распечаток

Представитель Кремля рассказал также, что при подготовке информационных материалов для президента по-прежнему используются папки с распечатками. "Папки с распечатками существуют, существуют дайджесты, которые делаются на бумаге, телевизионные дайджесты, которые делаются на электронных носителях. Но и сам президент может в компьютере посмотреть, интернет, традиционно, и телевизор", - добавил он.

Отвечая на вопрос, советуется ли он с президентом перед тем, как прокомментировать для СМИ то или иное громкое заявление иностранного лидера, Песков пояснил, что "если нужно, всегда есть возможность спросить позицию президента".

В качестве примера журналист привела недавнее заявление президента Украины, который назвал войной инцидент в Керченском проливе. Песков отметил на это, что "очень много ситуаций, когда позиция России последовательна, хорошо известна".

"Подобные заявления президента Украины, в них нет ничего нового. Это была очевидная попытка провокации, поэтому новизны в этом нет. Добавилась только палитра предэлекторальная на Украине, которая лишь усилила провокационные элементы в риторике руководства Украины", - добавил пресс-секретарь.