САМОВАРчик

Evgen 20.04.2011, 17:42:56 #1

Цель: Ограничить возможности запуска несанкционированных приложений на серверах и рабочих станциях

Примечания:
1. Используем белый список - запрещено все что не разрешено.

Реализация с помощью политик ограниченного использования программ (SRP) (более подробное описание http://www.windowsfaq.ru/content/view/694)

Настройка:
Win+r - gpedit.msc - Enter- Конфигурация компьютера - Конфигурация Windows - Параметры безопасности – Политики ограниченного использования программ.
При первом запуске в правом окне будет сообщение что политики не определены. Выбираем Действие - Создать новые политики.

Принудительный - нужно установить "Для всех пользователей, кроме локальных администраторов".

Назначенные типы файлов - нужно убрать типы LNK и URL иначе будет невозможно открытие ссылок и разрешенных приложений через ярлык на рабочем столе.

Уровни безопасности - ПКМ на Не разрешено - выбрать По умолчанию

Дополнительные правила - здесь создаются правила для программ. По умолчанию созданы правила для возможности запуска приложений из Windows, System32, programm files. Удаляем их.

Для создания нового правила выбираем в меню Действие (или в меню, открываемом правым щелчком мыши) необходимый тип правила.
Используем правила для хеша.

Для корректного входа пользователя в систему нужно разрешить следующие системные процессы:

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\rdpinit.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ctfmon.exe - отвечает за языковыю панель
C:\WINDOWS\Explorer.EXE

Общие несистемные процессы для работы
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\7-Zip\7zFM.exe
C:\Program Files\7-Zip\7zG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1005MC.EXE - с отключенным печать идет, но наблюдались проблемы при терминальном подключении.

Планирование создания правил политики (http://www.windowsfaq.ru/content/view/694)

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 - уровень безопасности по умолчанию, 866 - правило для пути, 867 - правило для сертификата, 868 - правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» - правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID.

Редактировался Evgen (27.12.2011, 09:32:02)