Szoftver házirendek, ablakok IT Pro
Informatikai infrastruktúra a vállalat
Nemrégiben egy hitel szervezet bérelt egy cég foglalkozik a biztonság, megpróbálja szimulálni hacker a hálózaton. A cég szakemberei sikeresen végrehajtott számítógépes betörés, kezdeni „dobott” néhány USB-eszközök a parkolók és a „dohányzó” a szervezet. Mindegyik készülék tartalmaz egy futtatható fájlt a fajta „trójai”. Az alkalmazottak a hitelintézet találtak az eszközök nagy csatlakoztatja őket munkájuk számítógépek és a futtatáshoz fájlt. Bár nem tudjuk biztosan, mi a munkavállalók, illetve a partnerek soha nem fog futni a fájlokat a talált eszközöket, akkor elkerülheti ezt a helyzetet révén házirendek a programok futtatására Software házirendek (SRP).
Hozhat létre különböző típusú SRP szabályokat, beleértve a szabály a zóna útvonal szabály, hogy a szabály a tanúsítványt és a hash szabályt. Miután egy rövid beszámolót az alapvető fogalmak SRP politika röviden elmagyarázza, hogyan lehet létrehozni egy szabályt minden típusú, de középpontjában a leghatékonyabb módja - a szabályok a hash.
Itt lehet beállítani a SRP keresztül Fórumok felhasználó vagy a számítógép Service Group Policy. Ez a rugalmasság lehetővé teszi, hogy tegyenek intézkedéseket annak érdekében csoportok számítógépek vagy felhasználók. Például, akkor lehet alkalmazni a SRP tiltó irányelvét felhasználók játszani „Aknakereső” vagy „Solitaire”, hogy egy olyan szervezeti egységet, amely magában foglalja a munkavállalók a számviteli osztály. Másrészt, lehetséges, hogy alkalmazza a SRP, hogy egy csoport számítógépek egy állami főiskola laboratóriumi alkalmazások korlátozására lehet telepíteni, aki használja a rendszert tesztlabort.
Aktiválásához SRP politika, először hozzon létre vagy szerkeszt egy tárgy csoportházirend-objektum (GPO), és keresse meg a Számítógép ablakban (vagy Felhasználó) Configuration> Windows Beállítások-> Biztonság Beállítások-> Szoftver házirendek. Ezt követően, a jobb gombbal a házirendek csomópontot, és válassza ki az Új szoftver házirendek a helyi menüben.
► A SRP szintjében nem engedélyezett, menj a szoftver korlátozás Policies-> Biztonsági szintek csomópontot és kattintson duplán Nem engedélyezett politikát. A megjelenő ablakban Szabálytalan Properties, lásd. 1. ábra, egyszerűen jelölje be a Beállítás alapértelmezett. A Windows rendszer egy üzenetet jelenít meg, hogy a kiválasztott szinten sokkal biztonságosabb, mint a jelenlegi, és bizonyos programokat lehet zárni. Kattintson az OK gombra.
1. ábra: beszerelése urovnyaDisallowedv a biztonsági szintet az alapértelmezett
Ne feledje, hogy tudod használni SRP politika számítógépeken, amelyek nem szerepelnek a hatálya alá Active Directory (AD) (pl laptop), ami egy biztonsági sablon alapján egy számítógéphez SRP és alkalmazza ezt a sablont a helyi politikát. Meg kell győződnie arról, hogy a sablon lehetővé teszi, hogy a segédprogram futtatásához Secedit, így változtatni, vagy törlés, szükség esetén frissítse az SRP.
Beállítás közös politikák
A szoftver házirendek csomópontot, akkor beállíthatja a következő általános politikákat, amelyek meghatározzák, hogy a Windows rendszer SRP politika: végrehajtás kijelölt fájltípust és megbízható kiadók. Nézzük az egyes típusú közös politikák.
Lenyűgöző. Erőltetett politika használják SRP politikát nemcsak az futtatható fájlok, például a «.exe», «.vbs» és minden további, tönkölybúza végrehajtható politikát kijelölt fájltípust, hanem a könyvtárak «.dll». Enforcement Tulajdonságok párbeszédablak 2. ábrán látható, lehetővé teszi, hogy alkalmazza az SRP, és a tagok a helyi rendszergazdák csoportja.
2. ábra: konfigurálása dlyaSRP végrehajtási politika
A nagyobb biztonság érdekében szükség van többek között a politikai végrehajtás valamennyi program files és alkalmazza azt az összes felhasználó számára. Létrehozása azonban külön szabályokat ezer «.dll» fájlokat szabványos Windows szükség lehet néhány hetes munka. Kivéve azokat az eseteket, amikor szükség van, hogy állítsa le a rendszert, amennyire csak lehet, a gyakorlati és ugyanakkor kellően megbízható megoldás az, hogy a kényszerítő politikákat nélkül könyvtárakban.
Tartsuk szem előtt, hogy a végrehajtási politikának lehetővé kell tennie a helyi rendszergazdák. Ha a számítógép szükséges az alkalmazás futtatásához, nem engedélyezett az SRP listák, adminisztrátorok átmenetileg mozogni a rendszer egy szervezeti egység, amely nincs kitéve ezeknek az irányelveknek.
Kijelölt fájltípusok. Policy kijelölt fájltípusok egy listát az összes kiterjesztés - amellett, hogy a szokásos «.exe» bővítmények «.dll» és a «.vbs» -, hogy a Windows rendszerek minősülnek végrehajtható kódot. A 3. ábra az ablak kijelölt fájltípusok tulajdonságai. Ha a szervezet használ fájltípus nem szerepel a listán, mint a Perl fájlokat, akkor adjunk hozzá egy fájltípust a párbeszédablakban.
3. ábra: hozzárendelés futtatható fájl típusát
Megbízható gyártók politika megelőzésére használják a felhasználóknak, hogy azok az új rendszer megbízható kiadók. Például, ha a felhasználó megpróbál letölteni egy alkalmazást a társaság honlapján, mint az Adobe, a rendszer rákérdez, hogy szeretnénk, hogy ez az alkalmazás proxy. Policy beállításai határozzák meg, akik lehet, hogy egy döntést arról, hogyan kiadók bízik: a végfelhasználók, a helyi közigazgatási, illetve a vállalati rendszergazdák. A maximális biztonság érdekében kinevezi webhely a megjelenítők csak a vállalati rendszergazdák (hogyan kell csinálni ezt a 4. ábrán látható). Megbízható gyártók politika is lehetővé teszi, hogy kezdeményezi az ellenőrzési tanúsítvány visszavonási lista (CRL), azonosítani a hitelességét igazoló okirat.
4. ábra: A jogok elnyerése érdekében kinevezi megbízható kiadók
Megelőzése, illetve lehetővé teszi az alkalmazások
Most, amikor találkoztunk a legfontosabb politikus az SRP, nézzük meg négyféle szabályok, hogy lehet használni, hogy engedélyezze vagy tiltsa le a végrehajtását alkalmazások: a terület, az elérési utat a tanúsítványt és a hash.
Szabályokat a zónában. Az Internet zóna szabályokat alkalmaznak, hogy korlátozzák, vagy lehetővé teszik a végrehajtását letöltött fájlok «msi» (Windows Installer), attól függően, hogy a terület, ahonnan a fájl érkezik. Mivel ez a szabály csak azokra a letöltött fájlokat az Internet-felhasználók «msi», ez a fajta SRP ritkábban, mint mások.
Ahhoz, hogy hozzon létre egy szabályt az Internet zóna, kattintson jobb gombbal a kiegészítő szabályok csomópont és válassza az Új Internet Zone szabály a helyi menüből. Jelölje ki az Internet Zone, és állítsa a biztonsági szintet korlátlan vagy nem engedélyezett. A szabály az Internet zóna, a beállítás, amely megjelenik a képernyőn 5, a teljesítmény «msi» fájlokat kapott a Tiltott helyek zónában tilos (Szabálytalan szint).
5. ábra: a beállítás korlátozza az Internet zóna
Szabályok lehetővé teszik, hogy adja meg a mappa elérési útját, vagy a teljes elérési utat az alkalmazás, amely lehet, hogy nem lehet teljesíteni. A hátránya szabályok az út, hogy kizárólag a folyamatban lévő vagy a fájl nevét. Például a képernyőn a 6. ábra egy utat szabályt, amely lehetővé teszi a dob Outlook Express szolgáltatást. A támadók egyszerűen nevezd át a fájlt tartalmazó rosszindulatú kódot, a «Msimn.exe» és másolja azt a mappát a C: Program FilesOutlook Expressmsimn.exe. Mivel az aktív útvonal szabály, hogy a fájl kártékony kódot tartalmazó, úgy vélik, a megengedett, és lehet végre. Ne feledje, hogy ha létre néhány szabályt, ahogy az a prioritás, hogy van egy „szűk” szabályt. Például az a szabály, hogy az útvonal a C: directoryapplication.exe elsőbbséget élveznek a szabály az útvonal C: meghajtón.
6. ábra: Beállítás szabályok a közúti
Szabályai tanúsítvány
Szabályai alapján a bizonyítványt által aláírt igazolást a kiadók. A fő probléma az, hogy meg kell adnia által aláírt igazolást a kiadó. Ezen felül, akkor nem tudja használni a tanúsítványt szabály, hogy ha azt szeretnénk beállítani a különböző politikák több alkalmazás ugyanazon kiadó. Például nem tudja használni ezt a szabályt, hogy megakadályozzák az alkalmazottak játszani „Solitaire”, az összes játék, hogy a hajó a Windows, írja alá ugyanaz a kiadó, mint a mag operációs rendszer összetevőit, mint az IE szolgáltatás.
Ahhoz, hogy hozzon létre egy tanúsítványt szabályt, kattintson jobb gombbal a kiegészítő szabályok csomópont és válassza az Új tanúsítvány szabály. Kattintson a Tallózás gombra, válassza ki a kiadó tanúsítvány (típus «.crt» fájlt vagy «.cer»), állítsa a biztonsági szintet Korlátlan érték (vagy el nem fogadott) és kattintson az OK gombra.
A szabályokat a hash. Hash szabályokat, azt hiszem, a legjobb típusú SRP. Nem igényel, hogy adja meg a kiadó tanúsítvány, ne vegye alapul a szabályokat az internet zóna, és mint azonosítására végrehajtó fájl általuk használt kiszámított checksum (hash), a támadó képes futtatni rosszindulatú kód egy új nevet a megkerülése a szabály.
Kiszámításához a hash hozzáférésre van szükségük a bináris futtatható fájlt a számítógépen, ahol beállíthatja a GPO. Ha létrehoz egy GPO egy tartományvezérlő (DC), akkor adjunk hozzá egy hálózati meghajtót egy szimulált rendszer egy megosztott mappát, a rendszergazda, így XP-REF-SYSC $. Ezt követően, a választás a futtatható fájl csökken annak megállapítását egy hálózati meghajtóra.
Ha SRP szabályok kollíziós szabályok a hash elsőbbséget élvez az összes többi. Is szem előtt tartani, hogy a fájlok átnevezése vagy áthelyezése egy másik helyre, megtartják ellenőrző összegeket. Ezért ha egy szabály, hogy blokkolja a fájlt, például egy vírus végrehajtható modul, akkor is működik, ha valaki megváltoztatta a nevét a vírus.
A fő hátránya a hash szabályokat az Szabálytalan politika az, hogy megalakult a kezdeti engedélyezett alkalmazások igényel sok időt. Azt szintén nem elfelejteni, hogy frissíteni kell az ellenőrző minden alkalommal, amikor megváltoztatja változata app, vagy új szoftver telepítése. Ahhoz, hogy futtatni a frissített alkalmazás, akkor létre kell hozni egy új szabályt. Tartsuk szem előtt, hogy ez jobb, hogy új szabályokat a frissített alkalmazások, mint megváltoztatni őket a régi, mint a hálózat egyszerre egymás mellett különböző változatai ugyanazt a terméket. Idővel, hogy távolítsa el a szabályok régebbi alkalmazások.
Ahhoz, hogy hozzon létre egy hash szabályok jobb gombbal a kiegészítő szabályok csomópont csoportházirend, majd Hash szabály. A megjelenő ablakban kattintson az Új szabály Hash a Tallózás gombra, és válassza ki az alkalmazást, amit szeretnénk, hogy hozzon létre egy szabályt. Ha kiválaszt egy alkalmazást, a Windows automatikusan kiszámítja az ellenőrző összeget a fájl, mint a 7. ábrán látható, és megjeleníti a fájl tulajdonságait Fileinformation ablakban.
7. ábra: hozzon létre egy hash szabály
Létrehozásakor az SRP szükségességét, hogy egy ideiglenes szervezeti egység az AD és a tulajdonított az egységet teremtett GPO. Ez után lehet próbára felhasználói fiókok és számítógépek a szükséges időt, a hibakeresés a SRP. A vizsgálat után házirendobjektumait GP akkor csatolja azt egy szervezeti egység, amely magában foglalja a valódi felhasználói fiókok és a számítógépek. Győződjön meg róla, hogy alaposan tesztelt az SRP politika - a laboratóriumban és az informatikai részleg és a kísérleti csoport a felhasználók - mielőtt bevezeti őket a szervezet. SRP politikák bonyolult szerkezet, és nem valószínű, hogy képes legyen helyesen beállítani őket az első próbálkozásra.
Ossza meg képeit barátaival és kollégáival