ІТ-інфраструктура для вашого підприємства
Нещодавно одна кредитна організація найняла компанію, що займається питаннями забезпечення безпеки, для імітації спроби злому комп'ютерів своєї мережі. Фахівці компанії успішно здійснили злом комп'ютерів, для початку «підкинувши» кілька USB-пристроїв на парковках і в «курилках» організації. Кожне пристрій містив виконуваний файл типу «троян». Співробітники кредитної організації виявили більшу частину пристроїв, підключили їх до своїх робочих комп'ютерів і запустили виконуваний файл. Хоча не можна бути впевненим у тому, що ваші співробітники або партнери ніколи не будуть запускати файли з знайдених пристроїв, можна запобігти виникненню описаної ситуації за допомогою політик обмеження запуску програм Software Restriction Policies (SRP).
Можна створювати різні типи правил SRP, в тому числі правило для зони, правило для шляху, правило для сертифіката і правило для хешу. Після невеликого огляду базових понять політик SRP я коротко розкажу, як створювати правило кожного типу, але основна увага буде приділена найбільш ефективному типу - правилам для хешу.
Ви можете налаштовувати політики SRP через розділи User або Computer служби Group Policy. Подібна гнучкість дозволяє застосовувати політики до груп комп'ютерів або користувачів. Наприклад, можна застосувати політику SRP, що забороняє користувачам грати в «Сапери» або «Пасьянс», до організаційної одиниці, що включає співробітників бухгалтерії. З іншого боку, можна застосувати політику SRP до групи комп'ютерів в загальнодоступній лабораторії коледжу, щоб обмежити набір додатків, які може встановлювати кожен, хто використовує системи в тестовій лабораторії.
Щоб активувати політики SRP, спочатку створіть або відредагуйте об'єкт Group Policy Object (GPO) і перейдіть в вікно Computer (або User) Configuration-> Windows Settings-> Security Settings-> Software Restriction Policies. Після цього клацніть правою кнопкою миші на вузлі Restriction Policies і виберіть пункт New Software Restriction Policies в контекстному меню.
Для перемикання політик SRP в рівень Disallowed перейдіть в вузол Software Restriction Policies-> Security Levels і двічі клацніть на політиці Disallowed. У вікні Disallowed Properties, см. Екран 1, просто встановіть прапорець в полі Set as Default. Система Windows видасть повідомлення про те, що обраний рівень є більш безпечним, ніж поточний, і деякі програми можуть бути закриті. Клацніть на кнопці OK.
Малюнок 1. Монтаж уровняDisallowedв якості рівня безпеки, який використовується за умовчанням
Майте на увазі, що ви можете використовувати політики SRP на комп'ютерах, які не входять в рамки Active Directory (AD) (наприклад ноутбуки), створивши шаблон безпеки на основі комп'ютера використовує SRP і застосувавши цей шаблон до локальної політиці. Необхідно переконатися в тому, що шаблон дозволяє запускати утиліту Secedit, щоб ви могли зробити скасування змін або при необхідності оновити політику SRP.
Налаштування спільних політик
У вузлі Software Restriction Policies можна настроїти наступні загальні політики, які визначають, яким чином система Windows застосовує політики SRP: примус, призначені типи файлів і довірені видавці. Давайте розглянемо кожен тип спільних політик.
Примус. Примусова політика використовується для того, щоб політики SRP застосовувалися не тільки до виконуваних файлів типу «.exe», «.vbs» і всіх інших файлів, прописаним як виконувані політики призначених типів файлів, але і до бібліотек «.dll». Діалогове вікно Enforcement Properties, показане на екрані 2, дозволяє застосовувати політику SRP і до членів групи локальних адміністраторів.
Малюнок 2: Налаштування політики примусу дляSRP
Для посилення безпеки необхідно включити в політику примусу всі типи програмних файлів і застосувати її до всіх користувачів. Однак створення окремих правил для тисяч файлів «.dll» в стандартній комплектації Windows може зажадати декількох тижнів роботи. За винятком випадків, коли вам потрібно максимально закрити систему, більш практичним і при цьому досить надійним рішенням є використання політики примусу без вказівки бібліотек.
Майте на увазі, що в політику примусу необхідно включити локальних адміністраторів. Якщо на комп'ютері потрібно запустити програму без дозволене в списках політик SRP, адміністратор може тимчасово перемістити систему в організаційну одиницю, на яку не поширюються дані політики.
Призначені типи файлів. Політика призначених типів файлів являє собою список всіх розширень - крім стандартних розширень «.exe», «.dll» і «.vbs» - які система Windows розглядає як виконуваний код. На екрані 3 зображено вікно Designated File Types Properties. Якщо ваша організація використовує тип файлів, не зазначений в цьому списку, наприклад файли Perl, ви можете додати тип файлу з цього діалогового вікна.
Малюнок 3: Призначення виконуваних типів файлів
Політика довірених видавців використовується для того, щоб не дати користувачам додати на свої системи нових довірених видавців. Наприклад, коли користувачі намагаються завантажити додаток з web-сайту компанії Adobe, система запитує, чи хочуть вони зробити це додаток довіреною. Налаштування політики визначають, хто може приймати рішення про те, яким видавцям довіряти: кінцеві користувачі, локальні адміністратори або корпоративні адміністратори. Для забезпечення максимальної безпеки призначати довірених видавців дозволяється тільки корпоративним адміністраторам (як це зробити, показано на екрані 4). Політика довірених видавців також дозволяє вам ініціювати перевірку списку скасованих сертифікатів (CRL), щоб виявити справжність будь-якого сертифіката.
Малюнок 4: Надання прав на призначення довірених видавців
Заборона або дозвіл додатків
Тепер, коли ми познайомилися з основними політиками SRP, давайте розглянемо 4 типи правил, які можна використовувати для визначити, чи потрібно виконання додатків: для зони, для шляху, для сертифіката і для хешу.
Правила для зони. Правила для зон Internet використовуються для обмеження або дозволу виконання завантажених файлів «.msi» (для Windows Installer), в залежності від зони, з якої отримано файл. Так як це правило застосовується лише до файлів «.msi», завантаженим користувачами з Internet, цей тип політик SRP використовується рідше, ніж інші.
Для створення правила для зони Internet клацніть правою кнопкою миші на вузлі Additional Rules і виберіть в контекстному меню пункт New Internet Zone Rule. Виберіть Зону Internet і встановіть Рівень Безпеки в значення Unrestricted або Disallowed. У правилі для зони Internet, настройка якого показана на екрані 5, виконання файлів «.msi», отриманих із зони Restricted sites, заборонено (рівень Disallowed).
Малюнок 5: Установка обмежень на зони Internet
Правила для шляхи дозволяють вказати папку або повний шлях до програми, яка може або не може бути виконано. Недоліком правила для шляху є те, що воно спирається виключно на шлях або на ім'я файлу. Наприклад, на екрані 6 зображено правило для шляху, яке дозволяє запуск служби Outlook Express. Зловмисники можуть просто перейменувати файл, що містить шкідливий код, в «msimn.exe» і скопіювати його в папку C: Program FilesOutlook Expressmsimn.exe. Так як задіюється правило для шляху, файл, що містить шкідливий код, вважається дозволеним і може бути виконаний. Майте на увазі, що при налаштуванні декількох правил для шляху пріоритет буде мати більш «вузьке» правило. Наприклад, правило для шляху C: directoryapplication.exe матиме пріоритет перед правилом для шляху C: directory.
Малюнок 6: Налаштування правила для шляху
Правила для сертифіката
Правила для сертифіката засновані на сертифікатах, підписаних видавцями. Основна проблема тут полягає в тому, що вам необхідно вказати підписаний видавцем сертифікат. Крім того, ви не можете використовувати правило для сертифіката, якщо потрібно по-різному налаштувати політики для декількох додатків одного і того ж видавця. Наприклад, ви не можете використовувати дане правило, щоб заборонити співробітникам грати в «Пасьянс», так як всі ігри, що поставляються разом з Windows, підписані тим же видавцем, що і ключові компоненти операційної системи, такі як служба IE.
Щоб створити правило для сертифіката, клацніть правою кнопкою миші на вузлі Additional Rules і виберіть пункт New Certificate Rule. Клацніть на кнопці Browse, вкажіть сертифікат видавця (файл типу «.crt» або «.cer»), встановіть рівень безпеки в значення Unrestricted (або Disallowed) і клацніть на кнопці OK.
Правила для хешу. Правила для хешу я вважаю найкращим типом політик SRP. Вони не вимагають від вас вказівки сертифіката видавця, не беруть за основу правила для зон Internet, і, так як для ідентифікації виконавчого файлу вони використовують обчислену контрольну суму (хеш), зловмисник не може запустити шкідливий код під новим ім'ям в обхід цього правила.
Для обчислення хешу необхідний доступ до бінарним виконуваного файлу на тому комп'ютері, де ви налаштовуєте об'єкт GPO. Якщо ви створюєте об'єкт GPO на контролері домену (DC), ви можете додати мережевий диск на моделируемую систему, використовуючи загальну папку адміністратора, таку як XP-REF-SYSC $. Після цього вибір виконуваного файлу зводиться до його пошуку на мережевому диску.
При конфлікті правил SRP правила для хешу мають пріоритет перед усіма іншими. Також майте на увазі, що файли, які ви перейменовуєте або переміщаєте в інше місце, зберігають свої контрольні суми. Тому, якщо ви використовуєте правило для блокування файлу, наприклад виконуваного модуля вірусу, воно спрацює навіть у випадку, якщо хтось змінив ім'я вірусу.
Основний недолік використання правил для хешу з політикою Disallowed полягає в тому, що формування вихідного набору дозволених додатків вимагає маси часу. Також не можна забувати про необхідність поновлення контрольної суми кожного разу, коли змінюється версія програми або встановлюється нове програмне забезпечення. Для запуску оновленого додатку необхідно створити нове правило. Майте на увазі, що краще створювати нові правила для оновлених додатків, ніж міняти під них старі, так як у вашій мережі одночасно можуть співіснувати різні версії одного продукту. Згодом ви видалите правила для старих версій програм.
Для створення правил для хешу, клацніть правою кнопкою миші на вузлі Additional Rules служби Group Policy і виберіть пункт Hash Rule. У вікні New Hash Rule клацніть на кнопці Browse і виберіть програму, для якого хочете створити правило. При виборі програми система Windows автоматично вирахує контрольну суму файлу, як показано на екрані 7, і відобразить властивості файлу у вікні Fileinformation.
Малюнок 7: Створення правила для хешу
При створенні політик SRP необхідно завести тимчасову організаційну одиницю в службі AD і приписати до даної одиниці створюваний об'єкт GPO. Після цього ви можете помістити туди тестові облікові записи користувачів і комп'ютерів на час, необхідний вам для налагодження політик SRP. Після тестування політик об'єкта GP можна прикріпити його до організаційної одиниці, до якої входять реальні облікові записи користувачів і комп'ютерів. Переконайтеся, що ви ретельно протестували політики SRP - в лабораторії IT відділу і з пробної групою користувачів - перш ніж впроваджувати їх в вашу організацію. Політики SRP мають складну структуру, і ви навряд чи зможете безпомилково налаштувати їх з першого разу.
Поділіться матеріалом з колегами і друзями