|
Читайте также: |
Правило определяет, разрешить или запретить выполнение программы, соответствующей указанным в нем условиям. Для сопоставления программы и условия можно использовать четыре параметра исполняемого файла:
· Зона (которые используют Internet Explorer)
· Путь (идентифицирует исполняемое приложение по его местоположению)
· Сертификат (устанавливаются для файлов, имеющих цифровую подпись издателя)
· Хеш (для идентификации файла используется его хеш)
Хэш является очень удобным способом задания разрешенных или запрещенных программ. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Хеш однозначно идентифицирует любой файл, независимо от его названия и месторасположения. Любое, самое незначительное изменение кода файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла имеют одинаковый хеш. Поэтому правило по хешу не получится так просто «обойти» как правило по пути исполняемой программы: можно либо переименовать программу, либо ее переместить в другое место. Стоит конечно оговорится, что данные 2 операции могут быть выполнены только при наличии соответствующих прав учетной записи.
Создадим правило на основе хеша, разрешающее запуск Windows Media Player:
Выбираем файл проигрывателя, его хэш считается автоматически. Тип безопасности – неограниченный, т.к. я использую уровень безопасности «Не разрешено».
Если файл расположен на другом компьютере, то надо обеспечить к нему доступ с той машины, где настраивается политика. Я пробовал подключить как сетевой диск стандартный общий ресурс вида \\pechen-desktop\C$.
Идентификация файла по его хешу является наиболее предпочтительной, позволяя однозначно определять файл. Его недостаток – это большой первоначальный объем работы, который необходимо проделать при создании нового набора правил. Этот тип правил используется по принципу – «один файл, одно правило». Более того, различные версии одной программы имеют различное значение хеша.
Для управления групповой политикой будет использоваться консоль gpmc. Данная консоль позволяет удобно управлять групповыми политиками во всем лесе.
Для обеспечения входа пользователя в систему понадобится установить разрешения для некоторых программ. В моем случае необходимо разрешить запуск winlogon.exe, userinit.exe и explorer.exe из системной папки %windir%\system32. В другой ситуации, возможно, потребуются дополнительные разрешения - например, может возникнуть необходимость обработки сценариев, расположенных на сервере при входе пользователя в систему. Создаем для них правила пути:
Теперь создадим правило, разрешающее запуск Internet Explorer. Чтобы не дать возможности пользователю подмены файла и не зависеть от его расположения в файловой системе, будем использовать правило хеша. Подключаем на сервере, где я произвожу настройку групповой политики диск C тестового компьютера. Затем я создаю правило для хеша для файла IEXPLORE.EXE, расположенного в папке Program Files\Internet Explorer.
Теперь при попытке запуска какой-нибудь программы или команды, кроме iexplorer.exe возникает ошибка «Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения». Т.о. видно, что запрет на любой исполняемый файл работает.
Также можно заставить какую-либо программу из разрешенных к запуску автоматически стартовать при входе пользователя в систему. Для этого в разделе Административные шаблоны – Система – Вход в систему редактора политики выберу команду «Запускать указанные программы при входе в систему». Включу данную опцию в свойствах и выберу программу IE:
Компьютер теперь представляет собой подобие терминала, на котором пользователь может выполнить только те программы, для которых были созданы правила политики ограниченного использования программ. Даже выбрав в меню разрешенной программы команду «Открыть» и указав в диалоге исполняемый файл, который не указан в правилах, его запуск будет запрещен.
В следующих пунктах я продолжу работать с созданными учетными записями.
Дата добавления: 2015-12-01; просмотров: 27 | Нарушение авторских прав