Разрешения/запреты на запуск конкретных программ могут формироваться на основе следующих критериев.

Примечание В качестве исполняемых файлов в правилах могут указываться не только файлы программ, но и все файлы с расширениями, зарегистрированными для автоматического запуска программ на основе ассоциаций. Этот перечень можно видоизменить при формировании политики ограничений программного обеспечения.

Хэш.

При старте программы проверяется хэш ее программного кода и сравнивается со значением, записанным во время создания правила. В случае совпадения запуск программы разрешается (или запрещается, если правило создается для блокировки), иначе - блокируется (соответственно разрешается).

Данное правило жестко регулирует возможности использования ПО и не разрешает пользователю "собственными силами" обойти это ограничение. Например, запрет на основе хэш-правила не даст использовать программу даже в случае переименования ее исполняемого файла, копирования его в другую папку и т. д.

Недостаток критерия - некоторое замедление каждого запуска программы из-за подсчета ее хэша и сравнения полученного значения с контрольным. Кроме того, в случае обновления версии программного обеспечения администратору придется переопределять данное правило (поскольку хэш запускаемого файла новой версии программы будет отличен от прежнего).

Сертификат.

В этом случае система при попытке запуска программы проверяет наличие у нее цифровой подписи - соответствующего сертификата от доверенного удостоверяющего центра. Так же, как и в случае использования правила контроля хэша, система затрачивает некоторые ресурсы при запуске программы. Однако данный подход более гибок, поскольку позволяет администратору выполнять обновления программного обеспечения при условии наличия у новых программ цифровых подписей.

Путь.

Правило, создаваемое на основе указания пути к исполняемому файлу, является самым удобным в использовании, но одновременно и самым "ненадежным".

При создании правила необходимо указать путь к программным файлам. Причем возможно указание как пути к папке (в этом случае правило будет действовать для всех файлов в этой папке и во всех вложенных в нее каталогах), так и к конкретному файлу. Допускается указание UNC-путей и использование в записи масок и переменных. Кроме того, правило допускает указание в качестве переменной пути ветви реестра. Так, переменная

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

ProgramFilesDir%

указывает на папку, в которую по умолчанию выполняется установка программ.

Эти переменные используются, например, при создании правил запуска для тех программ, путь установки которых выбирает пользователь, а система использует при запуске информацию из реестра (программы Microsoft Office и т. д.).

Примечание Переменная реестра записывается следующим образом: %[Registry Hive]\

[Registry Key Name] \ [Value Name] %. При использовании переменных реестра не допускаются сокращения (например, вместо hkey_local_machine - hklm); после переменной (знака %) не может сразу следовать символ \. Кроме того, при указании правила пути реестра можно использовать только значения reg_sz или reg_expand_sz.

Контроль выполнения данного правила совершенно не сказывается на производительности системы, однако у опытного пользователя имеются многочисленные возможности для "обхода" контроля. Во-первых, пользователь может копировать и переименовывать исполняемые файлы программ, чтобы обойти ограничения запрета по конкретному пути. Во-вторых, используя возможности переопределения переменных, можно также обойти наложенные ограничения.

Зона Интернета.

Одно из самых неудачных, на взгляд автора, правил, которое вводит ограничения на запуск программ в зависимости от того, из какой зоны проведена установка. На момент подготовки книги данное правило могло устанавливаться только для msi-пакетов (Windows Installer Packages).

В правиле используется типовой для систем Windows перечень зон безопасности: Интернет, Местная интрасеть, Ограниченные узлы, Надежные узлы, Мой компьютер.

Некоторые особенности политики ограниченного использования программ | Самоучитель системного администратора | Опции настройки применения политик ограниченного использования программ


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31