Разрешения/запреты на запуск конкретных программ могут формироваться на основе следующих критериев.

Примечание В качестве исполняемых файлов в правилах могут указываться не только файлы программ, но и все файлы с расширениями, зарегистрированными для автоматического запуска программ на основе ассоциаций. Этот перечень можно видоизменить при формировании политики ограничений программного обеспечения.

Хэш.

При старте программы проверяется хэш ее программного кода и сравнивается со значением, записанным во время создания правила. В случае совпадения запуск программы разрешается (или запрещается, если правило создается для блокировки), иначе - блокируется (соответственно разрешается).

Данное правило жестко регулирует возможности использования ПО и не разрешает пользователю "собственными силами" обойти это ограничение. Например, запрет на основе хэш-правила не даст использовать программу даже в случае переименования ее исполняемого файла, копирования его в другую папку и т. д.

Недостаток критерия - некоторое замедление каждого запуска программы из-за подсчета ее хэша и сравнения полученного значения с контрольным. Кроме того, в случае обновления версии программного обеспечения администратору придется переопределять данное правило (поскольку хэш запускаемого файла новой версии программы будет отличен от прежнего).

Сертификат.

В этом случае система при попытке запуска программы проверяет наличие у нее цифровой подписи - соответствующего сертификата от доверенного удостоверяющего центра. Так же, как и в случае использования правила контроля хэша, система затрачивает некоторые ресурсы при запуске программы. Однако данный подход более гибок, поскольку позволяет администратору выполнять обновления программного обеспечения при условии наличия у новых программ цифровых подписей.

Путь.

Правило, создаваемое на основе указания пути к исполняемому файлу, является самым удобным в использовании, но одновременно и самым "ненадежным".

При создании правила необходимо указать путь к программным файлам. Причем возможно указание как пути к папке (в этом случае правило будет действовать для всех файлов в этой папке и во всех вложенных в нее каталогах), так и к конкретному файлу. Допускается указание UNC-путей и использование в записи масок и переменных. Кроме того, правило допускает указание в качестве переменной пути ветви реестра. Так, переменная

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

ProgramFilesDir%

указывает на папку, в которую по умолчанию выполняется установка программ.

Эти переменные используются, например, при создании правил запуска для тех программ, путь установки которых выбирает пользователь, а система использует при запуске информацию из реестра (программы Microsoft Office и т. д.).

Примечание Переменная реестра записывается следующим образом: %[Registry Hive]\

[Registry Key Name] \ [Value Name] %. При использовании переменных реестра не допускаются сокращения (например, вместо hkey_local_machine - hklm); после переменной (знака %) не может сразу следовать символ \. Кроме того, при указании правила пути реестра можно использовать только значения reg_sz или reg_expand_sz.

Контроль выполнения данного правила совершенно не сказывается на производительности системы, однако у опытного пользователя имеются многочисленные возможности для "обхода" контроля. Во-первых, пользователь может копировать и переименовывать исполняемые файлы программ, чтобы обойти ограничения запрета по конкретному пути. Во-вторых, используя возможности переопределения переменных, можно также обойти наложенные ограничения.

Зона Интернета.

Одно из самых неудачных, на взгляд автора, правил, которое вводит ограничения на запуск программ в зависимости от того, из какой зоны проведена установка. На момент подготовки книги данное правило могло устанавливаться только для msi-пакетов (Windows Installer Packages).

В правиле используется типовой для систем Windows перечень зон безопасности: Интернет, Местная интрасеть, Ограниченные узлы, Надежные узлы, Мой компьютер.

Некоторые особенности политики ограниченного использования программ | Самоучитель системного администратора | Опции настройки применения политик ограниченного использования программ


Самоучитель системного администратора



Новости за месяц

  • Ноябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс