Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения. Определение исполняемых файлов. Способы применения политик

П рактическая работа: Защита программной среды с помощью политики ограниченного использования программ в Windows

Цель практической работы:

• Изучить политики ограниченного использования программ в Windows;
• Ознакомиться с другими способами ограничения доступа к программам в Windows;
• Научиться управлять политиками ограниченного использования программ в Windows.

Описание политики ограниченного использования программ в Windows

Администраторы могут использовать политику ограничения использования программ для установки разрешений и запрещений на выполнение программ пользователями. Используя эту политику, администратор может предотвратить выполнение нежелательных программ, в том числе и вредоносного программного обеспечения.

Запуск настройки политики ограниченного использования программ

Чтобы создать политику ограниченного использования программ, проделайте следующее:

1. Запустите оснастку «Локальная политика безопасности»:

• Start (Пуск)® Run (Выполнить).

• Наберите secpol.msc и затем нажмите ОК.

1. Найдите в списке политик категорию «Политики ограниченного использования программ».
2. В меню «Действие» выберите команду «Создать политику ограниченного использования программ».

Описание параметров политики ограниченного использования программ

Уровни безопасности по умолчанию

Уровни безопасности по умолчанию определяют, разрешено или запрещено использовать программы при отсутствии явных разрешений или запрещений, задаваемых дополнительными правилами конфигурирования.

Применение уровней безопасности позволяет упростить настройку разрешений и запрещений: по умолчанию настраивается тот уровень безопасности, который применим для большей части программ. Для оставшихся программ другой уровень безопасности настраивается индивидуально в дополнительных правилах.

Существуют следующие уровни безопасности:

• Не разрешено / Запрещено (Disallowed) - если вы установите этот уровень, то никакие программы не будет разрешено использовать. Вы должны создать дополнительные правила, которые разрешат исполнять отдельные программы.
  Использование этого уровня рекомендуется в случае наличия у администратора полного списка разрешённых программ.
• Неограниченный (Unrestricted) - уровень, установленный операционной системой по умолчанию. Если вы установите этот уровень, все программы будут разрешены к исполнению. Вы должны создать дополнительные правила, которые запретят исполнять отдельные программы.
  Использование этого уровня рекомендуется в случае, если администратор не имеет полного списка разрешённых программ, но надо предотвратить исполнение отдельных программ.

• (Windows 7) Обычный пользователь (Basic User) - разрешает выполнение программ без прав администратора, но позволяет обращаться к ресурсам, доступным обычным пользователям.

Установленный уровень безопасности по умолчанию обозначен галочкой.

Уровень безопасности по умолчанию повлияет на все файлы, к которым применяется политика ограниченного использования программ (перечень этих типов файлов задаётся в правиле «Назначенные типы файлов» общих правил конфигурирования).

Уровень безопасности по умолчанию задан операционной системой по умолчанию как «Неограниченный».

При применении уровня безопасности «Не разрешено» следует создать исключения для программ, которые могут быть запущены.

При применении уровня «Неограниченный» имеется возможность создать правила для программ, запуск которых необходимо запретить.

Общие правила конфигурирования

Общие правила конфигурирования определяют, каким образом политика ограничения использования программ применяется на компьютере. Они включают следующие правила:

• Принудительный / применение (Enforcement) -

это правило описывает, к каким файлам применяются политики ограниченного использования программ:

• ко всем файлам, кроме библиотек (установлено по умолчанию),
• ко всем файлам.

Правило также описывает, к каким пользователям применяются политики ограниченного использования программ:

• для всех пользователей (установлено по умолчанию),
• для всех пользователей, кроме локальных администраторов.

Установка уровня безопасности «Не разрешено», применяемая ко всем файлам, может потребовать индивидуальных разрешений на файлы библиотек, которые потребуются разрешённым программам.

Установка уровня безопасности «Не разрешено», применяемая ко всем пользователям, может запретить доступ администраторам к программам.

• Назначенные типы файлов (Designated Files Types) -

правило «Назначенные типы файлов» определяет перечень типов файлов, которые считаются исполняемым кодом, кроме стандартных типов.exe, .dll, .vbs. К этим типам файлов применяются уровни безопасности по умолчанию и общее правило «Принудительный».

• Доверенные издатели (Trusted Providers) -

Правило «Доверенные издатели» применяется, чтобы определить пользователей, которым разрешено выбирать доверенных издателей:

• обычным пользователям (по умолчанию),
• локальным администраторам,
• администраторам предприятия.

Правило «Доверенные издатели» также применяется, чтобы определить, будет ли проводиться проверка сертификата и виды проверки (по умолчанию никакая проверка не проводится):

• проверка самого издателя,
• проверка штампа времени.

Дополнительные правила

Вы можете определять несколько типов дополнительных правил:

• Хеш (Hash).

Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла.

Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.

• Сертификат (Certificate).

Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением.exe или.dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.

• Путь (Path).

Правило для пути позволяет разрешить или запретить выполнение программ, которые расположены в определённой папке (в том числе в сети) или в её подпапке.

Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.

Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.

• Зона сети / зона Интернета (Internet Zone).

Правила для зоны влияют только на пакеты установщика Windows.

Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.

Правило для зоны Интернета позволяет разрешать или запрещать выполнение программ, расположенных в определённых зонах Интернета. Сейчас это правило это применяется только к пакетам Microsoft Windows Installer, которые исполняются из этой зоны.

Это правило не применяется к программам, загруженным с использованием Internet Explorer.

Приоритет дополнительных правил

К файлу программы может применяться несколько правил. Правила применяются в приведенном ниже порядке приоритета. Правила перечислены в порядке убывания приоритета.

• Правило для хеша.
• Правило для сертификата.
• Правило для пути. При конфликте правил для пути приоритет имеет правило с большим ограничением. Ниже приведен набор путей в порядке от высшего приоритета (наибольшее ограничение) к низшему приоритету:
  - диск:\папка1\папка2\имя_файла.расширение
  - диск:\папка1\папка2\*.расширение
  - *.расширение
  - диск:\папка1\папка2\
  - диск:\папка1\
• Правило для зоны Интернета.

Приложение приоритета

Например, если имеется файл с хешем без ограничений, расположенный в папке, для которой задано правило «Не разрешено», файл будет запущен, поскольку правило для хеша имеет приоритет над правилом для пути.

При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением. Например, если имеется правило для пути C:\Windows\ с уровнем безопасности «Не разрешено» и правило для пути %windir% с уровнем «Неограниченный», будет применяться более строгое правило с уровнем безопасности «Не разрешено».

Управление политиками ограниченного использования программ

Политики ограниченного использования программ рекомендуется настраивать в следующем порядке:

• создание политики ограниченного использования программ (в случае, если она ещё не создана);
• настройка уровней безопасности по умолчанию;
• настройка общих правил конфигурирования;
• настройка дополнительных правил конфигурирования.

Другие способы ограничения доступа к программам в Windows XP

Если вы решили защитить компьютер от несанкционированного программного обеспечения, то самым важным действием будет предоставление всем пользователям ограниченных учётных записей. Любое приложение, которое попытается заменить защищаемые системные файлы или манипулировать параметрами реестра, не связанное с личным профилем пользователя, не сможет завершить установку. Обычно пользователи с ограниченными учётными записями будут иметь трудности с установкой любой программы.

Кроме того, вы можете применить следующие методики:

• Удалите ярлыки программ из папок %AllUsersProfile% и %AllUsersProfile%\StartMenu.
• Для программ, которые устанавливаются в папку ProgramFiles (как большинство Windows-приложений), измените разрешения для вложенных папок, содержащих программы, доступ к которым желательно ограничить. Удалите группы Everyone (Все) и Users (Пользователи) из списка доступных приложений, оставив только группы администраторов и опытных пользователей (Windows 2000 или XP), а также любых пользователей, которые должны иметь доступ к этим программам.
• Предотвратите доступ Пользователей к окну командной строки, из которого они легко могут запустить программу. Найдите файлы Cmd.exe и Command.com, оба файла находятся в папке %SystemRoot%\System32. Вы можете настроить разрешения для обоих файлов, чтобы их имели право исполнять только администраторы; если ваши пользователи не слишком хитроумны, можно просто переименовать эти файлы.

Практические задания

При выполнении данной работы одна часть действий выполняется под учётной записью администратора (пользователь сadm), а другая - под учётной записью пользователя (создайте учетную запись). Название учётной записи, под которой выполняются действия, указываются словами АДМИНИСТРАТОР или ПОЛЬЗОВАТЕЛЬ, предваряющими описание задания.

Задание 1

Создание политики ограниченного использования программ

Прежде всего, создадим политики ограниченного использования программ. Эта операция выполняется один раз, при первом обращении к настройке этих политик.

АДМИНИСТРАТОР

Откройте консоль Локальные политики безопасности.

В дереве консоли щёлкните компонент Политики ограниченного использования программ.

Если вы открываете эту консоль первый раз, то политики ограниченного использования программ не определены - об этом говорит сообщение в правой части окна консоли. Следуйте указаниям для создания политик (Перейдите по ссылке «Создать новые политики»).

При дальнейших обращениях к политикам ограниченного использования программ этот шаг повторять не потребуется.

Не закрывайте консоль Локальные политики безопасности для выполнения следующих заданий.

Задание 2

Конфигурирование уровня безопасности по умолчанию Неограниченный

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент Уровни безопасности.

В правой части консоли видны 2 уровня безопасности по умолчанию. Установленный уровень отмечен чёрным кружком с галочкой.

Установите уровень безопасности по умолчанию Неограниченный.

Установить уровень безопасности по умолчанию можно двумя способами:

Способ 1: Вызовите контекстное меню того уровня, который вы хотите использовать по умолчанию, и выберите пункт По умолчанию (этот пункт отсутствует в контекстном меню установленного уровня безопасности).

Способ 2: Дважды щёлкните тот уровень безопасности, который вы хотите использовать по умолчанию, и нажмите кнопку По умолчанию (эта кнопка не функционирует для установленного уровня безопасности).

Задание 3

Конфигурирование общего правила Принудительный

АДМИНИСТРАТОР

Дважды щёлкните компонент Принудительный (или выберите пункт контекстного меню Свойства компонента Принудительный) и примените политики ограниченного использования программ ко всем файлам, кроме библиотек и для всех пользователей, кроме локальных администраторов.

Конфигурирование общего правила Назначенные типы файлов

АДМИНИСТРАТОР

Дважды щёлкните компонент Назначенные типы файлов (или выберите пункт контекстного меню Свойства компонента Назначенные типы файлов) и просмотрите типы файлов, которые определены как исполняемые. Ознакомьтесь с механизмом добавления и удаления типа файлов, который будет определяться как исполняемый.

Не вносите фактических изменений в этот список.

Конфигурирование общего правила Доверенные издатели

АДМИНИСТРАТОР

Дважды щёлкните компонент Доверенные издатели (или выберите пункт контекстного меню Свойства компонента Доверенные издатели) и просмотрите, каким пользователям разрешено выбирать доверенных издателей (убедитесь, что разрешено обычным пользователям) и какие выбраны виды проверок сертификатов (убедитесь, что не выбрано никаких видов проверок).

Задание 4

Конфигурирование дополнительного правила Для пути

ПОЛЬЗОВАТЕЛЬ

Выполните подготовительные шаги: скопируйте файл notepad.exe из папки C:/Windows/system32 на рабочий стол пользователя и переименуйте его в notepad-1.exe.

АДМИНИСТРАТОР

В правой части консоли просмотрите, каким ресурсам, какой тип дополнительных правил и какой уровень безопасности уже настроен.

Добавьте правило Для пути:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт Создать правило для пути. В появившемся окне нажмите кнопку Обзор и выберите путь к файлу notepad-1.exe, расположенному на рабочем столе пользователя. Выберите уровень безопасности Не разрешено. Нажмите кнопку ОК.

ПОЛЬЗОВАТЕЛЬ

Убедитесь, что программа Блокнот запускается (Пуск ® Все программы ® Стандартные ® Блокнот).

Убедитесь, что файл программы notepad-1.exe, расположенный на рабочем столе пользователя, не запускается. Объясните, почему так происходит.

Скопируйте файл программы notepad-1.exe с рабочего стола в папку Мои документы.

Запустите файл программы notepad-1.exe из папки Мои документы. Убедитесь, что файл notepad-1.exe из папки Мои документы запускается. Объясните, почему так происходит.

Вопрос: Насколько надёжно перекрывает доступ к программам правило «Для пути»? Какие способы устранения недостатков вы можете предложить.

Задание 5

Конфигурирование дополнительного правила Для хеша

ПОЛЬЗОВАТЕЛЬ

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент Дополнительные правила.

Удалите правило «Для пути», созданное в предыдущем задании.

Добавьте правило «Для хеша»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для хеша».

Выберите для хеширования файл notepad-1.exe на рабочем столе пользователя, нажав кнопку Обзор. После формирования хеша в поле хешируемый файл будет записан хеш файла, а в поле Информация файла - описание файла.

Если вам известен хеш файла программы, то вы можете ввести его в поле Хешируемый файл.

Выберите в поле Безопасность параметр Не разрешено. Нажмите ОК.

ПОЛЬЗОВАТЕЛЬ

Запустите файл notepad-1.exe. Объясните, почему файл не запускается.

Запустите программу Блокнот. Объясните, почему программа не запускается.

Скопируйте файл notepad-1.exe в папку Мои документы. Запустите файл notepad-1.exe из папки Мои документы. Объясните, почему файл не запускается.

Вопрос: Сформулируйте отличия правила «для хеша» от правила «для пути». Какое из этих двух правил более эффективно? Какие способы преодоления правила «для хеша» вы можете предложить?

Задание 6

Конфигурирование дополнительного правила Для сертификата

ПОЛЬЗОВАТЕЛЬ

Удалите файл notepad-1.exe из папки Мои документы.

АДМИНИСТРАТОР

Раскройте компонент Политики ограниченного использования программ и выберите компонент «Дополнительные правила».

Удалите правило «Для хеша», созданное в предыдущем задании.

Найдите с помощью Проводника файлы с расширением.cer (файлы сертификата) и запишите путь к одному из них.

Добавьте правило «Для сертификата»:

Щёлкните правой кнопкой мыши по правой части консоли и выберите в контекстном меню пункт «Создать правило для сертификата». Нажав кнопку Обзор, выберите файл сертификата, путь к которому вы записали.

Выберите уровень безопасности и нажмите ОК.

Убедитесь, что в списке дополнительных правил добавилась новая строка.

Вопрос: Объясните, чем отличается запись правила «для сертификата от записи правила «для пути»?

Удалите сделанную вами запись правила «для сертификата».

Контрольные задания и вопросы

1. Разработайте политики ограниченного использования программ для выполнения следующих требований:

• обычный пользователь должен работать с приложениями Word и Excel;

• администратор должен быть уверен, что программы Word и Excel, которые он установил, не были изменены.

1. Каков приоритет политик ограниченного использования программ?

1. Чем отличаются правила «для пути» от правил «для хеша»? Какое из них более строгое? Какие недостатки имеет правило «для хеша»?
2. Каков рекомендуемый порядок настройки политик ограниченного использования программ. Чем может быть обусловлен выбор уровня безопасности по умолчанию?

МОСКВА, 20 декабря. /ТАСС/. Пресс-секретарь президента РФ Дмитрий Песков назвал использование смартфона добровольным эксгибиционизмом. В том числе из-за этой чрезмерной открытости глава государства Владимир Путин не пользуется мобильным телефоном. Об этом представитель Кремля заявил в интервью телеканалу "Россия-24 ".

Отвечая на вопрос, есть ли у главы государства смартфон, Песков сказал: "Насколько я знаю, нет. У него телефона нет".

"Вы не забывайте, что иметь смартфон - это такой добровольный эксгибиционизм, полная прозрачность. Вы заведомо, беря в руки смартфон, ставите галочку, что я готов выставлять все на всеобщий показ, - отметил пресс- секретарь. - К сожалению, так устроен мир, и нужно отдавать себе в этом отчет. Соответственно, это не должно быть у президента, тем более такой страны, как Россия. И у такого президента, как Путин".

По его словам, "старые добрые телефоны закрытой правительственной связи все смартфоны переживут".

Использование распечаток

Представитель Кремля рассказал также, что при подготовке информационных материалов для президента по-прежнему используются папки с распечатками. "Папки с распечатками существуют, существуют дайджесты, которые делаются на бумаге, телевизионные дайджесты, которые делаются на электронных носителях. Но и сам президент может в компьютере посмотреть, интернет, традиционно, и телевизор", - добавил он.

Отвечая на вопрос, советуется ли он с президентом перед тем, как прокомментировать для СМИ то или иное громкое заявление иностранного лидера, Песков пояснил, что "если нужно, всегда есть возможность спросить позицию президента".

В качестве примера журналист привела недавнее заявление президента Украины, который назвал войной инцидент в Керченском проливе. Песков отметил на это, что "очень много ситуаций, когда позиция России последовательна, хорошо известна".

"Подобные заявления президента Украины, в них нет ничего нового. Это была очевидная попытка провокации, поэтому новизны в этом нет. Добавилась только палитра предэлекторальная на Украине, которая лишь усилила провокационные элементы в риторике руководства Украины", - добавил пресс-секретарь.

Для ограничения программ, разрешенных для запуска на Windows Server 2008 R2 , используются групповые политики.

Запускаем файл gpedit.msc . Переходим в раздел "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Политики ограниченного использования программ". По умолчанию этот раздел пуст. Долбасим правую кнопу мыши и в меню выбираем "Создать политику ограниченного использования программ".

Политика для ограничения запуска программ создана. Остались детали: ввести список разрешенных программ и нажать кнопку "запретить все".

Редактируем назначенные типы файлов.


Удаляем тип LNK, чтобы можно было запускать ярлычки разрешенных программ. Добавляем типы HTM, HTML, JS. Нечего эти файлы запускать на сервере.

Для настройки "Применение" указываем, что правила должны действовать для всех пользователей, кроме локальных администраторов. В этом случае администратор сможет запустить любую программу, если запустит ее через меню "Запуск от имени администратора".

Переходим к группе "Дополнительные правила". Здесь необходимо ввести список разрешенных для запуска программ. По умолчанию в этом разделе есть две записи, разрешающие запуск служебных программ и программ из Programm Files. Нам нужны жесткие ограничения, поэтому удаляем эти записи и добавляем каждую программу по-отдельности.

При создании нового правила для пути необходимо указать полный путь к разрешенной программе и установить уровень безопасности "Неограниченный".

Необходимо учитывать, для пользователей, работающих с терминальным сервером Windows Server 2008 R2 должны быть доступны для запуска следующие программы:

C:\Windows\explorer.exe
C:\Windows\System32\control.exe
C:\Windows\System32\csrss.exe
C:\Windows\System32\dllhost.exe
C:\Windows\System32\dwm.exe
C:\Windows\System32\logonui.exe
C:\Windows\System32\rdpclip.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\taskhost.exe
C:\Windows\System32\TSTheme.exe
C:\Windows\System32\userinit.exe
C:\Windows\System32\taskmgr.exe (диспетчер задач)
C:\Windows\splwow64.exe
C:\Windows\System32\conhost.exe
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\SysWOW64\fixmapi.exe (функция "Отправить - Адресат" меню Проводника)

Заключительный шаг: включить запрет на запуск всех программ, кроме разрешенных. В группе "Уровни безопасности" устанавливаем по умолчанию уровень "Запрещено".

После этих изменений администратор не сможет запускать файл gpedit.msc для редактирования групповых политик. Обходной путь: запустить консоль mmc.exe и вручную выбрать на редактирование нужную оснастку.

В любой организации есть юзвери, которые пытаются использовать ресурсы Сети в
своих целях. В результате, несмотря на установленные антивирусы и брандмауэры,
клиентские системы начинают кишить вирусами, троянами, малварью и левыми
программами, периодически вызывающими сбои в работе Windows. Да и начальство
требует убрать лишнее с компов (игры, чаты, обучалки), контролировать
использование трафика и установить запрет на подключение флешек. Естественно,
хлопоты по разруливанию ситуаций ложатся на плечи админа.

Групповые политики

Групповые политики (GPO) — удобный и функциональный инструмент, позволяющий
управлять настройками безопасности Windows. С его помощью можно настроить
достаточно много параметров ОС. К сожалению, большая их часть скудно описана в
литературе, и начинающие админы часто даже не знают о том, какой потенциал у них
в руках. К тому же, групповые политики постоянно развиваются, и в новых версиях
ОС (а также сервис-паках) GPO получают новые функции. Узнать различия и
доступные параметры довольно просто, - скачай с сайта Microsoft cписок "Group
Policy Settings Reference" для используемой операционки.

В Win2k8 управление GPO осуществляется при помощи консоли Group Policy
Management Console (GPMC.msc) 2.0. Установки безопасности производятся в ветке
"Конфигурация компьютера — Конфигурация Windows — Параметры безопасности" (Computer
Configuration — Windows Settings — Security Settings). Здесь довольно много
настроек, при помощи которых можно определить политики паролей, задать
блокировки учетной записи, назначить права доступа, установить порядок аудита,
политики реестра, файловой системы, NAP, IP-безопасности и многое другое.
Разберем самые интересные из них.

Выбираем в консоли группу политик "Назначение прав пользователя". Политика
"Архивация файлов и каталогов" позволяет игнорировать разрешения файлов при
операциях резервного копирования. Следует четко определиться, кто будет входить
в такую группу, так как права на создание резервных копий, предоставленные кому
попало, могут привести к утечке корпоративных данных. Политика "Загрузка и
выгрузка драйверов устройств" (Load and Unload Device) позволяет устанавливать
драйвера после настройки системы; здесь лучше оставить в списке только
администраторов, чтобы пользователи не могли самостоятельно подключать сторонние
девайсы. Разрешив "Отладку программ", мы предоставим пользователю возможность
подключать отладчик к любому процессу или ядру, а ты сам понимаешь, какой это
риск. По умолчанию сюда входит только группа администраторов, но в организациях,
занимающихся разработкой ПО, хочешь не хочешь, а такое право давать придется.
Соответственно, нужно отслеживать легитимность его применения.

Особое внимание удели политикам в группе "Параметры безопасности", где много
полезных пунктов. Например, мы можем: отключить возможность анонимного доступа к
сетевым ресурсам, переименовать учетную запись гостя (если такая используется и
необходима). В политиках, начинающихся с "Устройства", одним щелчком мышки можно
заблокировать возможность подключения и форматирования сменных устройств,
дискет, компакт дисков и внешних хардов. Впервые политики блокировки сменных
устройств появились в Vista и Win2k8. Ранее для этих целей приходилось
использовать программы сторонних разработчиков вроде DeviceLock. В этой же
вкладке разрешаем или запрещаем подключение принтера выбранной группе
пользователей.

Политики ограниченного использования программ

Одной из самых важных в контексте статьи будет группа объектов GPO "Политики
ограниченного использования программ" (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.

По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
"Политики ограниченного использования программ" (в "Конфигурация компьютера" и
"Конфигурация пользователя" есть свои пункты) и выбрать в контекстном меню
"Создать политику ограниченного использования программ" (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
"Неограниченный" (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку "Уровни
безопасности", где находятся пункты активации еще двух политик – "Запрещено" (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика "Обычный пользователь" (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.

В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
"Запрещено" и в появившемся окне нажимаем кнопку "Установить по умолчанию" (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень -
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку "Дополнительные правила".
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в "Неограниченный". То есть после
активации политики "Запрещено" системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.

Если щелкнуть по ярлыку "Политики ограниченного использования программ",
получим доступ еще к трем настройкам. Выбор политики "Применение" (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.

С помощью политики "Назначенные типы файлов" определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
"Доверенные издатели" задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.

AppLocker

За несколько лет существования технология SRP так и не смогла завоевать
популярность, ведь, как ты мог убедиться из предыдущего раздела, точно настроить
политики — не такая уж и простая задача. Максимум, на что обычно хватало админа,
- запрет отдельных прог и игрушек. В Win7/Win2k8R2 было представлено логическое
продолжение SRP — AppLocker. Впрочем, сам SRP никуда не делся, оставлен в целях
совместимости. В отличие от SRP, Applocker работает не в пользовательском
окружении, а в системном: устанавливаемые политики более эффективны.

Настройки AppLocker находятся во вкладке Security Settings (secpol.msc) —
Application Сontrol Policies. Если раскрыть дерево, то увидим три подпункта, в
которых настраиваются политики в соответствии с типами файлов:

• Executable Rules — правила для файлов с расширением exe, com и src;
• Windows Installer Rules — правила для msi и msp файлов;
• Script Rules — правила для bat, cmd, js, ps1 и vbs скриптов.

По умолчанию используется политика Default, работа которой основывается на
установке GPO. Но для каждого типа правил можно выбрать еще одну из двух
политик:

• Enforced - политики активны, и все, что не описано в правилах,
  блокируется;
• Audit Only - режим аудита, все события, для которых созданы правила,
  вместо блокировки заносятся в журнал. Полезен при знакомстве и
  первоначальной отладке работы AppLocker.

Для активации нужного варианта переходим во вкладку "Enforcement" окна
свойств AppLocker. Перейдя в "Advanced" и установив флажок "Enable DLL rule
collection", можно активировать проверку DLL. Как и в случае с SRP, проверка
потребует дополнительных системных ресурсов. По умолчанию правил нет, поэтому
ограничения на запуск программ не накладываются (кроме прав NTFS, естественно),
и в отличие от SRP, рулесеты нужно создать самому. Этот процесс в AppLocker
выглядит несколько проще. Контекстное меню предлагает для этого три варианта:

• Create New Rule — при помощи визарда создаются правила для издателя (Publisher),
  пути (Path, каталог или файл) и хеша (File Hash);
• Automatically generate Rules — здесь просто указываем на каталог, в
  котором находятся установленные проги, и мастер автоматически создает
  правила (Path/Hash) для всех исполняемых файлов внутри;
• Create Default Rules — создается набор правил по умолчанию.

При выборе последнего пункта будут созданы разрешающие правила для запуска
приложений из каталогов Windows (%WINDIR%) и Program Files (%PROGRAMFILES%);
пользователи, входящие в группу локальных администраторов (BUILTIN\Administrator),
ограничений по запуску не имеют. После того как первые правила в категории
сформированы и выбран вариант Enforced, запуск приложений возможен только в том
случае, если он разрешен политикой. В последующем корректируем имеющиеся правила
и создаем новые. Чтобы отредактировать правило, вызываем его свойства и меняем:
учетные записи и группы, которые попадают под политику, путь к каталогу или
файлу, действие (Action) блокировать или разрешить. Использование учетных
записей и групп в правилах AppLocker группы достаточно удобно, так как можно
создать группу пользователей, которым разрешен запуск офисных приложений, группу
"интернетчиков" и так далее, и затем включать в них отдельных пользователей.

Настройки во вкладке Exceptions позволяют задать исключения для отдельных
объектов. Нажав кнопку Add, указываем отдельный файл, хеш или издателя, которые
не будут подпадать под действие редактируемой политики. Так можно достаточно
тонко указать разрешения для большого количества файлов.

Да, и как ты, наверное, заметил, возможность настройки правила для зоны сети
в AppLocker отсутствует.

После доводки Default Rules приступаем к созданию индивидуальных политик. Для
чего выбором Create New Rule запускаем мастер и в пошаговом режиме производим
нужные настройки. Первое окно пропускаем, во втором задаем действие Allow/Deny и
указываем пользователя или группу, для которых будет действовать политика. Далее
выбираем тип политики Publisher/Path/File Hash и, в зависимости от
произведенного выбора, отмечаем объект. При определении пути AppLocker
использует переменные. То есть, если указать в Проводнике C:\soft, путь будет
преобразован к виду %OSDrive%\soft\*. Кроме того, возможны такие переменные: %WINDIR%,
%SYSTEM32%, %PROGRAMFILES%, %REMOVABLE% (CD/DVD) и %HOT% (USB-устройства).
Причем особо отмечается, что это внутренние переменные AppLocker, а не
системные, хотя некоторые названия совпадают.

Политики созданы, но чтобы они применялись, нужно запустить службу
Application Identity (AppIDSvc). Делается это через консоль Services (services.msc)
или в редакторе групповых политик (Security Settings -> System Services). После
изменений обновляем политики:

> gpupdate /force

Еще один метод контроля за установленным ПО и подключенными девайсами —
использование специальных программ инвентаризации (например, SCCM, о котором
говорилось в статьях " " и " ", опубликованных соответственно в августовском и
сентябрьском номерах ][ за 2009 год). Также не забываем о службе "Управление
приложениями" (AppMgmt), отключив которую, мы блокируем возможность установки
ПО.

Борьба с NAT’ом

С "халявным" интернетом на работе у многих пользователей появляется соблазн
использовать его в своих целях. Конечно, времена, когда к системному блоку
подключался модем и через него выходили в интернет, практически канули в лету
(для некоторых провинциальных городов это все еще актуально), но менеджеры порой
берут работу на дом, а доступ к нужной инфе пытаются получить посредством
диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут
развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает
любителей, и остается удивляться, как народ на выдумки горазд. Кроме
сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь
через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза
(+ может быть похищена конфиденциальная информация).

Методов обнаружения работы клиентов из-за NAT предостаточно — контроль TTL,
анализ идентификатора IP-пакета и диапазона TCP/UDP портов и так далее
(подробнее о методах обнаружения NAT читай в статье Криса " " в ][ #111). Мы же разберем практическую реализацию.
Инструментом номер один здесь является
Wireshark —
мультиплатформенный (Windows, Linux, xBSD, Solaris, Mac OS X и т.д.) снифер и
анализатор в одном флаконе. Возможность использования фильтров и сортировки
делает эту программу весьма удобной для решения многих задач: контроль
определенного типа трафика (аська, сетевые игры, проги для удаленного доступа и
так далее), поиск проблем в сети и анализ безопасности.

Для определения работы из-за NAT нас интересует возможность контроля TTL
(время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое
значение TTL, например, все версии Windows — 128, Linux — 64 (максимально 255),
а при прохождении пакета на каждом роутере отнимается единица. То есть, если
получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о
наличии NAT (виртуальные машины также работают из-за NAT). Открываем список
фильтров и в "IP only" устанавливаем значение поля ip.ttl в отлов всех пакетов,
TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа,
поэтому можно захватить трафик с минимальными ограничениями, а затем
просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.

Кроме графического интерфейса, возможен запуск Wireshark в командой строке.
Смотрим список сетевых интерфейсов по команде "tshark -D", а затем вылавливаем
значение поля TTL в проходящих пакетах.

> tshark -i 1 -e ip.ttl -Tfields

Поддерживаются tcpdump-подобные правила, поэтому можно просто считать
значения нужного поля IP (ip < 64, поле TTL находится в 8-м байте
IP-заголовка).

Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm),
совмещающий в себе функции файрвола и монитора трафика, с возможностью
построения различного рода графиков. Система фильтров позволяет задать любое
правило и затем отслеживать все пакеты, которые под него попадают.

К этому списку можно добавить практически все файрволы, что встретишь в
корпоративной сети: Kerio WinRoute (подробнее о нем читай в статье " ", опубликованной в сентябрьском номере ][ за 2007 год),
UserGate Proxy & Firewall (" ", июльский ][ за 2009 год), ISA Server/Forefront TMG (" ", ноябрьский ][ за 2009 год) и другие, которые также
имеют все необходимое для анализа и блокировки трафика.

Кроме того, не забываем производить периодическое сканирование сети при
помощи Nmap и сравнивать
результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений
в списке открытых портов производим расследование. Это позволит обнаружить
лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так
далее.

Обнаруживаем сниферы

В любой LAN найдется парочка умников, которые захотят знать больше, чем им
положено. Любопытный кекс запускает снифер в надежде поймать пароль, если не
админа, то любого другого пользователя, или почитать инфу, ему не
предназначенную. Для перехвата всех пакетов сетевая карта переводится в
неразборчивый режим (promiscuous mode), обнаружить который можно как локально,
так и удаленно. В первом случае регистрируемся в системе и просматриваем
настройки интерфейсов, во втором — актуальны два способа:

• мониторинг ресурсов на всех хостах сети — при переводе NIC в promiscuous
  mode возрастает нагрузка, так как ядру приходится обрабатывать большее
  количество информации, быстро заполняется место на харде;
• ошибки в реализации — сетевой интерфейс должен "забирать" только свои
  пакеты; так и настроены ОС, но поскольку теперь ядро получает инфу обо всех
  пакетах, можно попробовать послать ARP-пакет с правильным IP или именем, но
  неправильным МАС-адресом.

В последнем случае система может ответить на неправильный пакет. Добавляем
заведомо неверные данные в ARP таблицу и пингуем "подозрительный" хост:

> arp -s hackerhost 00:11:22:33:44:55
> ping hackerhost

Если ответ получен, значит, с большой долей вероятности можно сказать, что
узел находится в режиме прослушивания. Не забываем удалить неправильную запись
после проверки:

> arp -d hackerhost

Удобнее для выявления нарушителей использовать специальные утилиты. Например,
proDETECT ,
которая, правда, уже несколько лет не обновлялась, поэтому грешит багами.
Настройки позволяют задать список узлов и указать периодичность их проверки.
Отчет отправляется на e-mail.

Как показывает практика, чем меньше пользователей имеют доступ к конкретному компьютеру, тем дольше система остается на нем работоспособной и тем больше вероятность, что папки и файлы окажутся в целости и сохранности. Лучше всего, если у компьютера только один пользователь. Увы, в действительности так бывает далеко не всегда: на работе приходится пускать за свой компьютер других сотрудников, дома довольно часто один и тот же компьютер используется всеми членами семьи, а в публичных местах (в частности, в учебных заведениях и компьютерных клубах) число пользователей компьютера вообще может оказаться очень большим.

О необходимости ограничения доступа

Вполне понятно, что обычно ни коллеги, ни домочадцы не желают нанести вреда вашему компьютеру, но если они относятся к категории начинающих пользователей, то проблем не избежать. Да и подрастающее поколение в учебных заведениях обычно не ставит перед собой цели вывести компьютер из строя и уничтожить хранящуюся на нем информацию - просто активно экспериментирует, не задумываясь о том, к каким последствиям могут привести те или иные действия.

В итоге на компьютерах неизбежно возникают те или иные проблемы в работе отдельных приложений либо операционной системы. Это неудивительно, ведь достаточно случайно (просто по неосторожности или в ходе эксперимента) удалить, например, драйвер монитора - и изображение на экране станет не столь привлекательным, удалить принтер - и печать документов окажется невозможной, изменить сетевые настройки - и компьютер перестанет работать в локальной сети и т.д. И это еще не самый худший вариант - случайное удаление ряда системных папок и файлов может привести к полной неработоспособности операционной системы, так что ее придется переустанавливать. А уничтожение важных рабочих документов может иметь еще более печальные последствия - не исключено, что восстановить их в полном объеме не удастся и часть работы (а то и всю ее целиком) придется выполнять заново. Кроме того, нельзя сбрасывать со счетов и то, что если ваши личные либо корпоративные материалы представляют какую-либо коммерческую ценность, ими могут захотеть воспользоваться злоумышленники.

Таким образом, вопрос ограничения доступа к компьютеру, его отдельным устройствам, а также хранящимся на нем данным в той или иной мере актуален для всех компьютерных пользователей без исключения. Просто для одних (администраторов, преподавателей в компьютерных классах, имеющих детей домашних пользователей) на первый план выходят задачи блокирования доступа к настройкам операционной системы и защиты файлов и папок операционной системы и установленных приложений, а для других (сюда можно отнести администраторов, специалистов отделов компьютерной безопасности и преподавателей, которые в нашей стране наряду с преподавательской деятельностью часто также вынуждены обеспечивать работоспособность находящихся в их ведении компьютеров) важнее блокирование доступа к различным устройствам (USB, CD/DVD, FireWire и др.). Причин необходимости блокирования доступа к устройствам три: во-первых, именно на таких устройствах инсайдеры нередко выносят из компаний конфиденциальную информацию; во-вторых, посредством этих устройств в компьютер часто попадают вирусы и троянские программы; в-третьих, со сменных носителей устанавливаются разнообразные программы, что желательно предотвратить - в противном случае на компьютер, например в учебном заведении, уже через неделю будет установлено такое количество игрушек, что для других приложений просто не останется места.

Многих офисных сотрудников интересует полное блокирование доступа к включенному компьютеру в отсутствие законного пользователя. Необходимость подобной защиты в офисе весьма актуальна, ведь даже при наличии собственного компьютера пользователь не может находиться рядом с ним постоянно и нередки ситуации, когда включенный компьютер оказывается без присмотра, чем могут воспользоваться заинтересованные в ваших материалах другие сотрудники.

Еще одну группу пользователей (к ней относятся все офисные служащие и домашние пользователи) волнует защита персональных данных для предотвращения их порчи, удаления либо утечки. Проблема защиты персональных папок и файлов неизбежно возникает, когда за компьютером работает несколько человек. Это может быть и дома, когда нужно оградить других членов семьи (например, ребенка) от непредназначенной для них информации, и на работе, где даже при наличии у каждого пользователя своего компьютера возможны ситуации, когда другому сотруднику потребуется выполнить за вашим компьютером какие-то операции. В обоих случаях незачем демонстрировать посторонним свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно». Все гораздо проще: никто не любит вмешательства посторонних в свои дела. Кроме того, заблокировав доступ к своим папкам и файлам, можно не переживать, что с ними что-то случится по вине другого (недостаточно подготовленного) пользователя либо ими незаконно воспользуются, что, к сожалению, вполне возможно, если материалы представляют коммерческую ценность.

В общем вопрос разумного ограничения доступа весьма сложен и многогранен, и без подходящих приложений решить его невозможно. Таким приложениям и посвящена данная статья.

Программы для ограничения доступа

Ассортимент предлагаемых на рынке приложений для ограничения доступа достаточно широк и охватывает разноплановые программные продукты. Одни из них блокируют доступ к настройкам операционной системы, другие - позволяют контролировать доступ к разнообразным устройствам, третьи - полностью блокируют компьютер в отсутствии пользователя, четвертые - обеспечивают скрытие персональных данных. Нередко указанные возможности сочетаются в той или иной комбинации, что вполне понятно, ведь многим пользователям для решения стоящих перед ними задач требуется ограничить доступ сразу по нескольким направлениям.

Блокирование доступа к настройкам операционной системы и системным данным

Встроенные средства Windows позволяют вводить некоторые ограничения на доступ пользователей к настройкам операционной системы и системным данным путем управления локальной политикой безопасности (Панель управления=>Администрирование=>Локальная политика безопасности). В частности, можно запретить изменение пароля учетной записи и установку драйверов принтера, ограничить список допустимых для использования приложений и т.п., однако перечень ограничиваемых параметров невелик.

В то же время на практике для обеспечения стабильной работы системы довольно часто требуется больше ограничивать возможности пользователей, что можно сделать уже только с помощью узкоспециализированных утилит, предназначенных для управления доступом к компьютеру. В качестве примера мы рассмотрим программы Security Administrator, WinLock, Deskman и My Simple Desktop. Наибольший интерес из них представляет утилита Security Administrator, позволяющая ограничивать доступ ко всем важным настройкам системы и ориентированная на системных администраторов. Наименьшая функциональность у программы My Simple Desktop, зато она бесплатна для персонального применения и имеет вполне достаточные для части домашних пользователей возможности, да и освоить ее можно в считаные секунды.

Security Administrator 12.0

Разработчик : Getfreefile

Размер дистрибутива : 1,85 Мбайт

Работа под управлением : Windows 9x/Me/NT 4/2000/XP/2003/Vista

Способ распространения http://www.softheap.com/download/secagent.zip)

Цена : 69 долл.

Security Administrator - профессиональное решение для управления доступом к компьютеру, позволяющее ограничить доступ к компьютеру и всем его важным настройкам (рис. 1) как в целом, так и для отдельных пользователей. Возможно также полное блокирование включенного ПК при отсутствии пользователя. Помимо установки ограничений утилита может применяться для контроля работы пользователей на компьютере, поскольку ведет статистику использования локальной сети, Интернета и т.д.

Рис. 1. Ограничение доступа к системным настройкам и скрытие дисков
в Security Administrator

Данное решение пригодится для установки широкого спектра ограничений доступа. С его помощью несложно ограничить доступ к настройкам рабочего стола (запретить изменение свойств дисплея, скрыть определенные иконки и др.) и отключить некоторые пункты меню «Пуск», скрыть панель задач (всю либо только отдельные элементы). А также запретить установку/удаление приложений и ограничить возможности пользователей при работе в Интернете: запретить изменение параметров Internet Explorer, скачивание файлов, доступ к Интернету из приложений и т.д. Предусмотрены и широкие возможности для защиты критических настроек системы от изменений - например можно запретить редактирование системного реестра, активирование режима DOS, инсталляцию новых драйверов, добавление/удаление принтеров, копирование/перемещение файлов в системных папках и удаление файлов и папок из папки «Мой компьютер». А также скрыть в меню «Пуск» панель управления, принтеры, сетевые подключения и команду «Выполнить». При необходимости панель управления можно скрывать не полностью, а частично, спрятав наиболее критичные с точки зрения несанкционированного изменения элементы, такие как «Система», «Свойства экрана», «Сеть», «Пароли» и «Принтеры». Столь же несложно скрыть локальные, сетевые и USB-диски, запретить прожиг и автопроигрывание компакт-дисков, блокировать использование горячих клавиш Windows и запуск конкретных приложений, а также скрыть указанные папки - данные папки станут невидимыми в папке «Мой компьютер», проводнике и диалоговых окнах Open/Save Windows-приложений.

WinLock 5.0

Разработчик : Crystal Office Systems

Размер дистрибутива : 2,65 Мбайт

Работа под управлением : Windows 95/98/Me/NT 4.0/2000/XP/Vista

Способ распространения : shareware (30-дневная демо-версия - http://www.crystaloffice.com/winlock.exe)

Цена : WinLock - 21,95 долл.; WinLock Professional - 31,95 долл.

WinLock - удобное решение для ограничения доступа к важным системным ресурсам (рис. 2) и пользовательским данным, в том числе в удаленном режиме. Программа представлена в двух версиях: базовой WinLock и расширенной WinLock Professional (возможности базовой версии не позволяют ограничивать доступ к веб-ресурсам и использовать шифрование).

Рис. 2. Ограничение доступа к системным настройкам и скрытие дисков
в WinLock

С помощью данного решения можно запретить доступ к системному реестру, скрыть в меню «Пуск» команды доступа к панели управления, принтерам и сетевым подключениям и полностью заблокировать доступ к соответствующим системным папкам и к некоторым другим папкам («Мой компьютер», «Мои документы», корзине и др.). А также установить запрет на блокирование компьютера и сделать невозможным изменение настроек панели задач, параметров дисплея, сетевых настроек, добавление/удаление программ из меню «Пуск» и переименование иконок на рабочем столе. Столь же просто установить запреты на активирование режима DOS и загрузку Windows в безопасном режиме и заблокировать горячие клавиши Windows (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc и т.д.). При желании можно даже ограничить возможности управления окнами (например, запретить изменение их размеров и перемещение). Имеется в программе и инструментарий для блокирования доступа к сменным носителям (CD/DVD-приводам, USB-устройствам и др.) и скрытия отображения определенных дисков в папке «Мой компьютер» и проводнике. Можно блокировать запуск конкретных приложений (download-менеджеров, игр и т.д.) и запретить доступ к определенным файлам и папкам (первые нельзя будет открыть для просмотра или редактирования, а вторые - открыть, переименовать или удалить). А также предотвратить доступ к сомнительным веб-ресурсам (на базе белого списка разрешенных сайтов и черного списка запрещенных ключевых слов) и установить ограничения на время использования компьютера конкретными пользователями.

Deskman 8.1

Разработчик : Anfibia Software

Размер дистрибутива : 1,03 Мбайт

Работа под управлением : Windows 2000/2003/XP/Vista

Способ распространения : shareware (30-дневная демо-версия - http://www.anfibia-soft.com/download/deskmansetup.exe)

Цена : персональная лицензия - 25 евро; бизнес-лицензия - 35 евро

Deskman - простой инструмент для регулирования доступа к компьютеру и его настройкам (рис. 3), позволяющий полностью блокировать ПК (включая клавиатуру, мышь и рабочий стол) либо ограничивать доступ к тем или иным его функциям (для разных пользователей возможны индивидуальные ограничения).

Рис. 3. Настройка ограничений в Deskman

Воспользовавшись данным решением, можно ограничить доступ к настройкам рабочего стола (например, запретить изменение свойств дисплея, удаление иконок, вызов контекстного меню и др.), проводника Windows, панели задач, настройкам Internet Explorer и запретить изменение различных элементов меню «Пуск». А также ограничить доступ к панели управления и другим критическим параметрам настройки системы - например запретить удаление сетевых дисков, заблокировать перезагрузку и выключение компьютера и т.п. При необходимости несложно заблокировать все либо только определенные горячие клавиши Windows (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc и др.) и настроить утилиту на автоматическое удаление новых записей из автозапуска для предотвращения действия вирусов, adware- и spyware-модулей. Возможна установка запрета на использование другими пользователями конкретных жестких дисков и сменных носителей (CD/DVD-приводов, USB-устройств, дисководов и др.), блокирование автопроигрывания компакт-дисков и их прожиг. Настраивать ограничения можно через предустановленные профили (это удобнее для новичков и гораздо быстрее) либо вручную.

My Simple Desktop 2.0

Разработчик : Anfibia Software

Размер дистрибутива : 1, 76 Мбайт

Работа под управлением : Windows XP/Vista

Способ распространения : My Simple Desktop Office Edition и My Simple Desktop School Edition - shareware (30-дневная демо-версия - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - freeware (http://www.mysimpledesktop.com/download/msdsetup_home.exe)

Цена : My Simple Desktop Office Edition - 32 евро; My Simple Desktop School Edition - 20 евро; My Simple Desktop Home Edition - бесплатно (только для персонального применения)

My Simple Desktop - очень простая программа для ограничения доступа к компьютеру и его настройкам (рис. 4). Она представлена в трех редакциях: платных My Simple Desktop Office Edition и My Simple Desktop School Edition и бесплатной My Simple Desktop Home Edition (возможности редакций полностью идентичны).

Рис. 4. Установка ограничений доступа в My Simple Desktop

С помощью данной утилиты можно защитить от изменений рабочий стол, панель задач и меню «Пуск», сделать невозможным внесение изменений в настройки дисплея и контекстного меню проводника. А также запретить доступ к панели управления, свойствам папок и системному реестру и заблокировать использование горячих клавиш Windows и правой кнопки мыши. В плане ограничения доступа к устройствам предусмотрен запрет на использование стационарных дисков и внешних USB-устройств, а также скрытие сетевых дисков и блокирование автопроигрывания компакт-дисков. При необходимости можно установить ограничение на время использования компьютера - одинаковое для всех пользователей, за исключением администратора. Настройка ограничений производится путем назначения одного из предустановленных профилей либо вручную.

Ограничение доступа к устройствам

Встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах семейства Windows (кроме Windows Vista) не позволяют контролировать доступ других пользователей к потенциально опасным устройствам (USB-устройствам, CD/DVD-накопителям, FireWire и инфракрасным портам и др.). Конечно, можно отключить подобные устройства в BIOS, но это не выход, так как для работы с отключенным устройством (если это потребуется) придется каждый раз обращаться к BIOS и вновь его включать, что довольно долго и очень неудобно.

Гораздо разумнее осуществлять контроль доступа к устройствам с помощью дополнительных приложений, которые могут быть самыми разными. Нередко возможность скрытия или блокирования устройств предусмотрена в утилитах, предназначенных для управления доступом к настройкам операционной системы, включая рассмотренные нами. Правда, возможности ограничения доступа к устройствам в них невелики: контролировать доступ можно далеко не ко всем опасным устройствам, а уж о контроле носителей речь и не идет. Гораздо большей функциональностью в этом плане обладают утилиты - блокировщики доступа к устройствам и специализированные решения для защиты системы от утечек корпоративной информации. В качестве примера мы рассмотрим программы DeviceLock, USB Lock Standard и ID Devices Lock. Самой функциональной из них является программа DeviceLock, с помощью которой можно контролировать (а не только блокировать) доступ отдельных пользователей и групп пользователей практически к любым потенциально опасным устройствам (и даже носителям), но она ориентирована преимущественно на системных администраторов. Возможности двух других утилит гораздо скромнее, но их вполне достаточно для большинства пользователей.

DeviceLock 6.3

Разработчик : ЗАО «Смарт Лайн Инк»

Размер дистрибутива : 39,7 Мбайт

Работа под управлением : Windows NT/2000/XP/Vista

Способ распространения : shareware (30-дневная демо-версия - http://www.devicelock.com/ru/dl/download.html)

Цена : 1300 руб.

DeviceLock - специализированное решение для организации системы защиты от утечек корпоративной информации, позволяющее контролировать доступ ко всему спектру потенциально опасных устройств: USB-портам, дисководам, CD/DVD-приводам, а также FireWire, инфракрасным, параллельным и последовательным портам, Wi-Fi- и Bluetooth-адаптерам, ленточным накопителям, КПК и смартфонам, сетевым и локальным принтерам, внутренним и внешним сменным накопителям и жестким дискам. Программа имеет централизованную систему удаленного управления, обеспечивающую доступ ко всем функциям с рабочего места администратора системы. Реализуется подобное управление с помощью дополнительной консоли DeviceLock Enterprise Manager либо через групповые политики Actvie Directory, что позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку для новых компьютеров в автоматическом режиме.

Возможно либо полное блокирование определенного типа устройств, либо частичное, то есть в соответствии с белым списком носителей (рис. 5), при котором доступ к некоторым носителям будет разрешен несмотря на блокирование соответствующего типа устройства. Допускаются также задание режима «только чтение» и защита дисков от случайного или преднамеренного форматирования. Предусмотрено назначение различных прав доступа к устройствам и портам ввода-вывода для отдельных пользователей и групп пользователей с возможностью установки контроля в зависимости от времени и дня недели. При необходимости можно протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.) путем выполнения теневого копирования.

Рис. 5. Настройка ограничений доступа к устройствам в соответствии
с белым списком носителей в DeviceLock

USB Lock Standard 3.4.1

Разработчик : Advanced Systems International SAC

Размер дистрибутива : 2,02 Мбайт

Работа под управлением : Windows XP/Vista

Способ распространения : shareware (10-дневная демо-версия - http://www.advansysperu.com/down_st.php)

Цена : 44 долл.

USB Lock Standard - удобный инструмент для блокирования доступа (рис. 6) ко всем типам сменных носителей: USB-портам (USB-дискам, iPods, MP3-плеерам и др.), Zip-устройствам, дисководам, CD/DVD-накопителям, Bluetooth-адаптерам и устройствам чтения смарт-карт (CF, SD, MMC, XD и др.). Он позволяет полностью блокировать доступ к указанным устройствам либо сделать это частично, открыв доступ для авторизованных устройств. Для отмены блокирования требуется знание пароля либо USB-ключ. Операции с незаблокированными устройствами фиксируются в логах.

Рис. 6. Блокирование доступа
к CD/DVD-накопителям в USB Lock Standard

ID Devices Lock 1.2

Разработчик : ID Security Suite

Размер дистрибутива : 1,47 Мбайт

Работа под управлением : Windows 98/NT/2000/XP/Vista

Способ распространения http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)

Цена : 37 долл.

ID Devices Lock - простая утилита для ограничения доступа (рис. 7) к USB-устройствам, CD-накопителям и дисководам путем запрета копирования на них данных, что позволяет предотвратить утечку информации на мобильных носителях. Для отмены блокирования требуется знание пароля.

Рис. 7. Ограничение доступа к дисководу в ID Devices Lock

Полное блокирование компьютера в отсутствие пользователя

Самый простой способ блокировать доступ к включенному компьютеру - установить пароль на заставку, но это не лучший вариант, поскольку при перезагрузке пароль с заставки без проблем можно снять. Гораздо надежнее полностью заблокировать компьютер при помощи специальных программных средств, которые сделают невозможным доступ к любым элементам компьютера, включая клавиатуру, мышь и рабочий стол. После этого просмотреть на нем какую-либо информацию, запустить приложения, получить доступ к файлам и папкам (включая открытые на данный момент) и даже перезагрузить компьютер путем нажатия клавиатурной комбинации Ctrl+Alt+Del будет уже невозможно. Разблокировать компьютер можно, только зная пароль пользователя, а обычная перезагрузка (даже в безопасном режиме) или сбой в питании не приведут к снятию защиты.

Подобное блокирование компьютера обычно обеспечивается с помощью узкоспециализированных утилит: Desktop Lock, Lock My PC и аналогичных, однако такие возможности могут предоставляться и в программах, предназначенных для установки разного рода ограничений доступа, - в частности в Security Administrator и Deskman.

Desktop Lock 7.2.1

Разработчик : TopLang software

Размер дистрибутива : 792 Кбайт

Работа под управлением : Windows NT/2000/XP/2003/Vista

Способ распространения : shareware (15-дневная демо-версия - http://www.toplang.com/dlsetup.exe)

Цена : 24,95 долл.

Desktop Lock - утилита для блокирования компьютера (рис. 8) на время отсутствия пользователя. Установка блокирования производится из самой утилиты путем нажатия определенной комбинации клавиш автоматически в указанное пользователем время или, в случае неактивности пользователя, по истечении заданного срока. Введение компьютера в заблокированный режим может сопровождаться запуском скринсейвера, проигрыванием аудио- или видеофайла, что разумно, например, на выставках при демонстрации корпоративных презентаций. При блокировке отключается мышь и становится невозможным использование основных клавиатурных комбинаций. Для выхода из заблокированного режима требуется нажатие секретной клавиатурной комбинации или клавиши мыши с введением пароля. При желании можно настроить утилиту на фиксирование кратких сообщений от других пользователей, которые подходили к компьютеру во время отсутствия его владельца и пожелали что-либо ему написать.

Рис. 8. Настройка параметров блокирования компьютера в Desktop Lock

Lock My PC 4.7

Разработчик : FSPro Labs

Размер дистрибутива : 1,4 Мбайт

Работа под управлением : Windows 2000/XP/2003/Vista

Способ распространения: shareware (30-дневная демо-версия - http://www.fsprolabs.com/download/distr/lmpc.zip)

Цена : персональная лицензия - 19,95 долл.; бизнес-лицензия - 29,95 долл.

Lock My PC - инструмент для блокирования компьютера (рис. 9) на время отсутствия пользователя. Заблокировать компьютер несложно - достаточно дважды щелкнуть мышью по соответствующему значку в системном трее или нажать особую клавиатурную комбинацию. Возможно автоматическое блокирование по истечении заданного времени неактивности пользователя. При блокировке отключаются мышь и CD/DVD-приводы (это не позволит вынуть из них компакт-диски) и становится невозможным использование основных клавиатурных комбинаций: Ctrl+Alt+Del, Alt+Tab и др. На заблокированном компьютере в качестве скринсейверов могут демонстрироваться любые, в том числе созданные самостоятельно, изображения в форматах GIF, JPEG, BMP и animated GIF. Разблокировать компьютер можно, только зная пароль пользователя либо администратора.

Рис. 9. Настройка параметров блокирования компьютера в Lock My PC

Защита персональной информации

Существует несколько способов защиты персональных данных от несанкционированного доступа: можно сжать папки и файлы в архиве, защищенном паролем; скрыть их; поместить в секретную папку, доступ к которой для других пользователей будет закрыт паролем; зашифровать либо создать виртуальный зашифрованный диск, на который и записывать свои секретные материалы. Выбор наиболее предпочтительного способа зависит от ситуации, однако в большинстве случаев наилучшим является вариант сокрытия и шифрования папок и файлов, поэтому в данной статье мы только им и ограничимся.

Теоретически скрывать папки и файлы можно, используя встроенные возможности Windows - для этого достаточно в свойствах соответствующих объектов включить атрибут «Скрытый». Скрытые таким образом папки и файлы не будут видны в проводнике другим пользователям системы, но лишь при условии, что в свойствах содержащих их родительских папок включен флажок «Не показывать скрытые файлы и папки». В принципе, этого может оказаться достаточно для защиты данных от неподготовленных пользователей. Однако скрытые подобным образом объекты будут видны в приложениях, которые не используют стандартный диалог для отображения файлов и папок (FAR, Total Commander и т.п.), поэтому подобная защита не слишком хороша.

Более надежным вариантом защиты данных встроенными средствами Windows является использование шифрованной файловой системы EFS (Encrypting File System, EFS), позволяющей шифровать файлы путем включения для них в проводнике опции «Шифровать содержимое для защиты данных» (Свойства=>Общие=>Дополнительно). Прочитать зашифрованные таким способом файлы без знания пароля невозможно, однако система EFS позволяет защищать папки и файлы только в файловой системе NTFS.

По этим причинам для защиты персональных папок и файлов лучше пользоваться специализированными утилитами. Данные решения позволят более надежно скрывать папки и файлы (они не будут видны при отключении флажка «Не показывать скрытые файлы и папки»), а также блокировать доступ к ним. Более того, некоторые из таких утилит также дают возможность шифровать данные, что обеспечит их защиту от других пользователей даже при загрузке Windows в безопасном режиме, загрузке в другой операционной системе либо на другом компьютере (если на него предварительно будет установлен жесткий диск с защищенной информацией). В качестве примеров мы рассмотрим программы Folder Lock, Folder Guard и Hide Folders XP. Первая обеспечивает самый высокий уровень защиты шифруемых данных, вторая дополнительно предоставляет инструментарий для защиты базовых настроек ОС от изменений. Пакет Hide Folders XP заметно уступает названным решениям по своим возможностям, но зато имеет русскоязычный интерфейс и предлагается русскоязычным пользователям по весьма привлекательной цене.

Folder Lock 6.0.1

Разработчик : NewSoftware Professionals, Inc.

Размер дистрибутива : 2,78 Мбайт

Работа под управлением : Windows 2000/XP/2003/Vista

Способ распространения : shareware (20-дневная демо-версия - http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

Цена : 35,95 долл.

Folder Lock - эффективное и надежное решение для зашиты персональных файлов, папок (рис. 10) и дисков путем установки на них пароля, сокрытия и шифрования (алгоритм AES с 256-битным ключом). Для большей безопасности в данном решении допускается применение блокирования и шифрования одновременно - защищенные таким способом файлы не отображаются в проводнике и в приложениях и полностью недоступны, так как получить доступ к ним без знания пароля нельзя даже в случае загрузки в DOS, в безопасном режиме Windows, с другой ОС или на другом компьютере. На случай, если пароль забыт, предусмотрена возможность получения доступа к данным по регистрационному ключу. Исходные данные, которые требуется защитить, могут находиться не только на жестком диске, но и на USB-носителях, картах памяти, дисках CD-RW, дискетах и ноутбуках. А процесс установки предусмотренной защиты может производиться автоматически в случае неактивности компьютера. В специальном режиме Stealth Mode программа умеет скрывать все следы, свидетельствующие об установке на компьютере защиты данных: препятствует отображению собственных ярлыков на рабочем столе и в меню «Пуск», скрывает данные об инсталляции/деинсталляции в соответствующем разделе панели управления, очищает историю и данные буфера обмена и т.д. Кроме того, в целях большей безопасности программа ведет учет всех неудачно введенных для снятия защиты паролей, что позволяет пользователю вовремя зафиксировать проявление нездорового интереса к собственному компьютеру со стороны других пользователей.

Рис. 10. Работа с защищенными папками в пакете Folder Lock

Folder Guard 7.6

Разработчик : WinAbility Software Corporation

Размер дистрибутива : Folder Guard Editions и Folder Guard x64 Edition - 1,8 Мбайт; Folder Guard Professional Edition - 2,5 Мбайт

Работа под управлением : Windows 2K/XP/2003/Vista

Способ распространения : shareware (30-дневная демо-версия - http://www.winability.com/folderguard/editions.htm)

Цена : Folder Guard Editions и Folder Guard x64 Edition - 39,95 долл.; Folder Guard Professional Edition - 59,95 долл.

Folder Guard - простое и удобное решение для ограничения доступа к папкам и файлам, а также предотвращения доступа к ряду настроек Windows. Оно представлено в трех версиях: Folder Guard Editions, Folder Guard x64 Edition и Folder Guard Professional Edition. Первая версия работает в 32-разрядных версиях Windows, вторая - в 64-разрядных, а третья - и в тех, и в других.

Ограничение доступа к персональным данным осуществляется путем их сокрытия (рис. 11), установки режима «только для чтения» либо блокирования. При этом сокрытие реализовано в двух вариантах: можно сделать папки и файлы скрытыми либо назначить их пустыми (Empty). Во втором случае папки будут видимыми, но при открытии окажутся пустыми, хотя в реальности содержат информацию - данный вариант защиты подходит для стандартных папок Windows, полное сокрытие которых будет свидетельствовать о том, что информация на компьютере заблокирована, что нежелательно. Защищенные папки без пароля не будут доступны другим пользователям системы даже при загрузке Windows в безопасном режиме, правда для этого потребуется произвести в программе некоторые настройки. На случай, если пароль забыт, предусмотрена функция его восстановления с помощью бесплатной утилиты Emergency Recovery (http://www.winability.com/folderguard/eru.htm). Реализована также возможность работы программы в скрытом режиме (Stealth Mode), при котором ее собственные ярлыки и файлы окажутся скрытыми.

Рис. 11. Сокрытие папки в Folder Guard

С помощью Folder Guard также можно защитить базовые настройки ОС от корректировки (рис. 12) - в частности закрыть доступ к свойствам панели задач, меню «Пуск» и ряда других окон, запретить сохранение свойств дисплея (если они были изменены), заблокировать изменение свойств папок и настроек Internet Explorer, не показывать на рабочем столе иконки. А также предотвратить изменение критических для работы системы параметров путем закрытия доступа к панели управления и установки серии запретов: на доступ в системный реестр, добавление/удаление принтеров, использование команды «Выполнить» и т.д. Можно также скрыть в окне «Мой компьютер», проводнике и стандартных диалоговых окнах Open/Save определенные диски и блокировать запись CD/DVD-дисков. Для разных пользователей возможен различный набор подобных ограничений.

Рис. 12. Установка ограничений на доступ к Windows-настройкам
в Folder Guard

Hide Folders XP 2.9.8

Разработчик : FSPro Labs

Размер дистрибутива : 1,23 Мбайт

Работа под управлением : Windows 2000/XP/2003/Vista

Способ распространения : shareware (30-дневная демо-версия - http://www.fsprolabs.com/download/distr/hfxp.zip)

Цена : 29,95 долл. (в магазине Softkey.ru - 400 руб.)

Hide Folders XP - простая программа для защиты папок и файлов (рис. 13) от несанкционированного доступа путем их сокрытия и/или блокирования. Защищенные папки не будут доступны другим пользователям, включая администратора системы, даже при загрузке Windows в безопасном режиме. При этом защищенными от удаления окажутся не только защищенные папки и файлы, но и содержащие их папки. А для того, чтобы другие пользователи не догадались о наличии на компьютере защищенных данных, программа может удалять следы об установленной защите и умеет скрывать саму себя (может не отображаться в списке часто загружаемых программ, не показывать строку о деинсталляции в панели управления, скрывать себя в списке запущенных процессов и др.).

Рис. 13. Работа с защищенными файлами в среде Hide Folders XP