Самоучитель
системного администратора

6.2. Рекомендации по применению политик

Главная рекомендация состоит в том, чтобы не изменять политику по умолчанию. Не стоит вносить изменений в действующую политику по умолчанию. Если возникнет какая-либо серьезная ошибка в политике, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров, тщательно настраиваемых в течение долгого времени.

Поэтому создавайте новые политики для основных административных действий по управлению системой. В результате для изменения настроек вам необходимо только отключать/включать привязку политик к организационной структуре.

При настройке параметров политик ориентируйтесь на рекомендуемые значения для конфигураций предприятия (см. разд. "Начальные объекты групповой политики” ранее в этой главе).

Обработка одной политики с большим числом назначенных параметров практически не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не удаляйте созданные ранее групповые политики. Просто отключите привязку их от объектов службы каталогов. Они могут понадобиться для анализа ситуации в случае обнаружения каких-либо проблем в дальнейшем.

Если ваши настройки относятся только к параметрам компьютера или только к пользователю, то не забывайте устанавливать признак применения лишь соответствующей части политики. Это повысит скорость обработки.

Некоторые особенности политики ограниченного использования программ

Работа с групповыми политиками, определяющими параметры настройки оборудования или программ, обычно не вызывает сложностей. Параметры хорошо комментированы, поэтому эффект от их включения вполне предсказуем. Сложности обычно вызывает использование групповых политик для ограничения запуска прикладных программ.

Политики ограниченного использования программ, кроме реализации корпоративной политики в части "запрещенных" и "разрешенных" программ, позволяют эффективно защищать компьютеры от троянских коней и других вирусов, блокируя запуск неизвестных кодов.

    Примечание

    В корпоративных версиях Windows 7 вместо политик ограниченного использования программ должны использоваться политики управления приложениями (AppLocker). Правила политик использования программ могут быть импортированы в AppLocker, но состав контролируемых параметров в этой технологии несколько другой (издатель, путь, хэш). Настройка правил в AppLocker осуществляется при помощи мастера и не представляет особой сложности.

    Среди особенностей AppLocker можно отметить более тонкую настройку (правило создается не для всех, а для конкретной группы или пользователя), улучшенное протоколирование, поддержку Powershell, возможность использования только в режиме наблюдений (аудита).

Политика ограниченного использования программ состоит из двух частей: политики по умолчанию и политики исключений.

Политика по умолчанию определяет поведение системы в случае отсутствия явных указаний: либо все запрещать, либо все разрешать. Если администратор компьютера заранее знает перечень программ, с которыми будет работать пользователь, то удобнее использовать запрет по умолчанию и явно разрешить запуск программ по списку. В противном случае следует разрешить запуск программ по умолчанию и запретить запуск "подозрительного" или нежелательного для организации ПО.

Варианты политик ограниченного использования

Разрешения/запреты на запуск конкретных программ могут формироваться на основе следующих критериев.

    Примечание

    В качестве исполняемых файлов в правилах могут указываться не только файлы программ, но и все файлы с расширениями, зарегистрированными для автоматического запуска программ на основе ассоциаций. Этот перечень можно видоизменить при формировании политики ограничений программного обеспечения.

Хэш.

При старте программы проверяется хэш ее программного кода и сравнивается со значением, записанным во время создания правила. В случае совпадения запуск программы разрешается (или запрещается, если правило создается для блокировки), иначе — блокируется (соответственно разрешается).

Данное правило жестко регулирует возможности использования ПО и не разрешает пользователю "собственными силами" обойти это ограничение. Например, запрет на основе хэш-правила не даст использовать программу даже в случае переименования ее исполняемого файла, копирования его в другую папку и т. д.

Недостаток критерия — некоторое замедление каждого запуска программы из-за подсчета ее хэша и сравнения полученного значения с контрольным. Кроме того, в случае обновления версии программного обеспечения администратору придется переопределять данное правило (поскольку хэш запускаемого файла новой версии программы будет отличен от прежнего).

Сертификат.

В этом случае система при попытке запуска программы проверяет наличие у нее цифровой подписи — соответствующего сертификата от доверенного удостоверяющего центра. Так же, как и в случае использования правила контроля хэша, система затрачивает некоторые ресурсы при запуске программы. Однако данный подход более гибок, поскольку позволяет администратору выполнять обновления программного обеспечения при условии наличия у новых программ цифровых подписей.

Путь.

Правило, создаваемое на основе указания пути к исполняемому файлу, является самым удобным в использовании, но одновременно и самым "ненадежным".

При создании правила необходимо указать путь к программным файлам. Причем возможно указание как пути к папке (в этом случае правило будет действовать для всех файлов в этой папке и во всех вложенных в нее каталогах), так и к конкретному файлу. Допускается указание UNC-путей и использование в записи масок и переменных. Кроме того, правило допускает указание в качестве переменной пути ветви реестра. Так, переменная

указывает на папку, в которую по умолчанию выполняется установка программ.

Эти переменные используются, например, при создании правил запуска для тех программ, путь установки которых выбирает пользователь, а система использует при запуске информацию из реестра (программы Microsoft Office и т. д.).

    Примечание

    Переменная реестра записывается следующим образом: %[Registry Hive]\ [Registry Key Name] \ [Value Name] %. При использовании переменных реестра не допускаются сокращения (например, вместо HKEY_LOCAL_MACHINE — HKLM); после переменной (знака %) не может сразу следовать символ \. Кроме того, при указании правила пути реестра можно использовать только значения REG_SZ или REG_EXPAND_SZ.

Контроль выполнения данного правила совершенно не сказывается на производительности системы, однако у опытного пользователя имеются многочисленные возможности для "обхода" контроля. Во-первых, пользователь может копировать и переименовывать исполняемые файлы программ, чтобы обойти ограничения запрета по конкретному пути. Во-вторых, используя возможности переопределения переменных, можно также обойти наложенные ограничения.

Зона Интернета.

Одно из самых неудачных, на взгляд автора, правил, которое вводит ограничения на запуск программ в зависимости от того, из какой зоны проведена установка. На момент подготовки книги данное правило могло устанавливаться только для msi-пакетов (Windows Installer Packages).

В правиле используется типовой для систем Windows перечень зон безопасности: Интернет, Местная интрасеть, Ограниченные узлы, Надежные узлы, Мой компьютер.

Опции настройки применения политик ограниченного использования программ

Существует несколько дополнительных опций настройки применения политик ограничения программного обеспечения. Прежде всего, это возможность применения политик к библиотекам программ (DLL Checking). В обычной практике применение такой проверки не имеет смысла, поскольку приводит к существенной деградации производительности компьютера1, а эффект может быть наложен ограничениями только на собственно исполняемые файлы. Использование данной возможности оправдано только в тех случаях, когда администраторам необходимо осуществлять проверку целостности библиотек программ.

Опция Для всех пользователей, кроме администраторов позволяет не применять политики ограничения для администраторов локальных компьютеров. Необходимость ее использования определяется конкретной ситуацией.

Опция разрешения всем пользователям включать сертификаты в список доверенных, хотя и установлена по умолчанию, является не лучшим выбором. Предпочтительнее при работе в составе управляемой сети передать эти функции администраторам того или иного уровня.

Опция Назначенные типы файлов позволяет регулировать перечень расширений имен файлов, для которых будут применяться политики ограничения. Обычно этот список включает наиболее распространенные типы файлов, которые могут быть использованы для запуска программного кода.

Когда ограничения не действуют

Разработка политики ограничения ПО обычно не бывает без ошибок. Поэтому важно знать, как можно "вернуть" возможность управления системой администратору, если в результате применения неверной политики у него отсутствует возможность запуска программ.

    Примечание

    Следует учитывать, что правила ограниченного использования программ применяются не ко всем клиентам (только к Windows XP SP2 и старше).

Правила ограничения программного обеспечения не применяются в безопасном режиме, поэтому достаточно перезагрузить систему, нажать клавишу < F8>, выбрать безопасный режим и выполнить необходимые действия.

Имейте также в виду, что правила ограничений программного обеспечения не применяются для программ, запускаемых от имени учетной записи Система.

Следует также учитывать, что правила ограничений не применяются при запуске драйверов (и вообще всех процессов уровня ядра системы), любых макросов в составе документов MS Office, а также программ, созданных с учетом Code Access Security Policy (на основе common language runtime).

Последовательность применения политик ограниченного использования программ

Порядок применения политик ограниченного использования программ имеет некоторые особенности. При наличии явных противоречий между правилами двух наследуемых политик (одна политика запрещает запуск данной программы, а другая — разрешает) используется типовая последовательность применения настроек. Однако политики ограниченного использования программ могут содержать различные правила: например, одно разрешает запуск всех программ для данной папки, а другое — запрещает загрузку определенных типов файлов. В этих случаях правила применяются в соответствии с их старшинством.

Во-первых, "старшинство" требований устанавливается в зависимости от типа правил (причем правило, написанное в первой строке, превалирует над правилом второй строки и т. д.):

  • хэш-правило;
  • правило на основе сертификата;
  • правило "пути";
  • правило на основе зоны Интернета;
  • правило по умолчанию.

Во-вторых, правила пути могут описывать требования к различным папкам, в которых находится исполняемый файл программы. В этом случае превалирует то правило, которое относится к наиболее конкретному указанию пути. Далее приведены примеры правил ограничений, расположенные от наиболее конкретного к наиболее общему:

  • С:\Мои документы\Отчеты\Отчет за май.doc;
  • С:\Мои документы\Отчеты\*.doc;
  • *.doc;
  • С:\Мои документы\Отчеты\;
  • С:\Мои документы\.
    Примечание

    При отличающихся значениях необходимости применения политики ограниченного использования программ к административным учетным записям в политиках компьютера и пользователя применяется значение, определенное политикой компьютера.

Некоторые рекомендации применения политик ограниченного использования программ

Составление политик ограниченного использования программ требует от администратора определенного опыта. Кроме тщательного продумывания вариантов политик, администратору необходимо принимать во внимание различные факторы.

Так, запуск конкретной программы может зависеть от другого исполняемого файла, и если на этот файл будет наложено ограничение, то запуск основной программы станет невозможным. Внимательно следует изучить ситуацию, когда необходимо использовать пути к папкам, а когда — пути с переменными реестра. Необходимо учесть такие факторы, как разрешение сценариев входа в систему, не заблокировать случайно запуск антивирусного программного обеспечения и т. п. Поэтому имеет смысл предварительно проанализировать на компьютерах сети состав автоматически загружаемого программного обеспечения.

Сведения о пути к исполняемым файлам проще всего получить, если запустить желаемую программу и открыть задачу Сведения о системе (Программы | Стандартные | Служебные). Можно также набрать в командной строке wmic и нажать клавишу <Enter>, а потом в появившемся окне ввести process и нажать клавишу <Enter>. Вы увидите пути к исполняемым файлам запущенных в текущий момент программ.

    Примечание

    Более подробно использование технологии WMI и ее командного интерпретатора wmic описано далее в этой главе.

Определить зависимые программы в общем случае достаточно тяжело. Обычно приходится экспериментировать. Можно только посоветовать внимательно просмотреть файлы из папки установки соответствующей программы и файлы из папки %ProgramFiles%\Common Files.

Нельзя забывать и то, что "благодаря" защите системных файлов на компьютере в папке %windir%system32\dllcache хранятся копии исполняемых служебных файлов и пользователь, которому запрещено запускать исходные файлы по исходному пути, может воспользоваться их копиями, указав точный путь к данной папке.

Некоторые особенности политики установки программного обеспечения

С помощью групповых политик можно устанавливать программы на локальные системы. Использование таких возможностей интуитивно понятно. Необходимо создать соответствующий пакет установки и включить его в групповую политику.

Что необходимо учесть администратору при работе с такими политиками.

Во-первых, в качестве установочного пакета можно использовать файл либо в формате MSI, либо в формате ZAP. ZAP-формат используется для продуктов третьих фирм и является текстовым файлом с описанием особенностей предполагаемой установки. Формат файла приведен в документе KB231747. Мы просто процитируем часть данной статьи с рекомендациями по созданию соответствующих строк. По приведенному образцу читатель легко сможет создать zap-файл для любой программы.


Во-вторых, установка программы должна проводиться в "тихом" режиме, т. е. без диалога с пользователем. Например, не должен запрашиваться серийный номер продукта. Подготовка такого инсталляционного пакета в общем случае является далеко не тривиальной задачей.

В-третьих, установка программ может быть включена в политику как в раздел компьютер, так и пользователь. В первом случае установка программ будет проведена на систему, они будут доступны для любого пользователя. Обратите внимание, что программы, установленные в режиме для пользователя, обычно не могут быть обновлены с помощью средств автоматического обновления программного обеспечения. Также следует учитывать возможность работы подобного пользователя на терминальном сервере. В этом случае администратору следует либо дорабатывать политику ограничений для терминального сервера, либо включать опцию lookback (см. разд. "„ Обход” параметров пользователя" ранее в этой главе) для того, чтобы исключить установку программ на терминале.

    Примечание

    Если политика предусматривает установку программного обеспечения для компьютера из общей сетевой папки, то доступ к такой папке будет осуществляться от имени компьютера. При назначении прав доступа обратите внимание, что учетные записи компьютеров не входят в группу пользователей домена, а являются только членами группы компьютеров домена. Поэтому следует разрешить доступ к подобным общим папкам, по крайней мере учетным записям, прошедшим проверку (аутентифицированным пользователям).

Другая особенность использования групповой политики касается режимов установки: публикация или назначение. Опубликованные программы по умолчанию просто появляются в перечне задач, которые можно установить через задачу Установка/удаление программ в Панели управления. В случае использования назначенных программ в системе в меню Пуск появляется ярлык к ним, при первом вызове которого осуществляется установка соответствующего программного обеспечения.

Административные шаблоны

Количество регулируемых групповой политикой параметров можно менять. Проще всего добавлять настройки различных значений реестра системы. Для этого используются административные шаблоны.

    Примечание

    По образцу файлов шаблонов администратор легко может создать свои дополнительные настройки, которые он сможет распространить при помощи групповой политики. Понятно, что для создания такого файла администратору необходимы соответствующие знания, которые он может получить из технической документации на операционные системы и настраиваемое программное обеспечение.

Обычно административные шаблоны копируются на локальный диск после установки соответствующего программного обеспечения. Поэтому администратору для добавления нового шаблона достаточно открыть для изменения групповую политику (с компьютера, на котором установлено приложение) и выполнить операцию добавления нового шаблона. Другой способ — загрузить административные шаблоны с сайта разработчика (если они там предоставлены) и импортировать их в политику.

В завершение следует настроить необходимые параметры и привязать групповую политику к соответствующему подразделению.


1Обычно при запуске одной программы загружается несколько десятков библиотек, причем одна и та же библиотека может вызываться несколько раз.


Рейтинг@Mail.ru