Infrastructura IT pentru întreprinderea dvs.
Recent, o organizație de credit a angajat o companie de securitate pentru a simula o încercare de a intra în calculatoarele rețelei sale. Specialiștii companiei au efectuat cu succes hacking-ul computerelor, mai întâi "aruncând" mai multe dispozitive USB în locurile de parcare și în "fumatul" organizației. Fiecare dispozitiv conține un fișier executabil de tipul "troian". Angajații organizației de credit au descoperit majoritatea dispozitivelor, le-au conectat la computerele de lucru și au lansat fișierul executabil. Deși nu puteți fi sigur că angajații sau partenerii dvs. nu vor rula niciodată fișiere de pe dispozitivele detectate, puteți preveni apariția situației descrise prin politicile de restricționare a software-ului de restricționare a software-ului (SRP).
Puteți crea diferite tipuri de reguli SRP, inclusiv regula pentru zonă, regulă pentru cale, regulă pentru certificat și regulă pentru hash. După o scurtă trecere în revistă a conceptelor de bază ale politicilor SRP, voi descrie pe scurt modul de creare a unei reguli pentru fiecare tip, dar accentul va fi pus pe cele mai eficiente reguli de tip pentru hash.
Puteți să configurați politicile SRP prin secțiunile User (Utilizator) sau Computer (Computer) din serviciul Policy Group (Grup politic). Această flexibilitate vă permite să aplicați politici grupurilor de computere sau utilizatorilor. De exemplu, puteți aplica o politică SRP care interzice utilizatorilor să joace "Sapper" sau "Solitaire", la o unitate organizațională care include contabilii. Pe de altă parte, puteți aplica politica SRP unui grup de calculatoare dintr-un laborator de colegiu public pentru a limita setul de aplicații pe care le poate instala oricine care utilizează sisteme într-un laborator de testare.
Pentru a activa politicile SRP, mai întâi creați sau editați Obiectul politicilor de grup (GPO) și accesați fereastra Computer (sau User) Configuration-> Windows Settings-> Security Settings-> Policy Restriction Policies. După aceea, faceți clic dreapta pe nodul Politici de restricționare și selectați Politici de restricționare a software-ului nou în meniul contextual.
Pentru a schimba politicile SRP la nivelul Nepermis, mergeți la nodul "Politici de restricționare a software-ului"> Niveluri de securitate și faceți dublu clic pe politica Neacceptată. În fereastra Proprietăți nepermise care apare, consultați ecranul 1, bifați caseta de selectare Setare implicită. Sistemul Windows va raporta că nivelul selectat este mai sigur decât cel curent, iar unele programe pot fi închise. Faceți clic pe butonul OK.
Figura 1: Setarea nivelului Nepermis ca nivel de securitate implicit
Rețineți că puteți utiliza politici SRP pe computerele care nu fac parte din Active Directory (AD) (de exemplu, laptop-uri), prin crearea unui șablon de securitate bazat pe computerul utilizând SRP și aplicarea șablonului la politica locală. Trebuie să vă asigurați că șablonul vă permite să executați utilitarul Secedit, astfel încât să puteți anula modificările sau, dacă este necesar, să actualizați politica SRP.
Configurarea politicilor comune
În nodul Politicile de restricționare a software-ului, puteți configura următoarele politici generale care determină modul în care sistemul Windows aplică politicile SRP: constrângere, tipuri de fișiere atribuite și editori de încredere. Să analizăm fiecare tip de politică comună.
Obligarea. Politica forțată este utilizat pentru politicile SRP au fost aplicate nu numai la fișierele executabile, cum ar fi «.exe», «vbs» și toate celelalte fișiere, alac ca tipuri de fișiere executabile politici desemnate, dar, de asemenea, bibliotecile «.dll». caseta de dialog Proprietăți Executarea prezentată în figura 2, vă permite să aplicați RSP, și membrii grupului local de administratori.
Figura 2: Configurarea politicii de punere în aplicare a SRP
Pentru a îmbunătăți securitatea, trebuie să includeți toate tipurile de fișiere de programe în politica de aplicare și să o aplicați tuturor utilizatorilor. Cu toate acestea, crearea de reguli separate pentru mii de fișiere ".dll" din pachetul standard Windows poate dura câteva săptămâni. Cu excepția cazului în care trebuie să închideți sistemul cât mai mult posibil, utilizarea unei politici de constrângere fără a specifica bibliotecile este mai practică și, în același timp, o soluție destul de fiabilă.
Rețineți că este necesar ca administratorii locali să fie incluși în politica de punere în aplicare. Dacă aveți nevoie să rulați o aplicație pe computerul dvs. care nu este permisă în listele de politici SRP, administratorul poate muta temporar sistemul într-o unitate organizațională care nu face obiectul datelor de politică.
Tipuri de fișiere atribuite. Politica de tip de fișier atribuită este o listă a tuturor extensiilor - în plus față de extensiile standard ".exe", ".dll" și ".vbs" - pe care Windows le tratează drept cod executabil. Figura 3 prezintă fereastra Proprietăți tip fișiere desemnate. Dacă organizația dvs. utilizează un tip de fișier care nu este listat în această listă, cum ar fi fișierele Perl, puteți adăuga un tip de fișier din această casetă de dialog.
Figura 3: Atribuirea tipurilor de fișiere executabile
Politica de editori de încredere este utilizată pentru a împiedica utilizatorii să adauge noi sisteme de editare de încredere. De exemplu, atunci când utilizatorii încearcă să descarce o aplicație de pe un site web Adobe, sistemul întreabă dacă doresc să facă această aplicație de încredere. Setările de politici stabilesc cine poate decide care editori să aibă încredere: utilizatori finali, administratori locali sau administratori corporativi. Pentru securitate maximă, puteți aloca editorilor de încredere numai administratorilor corporativi (după cum se arată în Figura 4). Politica de editori de încredere vă permite, de asemenea, să inițiați o verificare a listei certificatelor revocate (CRL) pentru a identifica autenticitatea oricărui certificat.
Figura 4: Acordarea drepturilor de alocare a editorilor de încredere
Interzicerea sau permiterea aplicațiilor
Acum, când ne-am familiarizat cu politicile de bază ale SRP, să analizăm 4 tipuri de reguli pe care le puteți utiliza pentru a permite sau a refuza executarea aplicațiilor: pentru zonă, pentru cale, pentru certificat și pentru hash.
Reguli pentru zonă. Regulile pentru zonele Internet sunt utilizate pentru a restricționa sau a permite executarea fișierelor .msi descărcate (pentru Windows Installer), în funcție de zona din care a fost obținut fișierul. Deoarece această regulă se aplică numai fișierelor ".msi" descărcate de utilizatori de pe Internet, acest tip de politică SRP este folosit mai puțin decât altele.
Pentru a crea o regulă pentru zona Internet, faceți clic cu butonul din dreapta pe Reguli suplimentare și selectați New Rule Zone din Internet din meniul contextual. Selectați zona Internet și setați Nivel de securitate la Nerestricționat sau Nepermis. În regula pentru zona de Internet, a cărei setare este afișată pe ecranul 5, executarea fișierelor ".msi" primite din zona de site-uri restricționate este interzisă (nivelul dezactivat).
Figura 5: Setarea restricțiilor pentru zonele Internet
Regulile căii vă permit să specificați dosarul sau calea completă a aplicației, care poate sau nu să fie executată. Dezavantajul regulii pentru cale este că se bazează exclusiv pe numele căii sau al fișierului. De exemplu, Figura 6 prezintă o regulă pentru calea care permite lansarea serviciului Outlook Express. Atacatorii pot pur și simplu să redenumească fișierul care conține codul rău intenționat în "msimn.exe" și să îl copieze în directorul C: Program FilesOutlook Expressmsimn.exe. Deoarece regula pentru cale este activată, fișierul care conține codul rău intenționat este considerat a fi permis și poate fi executat. Rețineți că atunci când configurați mai multe reguli pentru o cale, prioritatea va avea o regulă "mai restrânsă". De exemplu, regula pentru calea C: directorapplication.exe va avea prioritate față de regula pentru calea C: director.
Figura 6: Configurarea regulii pentru cale
Reguli pentru certificat
Regulile pentru certificat se bazează pe certificatele semnate de către editori. Principala problemă aici este că trebuie să specificați un certificat semnat de către editor. În plus, nu puteți utiliza o regulă certificat, dacă doriți să configurați politici diferite pentru multiple aplicații de același editor. De exemplu, nu puteți utiliza această regulă pentru a preveni angajații joace „Solitaire“, ca toate jocurile pe care nava cu Windows, sunt semnate de același editor ca și componentele de bază ale sistemului de operare, cum ar fi serviciul IE.
Pentru a crea o regulă pentru certificat, faceți clic cu butonul din dreapta pe Reguli suplimentare, apoi faceți clic pe Nou certificat. Faceți clic pe butonul Răsfoiți, specificați certificatul editorului (fișier de tip ".crt" sau ".cer"), setați nivelul de securitate la Nerestricționat (sau Neacceptat) și faceți clic pe OK.
Reguli pentru un hash. Consider ca regulile pentru un hash să fie cel mai bun tip de politică SRP. Ei nu au nevoie să specificați certificatul editorului, nu iau ca bază normele pentru zona de Internet, și, ca și pentru identificarea unui fișier executiv pe care o folosesc de control calculat (hash), atacatorul poate rula cod rău intenționat cu un nume nou în eludarea regulii.
Pentru a calcula un hash, aveți nevoie de acces la executabilul binar de pe computerul în care configurați GPO. Dacă creați un GPO pe un controler de domeniu (DC), puteți adăuga o unitate de rețea în sistemul simulat folosind un folder administrativ partajat, cum ar fi XP-REF-SYSC $. După aceea, alegerea fișierului executabil se reduce la căutarea pe unitatea de rețea.
Atunci când SRP-ul controlează regulile, hașurile au prioritate față de toate celelalte. De asemenea, rețineți că fișierele pe care le redenumiți sau le mutați într-o altă locație își păstrează sumele de control. Prin urmare, dacă utilizați o regulă pentru a bloca un fișier, de exemplu modulul executabil al unui virus, acesta va funcționa chiar dacă cineva va schimba numele virusului.
Principalul dezavantaj al utilizării regulilor pentru hash cu politica Disallowed este că formarea setului inițial de aplicații permise necesită mult timp. De asemenea, nu trebuie să uitați de necesitatea de a actualiza suma de control ori de câte ori se modifică versiunea aplicației sau dacă este instalat un nou software. Pentru a rula aplicația actualizată, trebuie să creați o nouă regulă. Rețineți că este mai bine să creați noi reguli pentru aplicațiile actualizate decât să schimbați cele vechi, deoarece diferite versiuni ale aceluiași produs pot coexista simultan în rețeaua dvs. În timp, veți elimina regulile pentru versiunile mai vechi ale aplicațiilor.
Pentru a crea regulile pentru hash, faceți clic cu butonul din dreapta pe nodul Reguli suplimentare din serviciul Policy Group și selectați Hash Rule. În fereastra New Hash Rule care apare, faceți clic pe butonul Browse și selectați aplicația pentru care doriți să creați regula. Când selectați o aplicație, Windows calculează automat suma de control a fișierului, așa cum se arată în ecranul 7, și afișează proprietățile fișierului în fereastra Fileinformation.
Figura 7: Crearea unei reguli pentru hash
Atunci când creați politici SRP, trebuie să creați o unitate organizațională temporară în serviciul AD și să atribuiți o unitate GPO unității. După aceea, puteți pune conturile de testare ale utilizatorilor și computerelor acolo pentru timpul necesar pentru a depana politicile SRP. După testarea politicilor privind obiectele GP, le puteți atașa la o unitate organizațională care include conturi reale de utilizatori și computere. Asigurați-vă că ați testat cu atenție politicile SRP - în laboratorul Departamentului IT și cu grupul de utilizatori ai încercărilor - înainte de a le implementa în organizația dvs. Politicile SRP au o structură complexă și le puteți configura cu greu în mod inconfundabil de la prima dată.
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
Trimiteți-le prietenilor: