Запуск настройки политики ограниченного использования программ

Чтобы создать политику ограниченного использования программ, проделайте следующее:

1. Запустите оснастку Локальная политика безопасности:

· Пуск -> Выполнить;

· Наберите secpol.msc и затем нажмите ОК.

2. Найдите в списке политик категорию Политики ограниченного использования программ.

3. В меню Действие выберите командуСоздать политику ограниченного использования программ.

Уровни безопасности по умолчанию

Уровни безопасности по умолчанию определяют, разрешено или запрещено использовать программы при отсутствии явных разрешений или запрещений, задаваемых дополнительными правилами конфигурирования.

Применение уровней безопасности позволяет упростить настройку разрешений и запрещений: по умолчанию настраивается тот уровень безопасности, который применим для большей части программ. Для оставшихся программ другой уровень безопасности настраивается индивидуально в дополнительных правилах.

Существуют следующие уровни безопасности:

· Не разрешено / Запрещено (Disallowed) — если вы установите этот уровень, то никакие программы не будет разрешено использовать. Вы должны создать дополнительные правила, которые разрешат исполнять отдельные программы. Использование этого уровня рекомендуется в случае наличия у администратора полного списка разрешённых программ.

· Неограниченный (Unrestricted) — уровень, установленный операционной системой по умолчанию. Если вы установите этот уровень, все программы будут разрешены к исполнению. Вы должны создать дополнительные правила, которые запретят исполнять отдельные программы. Использование этого уровня рекомендуется в случае, если администратор не имеет полного списка разрешённых программ, но надо предотвратить исполнение отдельных программ.

· (Windows 7) Обычный пользователь (Basic User) — разрешает выполнение программ без прав администратора, но позволяет обращаться к ресурсам, доступным обычным пользователям.

Установленный уровень безопасности по умолчанию обозначен галочкой. Уровень безопасности по умолчанию повлияет на все файлы, к которым применяется политика ограниченного использования программ (перечень этих типов файлов задаётся в правиле «Назначенные типы файлов» общих правил конфигурирования).

Уровень безопасности задан операционной системой по умолчанию как «Неограниченный».

При применении уровня безопасности «Не разрешено» следует создать исключения для программ, которые могут быть запущены.

При применении уровня «Неограниченный» имеется возможность создать правила для программ, запуск которых необходимо запретить.

Общие правила конфигурирования

Общие правила конфигурирования определяют, каким образом политика ограничения использования программ применяется на компьютере. Они включают следующие правила:

Принудительный / применение (Enforcement) —это правило описывает, к каким файлам применяются политики ограниченного использования программ:

· ко всем файлам, кроме библиотек (установлено по умолчанию),

· ко всем файлам.

Правило также описывает, к каким пользователям применяются политики ограниченного использования программ:

· для всех пользователей (установлено по умолчанию),

· для всех пользователей, кроме локальных администраторов.

Установка уровня безопасности «Не разрешено», применяемая ко всем файлам, может потребовать индивидуальных разрешений на файлы библиотек, которые потребуются разрешённым программам.

Установка уровня безопасности «Не разрешено»,применяемая ко всем пользователям, может запретить доступ администраторам к программам.

Назначенные типы файлов (DesignatedFilesTypes) — это правило определяет перечень типов файлов, которые считаются исполняемым кодом, кроме стандартных типов .exe, .dll, .vbs. К этим типам файлов применяются уровни безопасности по умолчанию и общее правило «Принудительный».

Доверенные издатели (Trusted Providers) — это правило применяется, чтобы определить пользователей, которым разрешено выбирать доверенных издателей:

· обычным пользователям (по умолчанию),

· локальным администраторам,

· администраторам предприятия.

Правило также применяется, чтобы определить, будет ли проводиться проверка сертификата и виды проверки (по умолчанию никакая проверка не проводится):

· проверка самого издателя,

· проверка штампа времени.

Дополнительные правила

Хеш (Hash) – представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы поих хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла.

Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.

Сертификат (Certificate) – политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением .exe или .dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить.

Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.

Путь (Path) – правило для пути позволяет разрешить или запретить выполнение программ, которые расположены в определённой папке (в том числе в сети) или в её подпапке.

Правило для пути идентифицирует программы по пути к файлу.

Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.

Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.

Зона сети / зона Интернета (Internet Zone) – правила для зоны влияют только на пакеты установщика Windows.

Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.

Правило для зоны Интернета позволяет разрешать или запрещать выполнение программ, расположенных в определённых зонах Интернета. Сейчас это правило это применяется только к пакетам Microsoft Windows Installer, которые исполняются из этой зоны.

Это правило не применяется к программам, загруженным с использованием Internet Explorer.