Приоритет дополнительных правил

К файлу программы может применяться несколько правил. Правила применяются в приведенном ниже порядке приоритета. Правила перечислены в порядке убывания приоритета.

· Правило для хеша;

· Правило для сертификата;

· Правило для пути;

· Правило для зоны Интернета.

При конфликте правил для пути приоритет имеет правило с большим ограничением. Ниже приведен набор путей в порядке от высшего приоритета (наибольшее ограничение) к низшему приоритету:

· диск:\папка1\папка2\имя_файла.расширение

· диск:\папка1\папка2\*.расширение

· *.расширение

· диск:\папка1\папка2\

· диск:\папка1\

При конфликте двух похожих правил для пути приоритет имеет правило с большим ограничением.

Например, если имеется правило для пути C:\Windows\ с уровнем безопасности «Не разрешено» и правило для пути %windir% с уровнем «Неограниченный», будет применяться более строгое правило с уровнем безопасности «Не разрешено».

Управление политиками ограниченного использования программ

Политики ограниченного использования программ рекомендуется настраивать в следующем порядке:

· создание политики ограниченного использования программ (в случае, если она ещё не создана);

· настройка уровней безопасности по умолчанию;

· настройка общих правил конфигурирования;

· настройка дополнительных правил конфигурирования.

Реализация закрытой программной среды через реестр Windows

Существует два способа реализации данной возможности. Путем «белого списка», разрешенных к запуску программ и путем «черного списка», запрещенных к запуску программ.

«Белый список»

Основываясь на «белом списке», можно сделать не плохую защиту от малвари. Чтобы его создать нужно выполнить, как минимум, два шага:

1. В ветке реестра

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\

Policies\Explorer

нужносоздатьпараметрRestrictRun типа DWORD (REG_DWORD)созначением 1.

2. Вветке реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\Explorer\

создатьключ RestrictRun, авнемпараметр0 типаSTRING (REG_SZ)созначением regedit.exe.

Чтобы изменения вступили в силу, нужно перезагрузить компьютер.

ВАЖНО! Если выполнить пункт 1, но НЕ выполнить пункт 2, то после перезагрузки вы не сможете запустить никакую программу. Чтобы это исправить, вам нужно будет войти под другим пользователем с правами администратора, открыть редактор реестра, найти в ветку HKEY_USERS, выделить ее, выбрать меню Файл -> Загрузить куст..., в диалоге открытия файла найти файл NTUSER.DATв каталоге пользователя, под именем которого была совершена эта ошибка, и нажать кнопку «Открыть». После чего найти и удалить параметр RestrictRun либо присвоить ему значение 0 и перезагрузить компьютер.
       В дальнейшем можно добавлять программы в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

PoliciesExplorer\RestrictRun аналогично пункту 2.

При этом перезагрузка уже не нужна, изменения вступают в силу сразу.

«Черный список»

Он может быть полезен, когда надо запретить запуск нескольких программ. Создается он так же, как и «белый список», в два шага:

1. В ветке реестра

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\

Policies\Explorer

нужносоздатьпараметрDisallowRun типа DWORD (REG_DWORD) созначением 1.

2. В ветке реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\Explorer\

создать ключ DisallowRun, а в нем параметр 0 типа STRING (REG_SZ) со значением, например, чтобы запретить запуск калькулятора, calc.exe.

Чтобы изменения вступили в силу, нужно перезагрузить компьютер.

ПРИМЕЧАНИЕ

Названия параметров должны состоять из чисел. Отсчет начинается с нуля. Числа должны идти по порядку.

Практическая часть

1. Войдите в систему под именем Администратор

(логин:Администратор, пароль: admin)

2. Под логином администратора произведите работу с консолью просмотра событий (пункт 1.1):

· Настройте журнал безопасности (размер, действия при переполнении и пр.);

· Включите аудит всех категорий событий, добиться переполнения журнала и выполнить действия по его очистке;

· Настройте политику аудита на регистрацию доступа к объектам;

· Назначьте правила разграничения (списки) доступа к выбранному файлу и/или каталогу;

· Посмотрите, какие события пишутся в журнал безопасности при НСД к объекту;

3. Посмотрите, какие события пишутся в журнал безопасности при удачных и неудачных попытках входа в систему.

4. Создайте учетную запись студента и произведите настройку его учетной записи.

· Под учетной записью студента создайте каталог с текстовым файлом, себе предоставьте полный доступ к файлу в каталоге.

· Запретите права доступа (включая Администратора и пр.) кроме себя.

5. Войдите в систему под именем администратора и попробуйте просмотреть содержимое текстового файла. Убедитесь, что в данный момент даже администратор не имеет доступа к этому файлу.

· Попробуйте (будучи Администратором) изменить права доступа к файлу, выбрав из контекстного меню свойства файла и нажав на вкладке «Безопасность», «Дополнительно», вкладку «Разрешения».

· Установите себя (будучи Администратором) новым владельцем своего текстового файла, сменив владельца каталога.

6. Реализуйте все варианты внедрения программ через реестр (пункт 1.4).

7. С помощью реестра реализуйте изолированную программную среду (пункт 1.5).

8. Реализуйте изолированную программную среду через «Политики ограниченного использования программ» (пункт 1.6).

Контрольные вопросы

1. Что такое событие, и для выполнения каких задач служит консоль Просмотр событий?

2. Какие виды событий регистрируются в журналах?

3. Что представляет собой файл журнала?

4. Что такое локальный пользователь, и как создать локального пользователя?

5. Что такое системный реестр операционной системы?

6. Перечислите пять главных разделов системного реестра операционной системы. Какую информацию каждый из них содержит?

7. Что представляет собой закрытая программная среда?

8. Какие существуют способы реализации закрытой программной среды через реестр операционной системы Windows?

Лабораторная работа № 5

Система защиты в операционной системе Windows 7

Цель работы:знакомство со способами и реализующими их средствами защиты информации операционной системы Windows 7, приобретение практических навыков их использования, исследование встроенных систем шифрования ОС Windows 7 EFS.

Часть 1. Средства защиты информации ОС Windows 7

Теоретическая часть

Управление учетными записями