Технический обзор политик ограниченного использования программ
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе описываются политики ограничений программного обеспечения, когда и как использовать эту функцию, какие изменения были реализованы в предыдущих выпусках, а также ссылки на дополнительные ресурсы, которые помогут вам создавать и развертывать политики ограничений программного обеспечения, начиная с Windows Server 2008 и Windows Vista.
Введение
Политики ограничений программного обеспечения предоставляют администраторам механизм на основе групповой политики для идентификации программного обеспечения и управления его способностью работать на локальном компьютере. Эти политики можно использовать для защиты компьютеров под управлением операционных систем Microsoft Windows (начиная с Windows Server 2003 и Windows XP Professional) от известных конфликтов и защиты компьютеров от угроз безопасности, таких как вредоносные вирусы и программы троянской лошади. Кроме того, данные политики помогают создать конфигурацию с расширенными ограничениями для компьютеров, на которых разрешается запуск только определенных приложений. Политики ограниченного использования программ интегрируются со службой Microsoft Active Directory и групповой политикой. Политики можно создавать на изолированных компьютерах.
Они являются политиками доверия, то есть представляют собой правила, устанавливаемые администратором, чтобы ограничить выполнение сценариев и другого кода, не имеющего полного доверия. Расширение политик ограничений программного обеспечения в редакторе локальных групповых политик предоставляет единый пользовательский интерфейс, с помощью которого параметры ограничения использования приложений можно управлять на локальном компьютере или в пределах домена.
Процедуры
Администрирование политик ограниченного использования программ
Устранение неполадок политик ограниченного использования программ
Сценарии использования политики ограничений программного обеспечения
Бизнес-пользователи взаимодействуют с помощью электронной почты, обмена мгновенными сообщениями и одноранговых приложений. По мере увеличения этих возможностей совместной работы, особенно при использовании Интернета в бизнес-вычислениях, это делает угрозы от вредоносного кода, таких как черви, вирусы и вредоносные угрозы пользователя или злоумышленника.
Пользователи могут получать враждебный код во многих формах, начиная от собственных исполняемых файлов Windows (.exe файлов), макросов в документах (например, .doc файлов), в скрипты (например, VBS-файлы). Злоумышленники или злоумышленники часто используют методы социальной инженерии для запуска кода, содержащего вирусы и черви. (Социальная инженерия — это термин для обмана людей в раскрытии пароля или какой-либо формы информации безопасности.) Если этот код активируется, он может создавать атаки типа "отказ в обслуживании" в сети, отправлять конфиденциальные или частные данные в Интернет, ставить под угрозу безопасность компьютера или повредить содержимое жесткого диска.
ИТ-организации и пользователи должны иметь возможность определить, какое программное обеспечение безопасно запускать и что не так. При большом количестве и формах, которые могут принимать враждебный код, это становится сложной задачей.
Чтобы защитить свои сетевые компьютеры от враждебного кода и неизвестного или неподдерживаемого программного обеспечения, организации могут реализовать политики ограничений программного обеспечения в рамках своей общей стратегии безопасности.
Администраторы могут использовать политики ограниченного использования программ для решения следующих задач:
определить доверенный код;
разработать гибкую групповую политику для регулирования работы сценариев, исполняемых файлов и элементов ActiveX.
Политики ограниченного использования программ применяются операционной системой и приложениями (например, для создания сценариев), которые им соответствуют.
В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях:
Укажите, какое программное обеспечение (исполняемые файлы) может выполняться на клиентских компьютерах
запретить пользователям выполнять определенные программы на компьютерах с общим доступом;
Укажите, кто может добавлять доверенных издателей на клиентские компьютеры
Задайте область политик ограничений программного обеспечения (укажите, влияют ли политики на всех пользователей или подмножество пользователей на клиентских компьютерах).
запретить работу исполняемых файлов на локальном компьютере, сайте, в подразделении или домене. Это уместно в тех случаях, когда политики ограниченного использования программ не применяются для решения потенциальных проблем со злоумышленниками.
Различия и изменения функций
В SRP для Windows Server 2012 и Windows 8 нет изменений.
Поддерживаемые версии
Политики ограничений программного обеспечения можно настроить только на компьютерах под управлением Windows Server 2003, включая Windows Server 2012, и по крайней мере Windows XP, включая Windows 8.
Примечание.
Некоторые выпуски клиентской операционной системы Windows, начиная с Windows Vista, не имеют политик ограничений программного обеспечения. Компьютеры, не администрируемые в домене групповой политикой, могут не получать распределенные политики.
Сравнение функций управления приложениями в политиках ограничений программного обеспечения и AppLocker
В следующей таблице сравниваются функции и функции компонента политик ограничений программного обеспечения (SRP) и AppLocker.
| Функция управления приложениями | SRP | AppLocker |
|---|---|---|
| Область | Политики SRP могут применяться во всех операционных системах Windows, начиная с Windows XP и Windows Server 2003. | Политики AppLocker применяются только к Windows Server 2008 R2, Windows Server 2012, Windows 7 и Windows 8. |
| Создание политики | Политики SRP поддерживаются с помощью групповой политики, и только администратор групповой политики может обновить политику SRP. Администратор на локальном компьютере может изменить политики SRP, определенные в локальном объекте групповой политики. | Политики AppLocker поддерживаются с помощью групповой политики, и только администратор групповой политики может обновить политику. Администратор на локальном компьютере может изменить политики AppLocker, определенные в локальном объекте групповой политики. AppLocker позволяет настраивать сообщения об ошибках, которые перенаправляют пользователей на веб-страницы справки. |
| Обслуживание политик | Политики SRP необходимо обновить с помощью оснастки "Локальная политика безопасности" (если политики создаются локально) или консоли управления групповыми политиками (GPMC). | Политики AppLocker можно обновить с помощью оснастки "Локальная политика безопасности" (если политики создаются локально) или GPMC или командлетов Windows PowerShell AppLocker. |
| Приложение политики | Политики SRP распределяются через групповую политику. | Политики AppLocker распределяются по групповой политике. |
| Режим применения политик | SRP работает в режиме "запретить список", где администраторы могут создавать правила для файлов, которые они не хотят разрешать в этом предприятии, в то время как остальная часть файла разрешена выполняться по умолчанию. SRP также можно настроить в режиме разрешенного списка таким образом, чтобы все файлы по умолчанию блокировались, а администраторы должны создавать правила разрешения для файлов, которые они хотят разрешить. |
AppLocker по умолчанию работает в режиме разрешенного списка, где только эти файлы разрешены для выполнения, для которых существует соответствующее правило разрешения. |
| Типы файлов, которые можно контролировать | SRP может управлять следующими типами файлов: -Исполняемые файлы SRP не может управлять каждым типом файла отдельно. Все правила SRP находятся в одной коллекции правил. |
AppLocker может управлять следующими типами файлов: -Исполняемые файлы AppLocker поддерживает отдельную коллекцию правил для каждого из пяти типов файлов. |
| Назначенные типы файлов | SRP поддерживает расширяемый список типов файлов, которые считаются исполняемыми. Администратор istrator может добавлять расширения для файлов, которые следует рассматривать как исполняемые файлы. | AppLocker не поддерживает это. В настоящее время AppLocker поддерживает следующие расширения файлов: — исполняемые файлы (.exe, .com) |
| Типы правил | SRP поддерживает четыре типа правил: -Хэш |
AppLocker поддерживает три типа правил: -Хэш |
| Изменение хэш-значения | SRP позволяет администраторам предоставлять пользовательские хэш-значения. | AppLocker вычисляет сам хэш-значение. Во внутреннем режиме он использует хэш SHA1 Authenticode для переносимых исполняемых файлов (Exe и DLL) и установщиков Windows и хэш неструктурированных файлов SHA1 для остальных. |
| Поддержка различных уровней безопасности | Администраторы SRP могут указать разрешения, с помощью которых может выполняться приложение. Таким образом, администратор может настроить правило, которое блокнот всегда работает с ограниченными разрешениями и никогда не с правами администратора. SRP в Windows Vista и более ранних версиях поддерживает несколько уровней безопасности. В Windows 7 этот список ограничен только двумя уровнями: запрещено и неограниченно (базовый пользователь преобразуется в запрещено). |
AppLocker не поддерживает уровни безопасности. |
| Управление упакованными приложениями и установщиками упакованных приложений | Не удается | .appx является допустимым типом файла, которым может управлять AppLocker. |
| Назначение правила пользователю или группе пользователей | Правила SRP применяются ко всем пользователям на определенном компьютере. | Правила AppLocker можно использовать для конкретного пользователя или группы пользователей. |
| Поддержка исключений правил | SRP не поддерживает исключения правил | Правила AppLocker могут иметь исключения, которые позволяют администраторам создавать такие правила, как "Разрешить все из Windows, кроме Regedit.exe". |
| Поддержка режима аудита | SRP не поддерживает режим аудита. Единственным способом тестирования политик SRP является настройка тестовой среды и выполнение нескольких экспериментов. | AppLocker поддерживает режим аудита, который позволяет администраторам проверять влияние своей политики в реальной рабочей среде, не влияя на взаимодействие с пользователем. После того как вы удовлетворены результатами, вы можете приступить к применению политики. |
| Поддержка экспорта и импорта политик | SRP не поддерживает импорт и экспорт политики. | AppLocker поддерживает импорт и экспорт политик. Это позволяет создать политику AppLocker на примере компьютера, протестировать ее, затем экспортировать эту политику и импортировать ее обратно в нужный объект групповой политики. |
| Принудительное применение правил | Во внутреннем режиме правила SRP выполняются в пользовательском режиме, который является менее безопасным. | Во внутреннем режиме правила AppLocker для Exes и DLL применяются в режиме ядра, что более безопасно, чем применение их в пользовательском режиме. |
Требования к системе
Политики ограничений программного обеспечения можно настроить только на компьютерах под управлением Windows Server 2003 и По крайней мере Windows XP. Групповая политика необходима для распространения объектов групповой политики, содержащих политики ограничений программного обеспечения.
Компоненты политик ограничений программного обеспечения и архитектура
Политики ограничений программного обеспечения предоставляют механизм для операционной системы и приложений, соответствующих политикам ограничений программного обеспечения, чтобы ограничить выполнение программных программ во время выполнения.
На высоком уровне политики ограничений программного обеспечения состоят из следующих компонентов:
API политик ограничений программного обеспечения. Интерфейсы программирования приложений (API) используются для создания и настройки правил, составляющих политику ограничений программного обеспечения. Существуют также API-интерфейсы политик ограничений программного обеспечения для запроса, обработки и применения политик ограничений программного обеспечения.
Средство управления политиками ограничений программного обеспечения. Это состоит из расширения политик ограничений программного обеспечения оснастки редактора объектов локальной групповой политики, которая используется администраторами для создания и изменения политик ограничений программного обеспечения.
Набор API и приложений операционной системы, которые вызывают API политик ограничений программного обеспечения для обеспечения применения политик ограничений программного обеспечения во время выполнения.
Active Directory и групповая политика. Политики ограничений программного обеспечения зависят от инфраструктуры групповой политики для распространения политик ограничений программного обеспечения из Active Directory на соответствующие клиенты, а также для определения области и фильтрации применения этих политик на соответствующие целевые компьютеры.
Api Authenticode и WinVerify Trust, которые используются для обработки подписанных исполняемых файлов.
Просмотр событий. Функции, используемые событиями журналов политик ограничений программного обеспечения для журналов Просмотр событий.
Результирующий набор политик (RSoP), который может помочь в диагностике эффективной политики, которая будет применена к клиенту.
Дополнительные сведения об архитектуре SRP, о том, как SRP управляет правилами, процессами и взаимодействиями, см. в статье о работе политик ограничений программного обеспечения в технической библиотеке Windows Server 2003.
Рекомендации
Не изменяйте политику домена по умолчанию.
- Если вы не изменяете политику домена по умолчанию, вы всегда можете повторно применить политику домена по умолчанию, если что-то пошло не так с настроенной политикой домена.
Создайте отдельный объект групповой политики для политик ограничений программного обеспечения.
- При создании отдельного объекта групповой политики (GPO) для политик ограничений программного обеспечения можно отключить политики ограничений программного обеспечения в экстренном случае без отключения остальной части политики домена.
При возникновении проблем с примененными параметрами политики перезапустите Windows в режиме Сейф.
- Политики ограничений программного обеспечения не применяются при запуске Windows в режиме Сейф. Если вы случайно заблокируете рабочую станцию с политиками ограничений программного обеспечения, перезапустите компьютер в режиме Сейф, войдите в систему от имени локального администратора, измените политику, запустите gpupdate, перезапустите компьютер и войдите в систему.
Используйте осторожность при определении параметра по умолчанию запрещенного.
При определении параметра по умолчанию запрещено использовать все программное обеспечение, за исключением программного обеспечения, которое было явно разрешено. Любой файл, который вы хотите открыть, должен иметь правило политик ограничений программного обеспечения, которое позволяет открыть его.
Чтобы защитить администраторов от блокировки системы, если для уровня безопасности по умолчанию задано значение "Запрещено", создаются четыре правила пути реестра. Вы можете удалить или изменить эти правила пути реестра; однако это не рекомендуется.
Для обеспечения оптимальной безопасности используйте списки управления доступом в сочетании с политиками ограничений программного обеспечения.
- Пользователи могут попытаться обойти политики ограничений программного обеспечения путем переименования или перемещения запрещенных файлов или перезаписи неограниченных файлов. В результате рекомендуется использовать списки управления доступом (ACL), чтобы запретить пользователям доступ, необходимый для выполнения этих задач.
Тщательно проверьте новые параметры политики в тестовых средах перед применением параметров политики к вашему домену.
Новые параметры политики могут действовать не так, как ожидалось первоначально. Тестирование снижает вероятность возникновения проблемы при развертывании параметров политики в сети.
Вы можете настроить тестовый домен, отделенный от домена организации, в котором можно протестировать новые параметры политики. Вы также можете протестировать параметры политики, создав тестовый объект групповой политики и связав его с тестовой организацией. При тщательном тестировании параметров политики с помощью тестовых пользователей можно связать тестовый объект групповой политики с доменом.
Не устанавливайте для программ или файлов запретить без тестирования, чтобы увидеть, какой эффект может быть. Ограничения на определенные файлы могут серьезно повлиять на работу компьютера или сети.
Сведения, введенные неправильно или введенные ошибки, могут привести к настройке политики, которая не выполняется должным образом. Тестирование новых параметров политики перед применением их может предотвратить непредвиденное поведение.
Фильтрация параметров политики пользователей на основе членства в группах безопасности.
Вы можете указать пользователей или группы, для которых не требуется применять параметр политики, снимите поля "Применить групповую политику" и "Чтение проверка", расположенные на вкладке "Безопасность" диалогового окна свойств для объекта групповой политики.
Если разрешение на чтение запрещено, параметр политики не скачан компьютером. В результате меньше пропускной способности потребляется путем скачивания ненужных параметров политики, что позволяет сети работать быстрее. Чтобы запретить разрешение на чтение, выберите "Запретить для проверка чтения", которое находится на вкладке "Безопасность" диалогового окна свойств для объекта групповой политики.
Не ссылайтесь на объект групповой политики в другом домене или сайте.
- Связывание с объектом групповой политики в другом домене или сайте может привести к низкой производительности.