Ανασκόπηση λύσεων για τον περιορισμό της πρόσβασης σε έναν υπολογιστή και των δεδομένων που είναι αποθηκευμένα σε αυτόν. Alexander Osipov: η πολιτική συχνά παρεμβαίνει στη λήψη ορθολογικών αποφάσεων
Αυτή η ενότητα εξετάζει τις διάφορες επιλογές που επηρεάζουν τη συμπεριφορά της πολιτικής περιορισμού λογισμικού. Αυτές οι επιλογές αλλάζουν το εύρος της πολιτικής ή τις ρυθμίσεις αξιοπιστίας Authenticode για αρχεία με ψηφιακή υπογραφή.
Επιλογές επιβολής
Υπάρχουν δύο επιλογές για την επιβολή πολιτικών περιορισμού λογισμικού: έλεγχος DLL και αποτροπή εφαρμογής της πολιτικής σε τοπικούς διαχειριστές (Παράλειψη διαχειριστών).
Έλεγχος DLL
Ορισμένα προγράμματα, όπως ο Internet Explorer, αποτελούνται από ένα εκτελέσιμο αρχείο (iexplore.exe) και πολλές υποστηριζόμενες βιβλιοθήκες δυναμικών συνδέσμων (DLL). Από προεπιλογή, οι κανόνες πολιτικής περιορισμού λογισμικού δεν εφαρμόζονται σε αρχεία DLL. Αυτή η επιλογή συνιστάται για τους περισσότερους χρήστες για τρεις λόγους:
| Η απαγόρευση ενός εκτελέσιμου αρχείου αποτρέπει την εκτέλεση του προγράμματος, επομένως δεν χρειάζεται να αποκλειστούν όλα τα συνοδευτικά DLL. | |
| Ο έλεγχος των DLL προκαλεί κακή απόδοση. Εάν ένας χρήστης εκτελεί 10 προγράμματα κατά τη διάρκεια μιας περιόδου λειτουργίας, η πολιτική περιορισμού λογισμικού αξιολογείται 10 φορές. Εάν ο έλεγχος DLL είναι ενεργοποιημένος, η πολιτική αξιολογείται όταν φορτώνεται κάθε DLL σε κάθε πρόγραμμα. Εάν κάθε πρόγραμμα χρησιμοποιεί 20 αρχεία DLL, αυτό ενεργοποιεί 10 ελέγχους εκτελέσιμου προγράμματος συν 200 ελέγχους DLL, και επομένως η πολιτική περιορισμού λογισμικού αξιολογείται 210 φορές. | |
| Εάν το προεπιλεγμένο επίπεδο ασφάλειας είναι Δεν επιτρέπεται, τότε σε αυτήν την περίπτωση, πρέπει να ελεγχθεί όχι μόνο η δυνατότητα εκτέλεσης του εκτελέσιμου αρχείου του προγράμματος, αλλά και όλα τα DLL των συστατικών του, γεγονός που μπορεί να επηρεάσει αρνητικά την απόδοση του συστήματος. |
Ο έλεγχος DLL παρέχεται ως επιλογή για περιβάλλοντα όπου είναι απαραίτητο να διασφαλιστεί το υψηλότερο επίπεδο ασφάλειας κατά την εκτέλεση προγραμμάτων. Αν και οι ιοί υπολογιστών στοχεύουν κυρίως εκτελέσιμα αρχεία, ορισμένοι από αυτούς μολύνουν DLL. Για να διασφαλίσετε ότι ένα πρόγραμμα δεν έχει μολυνθεί από ιό, μπορείτε να χρησιμοποιήσετε ένα σύνολο κανόνων κατακερματισμού που προσδιορίζει το εκτελέσιμο αρχείο και όλα τα απαιτούμενα DLL του.
Για να ενεργοποιήσετε τον έλεγχο DLL:
Εικόνα 2 - Ρύθμιση ιδιοτήτων αναγκαστικής λειτουργίας
Αποτρέψτε την εφαρμογή πολιτικών περιορισμού λογισμικού σε τοπικούς διαχειριστές (Παράλειψη διαχειριστών)
Οι επιλογές της Πολιτικής Περιορισμού Λογισμικού σάς επιτρέπουν να αποτρέπετε τους περισσότερους χρήστες από την εκτέλεση προγραμμάτων, ενώ παράλληλα επιτρέπουν στους διαχειριστές να εκτελούν οποιαδήποτε προγράμματα. Για παράδειγμα, ένας πελάτης μπορεί να έχει ένα κοινόχρηστο μηχάνημα στο οποίο συνδέονται οι χρήστες μέσω ενός διακομιστή τερματικού. Ένας διαχειριστής μπορεί να θέλει να περιορίσει τους χρήστες να εκτελούν μόνο ορισμένες εφαρμογές σε αυτό το μηχάνημα, αλλά εξακολουθεί να επιτρέπει στα μέλη της ομάδας τοπικών διαχειριστών να εκτελούν οποιαδήποτε προγράμματα. Για να το κάνετε αυτό, χρησιμοποιήστε την επιλογή Αποτροπή εφαρμογής πολιτικής στους τοπικούς διαχειριστές ( Παράλειψη διαχειριστών).
Εάν η πολιτική περιορισμού λογισμικού δημιουργείται σε ένα αντικείμενο πολιτικής ομάδας (GPO) συνδεδεμένο σε ένα αντικείμενο της υπηρεσίας καταλόγου Active Directory, τότε η προτιμώμενη μέθοδος για τον αποκλεισμό διαχειριστών είναι η κατάργηση του δικαιώματος στις ιδιότητες της ομάδας GPO που περιέχει τους διαχειριστές.
Για να ενεργοποιήσετε την αποτροπή της εφαρμογής της πολιτικής σε τοπικούς διαχειριστές (Παράλειψη διαχειριστών):
Ορισμός εκτελέσιμων αρχείων
Το πλαίσιο διαλόγου που φαίνεται στην Εικόνα 3 παραθέτει τους τύπους αρχείων στους οποίους ισχύει η πολιτική περιορισμού λογισμικού. Οι καθορισμένοι τύποι αρχείων είναι τύποι αρχείων που θεωρούνται εκτελέσιμοι. Για παράδειγμα, ένα αρχείο προφύλαξης οθόνης.SCR θεωρείται εκτελέσιμο γιατί αν κάνετε διπλό κλικ σε αυτό στην Εξερεύνηση των Windows, θα φορτωθεί ως πρόγραμμα.
Οι κανόνες πολιτικής περιορισμού λογισμικού ισχύουν μόνο για τους τύπους αρχείων που αναφέρονται στο παράθυρο διαλόγου Ιδιότητες: Καθορισμένοι τύποι αρχείων. Εάν το περιβάλλον σας χρησιμοποιεί τύπους αρχείων για τους οποίους θέλετε να μπορείτε να ορίσετε κανόνες, προσθέστε τους σε αυτήν τη λίστα. Για παράδειγμα, εάν χρησιμοποιείτε αρχεία σεναρίων Perl, μπορείτε να προσθέσετε αρχεία *.pl και άλλους τύπους αρχείων που σχετίζονται με μονάδες Perl στη λίστα Καθορισμένοι τύποι αρχείων.
Εικόνα 3 - Πλαίσιο διαλόγου Ιδιότητες: Καθορισμένοι τύποι αρχείων
Αξιόπιστοι εκδότες
Οι επιλογές του πλαισίου διαλόγου που εμφανίζονται στην Εικόνα 4 σάς επιτρέπουν να διαμορφώσετε ρυθμίσεις που σχετίζονται με στοιχεία ελέγχου ActiveX® και άλλο εγγεγραμμένο περιεχόμενο.
Εικόνα 4 - Διαμόρφωση ρυθμίσεων Trusted Publishers
Ο Πίνακας 3 παραθέτει τις επιλογές του πλαισίου διαλόγου Ιδιότητες: Αξιόπιστοι εκδότες, που σχετίζεται με στοιχεία ελέγχου ActiveX και άλλο υπογεγραμμένο περιεχόμενο.
| Πίνακας 3 - Αξιόπιστοι εκδότες - εργασίες και παράμετροι | |
| Εργο | Απαιτούμενη τιμή παραμέτρου |
| Μόνο οι διαχειριστές τομέα θα πρέπει να επιτρέπεται να λαμβάνουν αποφάσεις σχετικά με υπογεγραμμένο ενεργό περιεχόμενο | Διαχειριστές Επιχειρήσεων |
| Μόνο οι διαχειριστές υπολογιστών θα πρέπει να επιτρέπεται να λαμβάνουν αποφάσεις σχετικά με υπογεγραμμένο ενεργό περιεχόμενο | Διαχειριστές τοπικών υπολογιστών |
| Κάθε χρήστης πρέπει να έχει τη δυνατότητα να λαμβάνει αποφάσεις σχετικά με υπογεγραμμένο ενεργό περιεχόμενο | Για τακτικούς χρήστες (Τελικοί χρήστες) |
| Πρέπει να διασφαλίσετε ότι το πιστοποιητικό που χρησιμοποιείται από τον αξιόπιστο εκδότη δεν έχει ανακληθεί. | Ο ίδιος ο εκδότης |
| Βεβαιωθείτε ότι το πιστοποιητικό που χρησιμοποιήθηκε από τον οργανισμό που έφερε ημερομηνία το ενεργό περιεχόμενο δεν έχει ανακληθεί. | Χρονική σήμανση |
Πεδίο εφαρμογής των πολιτικών περιορισμού λογισμικού
Οι πολιτικές περιορισμού λογισμικού δεν ισχύουν για:
Σχεδιασμός Πολιτικής Περιορισμού Λογισμικού
Αυτή η ενότητα περιγράφει:
Συγχώνευση με την πολιτική ομάδας
Μπορείτε να διαχειριστείτε τις πολιτικές περιορισμού λογισμικού χρησιμοποιώντας τα ακόλουθα συμπληρωματικά προγράμματα πολιτικής ομάδας:
Πολιτική τομέα
Για να διαμορφώσετε την πολιτική τομέα
Τοπική Πολιτική Ασφάλειας
Για να δημιουργήσετε μια πολιτική ασφαλείας
Εάν επεξεργαστείτε ένα αντικείμενο πολιτικής ομάδας (GPO), μπορείτε να ορίσετε πολιτικές περιορισμού λογισμικού για χρήστες και υπολογιστές, όπως φαίνεται στην Εικόνα 5.
Εικόνα 5 - Επεξεργασία της πολιτικής περιορισμού λογισμικού για χρήστες και υπολογιστές
Εάν επεξεργάζεστε μια τοπική πολιτική ασφαλείας, η θέση των ρυθμίσεων πολιτικής περιορισμού λογισμικού θα είναι όπως φαίνεται στην Εικόνα 6.
Εικόνα 6 - Επεξεργασία τοπικής πολιτικής ασφάλειας
Αρχικές ενέργειες
Την πρώτη φορά που επεξεργάζεστε μια πολιτική, θα δείτε το μήνυμα που εμφανίζεται στην Εικόνα 7. Αυτό το μήνυμα σάς προειδοποιεί ότι η δημιουργία μιας πολιτικής θα ορίσει προεπιλεγμένες τιμές που θα αντικαταστήσουν τις τιμές που κληρονομήθηκαν από τις πολιτικές περιορισμού γονικού προγράμματος.
Εικόνα 7 - Προειδοποιητικό μήνυμα κατά τη δημιουργία μιας νέας πολιτικής
Για να δημιουργήσετε μια πολιτική:
Εφαρμογή μιας πολιτικής περιορισμού λογισμικού σε μια ομάδα χρηστών
Οι Πολιτικές περιορισμού λογισμικού εφαρμόζονται μέσω της Πολιτικής ομάδας σε έναν ιστότοπο, τομέα ή οργανωτική μονάδα. Ωστόσο, ένας διαχειριστής μπορεί να θεωρήσει απαραίτητο να εφαρμόσει μια πολιτική περιορισμού λογισμικού σε μια ομάδα χρηστών εντός ενός τομέα. Για να γίνει αυτό, ο διαχειριστής μπορεί να χρησιμοποιήσει το φιλτράρισμα αντικειμένων πολιτικής ομάδας.
Για περισσότερες πληροφορίες σχετικά με το φιλτράρισμα των GPO, ανατρέξτε στο άρθρο Πολιτική ομάδας Windows 2000 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (EN)
Διακομιστές τερματικών
Οι πολιτικές περιορισμού λογισμικού αποτελούν αναπόσπαστο μέρος της ασφάλειας του τερματικού διακομιστή του Windows Server 2003 Οι διαχειριστές διακομιστή τερματικού μπορούν πλέον να αποκλείσουν πλήρως την πρόσβαση λογισμικού σε έναν διακομιστή τερματικού. Η επιβολή πολιτικών περιορισμού λογισμικού είναι εξαιρετικά σημαντική στους διακομιστές τερματικών λόγω του δυνητικά μεγάλου αριθμού χρηστών σε έναν μόνο υπολογιστή. Σε έναν υπολογιστή-πελάτη ενός χρήστη που εκτελεί Windows XP, η εκτέλεση μιας ασταθούς εφαρμογής ενδέχεται να επηρεάσει μόνο έναν χρήστη, ενώ η εκτέλεση μιας τέτοιας εφαρμογής σε έναν τερματικό διακομιστή ενδέχεται να επηρεάσει περισσότερους από 100 χρήστες. Οι πολιτικές περιορισμού λογισμικού αποτρέπουν αυτό το πρόβλημα. Αυτή η υπηρεσία εξαλείφει επίσης την ανάγκη χρήσης προγραμμάτων όπως το appsec.exe για τον περιορισμό της εκτέλεσης εφαρμογών σε έναν τερματικό διακομιστή Windows Server 2003.
Επιπλέον, η Microsoft συνιστά να διαβάσετε το έγγραφο Πώς να κλειδώσετε μια περίοδο λειτουργίας τερματικού διακομιστή των Windows 2000(Πώς να κλειδώσετε μια περίοδο λειτουργίας τερματικού διακομιστή των Windows 2000)
Σε ορισμένες περιπτώσεις, πολλοί διακομιστές τερματικών έχουν εγκατεστημένο το ίδιο λογισμικό, αλλά οι διαχειριστές αυτών των διακομιστών θέλουν να δώσουν σε διαφορετικές ομάδες χρηστών πρόσβαση σε διαφορετικό λογισμικό. Ορισμένες εφαρμογές μπορεί να είναι κοινές σε πολλές ομάδες. Εξετάστε ένα παράδειγμα όπου μια δικηγορική εταιρεία φιλοξενεί εφαρμογές σε μια φάρμα διακομιστή τερματικών. Οι διακομιστές έχουν εγκατεστημένο το ίδιο λογισμικό. Οι κανόνες πρόσβασης στο λογισμικό είναι οι εξής:
| Οποιοσδήποτε υπάλληλος μπορεί να χρησιμοποιήσει το Microsoft Office και τον Internet Explorer. Όλοι οι εργαζόμενοι είναι μέλη της ομάδας Ολοι οι υπάλληλοι. | |
| Κάθε λογιστής μπορεί να χρησιμοποιήσει εφαρμογές από το φάκελο Λογισμικό Λογισμικού. Το λογιστικό προσωπικό είναι μέλη της ομάδας Υπάλληλοι Λογιστικής. | |
| Οποιοσδήποτε δικηγόρος μπορεί να χρησιμοποιήσει εφαρμογές από το φάκελο λογισμικού Law Research. Οι δικηγόροι είναι μέλη της ομάδας Δικηγόροι. | |
| Οποιοσδήποτε υπάλληλος της εσωτερικής υπηρεσίας αλληλογραφίας μπορεί να χρησιμοποιήσει εφαρμογές από το φάκελο λογισμικού Mail Room Processing. Οι υπάλληλοι της εσωτερικής ταχυδρομικής υπηρεσίας είναι μέλη της ομάδας MailRoomEmployees. | |
| Οι διευθυντές μπορούν να χρησιμοποιήσουν οποιοδήποτε λογισμικό είναι διαθέσιμο σε άλλους υπαλλήλους. Οι ηγέτες είναι μέλη της ομάδας Στελέχη. | |
| Τα GPO δεν ισχύουν για τους διαχειριστές. |
Για να περιορίσει την πρόσβαση στο λογισμικό, ο διαχειριστής δημιουργεί πέντε GPO με προσαρμοσμένες πολιτικές περιορισμού λογισμικού. Κάθε GPO φιλτράρεται έτσι ώστε να ισχύει μόνο για χρήστες σε μία από τις ομάδες Ολοι οι υπάλληλοι, Υπάλληλοι Λογιστικής, Δικηγόροι, Υπάλληλοι MailRoomή Στελέχη(ανάλογα με ποια ομάδα προορίζεται).
Επειδή οι διαχειριστές πρέπει να έχουν πρόσβαση σε οποιοδήποτε λογισμικό τόσο στους σταθμούς εργασίας όσο και στους τερματικούς διακομιστές τους, ο διαχειριστής χρησιμοποιεί τη δυνατότητα επαναφοράς της πολιτικής ομάδας. Η ρύθμιση ενός επαναληπτικού κύκλου επιτρέπει σε έναν διαχειριστή να εφαρμόζει τις ρυθμίσεις Αντικειμένου Πολιτικής Ομάδας (GPO) στους χρήστες στον υπολογιστή στον οποίο συνδέονται. Εάν το Loopback έχει οριστεί σε λειτουργία Loopback with Replace, οι ρυθμίσεις παραμέτρων GPO του υπολογιστή εφαρμόζονται στον χρήστη κατά τη στιγμή της σύνδεσης και οι ρυθμίσεις παραμέτρων GPO του χρήστη αγνοούνται. Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων loopbacks, ανατρέξτε στο έγγραφο Πολιτικής ομάδας.
| GPO χρήστη A1, που σχετίζεται με τον τομέα Law | |
| Φίλτρο: Το δικαίωμα έχει οριστεί για υπολογιστές στον τομέα Νόμος Εφαρμογή πολιτικής ομάδας | |
| Δεν επιτρέπεται | |
| Κανόνες για το μονοπάτι | |
| %WINDIR% | |
| %PROGRAMFILES%\Common Files | Απεριόριστος |
| %PROGRAMFILES%\Internet Explorer | Απεριόριστος |
| %PROGRAMFILES%\Windows NT | Απεριόριστος |
| %PROGRAMFILES%\Microsoft Office | Απεριόριστος |
| GPO χρήστη A5, που σχετίζεται με τον τομέα πόρων εργαστηρίου | |
| Φίλτρο: Το δικαίωμα έχει οριστεί για υπολογιστές στον τομέα Νόμος και χρήστες στην ομάδα Στελέχη Εφαρμογή πολιτικής ομάδας | |
| Ενεργοποίηση Loopback στη λειτουργία αντικατάστασης | |
| Προεπιλεγμένο επίπεδο ασφάλειας | |
| Δεν επιτρέπεται | |
| Κανόνες για το μονοπάτι | |
| %PROGRAMFILES%\Law Research Software | Απεριόριστος |
| Πρόγραμμα %PROGRAMFILES%\Mail Room | Απεριόριστος |
| %PROGRAMFILES%\Λογισμικό Λογισμικού | Απεριόριστος |
Ένας βήμα προς βήμα οδηγός για το σχεδιασμό μιας πολιτικής περιορισμού λογισμικού
Αυτή η ενότητα περιγράφει τα βήματα που πρέπει να γίνουν κατά τη διαδικασία σχεδιασμού μιας πολιτικής περιορισμού λογισμικού.
Ερωτήματα προς εξέταση
Κατά το σχεδιασμό μιας πολιτικής, είναι απαραίτητο να αποφασίσετε για τις ακόλουθες πτυχές:
Βήμα προς βήμα εκτέλεση διαδικασίας
Βήμα 1: Αντικείμενο πολιτικής ομάδας ή πολιτική τοπικής ασφάλειας
Πρέπει η πολιτική να ισχύει για πολλούς υπολογιστές ή χρήστες σε έναν τομέα ή οργανωτική μονάδα ή θα πρέπει να ισχύει μόνο για τον τοπικό υπολογιστή;
Βήμα 2: Πολιτική χρήστη ή Πολιτική υπολογιστή
Πρέπει η πολιτική να ισχύει για χρήστες ανεξάρτητα από τον υπολογιστή στον οποίο συνδέονται ή το αντίστροφο - στον υπολογιστή ανεξάρτητα από το ποιος συνδέεται;
Βήμα 3: Προεπιλεγμένο επίπεδο ασφάλειας
Γνωρίζετε όλο το λογισμικό με το οποίο θα εργαστούν οι χρήστες ή μπορούν να εγκαταστήσουν οποιοδήποτε λογισμικό επιλέξουν;
Βήμα 4. Πρόσθετοι κανόνες
Προσδιορίστε επιλεγμένες εφαρμογές που επιτρέπονται ή απορρίφθηκαν χρησιμοποιώντας τους τέσσερις τύπους κανόνων που αναφέρονται στην παραπάνω ενότητα Αρχιτεκτονική Πολιτικής Περιορισμού Λογισμικού.
Βήμα 5: Επιλογές πολιτικής
Υπάρχουν διάφορες επιλογές πολιτικής:
| Εάν χρησιμοποιείτε μια τοπική πολιτική ασφαλείας και δεν θέλετε να ισχύει για τους διαχειριστές στον τοπικό υπολογιστή, ενεργοποιήστε την επιλογή αποτροπής εφαρμογής της πολιτικής περιορισμού λογισμικού σε τοπικούς διαχειριστές ( Παράλειψη διαχειριστών). | |
| Εάν θέλετε να ελέγξετε αρχεία DLL εκτός από εκτελέσιμα αρχεία και σενάρια, ενεργοποιήστε την επιλογή Έλεγχος DLL ( Έλεγχος DLL). | |
| Εάν θέλετε να ορίσετε κανόνες για τύπους αρχείων που δεν περιλαμβάνονται από προεπιλογή στη λίστα των καθορισμένων τύπων αρχείων που θεωρούνται εκτελέσιμοι, προσθέστε επιπλέον τύπους αρχείων. | |
| Εάν θέλετε να ελέγξετε ποιος μπορεί να λαμβάνει αποφάσεις σχετικά με τη φόρτωση στοιχείων ελέγχου ActiveX και άλλου υπογεγραμμένου περιεχομένου, ορίστε τις απαιτούμενες επιλογές στο Ιδιότητες: Αξιόπιστοι εκδότες. |
Βήμα 6: Συσχετίστε την πολιτική με έναν ιστότοπο, έναν τομέα ή μια οργανωτική μονάδα
Για να συσχετίσετε ένα GPO με έναν ιστότοπο.
Για να συσχετίσετε ένα GPO με έναν τομέα ή οργανωτική μονάδα.
Διήθηση
Σε αυτό το σημείο, τα αντικείμενα πολιτικής ομάδας μπορούν να φιλτραριστούν. Με το φιλτράρισμα με βάση τη ιδιότητα μέλους ομάδας, μπορείτε να προσδιορίσετε το τμήμα της οργανωτικής μονάδας Active Directory (OU) στο οποίο θα ισχύει το GPO. Μπορείτε επίσης να φιλτράρετε με βάση τα ερωτήματα του Windows Management Instrumentation (WMI).
Δοκιμή της Πολιτικής
Εάν δεν θέλετε να περιμένετε για το επόμενο διάστημα ενημέρωσης της πολιτικής ομάδας, αλλά θέλετε να δοκιμάσετε την πολιτική σας αμέσως, εκτελέστε το πρόγραμμα gpupdate.exe και συνδεθείτε ξανά. Μετά από αυτό, μπορείτε να αρχίσετε να δοκιμάζετε την πολιτική σας.
Παρά το γεγονός ότι τα Windows περιλαμβάνουν εργαλεία για τον περιορισμό της πρόσβασης, στην πράξη αποδεικνύεται ότι δεν είναι πολύ βολικά και στις πιο συνηθισμένες καταστάσεις. Αρκεί να αναφέρουμε τόσο απλά παραδείγματα όπως ο ορισμός κωδικού πρόσβασης για έναν κατάλογο ή η απαγόρευση ανοίγματος του Πίνακα Ελέγχου.
Μπορεί να σημειωθεί ότι στα Windows 8, σε σύγκριση με τον προκάτοχό τους Windows 7, οι γονικοί έλεγχοι έχουν βελτιωθεί. Προς το παρόν είναι διαθέσιμο στην ενότητα Οικογενειακή ασφάλεια του Πίνακα Ελέγχου. Το φίλτρο έχει τις εξής δυνατότητες:
- Φιλτράρισμα επισκέψεων ιστότοπου
- Προθεσμίες
- Windows Store και περιορισμοί παιχνιδιών
- Περιορισμοί εφαρμογής
- Προβολή στατιστικών στοιχείων δραστηριότητας χρήστη
Από τα παραπάνω είναι σαφές ότι ακόμη και αυτές οι λειτουργίες θα βοηθήσουν τον διαχειριστή του υπολογιστή να λύσει πολλά συγκεκριμένα ζητήματα. Επομένως, παρακάτω θα μιλήσουμε για μικρά προγράμματα που σας επιτρέπουν να περιορίσετε την πρόσβαση σε πληροφορίες και διαμερίσματα συστήματος εκτός από τα τυπικά εργαλεία διαχείρισης του λειτουργικού συστήματος των Windows.
Άδεια χρήσης: Shareware ($69)
Το πρόγραμμα Security Administrator μοιάζει με ένα τυπικό tweaker συστήματος, αλλά με έμφαση στην ασφάλεια του συστήματος. Κάθε μία από τις επιλογές είναι υπεύθυνη για έναν συγκεκριμένο περιορισμό, γι' αυτό το δέντρο γενικών ρυθμίσεων ονομάζεται "Περιορισμοί". Χωρίζεται σε 2 ενότητες: Κοινοί Περιορισμοί και Περιορισμοί χρήστη.
Η πρώτη ενότητα περιέχει παραμέτρους και υποενότητες που ισχύουν για όλους τους χρήστες του συστήματος. Αυτά περιλαμβάνουν τη φόρτωση και τη σύνδεση στο σύστημα, το δίκτυο, τον Explorer, το ίδιο το Διαδίκτυο, το σύστημα, τον Πίνακα Ελέγχου και άλλα. Συμβατικά, μπορούν να χωριστούν σε περιορισμούς στην πρόσβαση στο διαδίκτυο και εκτός σύνδεσης, αλλά οι προγραμματιστές δεν εξέτασαν μια ιδιαίτερα περίπλοκη ανάλυση των καρτελών. Στην πραγματικότητα, αρκεί κάθε "tweak" να έχει μια περιγραφή: τι αντίκτυπο έχει αυτή ή εκείνη η επιλογή στην ασφάλεια.
Στη δεύτερη ενότητα, Περιορισμοί χρήστη, μπορείτε να διαμορφώσετε την πρόσβαση για κάθε χρήστη των Windows ξεχωριστά. Η λίστα των περιορισμών περιλαμβάνει ενότητες του Πίνακα Ελέγχου, στοιχεία διεπαφής, κουμπιά, πλήκτρα πρόσβασης, αφαιρούμενα μέσα κ.λπ.
Είναι δυνατή η εξαγωγή ρυθμίσεων σε ξεχωριστό αρχείο, ώστε να μπορεί να εφαρμοστεί, για παράδειγμα, σε άλλες διαμορφώσεις συστήματος. Το πρόγραμμα διαθέτει έναν ενσωματωμένο παράγοντα για την παρακολούθηση της δραστηριότητας των χρηστών. Τα αρχεία καταγραφής θα βοηθήσουν τον διαχειριστή να παρακολουθεί τις δυνητικά επικίνδυνες ενέργειες των χρηστών και να λαμβάνει τις κατάλληλες αποφάσεις. Η πρόσβαση στον Διαχειριστή ασφαλείας μπορεί να προστατεύεται με κωδικό πρόσβασης - στα προγράμματα που αναφέρονται παρακάτω, αυτή η επιλογή είναι επίσης διαθέσιμη de facto.
Μεταξύ των μειονεκτημάτων είναι μια μικρή λίστα προγραμμάτων για τα οποία μπορούν να εφαρμοστούν περιορισμοί: Media Player, MS Office κ.λπ. Υπάρχουν πολλές πιο δημοφιλείς και δυνητικά επικίνδυνες εφαρμογές. Αυτό που περιπλέκει τη δουλειά είναι η έλλειψη ενημερωμένης έκδοσης και τοπικής προσαρμογής για τα Windows 8 - αυτή είναι ακριβώς η επιλογή όταν είναι δύσκολο να γίνει χωρίς βασικές γνώσεις αγγλικών.
Έτσι, το πρόγραμμα έχει σχεδιαστεί τόσο για να περιορίζει την πρόσβαση όσο και για να διαμορφώνει ευέλικτα τις ρυθμίσεις ασφαλείας του λειτουργικού συστήματος.
Άδεια χρήσης: δοκιμαστικό λογισμικό (23,95 $)
Το WinLock δεν διανέμει τις ρυθμίσεις σε γενικές ρυθμίσεις και ρυθμίσεις χρήστη, υπάρχουν ενότητες "Γενικά", "Σύστημα", "Διαδίκτυο". Συνολικά, υπάρχουν λιγότερες δυνατότητες από αυτές που προσφέρει το Security Administrator, αλλά αυτή η λογική κάνει την εργασία με το πρόγραμμα πιο βολική.
Οι ρυθμίσεις συστήματος περιλαμβάνουν περιορισμούς σε στοιχεία στην επιφάνεια εργασίας, στην Εξερεύνηση, στο μενού Έναρξη και παρόμοια. Μπορείτε επίσης να ορίσετε απαγόρευση σε ορισμένα πλήκτρα συντόμευσης και διάφορα μενού. Εάν ενδιαφέρεστε μόνο για αυτές τις πτυχές των περιορισμών, ανατρέξτε στο πρόγραμμα Deskman παρακάτω.
Οι περιορισμοί των λειτουργιών του Διαδικτύου παρουσιάζονται πολύ επιφανειακά. Αντικαθιστούν ένα από τα στοιχεία της Οικογενειακής Ασφάλειας: τον αποκλεισμό της πρόσβασης σε ιστότοπους. Φυσικά, οποιοδήποτε τείχος προστασίας από αυτή την άποψη θα είναι η βέλτιστη λύση. Η έλλειψη της δυνατότητας να ορίσετε τουλάχιστον μια μάσκα για ιστοσελίδες καθιστά αυτήν την ενότητα του WinLock μικρής σημασίας για έναν έμπειρο χρήστη.
Εκτός από τις παραπάνω ενότητες, θα πρέπει να γίνει αναφορά στην «Πρόσβαση», όπου είναι διαθέσιμη η διαχείριση εφαρμογών. Οποιοδήποτε πρόγραμμα μπορεί εύκολα να μπει στη μαύρη λίστα με το όνομα ή με μη αυτόματη προσθήκη.
Στις ενότητες "Αρχεία" και "Φάκελοι" μπορείτε να τοποθετήσετε δεδομένα που θέλετε να αποκρύψετε από άλλους χρήστες. Ίσως δεν υπάρχει αρκετή προστασία με κωδικό πρόσβασης για πρόσβαση (για αυτό πρέπει να απευθυνθείτε στη βοήθεια άλλων προγραμμάτων, δείτε παρακάτω).
Άδεια χρήσης: δωρεάν λογισμικό
Το WinGuard μπορεί να χρησιμοποιηθεί για κλείδωμα εφαρμογών και κατατμήσεων των Windows, καθώς και για κρυπτογράφηση δεδομένων. Το πρόγραμμα διανέμεται σε δύο εκδόσεις - δωρεάν και για προχωρημένους. Οι λειτουργικές διαφορές μεταξύ τους είναι μικρές - αρκετές επιλογές στην καρτέλα "Για προχωρημένους" με το ίδιο όνομα. Αυτά περιλαμβάνουν την απενεργοποίηση του Internet Explorer, του Explorer, τη διαδικασία εγκατάστασης και την εγγραφή αρχείων σε USB.
Ο έλεγχος της εκκίνησης των εφαρμογών πραγματοποιείται στην καρτέλα "Κλείδωμα εργασιών". Εάν το πρόγραμμα που χρειάζεστε δεν βρίσκεται στη λίστα, μπορείτε να το προσθέσετε μόνοι σας, καθορίζοντας το όνομα στον τίτλο ή επιλέγοντάς το από τη λίστα των ανοιχτών εφαρμογών (παρόμοια με το WinLock). Εάν συγκρίνουμε τη λειτουργία αποκλεισμού με το Security Administrator, στην περίπτωση του WinGuard μπορείτε να απενεργοποιήσετε τους περιορισμούς για τον λογαριασμό διαχειριστή. Ωστόσο, δεν μπορείτε να διαμορφώσετε μια μαύρη λίστα εφαρμογών ανά χρήστη.
Η κρυπτογράφηση είναι διαθέσιμη μέσω της ενότητας Κρυπτογράφηση. Η διεπαφή χρήστη υλοποιείται άβολα: δεν μπορείτε να δημιουργήσετε μια λίστα για επεξεργασία, δεν υπάρχει μενού περιβάλλοντος. Το μόνο που χρειάζεται να κάνετε είναι να καθορίσετε τον κατάλογο, ο οποίος θα είναι και η πηγή και ο προορισμός. Όλα τα περιεχόμενα αρχεία θα κρυπτογραφηθούν με 128-bit AES (Advanced Encryption Standard). Η αποκρυπτογράφηση γίνεται με τον ίδιο τρόπο.
Έτσι, η λειτουργικότητα είναι αρκετά κακή, ακόμη και αν λάβουμε υπόψη την πληρωμένη έκδοση.
Άδεια χρήσης: shareware (34,95 $)
Ένα άλλο πρόγραμμα για την κρυπτογράφηση δεδομένων AES, και όμως η διαφορά από το WinGuard είναι αρκετά αισθητή.
Πρώτον, η επιλογή αρχείων για κρυπτογράφηση είναι πιο γρήγορη. Δεν χρειάζεται να επιλέξετε κάθε φάκελο ξεχωριστά, απλώς κάντε μια λίστα καταλόγων και αρχείων. Κατά την προσθήκη Advanced Folder Encryption, απαιτείται να ορίσετε έναν κωδικό πρόσβασης κρυπτογράφησης.
Εσείς, το πρόγραμμα δεν σας επιτρέπει να καθορίσετε τη μέθοδο προστασίας, μπορείτε να επιλέξετε τη μέθοδο Norman, High ή Highest.
Το δεύτερο βολικό σημείο είναι η κρυπτογράφηση μέσω του μενού περιβάλλοντος και η αποκρυπτογράφηση αρχείων με ένα κλικ. Πρέπει να καταλάβετε ότι χωρίς την εγκατάσταση της Advanced Folder Encryption, τα δεδομένα δεν μπορούν να προβληθούν ακόμα και αν γνωρίζετε τον κωδικό πρόσβασης. Αυτό έρχεται σε αντίθεση με τα αρχεία αρχειοθέτησης, τα οποία μπορούν να χρησιμοποιηθούν για τη συσκευασία αρχείων σε ένα κρυπτογραφημένο και προσβάσιμο αρχείο exe παντού.
Όταν επιλέγετε μεγάλο αριθμό αρχείων για κρυπτογράφηση, όπως σημειώθηκε, το κουμπί ακύρωσης δεν λειτουργεί. Επομένως, πρέπει να προσέχετε να μην καταλήξετε με ένα κατεστραμμένο αρχείο.
Άδεια χρήσης: δοκιμαστικό λογισμικό (39 €)
Ένα πρόγραμμα για τον περιορισμό της πρόσβασης σε στοιχεία διεπαφής και ενότητες συστήματος. Ίσως, εδώ είναι σκόπιμο να το συγκρίνουμε με το Security Administrator, με τη διαφορά ότι το Deskman είναι πιο συγκεντρωμένο στο Desktop. Υπάρχουν επίσης επιλογές συστήματος, αλλά αυτό είναι μάλλον κάτι που δεν ταιριάζει σε άλλες ενότητες: απενεργοποίηση κουμπιών επανεκκίνησης, Πίνακας Ελέγχου και άλλες μικτές επιλογές.
Στην ενότητα Εισαγωγή - απενεργοποιήστε τα πλήκτρα συντόμευσης, τα κουμπιά λειτουργιών και τις λειτουργίες του ποντικιού. Εκτός από την υπάρχουσα λίστα, μπορείτε να ορίσετε μόνοι σας συντομεύσεις πληκτρολογίου.
Μια ενδιαφέρουσα επιλογή είναι το Freeze, το οποίο είναι διαθέσιμο στη γραμμή εργαλείων. Κάνοντας κλικ σε αυτό, σχηματίζεται μια «λευκή λίστα» των εφαρμογών που εκτελούνται αυτή τη στιγμή. Συνεπώς, τα προγράμματα που δεν περιλαμβάνονται στη λίστα επιτρεπόμενων δεν είναι διαθέσιμα μέχρι να απενεργοποιηθεί η λειτουργία Πάγωμα.
Μια άλλη ευκαιρία που σχετίζεται με ήδη online είναι η ασφαλής περιήγηση στο διαδίκτυο. Η ουσία της "προστατευμένης" μεθόδου είναι ότι θα είναι προσβάσιμες μόνο εκείνες οι σελίδες που περιέχουν συγκεκριμένες λέξεις-κλειδιά στον τίτλο. Αυτή η συνάρτηση μπορεί να ονομαστεί μόνο πειραματική. Επιπλέον, η έμφαση δίνεται στον Internet Explorer, ο οποίος είναι σίγουρα το τυπικό πρόγραμμα περιήγησης, αλλά σαφώς όχι το μοναδικό.
Θα πρέπει να σημειωθεί ότι το πρόγραμμα είναι βολικό στη διαχείριση. Για να εφαρμόσετε όλους τους καθορισμένους περιορισμούς, απλώς πατήστε το κουμπί "Secure" στον πίνακα ή το πλήκτρο αφεντικό για να καταργήσετε τους περιορισμούς. Το δεύτερο σημείο είναι ότι η απομακρυσμένη πρόσβαση στο πρόγραμμα υποστηρίζεται μέσω μιας διεπαφής ιστού. Μετά την προκαταρκτική διαμόρφωση, είναι διαθέσιμο στη διεύθυνση http://localhost:2288/deskman ως πίνακας ελέγχου. Αυτό σας επιτρέπει να παρακολουθείτε τη δραστηριότητα των χρηστών (προβολή αρχείων καταγραφής), να εκτελείτε προγράμματα, να κάνετε επανεκκίνηση του υπολογιστή/αποσύνδεσης - τόσο σε ένα όσο και σε πολλά μηχανήματα.
Κωδικός πρόσβασης για το Drive (Ασφαλές NTFS)
Άδεια χρήσης: shareware ($21)
Το πρόγραμμα λειτουργεί μόνο με το σύστημα αρχείων NTFS και χρησιμοποιεί τις δυνατότητές του για την αποθήκευση πληροφοριών σε μια κρυφή περιοχή.
Για να δημιουργήσετε ένα θησαυροφυλάκιο, πρέπει να εκτελέσετε το Password for Drive με δικαιώματα διαχειριστή και να επιλέξετε τη μονάδα δίσκου για να δημιουργήσετε το θησαυροφυλάκιο. Στη συνέχεια, τα αρχεία μπορούν να αντιγραφούν στην προστατευμένη περιοχή χρησιμοποιώντας έναν εικονικό δίσκο. Δεν απαιτούνται δικαιώματα διαχειριστή για την πρόσβαση σε δεδομένα από άλλον υπολογιστή.
Μπορείτε επίσης να χρησιμοποιήσετε αφαιρούμενα μέσα ως αποθηκευτικό χώρο. Για να το κάνετε αυτό, πρέπει πρώτα να μορφοποιήσετε το δίσκο, για παράδειγμα, χρησιμοποιώντας τυπικά εργαλεία των Windows, σε NTFS και να εγκαταστήσετε το Password for Drive στη φορητή έκδοση.
Το πρόγραμμα δεν έχει μια διαισθητική και φιλική προς το χρήστη διεπαφή, στην πραγματικότητα, ο έλεγχος πραγματοποιείται από ένα ελάχιστο σύνολο κουμπιών - "Άνοιγμα" / "Διαγραφή αποθηκευτικού χώρου" και "Ενεργοποίηση δίσκου". Στη λειτουργία επίδειξης, είναι δυνατή μόνο η δοκιμή της λειτουργικότητας του προγράμματος, καθώς ο αριθμός των ανοιγμάτων αποθήκευσης περιορίζεται σε εκατό.
Άδεια χρήσης: shareware (19,95 $)
Το πρόγραμμα έχει σχεδιαστεί για την εγκατάσταση δεδομένων κωδικού πρόσβασης σε αφαιρούμενα μέσα.
Σε αντίθεση με το Secure NTFS, το παράθυρο διαλόγου εγκατάστασης είναι πολύ πιο διαισθητικό, χάρη στον οδηγό εγκατάστασης. Έτσι, για να εφαρμόσετε προστασία, πρέπει να συνδέσετε τη συσκευή στον υπολογιστή σας, να την επιλέξετε στη λίστα και να ακολουθήσετε τον οδηγό εγκατάστασης. Μετά από αυτή τη διαδικασία, ο χρήστης λαμβάνει στη διάθεσή του έναν προστατευμένο με κωδικό πρόσβασης δίσκο. Για να ξεκλειδώσετε, απλώς εκτελέστε το αρχείο exe στη ρίζα του δίσκου και εισαγάγετε τον κωδικό πρόσβασης.
Όταν ανοίξει, ένας κρυπτογραφημένος δίσκος είναι διαθέσιμος ως εικονικός δίσκος, με τον οποίο μπορείτε να εκτελέσετε τις ίδιες λειτουργίες όπως με τον αρχικό. Μην ξεχνάτε ότι σε υπολογιστές όπου απαγορεύεται η εκκίνηση προγραμμάτων τρίτων (όχι στη λευκή λίστα), η πρόσβαση στο περιεχόμενο θα απαγορεύεται.
Μπορείτε επίσης να κατεβάσετε άλλα προγράμματα για την προστασία δεδομένων στον ιστότοπο των προγραμματιστών, όπως:
- Shared Folder Protector - προστασία αρχείων εντός του δικτύου.
- Folder Protector - προστατεύει τα αρχεία σε αφαιρούμενα μέσα.
Άδεια χρήσης: δωρεάν λογισμικό
Ένα μικρό βοηθητικό πρόγραμμα που σας επιτρέπει να ελέγχετε την πρόσβαση των χρηστών στο Μητρώο και τα αρχεία και να βρίσκετε ευπάθειες σε παραχωρημένα δικαιώματα. Με άλλα λόγια, το πρόγραμμα θα είναι χρήσιμο εάν τα δικαιώματα πρόσβασης οριστούν χρησιμοποιώντας εργαλεία των Windows.
Η ευκολία του βοηθητικού προγράμματος έγκειται στο γεγονός ότι το λειτουργικό σύστημα απλά δεν παρέχει εργαλεία για την προβολή δικαιωμάτων πρόσβασης σε καταλόγους με τη μορφή λεπτομερούς λίστας. Εκτός από τα αρχεία, μπορείτε επίσης να ελέγξετε την πρόσβαση σε κλάδους μητρώου.
Για να ελέγξετε τα δικαιώματα πρόσβασης, πρέπει να καθορίσετε τον κατάλογο ή την ενότητα Μητρώο για σάρωση και να ξεκινήσετε τη διαδικασία σάρωσης. Τα αποτελέσματα εμφανίζονται με τη μορφή στηλών “Read”/”Write”/”Deny” που αντιστοιχούν στις διευθύνσεις. Μπορείτε να αποκτήσετε πρόσβαση στις ιδιότητες κάθε στοιχείου λίστας μέσω του μενού περιβάλλοντος.
Το πρόγραμμα λειτουργεί σε όλα τα λειτουργικά συστήματα της οικογένειας Windows NT.
Περίληψη
Τα βοηθητικά προγράμματα που συζητήθηκαν στην ανασκόπηση μπορούν να χρησιμοποιηθούν εκτός από τα βασικά εργαλεία των Windows, ολοκληρωμένα και επιπρόσθετα μεταξύ τους. Δεν μπορούν να ταξινομηθούν ως «γονικοί έλεγχοι»: ορισμένες λειτουργίες είναι κάπως παρόμοιες, αλλά ως επί το πλείστον δεν είναι ίδιες.
Και - βοηθητικά προγράμματα-tweakers ρυθμίσεων ασφαλείας, τα οποία μπορούν επίσης να χρησιμοποιηθούν για την απενεργοποίηση στοιχείων επιφάνειας εργασίας, κατατμήσεων συστήματος κ.λπ. Το WinLock, επιπλέον, διαθέτει ενσωματωμένο φίλτρο Internet και δυνατότητα αποκλεισμού αρχείων και φακέλων.
Οι λειτουργίες περιλαμβάνουν περιορισμό πρόσβασης στη διεπαφή (ανώτερη σε ευελιξία), έλεγχο εκκίνησης εφαρμογών και φίλτρο Internet.
Συνδυάζει τις λειτουργίες ενός κρυπτογραφητή και ενός περιοριστή πρόσβασης σε προγράμματα και συσκευές. Είναι λογικό να το θεωρήσουμε ως αντικατάσταση του WinGuard όσον αφορά την κρυπτογράφηση.
Και περιορίζουν την πρόσβαση σε δεδομένα σε αφαιρούμενα μέσα.
Ένα δωρεάν, βολικό κέλυφος για τον έλεγχο των δικαιωμάτων πρόσβασης των χρηστών σε αρχεία και στο Μητρώο.
Για τη βελτίωση της ασφάλειας των δικτύων (ιδιαίτερα των τομέων που βασίζονται σε Active Directory), χρησιμοποιούνται πολιτικές περιορισμού λογισμικού. Αυτό το στοιχείο υπάρχει σε οποιοδήποτε GPO.
Αλλά όταν χρησιμοποιώ αυτό το στοιχείο, υπάρχουν μερικά σημεία που ξέχασα κάποτε και ως αποτέλεσμα κατέληξα με μια επιδημία διακοσμήσεων της Πρωτοχρονιάς στους επιτραπέζιους υπολογιστές των χρηστών σε όλο το δίκτυο.
Λοιπόν, θα σας πω για τις στιγμές που δεν πρέπει να ξεχάσετε.
Δημιουργώντας ένα νέο GPO και επεξεργαζόμενοι ένα υπάρχον, ανοίξτε το στο πρόγραμμα επεξεργασίας πολιτικής ομάδας:
Επέκταση του κλάδου Διαμόρφωση υπολογιστή -> Διαμόρφωση Windows -> Ρυθμίσεις ασφαλείας, επιλέξτε μια ενότητα Πολιτικές περιορισμού λογισμικού. Από προεπιλογή, αυτές οι πολιτικές δεν έχουν οριστεί:
Δημιουργήστε μια πολιτική:
Από προεπιλογή, όλα τα προγράμματα επιτρέπεται να εκτελούνται ( Επίπεδο ασφαλείας - Απεριόριστος ). Ορίστε το προεπιλεγμένο επίπεδο Δεν επιτρέπεται :
Αλλά τώρα είναι σημαντικό να μην ξεχνάτε τα εξής:
1. Στην ενότητα Πρόσθετοι κανόνεςαφαιρέστε την παράμετρο %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%. Αυτή η ρύθμιση επιτρέπει όλα τα προγράμματα που βρίσκονται στοΑρχεια προγραμματος.
Αυτό το βήμα οφείλεται στο γεγονός ότι ο χρήστης, έχοντας δικαιώματα εγγραφής στο φάκελο Αρχεια προγραμματος , μπορεί να αποθηκεύσει ένα εκτελέσιμο αρχείο εκεί και να το εκτελέσει, κάτι που μπορεί να οδηγήσει σε παραβίαση της ασφάλειας του συστήματος. Καταργώντας αυτήν την επιλογή, στερούμε από τον χρήστη αυτή την ευκαιρία. Φυσικά, πρέπει να θυμάστε να καταχωρείτε κατακερματισμούς επιτρεπόμενων προγραμμάτων από Αρχεια προγραμματος στην ενότητα Πρόσθετοι κανόνες.
2. Στην ενότητα Πολιτικές περιορισμού λογισμικού στη ρύθμιση Enforced Από προεπιλογή, η πολιτική έχει οριστεί να ισχύει Για όλους τους χρήστες. Θα πρέπει να εγκατασταθεί Για όλους τους χρήστες εκτός από τους τοπικούς διαχειριστές.
Αυτό είναι απαραίτητο ώστε τα μέλη της τοπικής ομάδας Διαχειριστέςθα μπορούσε, εάν είναι απαραίτητο, να εγκαταστήσει προγράμματα, να ξεκινήσει τα απαραίτητα βοηθητικά προγράμματα κ.λπ.
3. Στην ενότητα Πολιτικές περιορισμού λογισμικού στην παράμετρο Αντιστοιχισμένοι τύποι αρχείων θα πρέπει να αφαιρέσετε τον τύπο αρχείου από τη λίστα LNK (Συντόμευση) .
Κατάργηση τύπου αρχείου LNK (Συντόμευση) απαραίτητο ώστε να μην καθορίζεται άδεια εκτέλεσης στην πολιτική για κάθε συντόμευση στον υπολογιστή.
Τέλος, θα ήθελα να σημειώσω ότι όλα τα παραπάνω τα έγραψα κυρίως ως υπενθύμιση για τον εαυτό μου και οι συστάσεις που δίνονται δεν είναι η «απόλυτη αλήθεια».
ΜΟΣΧΑ, 20 Δεκεμβρίου. /TASS/. Ο Γραμματέας Τύπου του Ρώσου Προέδρου Ντμίτρι Πεσκόφ χαρακτήρισε τη χρήση ενός smartphone εθελοντικό επιδεικισμό. Συμπεριλαμβανομένης αυτής της υπερβολικής διαφάνειας, ο αρχηγός του κράτους Βλαντιμίρ Πούτιν δεν χρησιμοποιεί κινητό τηλέφωνο. Αυτό δήλωσε εκπρόσωπος του Κρεμλίνου σε συνέντευξή του στο τηλεοπτικό κανάλι Rossiya-24.
Απαντώντας στην ερώτηση εάν ο αρχηγός του κράτους έχει smartphone, ο Πεσκόφ είπε: «Από όσο ξέρω, όχι δεν έχει τηλέφωνο».
«Μην ξεχνάτε ότι το να έχετε ένα smartphone είναι τόσο εθελοντικός, πλήρης διαφάνεια, όταν σηκώνετε ένα smartphone, προφανώς τσεκάρετε το πλαίσιο ότι είμαι έτοιμος να βάλω τα πάντα σε δημόσια προβολή είναι ο τρόπος με τον οποίο λειτουργεί ο κόσμος, και πρέπει να το γνωρίζετε, επομένως, αυτό δεν πρέπει να συμβεί σε έναν πρόεδρο, ειδικά σε μια χώρα όπως η Ρωσία, και σε έναν πρόεδρο όπως ο Πούτιν.
Σύμφωνα με τον ίδιο, «τα παλιά καλά κλειστά κυβερνητικά τηλέφωνα επικοινωνιών θα ξεπεράσουν όλα τα smartphone».
Χρήση εκτυπώσεων
Ο εκπρόσωπος του Κρεμλίνου είπε επίσης ότι οι φάκελοι με εκτυπώσεις εξακολουθούν να χρησιμοποιούνται κατά την προετοιμασία ενημερωτικού υλικού για τον πρόεδρο. «Υπάρχουν φάκελοι με εκτυπώσεις, υπάρχουν ανακεφαλαιώσεις που γίνονται σε χαρτί, τηλεοπτικές ανακεφαλαιώσεις που γίνονται σε ηλεκτρονικά μέσα, αλλά ο ίδιος ο πρόεδρος μπορεί να παρακολουθήσει το Διαδίκτυο, παραδοσιακά, και την τηλεόραση στον υπολογιστή», πρόσθεσε.
Απαντώντας στο ερώτημα εάν συμβουλεύεται τον πρόεδρο πριν σχολιάσει για τα μέσα ενημέρωσης για τη συγκεκριμένη ή εκείνη ηχηρή δήλωση ξένου ηγέτη, ο Πεσκόφ εξήγησε ότι «αν χρειαστεί, υπάρχει πάντα η ευκαιρία να ρωτήσω τη θέση του προέδρου».
Ως παράδειγμα, ο δημοσιογράφος ανέφερε μια πρόσφατη δήλωση του Προέδρου της Ουκρανίας, ο οποίος χαρακτήρισε πόλεμο το περιστατικό στα στενά του Κερτς. Ο Πεσκόφ σημείωσε ως απάντηση σε αυτό ότι «υπάρχουν πολλές καταστάσεις όπου η θέση της Ρωσίας είναι συνεπής και γνωστή».
«Τέτοιες δηλώσεις του Προέδρου της Ουκρανίας, δεν υπάρχει τίποτα καινούργιο σε αυτές, ήταν μια προφανής απόπειρα πρόκλησης, οπότε δεν υπάρχει καινοτομία σε αυτήν, προστέθηκε μόνο η προεκλογική παλέτα που ενίσχυσε τα προκλητικά στοιχεία τη ρητορική της ουκρανικής ηγεσίας», πρόσθεσε ο γραμματέας Τύπου.
Σε κάθε οργανισμό υπάρχουν χρήστες που προσπαθούν να χρησιμοποιήσουν τους πόρους του Δικτύου
για τους σκοπούς σας. Ως αποτέλεσμα, παρά τα εγκατεστημένα προγράμματα προστασίας από ιούς και τείχη προστασίας,
τα συστήματα πελατών αρχίζουν να κατακλύζονται από ιούς, Trojans, κακόβουλο λογισμικό και κακόβουλα
προγράμματα που προκαλούν περιοδικά δυσλειτουργία των Windows. Ναι και τα αφεντικά
απαιτεί την αφαίρεση περιττών πραγμάτων από τους υπολογιστές (παιχνίδια, συνομιλίες, μαθήματα), έλεγχος
χρήση της κυκλοφορίας και ορίστε απαγόρευση σύνδεσης μονάδων flash. Φυσικά,
Τα προβλήματα επίλυσης καταστάσεων πέφτουν στους ώμους του διαχειριστή.
Πολιτικές ομάδας
Το Group Policies (GPO) είναι ένα βολικό και λειτουργικό εργαλείο που επιτρέπει
διαχειριστείτε τις ρυθμίσεις ασφαλείας των Windows. Με αυτό μπορείτε να διαμορφώσετε
πολλές παραμέτρους λειτουργικού συστήματος. Δυστυχώς, τα περισσότερα από αυτά περιγράφονται κακώς
λογοτεχνία και οι αρχάριοι διαχειριστές συχνά δεν γνωρίζουν καν τι δυνατότητες έχουν
στο χερι. Επιπλέον, οι πολιτικές ομάδας εξελίσσονται συνεχώς και σε νέες εκδόσεις
Τα λειτουργικά συστήματα (καθώς και τα Service Pack) Τα GPO λαμβάνουν νέες δυνατότητες. Μάθετε τις διαφορές και
Οι διαθέσιμες παράμετροι είναι αρκετά απλές - πραγματοποιήστε λήψη της λίστας "Group" από τον ιστότοπο της Microsoft
Αναφορά ρυθμίσεων πολιτικής" για το λειτουργικό σύστημα που χρησιμοποιείται.
Στο Win2k8, η διαχείριση των GPO γίνεται με χρήση της κονσόλας πολιτικής ομάδας
Κονσόλα διαχείρισης (GPMC.msc) 2.0. Οι ρυθμίσεις ασφαλείας γίνονται στο υποκατάστημα
"Διαμόρφωση υπολογιστή - Διαμόρφωση Windows - Ρυθμίσεις ασφαλείας" (Υπολογιστής
Διαμόρφωση - Ρυθμίσεις Windows - Ρυθμίσεις ασφαλείας). Υπάρχουν πολλά εδώ
ρυθμίσεις με τις οποίες μπορείτε να ορίσετε πολιτικές κωδικών πρόσβασης, ορίστε
αποκλεισμός λογαριασμού, εκχώρηση δικαιωμάτων πρόσβασης, καθιέρωση διαδικασίας ελέγχου,
πολιτικές μητρώου, σύστημα αρχείων, NAP, ασφάλεια IP και πολλά άλλα.
Ας δούμε τα πιο ενδιαφέροντα από αυτά.
Επιλέξτε την ομάδα πολιτικών "Εκχώρηση δικαιωμάτων χρήστη" στην κονσόλα. Πολιτική
Το "Δημιουργία αντιγράφων ασφαλείας αρχείων και καταλόγων" σάς επιτρέπει να αγνοήσετε τα δικαιώματα αρχείων όταν
λειτουργίες δημιουργίας αντιγράφων ασφαλείας. Θα πρέπει να είναι σαφές ποιοι θα συμπεριληφθούν
σε μια τέτοια ομάδα, δεδομένου ότι τα δικαιώματα δημιουργίας αντιγράφων ασφαλείας παραχωρούνται σε
οποιοσδήποτε τρόπος μπορεί να οδηγήσει σε διαρροή εταιρικών δεδομένων. Φόρτωση και
Το "Load and Unload Device" σάς επιτρέπει να εγκαταστήσετε
προγράμματα οδήγησης μετά τη ρύθμιση του συστήματος. εδώ είναι καλύτερα να αφήσετε μόνο στη λίστα
διαχειριστές, έτσι ώστε οι χρήστες να μην μπορούν να συνδεθούν ανεξάρτητα με τρίτους
συσκευές. Ενεργοποιώντας το "Program Debugging", θα παρέχουμε στον χρήστη την ευκαιρία
συνδέστε ένα πρόγραμμα εντοπισμού σφαλμάτων σε οποιαδήποτε διεργασία ή πυρήνα και θα καταλάβετε τι είναι
κίνδυνος. Από προεπιλογή, αυτό περιλαμβάνει μόνο την ομάδα διαχειριστών, αλλά σε οργανισμούς
ασχολείστε με την ανάπτυξη λογισμικού, είτε σας αρέσει είτε όχι, θα πρέπει να δώσετε ένα τέτοιο δικαίωμα.
Ως εκ τούτου, είναι απαραίτητο να παρακολουθείται η νομιμότητα της χρήσης του.
Δώστε ιδιαίτερη προσοχή στις πολιτικές στην ομάδα "Ρυθμίσεις ασφαλείας", όπου υπάρχουν πολλές
χρήσιμα σημεία. Για παράδειγμα, μπορούμε: να απενεργοποιήσουμε τη δυνατότητα ανώνυμης πρόσβασης
πόρους δικτύου, μετονομάστε τον λογαριασμό επισκέπτη (αν χρησιμοποιείται και
απαραίτητη). Στις πολιτικές που ξεκινούν με "Συσκευή", με ένα κλικ μπορείτε
αποκλεισμός της δυνατότητας σύνδεσης και διαμόρφωσης αφαιρούμενων συσκευών,
δισκέτες, συμπαγείς δίσκους και εξωτερικούς σκληρούς δίσκους. Για πρώτη φορά, μετατοπίστε τις πολιτικές αποκλεισμού
συσκευές εμφανίστηκαν σε Vista και Win2k8. Προηγουμένως, για τους σκοπούς αυτούς ήταν απαραίτητο
χρησιμοποιήστε προγράμματα τρίτων όπως το DeviceLock. Στο ίδιο
καρτέλα επιτρέψτε ή απορρίψτε τη σύνδεση του εκτυπωτή στην επιλεγμένη ομάδα
χρήστες.
Πολιτικές περιορισμού λογισμικού
Ένα από τα πιο σημαντικά στο πλαίσιο του άρθρου θα είναι η ομάδα των GPO "Πολιτικές"
Πολιτικές περιορισμού λογισμικού (SRP).
Εδώ μπορείτε να διαμορφώσετε περιορισμούς για την εκτέλεση εφαρμογών σε υπολογιστές, ξεκινώντας από
WinXP και νεότερη έκδοση. Η αρχή των ρυθμίσεων συμπίπτει με τις ρυθμίσεις των κανόνων του τείχους προστασίας:
ο διαχειριστής καθορίζει μια λίστα εφαρμογών που επιτρέπεται να εκτελούνται
συστήματα του οργανισμού, και βάζει απαγόρευση στα υπόλοιπα. Ή το κάνει αντίστροφα:
επιτρέπει τα πάντα και στη συνέχεια μπλοκάρει ότι δεν χρειάζεται όπως χρειάζεται. Εδώ
Κάθε διαχειριστής επιλέγει τι είναι πιο βολικό για αυτόν. Συνιστάται η δημιουργία ξεχωριστού αντικειμένου
GPO για SRP, ώστε να μπορείτε πάντα να επαναφέρετε τις αλλαγές εάν είναι απαραίτητο
ή αντιμετωπίζετε προβλήματα με την εκκίνηση των απαραίτητων εφαρμογών.
Από προεπιλογή, τα SRP είναι απενεργοποιημένα. Για να τα ενεργοποιήσετε, μεταβείτε στην καρτέλα
"Πολιτικές περιορισμού λογισμικού" (στο Computer Configuration and
Η "Ρύθμιση παραμέτρων χρήστη" έχει τα δικά της στοιχεία) και επιλέξτε στο μενού περιβάλλοντος
"Δημιουργία Πολιτικής Περιορισμού Λογισμικού" (Νέο Λογισμικό
Περιοριστικές Πολιτικές). Το προεπιλεγμένο επίπεδο ασφάλειας είναι
«Απεριόριστη», δηλαδή, καθορίζεται η πρόσβαση του προγράμματος στους πόρους
Δικαιώματα χρήστη NTFS. Επιτρέπεται η εκτέλεση οποιωνδήποτε εφαρμογών εκτός από αυτές που καθορίζονται ως
απαγορευμένος. Για να αλλάξετε το επίπεδο, πρέπει να μεταβείτε στον υποφάκελο "Επίπεδα".
Ασφάλεια", όπου υπάρχουν σημεία ενεργοποίησης για δύο ακόμη πολιτικές - "Δεν επιτρέπεται",
στις οποίες υπάρχει άρνηση εκκίνησης οποιωνδήποτε εφαρμογών εκτός από αυτές που επιτρέπονται ρητά
διαχειριστής Η πολιτική Βασικού Χρήστη που εμφανίζεται στο GPO
ξεκινώντας με τα Vista, σας επιτρέπει να καθορίσετε προγράμματα που θα έχουν πρόσβαση σε πόρους
με κανονικά δικαιώματα χρήστη, ανεξάρτητα από το ποιος τα ξεκίνησε.
Σε έναν οργανισμό με αυξημένες απαιτήσεις ασφάλειας πληροφοριών, είναι καλύτερα
καθορίστε μόνοι σας τη λίστα των επιτρεπόμενων προγραμμάτων, επομένως κάντε διπλό κλικ
"Απαγορεύεται" και στο παράθυρο που εμφανίζεται, κάντε κλικ στο κουμπί "Ορισμός ως προεπιλογής".
ως προεπιλογή). Οι πληροφορίες στο παράθυρο που εμφανίζεται θα σας ενημερώσουν ότι το επιλεγμένο επίπεδο είναι
πιο περιοριστικό και ορισμένα προγράμματα ενδέχεται να μην λειτουργούν μετά την ενεργοποίησή του.
Επιβεβαιώνουμε τις αλλαγές. Τώρα μεταβείτε στον υποφάκελο "Πρόσθετοι κανόνες".
Μόλις ενεργοποιηθεί το SRP, δημιουργούνται δύο πολιτικές που παρακάμπτουν την προεπιλογή και
περιγράφοντας εξαιρέσεις για τους καταλόγους %SystemRoot% και %ProgramFilesDir%. Επιπλέον, σύμφωνα με
Από προεπιλογή, οι πολιτικές τους έχουν οριστεί σε "Απεριόριστες". Δηλαδή μετά
ενεργοποιώντας την πολιτική "Απαγορευμένο", τα προγράμματα συστήματος θα εκτελούνται σε οποιαδήποτε
υπόθεση. Το μενού περιβάλλοντος προσφέρει 4 στοιχεία για τις πολιτικές μικρορύθμισης. ΜΕ
χρησιμοποιώντας τους μπορείτε να καθορίσετε: έναν κανόνα για τη διαδρομή (διαδρομή προς έναν κατάλογο, αρχείο ή κλάδο
μητρώο), ζώνες δικτύου (Διαδίκτυο, αξιόπιστο δίκτυο κ.λπ.), κατακερματισμός (καθορίστε
ένα ξεχωριστό αρχείο από το οποίο δημιουργείται ένας κατακερματισμός, που επιτρέπει τον προσδιορισμό του
αναμφισβήτητα, ανεξάρτητα από τη διαδρομή) και το πιστοποιητικό εκδότη (για παράδειγμα, Microsoft,
Adobe, κλπ.). Ταυτόχρονα, μια ξεχωριστή πολιτική έχει το δικό της επίπεδο ασφάλειας και
μπορείτε εύκολα να αποτρέψετε την εκτέλεση όλων των αρχείων από τον κατάλογο, επιτρέποντας μόνο την εκτέλεση
ξεχωριστός. Οι κανόνες κατακερματισμού έχουν προτεραιότητα έναντι άλλων και είναι οι περισσότεροι
Παγκόσμιος. Είναι αλήθεια, λαμβάνοντας υπόψη το γεγονός ότι ο κατακερματισμός ορισμένων εφαρμογών συστήματος
(το ίδιο Σημειωματάριο) θα είναι διαφορετικό σε διαφορετικές εκδόσεις λειτουργικού συστήματος, από τη διαδικασία
Είναι καλύτερα να προσεγγίσετε προσεκτικά τη δημιουργία κατακερματισμού.
Εάν κάνετε κλικ στην ετικέτα "Πολιτικές περιορισμού λογισμικού",
θα έχουμε πρόσβαση σε άλλες τρεις ρυθμίσεις. Επιλέγοντας την πολιτική επιβολής
θα ανοίξει ένα παράθυρο διαλόγου στο οποίο καθορίζουμε εάν θα εφαρμοστεί SRP σε όλα τα αρχεία
ή εξαιρέστε το DLL (προεπιλογή). Λαμβάνοντας υπόψη τον αριθμό των DLL στο σύστημα,
Η ενεργοποίηση του ελέγχου όλων των αρχείων θα απαιτήσει πρόσθετους πόρους, επομένως
Επιλέγουμε την προσαρμοσμένη επιλογή μόνο όταν είναι πραγματικά απαραίτητο. Με
Από προεπιλογή, οι πολιτικές είναι σχετικές για όλους τους χρήστες χωρίς εξαίρεση, αλλά σε
ρυθμίσεις, προτείνεται η κατάργηση του ελέγχου των δραστηριοτήτων των τοπικών διαχειριστών. ΣΕ
Το τρίτο πεδίο επιτρέπει την υποστήριξη κανόνων πιστοποιητικού. Τέτοιες πολιτικές επίσης
επιβραδύνουν το σύστημα και είναι απενεργοποιημένα από προεπιλογή.
Η πολιτική Εκχωρημένοι τύποι αρχείων καθορίζει τους τύπους αρχείων που
τα οποία θεωρούνται εκτελέσιμα. Η λίστα περιέχει ήδη όλες τις δημοφιλείς επεκτάσεις, αλλά
αν χρησιμοποιείται κάτι δικό μας, προσθέστε το/τα στη λίστα. Και τέλος, μέσα
Ορίζουμε "Αξιόπιστους εκδότες" αυτούς που μπορούν (χρήστης ή/και διαχειριστής) να προσθέσουν
αίτηση υπογεγραμμένη με ένα αξιόπιστο πιστοποιητικό, καθώς και να καθορίσει τη γνησιότητα
πιστοποιητικό. Για μέγιστη ασφάλεια, επιτρέπεται μόνο η προσθήκη εφαρμογών
διαχειριστές σε επίπεδο τομέα.
AppLocker
Για πολλά χρόνια ύπαρξης, η τεχνολογία SRP δεν μπόρεσε να κατακτήσει
δημοτικότητα, επειδή, όπως μπορείτε να δείτε από την προηγούμενη ενότητα, τελειοποιήστε
η πολιτική δεν είναι τόσο εύκολη υπόθεση. Το μέγιστο που συνήθως μπορούσε να κάνει ένας διαχειριστής ήταν
- απαγόρευση ορισμένων προγραμμάτων και παιχνιδιών. Στα Win7/Win2k8R2 εισήχθη ο Boolean
συνέχιση του SRP - AppLocker. Ωστόσο, το ίδιο το SRP δεν έχει φύγει, αφήνεται για τους σκοπούς του
συμβατότητα. Σε αντίθεση με το SRP, το Applocker δεν λειτουργεί στον χρήστη
περιβάλλον, αλλά σε ένα συστημικό περιβάλλον: οι καθιερωμένες πολιτικές είναι πιο αποτελεσματικές.
Οι ρυθμίσεις του AppLocker βρίσκονται στην καρτέλα Ρυθμίσεις ασφαλείας (secpol.msc) -
Πολιτικές Ελέγχου Εφαρμογών. Αν ανοίξετε το δέντρο, θα δείτε τρία υποστοιχεία, μέσα
ποιες πολιτικές διαμορφώνονται σύμφωνα με τους τύπους αρχείων:
- Εκτελέσιμοι κανόνες - κανόνες για αρχεία με επέκταση exe, com και src.
- Κανόνες του Windows Installer - κανόνες για αρχεία msi και msp.
- Κανόνες σεναρίου - κανόνες για σενάρια bat, cmd, js, ps1 και vbs.
Από προεπιλογή, χρησιμοποιείται η πολιτική Προεπιλογή, η οποία βασίζεται σε
Εγκατάσταση GPO. Αλλά για κάθε τύπο κανόνα μπορείτε να επιλέξετε έναν ακόμη από τους δύο
πολιτικός:
- Επιβάλλεται - οι πολιτικές είναι ενεργές και όλα όσα δεν περιγράφονται στους κανόνες είναι
μπλοκαρισμένο? - Μόνο έλεγχος - λειτουργία ελέγχου, όλα τα συμβάντα για τα οποία έχουν δημιουργηθεί κανόνες,
Αντί να αποκλειστούν, καταγράφονται. Χρήσιμο για γνωριμία και
αρχικός εντοπισμός σφαλμάτων του AppLocker.
Για να ενεργοποιήσετε την επιθυμητή επιλογή, μεταβείτε στην καρτέλα "Εφαρμογή" του παραθύρου
Ιδιότητες AppLocker. Μεταβαίνοντας στο "Για προχωρημένους" και τσεκάροντας το πλαίσιο ελέγχου "Ενεργοποίηση κανόνα DLL".
συλλογή", μπορείτε να ενεργοποιήσετε τον έλεγχο DLL. Όπως και με το SRP, τον έλεγχο
θα απαιτήσει πρόσθετους πόρους συστήματος. Δεν υπάρχουν προεπιλεγμένοι κανόνες, επομένως
δεν υπάρχουν περιορισμοί στην εκτέλεση προγραμμάτων (εκτός από τα δικαιώματα NTFS, φυσικά),
και σε αντίθεση με το SRP, πρέπει να δημιουργήσετε μόνοι σας τα σετ ρολού. Αυτή η διαδικασία είναι στο AppLocker
φαίνεται λίγο πιο απλό. Το μενού περιβάλλοντος προσφέρει τρεις επιλογές για αυτό:
- Δημιουργία νέου κανόνα - χρησιμοποιώντας τον οδηγό, δημιουργούνται κανόνες για τον Publisher,
διαδρομή (Διαδρομή, κατάλογος ή αρχείο) και κατακερματισμός (File Hash). - Αυτόματη δημιουργία κανόνων - εδώ απλώς υποδεικνύουμε τον κατάλογο μέσα
όπου βρίσκονται τα εγκατεστημένα προγράμματα και ο οδηγός δημιουργεί αυτόματα
κανόνες (Path/Hash) για όλα τα εκτελέσιμα αρχεία μέσα. - Δημιουργία προεπιλεγμένων κανόνων - δημιουργεί ένα σύνολο προεπιλεγμένων κανόνων.
Όταν επιλέξετε το τελευταίο στοιχείο, θα δημιουργηθούν επιτρεπόμενοι κανόνες για την εκκίνηση
εφαρμογές από τους καταλόγους Windows (%WINDIR%) και Program Files (%PROGRAMFILES%).
χρήστες που είναι μέλη της ομάδας τοπικών διαχειριστών (BUILTIN\Administrator),
Δεν υπάρχουν περιορισμοί εκκίνησης. Μετά τους πρώτους κανόνες στην κατηγορία
σχηματίζεται και έχει επιλεγεί η επιλογή Enforced, οι εφαρμογές μπορούν να εκκινηθούν μόνο εάν
εάν επιτρέπεται από την πολιτική. Στη συνέχεια, θα προσαρμόσουμε τους υπάρχοντες κανόνες
και δημιουργήστε νέα. Για να επεξεργαστείτε έναν κανόνα, καλέστε τις ιδιότητες του και αλλάξτε:
λογαριασμούς και ομάδες που υπόκεινται σε πολιτική, διαδρομή καταλόγου ή
αρχείο, ενέργεια (Ενέργεια) για αποκλεισμό ή άδεια. Χρήση διαπιστευτηρίων
καταχωρήσεις και ομάδες στους κανόνες ομάδας AppLocker είναι αρκετά βολικό, αφού μπορείτε
δημιουργήστε μια ομάδα χρηστών που επιτρέπεται να εκτελούν εφαρμογές γραφείου, ομάδα
"Χρήστες Διαδικτύου" και ούτω καθεξής, και στη συνέχεια συμπεριλάβετε μεμονωμένους χρήστες σε αυτά.
Οι ρυθμίσεις στην καρτέλα Εξαιρέσεις σάς επιτρέπουν να ορίσετε εξαιρέσεις για μεμονωμένα άτομα
αντικείμενα. Κάνοντας κλικ στο κουμπί Προσθήκη, υποδεικνύουμε ένα ξεχωριστό αρχείο, κατακερματισμό ή εκδότη
δεν θα υπόκειται στην επεξεργασμένη πολιτική. Αρκετά
καθορίστε με ακρίβεια τα δικαιώματα για μεγάλο αριθμό αρχείων.
Ναι, και όπως πιθανώς παρατηρήσατε, η δυνατότητα διαμόρφωσης κανόνων για μια ζώνη δικτύου
δεν είναι διαθέσιμο στο AppLocker.
Μετά την οριστικοποίηση των προεπιλεγμένων κανόνων, αρχίζουμε να δημιουργούμε μεμονωμένες πολιτικές. Για
Στη συνέχεια, επιλέγοντας Δημιουργία νέου κανόνα εκκινούμε τον οδηγό και τον εκτελούμε σε λειτουργία βήμα προς βήμα
τις απαραίτητες ρυθμίσεις. Παρακάμπτουμε το πρώτο παράθυρο, στο δεύτερο ορίζουμε την ενέργεια Allow/Deny και
Υποδεικνύουμε τον χρήστη ή την ομάδα για την οποία θα ισχύει η πολιτική. Περαιτέρω
επιλέξτε τον τύπο πολιτικής Publisher/Path/File Hash και, ανάλογα με
έγινε επιλογή, σημειώστε το αντικείμενο. Κατά τον καθορισμό της διαδρομής AppLocker
χρησιμοποιεί μεταβλητές. Δηλαδή, εάν καθορίσετε C:\soft στον Explorer, η διαδρομή θα είναι
μετατράπηκε σε %OSDrive%\soft\*. Επιπλέον, είναι δυνατές οι ακόλουθες μεταβλητές: %WINDIR%,
%SYSTEM32%, %PROGRAMFILES%, %REMOVABLE% (CD/DVD) και %HOT% (συσκευές USB).
Επιπλέον, σημειώνεται ιδιαίτερα ότι πρόκειται για εσωτερικές μεταβλητές AppLocker και όχι
συστημική, αν και ορισμένα ονόματα είναι ίδια.
Οι πολιτικές έχουν δημιουργηθεί, αλλά για να εφαρμοστούν, πρέπει να ξεκινήσει η υπηρεσία
Ταυτότητα εφαρμογής (AppIDSvc). Αυτό γίνεται μέσω της κονσόλας Υπηρεσιών (services.msc)
ή στο πρόγραμμα επεξεργασίας πολιτικής ομάδας (Ρυθμίσεις ασφαλείας -> Υπηρεσίες συστήματος). Μετά
αλλάζει τις πολιτικές ενημέρωσης:
> gpupdate /force
Μια άλλη μέθοδος παρακολούθησης του εγκατεστημένου λογισμικού και των συνδεδεμένων συσκευών είναι
τη χρήση ειδικών προγραμμάτων απογραφής (για παράδειγμα, SCCM, για το οποίο
ειπώθηκε στα άρθρα «» και «», που δημοσιεύτηκαν αντίστοιχα τον Αύγουστο και
Τεύχη Σεπτεμβρίου ][ για το 2009). Επίσης, μην ξεχνάτε την υπηρεσία "Διαχείριση".
εφαρμογές" (AppMgmt), απενεργοποιώντας τις οποίες αποκλείουμε τη δυνατότητα εγκατάστασης
ΜΕ.
Πολεμώντας ΝΑΤ
Με το «δωρεάν» Διαδίκτυο στη δουλειά, πολλοί χρήστες μπαίνουν στον πειρασμό
χρησιμοποιήστε το για δικούς σας σκοπούς. Φυσικά, υπάρχουν φορές που η μονάδα συστήματος
συνδέθηκε ένα μόντεμ και είχε πρόσβαση στο Διαδίκτυο μέσω αυτού, σχεδόν εξαφανίστηκαν στη λήθη
(για ορισμένες επαρχιακές πόλεις αυτό εξακολουθεί να ισχύει), αλλά οι διαχειριστές μερικές φορές
πάρτε την εργασία στο σπίτι και προσπαθήστε να αποκτήσετε πρόσβαση στις απαραίτητες πληροφορίες μέσω
διάλαπα. Εάν το γραφείο βρίσκεται σε κτίριο κατοικιών, τότε οι ενθουσιώδεις υπάλληλοι μπορούν
αναπτύξτε WiFi και διανείμετε την κυκλοφορία στους γείτονες. Σε κάθε περίπτωση, τα freebies ελκύουν
ερασιτέχνες, και μένει κανείς έκπληκτος με το πόσο ικανοί είναι οι άνθρωποι στην εφεύρεση. Εκτός
κλεμμένη κίνηση, ο χρήστης θέτει σε κίνδυνο την ασφάλεια ολόκληρου του δικτύου, γιατί
Ιοί, Trojans και άλλες λοιμώξεις μπορούν εύκολα να διεισδύσουν από μια τέτοια πίσω πόρτα
(+ εμπιστευτικές πληροφορίες ενδέχεται να κλαπούν).
Υπάρχουν πολλές μέθοδοι για τον εντοπισμό της λειτουργίας πελάτη λόγω του ελέγχου NAT - TTL,
ανάλυση του αναγνωριστικού πακέτου IP και του εύρους θύρας TCP/UDP και ούτω καθεξής
(Για περισσότερες πληροφορίες σχετικά με τις μεθόδους ανίχνευσης NAT, ανατρέξτε στο άρθρο του Chris " " στο ][#111). Θα αναλύσουμε την πρακτική εφαρμογή.
Το νούμερο ένα εργαλείο εδώ είναι
Wireshark -
πολλαπλών πλατφορμών (Windows, Linux, xBSD, Solaris, Mac OS X, κ.λπ.) sniffer και
αναλυτής σε ένα μπουκάλι. Δυνατότητα χρήσης φίλτρων και ταξινόμησης
κάνει αυτό το πρόγραμμα πολύ βολικό για την επίλυση πολλών προβλημάτων: έλεγχος
συγκεκριμένο είδος κίνησης (ICQ, παιχνίδια δικτύου, προγράμματα για απομακρυσμένη πρόσβαση και
κ.λπ.), αναζήτηση προβλημάτων δικτύου και ανάλυση ασφάλειας.
Για να προσδιορίσουμε τη λειτουργία λόγω NAT, μας ενδιαφέρει η δυνατότητα ελέγχου του TTL
(διάρκεια ζωής) ενός πακέτου IP. Πρέπει να ληφθεί υπόψη ότι κάθε λειτουργικό σύστημα και κάθε έκδοση χρησιμοποιούν το δικό τους
Τιμή TTL, για παράδειγμα, όλες οι εκδόσεις των Windows - 128, Linux - 64 (μέγιστο 255),
και καθώς το πακέτο περνά από κάθε δρομολογητή, αφαιρείται ένα. Αν δηλαδή
λαμβάνουμε ένα πακέτο με TTL 63 ή 127 (ή λιγότερο), αυτό μπορεί να σημαίνει
παρουσία ΝΑΤ (οι εικονικές μηχανές λειτουργούν και λόγω ΝΑΤ). Άνοιγμα της λίστας
φίλτρα και στο "IP only" ορίζουμε την τιμή του πεδίου ip.ttl ώστε να συλλαμβάνει όλα τα πακέτα,
TTL εκ των οποίων είναι μικρότερο από 64 ή 128. Το πρόγραμμα διαθέτει επαρκές σύνολο για ανάλυση,
ώστε να μπορείτε να καταγράφετε την κυκλοφορία με ελάχιστους περιορισμούς και στη συνέχεια
δείτε τι συναντήσατε στο Διαδίκτυο και, στη συνέχεια, βελτιώστε τις ρυθμίσεις του φίλτρου σας.
Εκτός από τη γραφική διεπαφή, είναι δυνατή η εκκίνηση του Wireshark στη γραμμή εντολών.
Εξετάζουμε τη λίστα των διεπαφών δικτύου χρησιμοποιώντας την εντολή "tshark -D" και, στη συνέχεια, πιάνουμε
την τιμή του πεδίου TTL στα πακέτα που περνούν.
> tshark -i 1 -e ip.ttl -Tfields
Υποστηρίζονται κανόνες που μοιάζουν με Tcpdump, ώστε να μπορείτε απλά να διαβάζετε
τιμές του απαιτούμενου πεδίου IP (ip< 64, поле TTL находится в 8-м байте
Επικεφαλίδα IP).
Μια καλή εναλλακτική του Wireshark είναι το BWMeter (desksoft.com/BWMeter.htm),
συνδυάζοντας τις λειτουργίες τείχους προστασίας και παρακολούθησης κυκλοφορίας, με τη δυνατότητα
κατασκευή διαφόρων τύπων γραφημάτων. Το σύστημα φίλτρου σας επιτρέπει να ορίσετε οποιοδήποτε
κανόνα και μετά παρακολουθείτε όλα τα πακέτα που υπάγονται σε αυτόν.
Σε αυτή τη λίστα μπορείτε να προσθέσετε σχεδόν όλα τα τείχη προστασίας που θα βρείτε
εταιρικό δίκτυο: Kerio WinRoute (διαβάστε περισσότερα σχετικά στο άρθρο "", που δημοσιεύτηκε στο τεύχος Σεπτεμβρίου του ][ 2007),
UserGate Proxy & Firewall (" ", Ιούλιος ][ 2009), ISA Server/Forefront TMG (" ", Νοέμβριος ][ 2009) και άλλα που επίσης
έχετε όλα όσα χρειάζεστε για να αναλύσετε και να αποκλείσετε την κυκλοφορία.
Επιπλέον, μην ξεχνάτε να σαρώνετε περιοδικά το δίκτυο όταν
Nmap βοήθεια και σύγκριση
αποτελέσματα με αναφορές σαρώσεων που έχουν πραγματοποιηθεί στο παρελθόν. Εάν εντοπιστούν αλλαγές
Ερευνούμε τη λίστα των ανοιχτών θυρών. Αυτό θα σας επιτρέψει να εντοπίσετε
παραθυράκια που αφήνουν οι Trojans, οι διακομιστές μεσολάβησης, ορισμένα παιχνίδια που εκτελούνται και ούτω καθεξής
Περαιτέρω.
Ανίχνευση sniffers
Σε οποιοδήποτε LAN θα υπάρχουν μερικά έξυπνα άτομα που θέλουν να μάθουν περισσότερα από αυτά
υποτίθεται ότι. Ένα περίεργο cupcake τρέχει έναν sniffer με την ελπίδα να πιάσει τον κωδικό πρόσβασης, αν όχι
διαχειριστής, τότε οποιοσδήποτε άλλος χρήστης, ή διαβάστε τις πληροφορίες, δεν είναι
προορίζονται. Για να υποκλαπούν όλα τα πακέτα, γίνεται εναλλαγή της κάρτας δικτύου
ακατάλληλη λειτουργία, η οποία μπορεί να ανιχνευθεί τόσο τοπικά,
και εξ αποστάσεως. Στην πρώτη περίπτωση, εγγραφείτε στο σύστημα και δείτε
Στη δεύτερη, δύο μέθοδοι είναι σχετικές:
- παρακολούθηση πόρων σε όλους τους κεντρικούς υπολογιστές δικτύου - όταν το NIC έχει αλλάξει σε ακατάλληλο
mode το φορτίο αυξάνεται καθώς ο πυρήνας πρέπει να επεξεργαστεί περισσότερα
ποσότητα πληροφοριών, ο χώρος στον σκληρό δίσκο γεμίζει γρήγορα. - σφάλματα στην υλοποίηση - η διεπαφή δικτύου θα πρέπει να "αφαιρεί" μόνο τη δική της
πακέτα? έτσι διαμορφώνεται το λειτουργικό σύστημα, αλλά από τώρα ο πυρήνας λαμβάνει πληροφορίες για όλους
πακέτα, μπορείτε να προσπαθήσετε να στείλετε ένα πακέτο ARP με τη σωστή IP ή όνομα, αλλά
λανθασμένη διεύθυνση MAC.
Στην τελευταία περίπτωση, το σύστημα μπορεί να ανταποκριθεί σε λάθος πακέτο. Προσθήκη
Εσφαλμένα δεδομένα στον πίνακα ARP και ping στον "ύποπτο" κεντρικό υπολογιστή:
> arp -s hackerhost 00:11:22:33:44:55
> ping hackerhost
Εάν ληφθεί η απάντηση, τότε με μεγάλο βαθμό πιθανότητας μπορούμε να το πούμε αυτό
Ο κόμβος βρίσκεται σε λειτουργία ακρόασης. Μην ξεχάσετε να διαγράψετε τη λάθος καταχώρηση
μετά τον έλεγχο:
> arp -d hackerhost
Είναι πιο βολικό να χρησιμοποιείτε ειδικά βοηθητικά προγράμματα για τον εντοπισμό παραβατών. Για παράδειγμα,
proDETECT
το οποίο όμως δεν έχει ενημερωθεί εδώ και αρκετά χρόνια, οπότε υποφέρει από σφάλματα.
Οι ρυθμίσεις σάς επιτρέπουν να καθορίσετε μια λίστα κόμβων και να καθορίσετε τη συχνότητα ελέγχου τους.
Η αναφορά αποστέλλεται με e-mail.
