Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Вт Авг 01 2006 09:01 Заголовок сообщения: Software restriction policy политика ограничения программ |
|
|
для целей безопасности хочу внедрить политику software restriction policy с параметрами по умолчанию Disallowed и правилом Хэша для разрешеных программ...
Необходимо чтобы на рабочих станциях работала только одна программа.
Делаю все согласно инструкции на microsoft.com (например, вот по этой), после настройки политики разрешенная программа , находящаяся в program files действительно запускается(программу приходится запускать прямо ткнув на нее в program files), в то время как все остальные нет, но вот незадача: ни один ярлык на эту разрешенную программу не работает, т.е. говорит, что запрещено в силу действующей политики. Соответственно из автозапуска программа тоже не стартует... Здравому человеку понятно, что пользователь с его ограниченными компьютерными знаниями не полезет в папку program files за программой... Попробовал переделать политику под правило пути к соответствующей папке - результат тот же... Подскажите, если кто знает, чего не так делаю?...
Забыл сказать, сеть под win2k3 EE, рабочие станции winXp... |
|
Вернуться к началу |
|
|
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Чт Авг 03 2006 13:32 Заголовок сообщения: |
|
|
ну что? никто не в курсе? |
|
Вернуться к началу |
|
|
kin
Зарегистрирован: 07.06.2006 Сообщения: 79
|
Добавлено: Чт Авг 03 2006 14:02 Заголовок сообщения: |
|
|
Дай разрешение по пути на ярлыки (проще говоря на файлы с расширением lnk) в соответствующих папках профиля пользователя(ей) |
|
Вернуться к началу |
|
|
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Пн Авг 07 2006 08:13 Заголовок сообщения: |
|
|
Видишь в чем беда в таком случае: мне надо чтобы запускались определенные ярлыки с рабочего стола и некоторых папок в профиле. Если сделаю разрешение на основе пути, пользователь может создать ярлык любой программы на рабочем столе и запустить ее... Меня такая безопасность не очень-то устраивает...
Но судя по всему так и придется сделать... |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Авг 07 2006 08:39 Заголовок сообщения: |
|
|
не обязательно использовать маску *.lnk
допускается указание и конткретных имен
word.lnk
кроме того, если ярлык будет разрешен, а сам екзешник и длл-ка в запрете - фиг два он ее запустит. _________________ Errare humanum est |
|
Вернуться к началу |
|
|
kin
Зарегистрирован: 07.06.2006 Сообщения: 79
|
Добавлено: Пн Авг 07 2006 08:47 Заголовок сообщения: |
|
|
Александр А писал(а): | Если сделаю разрешение на основе пути, пользователь может создать ярлык любой программы на рабочем столе и запустить ее... |
Ярлык это только... ярлык, и если запустить программу, на которую он ссылается нельзя по политике, он ее и не запустит. Проще говоря, у тебя должна быть в политике запись %USERPROFILE%\Рабочий стол\*.lnk, тип разрешения у которой "путь" |
|
Вернуться к началу |
|
|
kin
Зарегистрирован: 07.06.2006 Сообщения: 79
|
Добавлено: Пн Авг 07 2006 08:48 Заголовок сообщения: |
|
|
Александр А писал(а): | Если сделаю разрешение на основе пути, пользователь может создать ярлык любой программы на рабочем столе и запустить ее... |
Ярлык это только... ярлык, и если запустить программу, на которую он ссылается нельзя по политике, он ее и не запустит. Проще говоря, у тебя должна быть в политике запись %USERPROFILE%\Рабочий стол\*.lnk, тип разрешения у которой "путь" |
|
Вернуться к началу |
|
|
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Пн Авг 07 2006 11:18 Заголовок сообщения: |
|
|
Итак, получается следующее: чтобы ограничить запуск определенной программы на машине, надо создать правило пути к ее ярлыку, (причем отсюда явно вытекает такое следствие: если юзер подменит ярлык своим, то запустит то, что он туда подставит).
Такой вывод сделал я, проэкпериментировав с различными типами правил в политике ограничения программ.
Вообще я немного разочаровался в возможностях этой политики, если бы правило хэша заставить работать, не обращая внимания на ярлыки и т.п. , то было бы здорово... Но пока пришлось устанивить несколько правил пути для ярлыков в надежде, что не найдется продуманный пользователь со знанием уязвимости, описанной выше. |
|
Вернуться к началу |
|
|
kin
Зарегистрирован: 07.06.2006 Сообщения: 79
|
Добавлено: Пн Авг 07 2006 12:13 Заголовок сообщения: |
|
|
Александр А писал(а): | (причем отсюда явно вытекает такое следствие: если юзер подменит ярлык своим, то запустит то, что он туда подставит). |
Стоп!Приехали! Еще раз для непонятливых. У тебя стоит политика, которая запрещает все и вся и несмотря ни на что, или я не так понял?
Если да, то причем тогда тут ярлык?!!... Пользователь шлепает по ярлыку, а там прописана программа на которую этот ярлык ссылается, прежде чем ее запустить,проверяются политики, а можно ли ее запускать, если да (хеш, путь или еще что-то...) то всегда пожалуйста. Если нет,то на нет и суда нет. Вот и вся каша, ярлык тут абсолютно ни какой роли не играет. |
|
Вернуться к началу |
|
|
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Пн Авг 07 2006 12:37 Заголовок сообщения: |
|
|
kin писал(а): | Вот и вся каша, ярлык тут абсолютно ни какой роли не играет. |
В том-то и дело что играет... Я же говорил раньше, что сделал политику на правиле хэша, которую привязал к определенному экзешнику, все нормально, запускалась только одна программка, которую и прописал в правиле, НО ТОЛЬКО при непосредственном ее запуске из папки program files, что не совсем удобно с точки зрения юзера... Ярлык на эту программу запускаться категорически отказывается (любой)... Поэтому приходится извращаться с правилами пути, в которых указывать, где лежит ярлык и как он называется, что влечет за собой проблемы , описанные выше... |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Авг 07 2006 13:55 Заголовок сообщения: |
|
|
делаешь ярлык к программе, вешаешь его на рабочий сто или куда там его тебе надо. Делаешь политику именно на этот ярлык - разрешено.
ПРИМЕР:
надо разрешить запускаать блокнот с рабочего стола пользователя.
У тебя настроено, что все запрещено, кроме %WINDIR%\notepad.exe
делаешь ярлык notepad.lnk
кидаешь его по адресу %userprofile%/рабочий стол
Делаешь политку: разрешить для %userprofile%/рабочий стол/notepad.lnk
В ИТОГЕ У ТЕБЯ ЗАПРЕЩЕНО ВСЕ, кроме
%WINDIR%\notepad.exe
%userprofile%/рабочий стол/notepad.lnk
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Пн Авг 07 2006 14:30 Заголовок сообщения: |
|
|
пользователь удаляет notepad.lnk и создает новый с таким же именем, по которому запускается программа troyan.exe и это работает... Только что пробовал... |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Авг 07 2006 14:32 Заголовок сообщения: |
|
|
У меня не работает. проверяете еще раз.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Авг 07 2006 14:35 Заголовок сообщения: |
|
|
Если уж все так плохо, кто тебе мешает запретить удаление изменение и пр, за исключением исполнения. _________________ Errare humanum est |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Авг 07 2006 14:37 Заголовок сообщения: |
|
|
попробуй правило для пути. у меня они
рулят. _________________ Errare humanum est |
|
Вернуться к началу |
|
|
kin
Зарегистрирован: 07.06.2006 Сообщения: 79
|
Добавлено: Пн Авг 07 2006 17:51 Заголовок сообщения: |
|
|
Александр А писал(а): | пользователь удаляет notepad.lnk и создает новый с таким же именем, по которому запускается программа troyan.exe и это работает... Только что пробовал... |
Мил человек, давай с начала. Уровень безопасности по умолчанию ставишь "не разрешено". Идешь в "Дополнительные правила" и на все, что там есть, ставишь не разрешено. Далее создаешь свои правила с нужным типом (хеш, путь...). Тут есть один момент: обязательно нужно дать разрешение по хешу на explorer и userinit, иначе пользователь не войдет в сеть и появление рабочего стола можно ждать вечно.
После этого, твой пользователь дальше того что ты ему разрешил, никуда не прыгнет. Только политику к пользователю не забудь применить
Можешь в реестр станции добавить этот параметер:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Строковый параметр: LogFileName, <путь к файлу журнала>
будет вестись лог, который покажет тебе что, когда и по какому правилу пользователь запустил.
И самое главное, это все работает. |
|
Вернуться к началу |
|
|
kin
Зарегистрирован: 07.06.2006 Сообщения: 79
|
Добавлено: Пн Авг 07 2006 17:53 Заголовок сообщения: |
|
|
Александр А писал(а): | пользователь удаляет notepad.lnk и создает новый с таким же именем, по которому запускается программа troyan.exe и это работает... Только что пробовал... |
Мил человек, давай с начала. Уровень безопасности по умолчанию ставишь "не разрешено". Идешь в "Дополнительные правила" и на все, что там есть, ставишь не разрешено. Далее создаешь свои правила с нужным типом (хеш, путь...). Тут есть один момент: обязательно нужно дать разрешение по хешу на explorer и userinit, иначе пользователь не войдет в сеть и появление рабочего стола можно ждать вечно.
После этого, твой пользователь дальше того что ты ему разрешил, никуда не прыгнет. Только политику к пользователю не забудь применить
Можешь в реестр станции добавить этот параметер:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Строковый параметр: LogFileName, <путь к файлу журнала>
будет вестись лог, который покажет тебе что, когда и по какому правилу пользователь запустил.
И самое главное, это все работает. |
|
Вернуться к началу |
|
|
Александр А
Зарегистрирован: 01.08.2006 Сообщения: 19
|
Добавлено: Вт Авг 08 2006 07:02 Заголовок сообщения: |
|
|
kin писал(а): | Идешь в "Дополнительные правила" и на все, что там есть, ставишь не разрешено. |
Все ясно, ошибка была именно в этом, я правила, которые там были не трогал...
Всем спасибо, извиняюсь, ежели кого ввел в заблуждение... |
|
Вернуться к началу |
|
|
|