Jedan od načina da zaštitimo klijentsko kompjutersko okruženje je restrikcija aplikacija koje mogu da se startuju na kompjuterima.
U ovoj lekciji ćete naučiti kako se koriste Software Restriction polise za kontrolisanje klijentskog kompjuterskog okruženja.
Šta su to software Restriction polise?
Ovo su nove opcije za upravljanje korisničkim okruženjem u Windows Server 2003. Administratori koriste softversku restriktivnu polisu (Software Restriction Polise) za kontrolu aplikacija koje mogu da se startuju na korisničkim radnim stanicama i za sprečavanje opasnih i neželjenih aplikacija od startovanja na tim radnim stanicama.
Nivoi restrikcije
Kada konfigurišemo softverske restriktivne polise, moramo da konfigurišemo nivo restrikcije za svaku polisu pojedinačno. Po defoltu, ove polise dozvoljavaju svim aplikacijama da se startuju, osim ako su određene aplikacije eksplicitno zabranjene. Administrator može da modifikuje ove postavke tako da defoltna konfiguracija ne dozvoljava nijednoj aplikaciji da se startuje, osim ako aplikacija nije ekcplicitno omogućena.
Svrha softverske restriktivne polise
Sa softverskom restriktivnom polisom, kada korisnici startuju programe, oni se moraju držati linije vodilje (guidelines) koje su postavili administratori. Sa softverskim restriktivnim polisama, administratori mogu da:
- Kontrolišu sposobnost softvera koji se startuje u sistemu. Na primer, ako ste zabrinuti da korisnici ne zaraze kompjuter virusom preko e-mail poruka, možemo da primenimo postavke polise koje ne dozvoljavaju da se startuju određeni tipovi fajlova koji se napaze u e-mail dodatku (Attachment).
- Dopuste korisnicima da startuju samo specifične fajlove na kompjuterima koje koriste više korisnika (mulltiuser). Na primer, ako kompjuter koristi više korisnika, možemo da postavimo softversku restriktivnu polisu tako da korisnici nemaju pristup nijednom softveru koji im nije potreban da bi uradili posao za koji su plaćeni.
- Odrede ko može da dodaje Trusted Publishers na kompjuteru.
- Kontrolišu da li se softverske restriktivne polise odnose na sve korisnike ili na samo određene korisnike na kompjuteru.
- Sprečavanje određenih fajlova da se startuju na lokalnom kompjuteru, organizacionoj jedinici, domenu ili sajtu. Na primer, ako naš sistem ima poznati virus, možemo da koristimo softversku restriktivmu poilisu da zabranimo kompjuteru da otvara fajl koji sadrži virus.
Pravila za identifikovanje softvera
Nakon konfiguracije defoltnih postavki za softversku restriktivnu polisu, administrator može da konfiguriše izuzetke (Exceptions) u polisama koristeći četri tipa pravila koja se primenjuju na Hashes, Certificates, Paths i na Internet zones.
Softverska pravila
Pravila mogu da se konfigurišu tako da se naprave izuzeci u defoltnom sigurnosnom nivou za softversku restriktivnu polisu. Red primenjivanja pravila od najspecifičnijeg pravila (Hash) do najmanje specifičnog (default) je: Hash pravilo, Certificate pravilo, Path pravilo, Internet Zone pravilo i na kraju Default pravilo. Pravilo koje se najspecifičnije poklapa sa programom ima prednost u odnosu na pravila koja manje više odgovaraju istom programu.
- Hash pravilo: Hash je serija bajtova sa fiksiranom dužinom koja jedinstveno identifikuje softverski program ili fajl. Kada je Hash pravilo kreirano za određeni softverski program, softverske restriktivne polise kalkulišu hash programima. Kada korisnik pokuša da otvori i startuje softverski program, hash program se poredi sa postojećim Hash pravilom u softverskim restriktivnim polisama.
- Certificate pravilo: Softverske restriktivne polise takođe mogu da identifikuju softver preko njegovog sertifikata. Nakon upisivanja (enrolling) Code Signing sertifikata, možemo da naznačimo softver sa File Signing alatkom koja se naziva Signcode.exe. Nakon toga možemo da kreiramo sertifikat pravilo koje identifikuje naznačeni softver i nakon toga dozvoljava ili ne dozvoljava startovanje softvera, u zavisnosti od sigurnosnog nivoa.
- Path pravilo: Path (staza) pravilo identifikuje softver preko njegove fajl staze (file path). Na primer, ako imamo kompjuter koji ima defoltni sigurnosni nivo Disallowed i dalje ćemo moći da dodelimo neograničeni pristup specifičnom folderu za svakog korisnika. Softverske restriktivne polise podržavaju Universal Naming Convetion (UNC) straze. Možemo da kreiramo Path pravilo koristeći fajl stazu i postavljanjem sigurnosnog nivoa staze na Unrestricted. Takođe, možemo da kreiramo i registry path pravilo koje koristi ključ registry-ja za aplikacije koje smeštaju stazu u njihove instalacione foldere u Windows registry-ju.
- Internet Zone pravilo: Internet Zone pravilo se primenjuje samo na Windows Installer pakete. Zone pravilo može da identifikuje softver u zoni koja je određena kroz Internet Explorer. Ove zone su internet, intranet, Restricted Sites, Trusted Sites, My Computer. Trusted Sites Zone pravilo nam dozvoljava da kontrolišemo startovanje koda (code execution) na osnovu toga sa koje lokacije se kod startuje i primenjivanje aplikacija koje su instalirane korišćenjem Windows Installer paketa sa određenih lokacija na mreži.
Software Restriction Policy opcije
Postoji nekoliko Enforcement opcija koje mogu da imaju uticaj na ponašanje softverskih restriktivnih polisa. Enforcement opcije uključuju:
- Proveru DLL-ova
- Skip Administrators
- File Type Designated and Executables
- Trusted Publishers
DLL Checking: Mnoge aplikacije se sastoje od exe fajla i mnogih DLL fajlova (Dinamic Link Libraries). Po defoltu, Software Restriction Policy pravila nisu primenjena na DLL-ove. Možemo da omogućimo proveru DLL-ova ako želimo da osiguramo da programi koji rade u našem okruženju budu sigurni. Omogućavanjem provere DLL-ova povećavamo sigurnost iz prostog razloga pošto su virusima primarne mete .exe fajlovi i određeni DLL-ovi.
Skip Administrators: Administrator možda neće želeti da svi korisnici startuju sve programe, ali će možda želeti da dozvoli administratorima da startuju sve aplikacije. Na primer, administrator će možda posedovati deljeni kompjuter na koji se konektuju i drugi korisnici koristeći Terminal Server. Administrator će možda želeti da korisnici koji se konektuju na taj kompjuter startuju samo određene aplikacije na tom kompjuteru, ali će želeti da članovima grupe Local Administrators omogući startovanje svih aplikacija. Da bi osigurali da administrator može da startuje sve programe potrebno je iskoristiti Enforcement opciju Skip Administrator.
File Types Designated as Executables: Pravila softverskih restriktivnih polisa se primenjuju samo na tipove fajlova koji su izlistani u Designated File Types Properties dijalog boksu. Ako naše okruženje koristi tip fajla na kojem želimo da primenimo pravilo, potrebno je da taj tip fajla ubacimo u listu.
Trusted Publishers: Možemo da koristimo Trusted Publishers Properties dialog boks da konfigurišemo koji korisnici mogu da odrede Trusted Publishers. Sa omogućenim Certificate pravilom, Software Restriction Policy će proveriti Certificate Revocation Listu (CRL) da bi osigurala da su Softverski sertifikat i potpis validni.
Vodič za planiranje i za implementaciju softverskih restriktivnih polisa
Potrebno je koristiti sledeće savete Microsoft-a prilikom planiranja i implementacije softverskih restriktivnih polisa:
- Kreirati odvojeni objekat grupnih polisa za softverske restriktivne polise: Ako kreiramo odvojeni GPO za softverske restriktivne polise, moći ćemo da onemogućimo, u slučaju potrebe da onemogućimo softverske restriktivne polise, a da ne utičemo na ostatak domenske polise. Softverske restriktivne polise su kumulativne i sabiraju se svi GPOs, a zatim se procenjuju zajedno. Softverske restriktivne polise se mogu primenjivati na Computer & Users Configuration sekcijama unutar GPO.
- Ako imamo problem sa primenjenim postavkama polise, potrebno je da restartujemo Windows u Safe mode-u: Software Restriction Polise se ne primenjuju kada je Windows startovan u Safe Mode-u. Ako smo slučajno zaključali radnu stanicu sa softverskom restriktivnom polisom, potrebno je da restartujemo kompjuter u Safe Mode-u, da se prijavimo kao administrator, modifikujemo polisu, startujemo gpupdate. Restartujemo kompjuter još jednom i nakon toga ćemo moći da se prijavimo na standardni način.
- Potrebno je biti oprezan kada definišemo defoltne postavke na Disallowed: Kada definišemo defoltne postavke Disallowed, osim onog koji je eksplicitno dozvoljen, svi ostali delovi servera su nepristupačni. Svaki fajl koji želimo da otvorimo mora imati pravilo softverske restriktivne polise koje mu dozvoljava otvaranje.
- Za najbolju bezbednost, potrebno je koristiti Access Control Lists (ACLs) u konjukciji sa softverskom restriktivnim polisama: Korisnici će možda pokušati da zaobiđu softversku restriktivnu polisu menjanjem imena ili pomeranjem zabranjenih fajlova. Kao rezltat, preporučuje se da koristimo ACLs i da zabranimo (Deny) pristup koji je potreban da bi mogli da se odrade ovi zadaci.
- Testirati nove postavke u polisama u test okruženju pre primenjivanja postavki na ceo domen: Nove postavke u polisama mogu se ponašati različito od očekivanog. Testiranje smanjuje šansu od pojavljivanja problema prilikom izgradnje postavki polise na mreži.
- Filterisanje korisničkih postavki, na osnovu članstva u grupama: Možemo da odredimo korisnike ili grupe na koje ne želimo da se primenjuju postavke u polisama. Jednostavno možemo da otčekiramo opciju Apply Group Policy and Read bokseve za čekiranje na Security kartici u Properties dijalog boksu za GPO.