Заборона запуску додатків і служб в Windows через групові політики

  1. Блокування запуску системної служби
  2. Заборона запуску додатків
  3. Область дії політик обмеженого використання програм і пріоритет правил
  4. Налаштовуємо політику заборони програмного забезпечення
  5. Корисні посилання:

У записі описується як можна заборонити запуск служб і додатків в windows за допомогою групових політик Active Directory. Розглядається приклад заборони TeamViewer.

Мені була поставлена ​​задача заблокувати роботу TeamViewer на комп'ютерах компанії. Можна піти двома шляхами:

  1. Блокувати роботу TeamViewer на рівні мережі - заборонити звертатися до портів, серверів і аналізувати вміст пакетів
  2. Блокувати використання програмного продукту TeamViewer на рівні політик ОС

Я вибрав другий варіант.

Блокування запуску системної служби

Перше що я захотів заблокувати (і заодно протестувати роботу політики) - це запуск служби TeamViewer:

  • На доменному контролері запускаємо оснащення Group Policy Managment
  • Створюємо або переходимо до редагування групової політики
  • У груповій політиці переходимо за адресою: Computer Configuration - Windows Settings - Security Settings - System Services
  • У списку сервісів знаходимо той, що потрібен і двічі клікаєм по ньому, у мене це сервіс TeamViewer
  • Ставимо галочку біля "Define this policy setting"
  • У блоці "Select service startup mode" вибираємо "Disabled"

  • Тиснемо на кнопку "Edit Security ..." і виставляємо права на читання "Read" для Administrators і INTERACTIVE, всі інші права знімаємо. Для SYSTEM права не змінюємо.
  • Двічі тиснемо OK
  • На локальному комп'ютері, де політику потрібно застосувати саме зараз, в командній консолі вводимо команду "gpupdate / force" і після її відпрацювання перезавантажуємо комп'ютер.

Як додати службу в групову політику

Є один нюанс: за замовчуванням при редагуванні групової політики за адресою "Computer Configuration - Windows Settings - Security Settings - System Services" видно тільки ті служби, який встановлено на комп'ютері, де це редагування відбувається, в нашому випадку це контролер домену.

Щоб в редакторі групових політик в "System Services" додати будь-яку службу, потрібно зробити наступне:

  • На комп'ютері, де є потрібна нам служба, запускаємо "Консоль Управління (MMC)": Пуск - Виконати - MMC
  • Вибираємо меню "Консоль" - "Додати або видалити оснастку"
  • У вікні тиснемо кнопку "Додати"
  • У списку доступних ізольованих оснащень вибираємо "Шаблони безпеки" і тиснемо кнопку "Додати", потім "ОК"
  • Розгортаємо в MMC "Шаблони безпеки" і натискаємо по "C: \ Windows \ Security \ Templates"

  • У правій області вікна натискаємо правою кнопкою мишки, вибираємо пункт "Створити шаблон" і прописуємо ім'я для нового шаблона - "system services". Створений шаблон повинен з'явиться в лівій області вікна.
  • У MMC переходимо за адресою "Шаблони безпеки - C: \ Windows \ Security \ Templates - system services -" Системні служби "
  • Серед списку системних служб знаходимо потрібну службу, в моєму випадку це була TeamViewer і двічі натискаємо по ній
  • Ставимо галочку біля "Визначити наступний параметр політики в шаблоні"
  • Відкриється вікно налаштування безпеки:
    • для Адміністратори і Інтерактивні залишаємо галочку тільки біля "Читання", всі інші галочки знімаємо.
    • для SYSTEM залишаємо як є.
    • тиснемо ОК
  • У блоці "Виберіть режим запуску служби:" вибираємо пункт "Заборонено" і тиснемо "ОК"
  • Після цього серед списку шаблонів безпеки (в лівій частині вікна) натискаємо правою кнопкою мишки по "system services" і вибираємо пункт "зберегти як ..." - зберігаємо файл і переносимо його на доменний контролер.
  • На доменному контролері при редагуванні потрібної політики натискаємо правою кнопкою мишки по "Computer Configuration - Windows Settings - Security Settings" і вибираємо пункт "Import Policy" - імпортуємо збережений файл.
  • Після цього потрібна служба з'явиться в списку "Computer Configuration - Windows Settings - Security Settings - System Services": переконуємося в цьому і перевіряємо настройки.

Після цих дій служба TeamViewer перестала запускатися, а у локального адміністратора права дозволяють її запустити вручну.

Заборона запуску додатків

Також я вирішив заборонити запуск самого додатка. За допомогою групових політик це можна зробити описуючи одне з наступних правил:

  • правило зони
  • правило шляху
  • правило хешу
  • правило сертифіката

правило зони

Заборона запуску додатків * .msi з певної зони (Інтернет, Локальний комп'ютер, Надійні вузли) - вважаю цей метод блокування марним, виходячи з того, що він малозатребуваним

правило шляху

Блокування по імені / шляху файлу або по шляху в реєстрі (якщо програма зберігає шляху до своїх робочих каталогах в реєстрі). Можна використовувати змінні середовища або символи узагальнення «?» І «*».

Мінус цього методу в тому, що цю політику легко обійти: досить перемістити або перейменувати файл.

Плюс методу в тому, що можна реалізувати таку логіку: дозволити запуск програм ТІЛЬКИ З певних папок, таких як windows, program files і заборонити користувачам щось в цих папках змінювати \ записувати. В результаті ідеальний захист: виконувані файли поза цими папок неможливо запустяться, свої ж файли користувачі не зможуть записати в системні папки з яких дозволений запуск - немає прав. На жаль у себе в локальній мережі ми не готові так жорстко обмежити користувачів.

Я вирішив перевірити як працює правило шляху: створив правило в якому вказав заборону запуску якщо шлях "* TeamViewer *". В результаті TeamViewer не запускати до тих пір, поки я не знайшов портативну версію і не перейменував її файл.

правило хешу

Для ідентифікації файлу використовується його хеш - це цифровий «відбиток» файлу. Хеш однозначно ідентифікує будь-який файл, незалежно від того як він називається і де знаходиться. Тобто два файли з ідентичним вмістом матимуть один і той же хеш. Це рятує від перейменування і переміщення файлів.

Але якщо програма часто оновлюється, то після кожного оновлення доведеться прописувати новий хеш.

правило сертифіката

Саме на цьому способі блокування я і зупинився. Більшість програм великих компаній підписують свої програми сертифікатом видавця. Завдяки цьому сертифікату видавця можна переконається що ця програма дійсно оригінальна, а не підроблена, яка краде паролі. У кожної компанії свій сертифікат.

У правилі сертифіката можна блокувати запуск програми по сертифікату видавця. Плюс в тому, що всі версії програми будуть заблоковані, незалежно від того, з якої папки вони запускаються і як перейменовуються. Мінус в тому, що всі програми цієї компанії будуть заблоковані, так як вони підписуються одним і ті ж сертифікатом видавця.

Щоб переглянути та експортувати сертифікат видавця виконайте наступні дії:

  • Правий клік мишки на exe-файлі
  • Виберіть пункт властивості - перейдіть на вкладку цифрові підписи
  • В поле "список підписів" двічі клікніть по підпису
  • Натисніть на кнопку "перегляд сертифіката"
  • Перейдіть на вкладку "Склад" і натисніть на кнопку "Копіювати в файл ..."
  • Виберіть формат файлу сертифіката в DER або Base64-кодування і тисніть по кнопках "далі" - далі все повинно бути зрозуміло.

Також слід врахувати один нюанс: для того щоб правило сертифіката працювало потрібно активувати їх роботу:

  • переходимо до редагування потрібної політики
  • в політиці переходимо за адресою "Computer Configuration - Windows Settings - Security Settings - Local Policies - Security Options"
  • в самому низу знаходимо "System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies" ( "Параметри системи: використовувати правила сертифікатів для виконуваних файлів Windows для політик обмеженого використання програм") і двічі клікаєм по ньому
  • Ставимо галочку біля "Define this policy setting" і вибираємо "enabled"

Область дії політик обмеженого використання програм і пріоритет правил

Дія політик обмеженого використання програм не поширюється на:

  • Програми, запущені від імені облікового запису SYSTEM
  • Драйвери та інші додатки рівня ядра
  • Макроси всередині документів Microsoft Office
  • Програми, написані для загальної багатомовною бібліотеки часу виконання (Common Language Runtime) - ці програми використовують політику безпеки доступу коду (Code Access Security Policy)

Пріоритет застосування правил виглядає так (у напрямку зниження пріоритету):

  • Правило для хешу
  • Правило для сертифіката
  • Правило для шляху
  • Правило для зони Інтернету
  • Правило за замовчуванням

Налаштовуємо політику заборони програмного забезпечення

При редагуванні політики переходимо за адресою "Computer Configuration - Windows Settings - Security Settings - Software Restriction Policies"

Якщо політики для програмного забезпечення ще не визначалися, то ви побачите попередження, що в разі їх призначення нові правила перекриють параметри політик, успадкованих від інших об'єктів GPO. Саме це ми і збираємося зробити, тому тиснемо правою кнопкою мишки по Software Restriction Policies і вибираємо в меню "Create Software Restriction Policies". Після цього побачимо:

Загальні налаштування:

  • Enforcement - можна вказати до чого \ кому ці політики застосовуються (або можна залишити настройки за замовчуванням):
    • До всіх файлів програмного забезпечення або до всіх файлів програмного забезпечення крім бібліотек (таких як dll)
    • До всіх користувачам або до всіх користувачів окрім адміністраторів
  • Designated File Types - вказані які файли вважаються виконуваними. Список вже сформований, але при бажанні ви можете додати або відняти типи файлів з цього списку.
  • Trusted Publishers - ця група параметрів дозволяє налаштовувати реагування політики на елементи управління ActiveX® і інше підписана вміст. Тут можна вказати, хто буде приймати рішення про довіру до підписаного вмісту (краще залишити це право адміністраторам підприємства), а також задати параметри перевірки сертифікатів - перевірити, відкликання сертифіката, і упевнитися, що він не прострочений.

В папці Security Levels, будуть два рівня:

  • Disallowed - коли все заборонено крім того, що дозволено (дозволити можна в Additional Rules)
  • Unrestricted - все дозволено крім того, що заборонено (заборонити можна в Additional Rules)

Якщо клікнути по одному з цих рівнів, то можна побачити кнопку "Set as default". За замовчуванням включений рівень Unrestricted

В папці Additional Rules власне і створюються дозволяють або забороняють політики. За замовчуванням там уже будуть створені політики для шляхів в реєстрі, які дозволяють запускати додатки з службових \ системних папок.

Для створення дозвільного правила натискаємо правою кнопкою мишки і вибираємо один з типів правила (Сертифікат, хеш, зона або шлях).

Я обмежував Teamviewer за сертифікатом видавця: вибрав New Certificate Rule, в ньому вказав файл з сертифікатом видавця (трохи вище описано як його отримати) і в Security level вибрав "Disallowed", тобто заборонити.

Якщо після налаштування політик не терпиться побачити їх роботу на локальному комп'ютері, то в командному рядку введіть "gpupdate / force" і після виконання команди перезавантажте комп'ютер.

Корисні посилання:

  • windowsfaq.ru - Обмеження списку запускаються за допомогою групових політик

Сподобалося? =) Поділися з друзями:

Можна використовувати змінні середовища або символи узагальнення «?
Навигация сайта
Новости
Реклама
Панель управления
Информация
Экономика стран www.muzruk.if.ua © 1995-2016
При копировании материала, ссылка на сайт обязательна.