Политика за ограничаване на софтуера (SRP) - всичко за ИТ и

Написано на 01 декември 2008 г. Публикувано в Администриране на Windows

СЪДЪРЖАНИЕ

Допълнителни правила

Когато настройвате допълнителни правила (Допълнителни правила), трябва да изберете метод или няколко метода за това как да идентифицирате софтуера. Имаме 4 различни метода за идентификация на софтуера:

1. HASH правила HASH е криптиран отпечатък, който остава независимо от промяната в името на файла и неговото местоположение. Това е особено добро, когато използвате WL, но не е толкова ефективно, когато използвате BL (причината за това е частично описана чрез пример с използване на инструмент, наречен ProduKey в моята първа статия за SRP): MD5 или SHA-1 HASH ви позволява ясно да идентифицирате двоичния файл на софтуерното приложение „ProduKey.exe“, така че разрешаването на стартиране само на приложения с определена HASH стойност ще гарантира, че може да се стартира само определена версия на изпълнимия файл. Въпреки това, ако забраним изпълнението на файл с определена HASH стойност, ние ще въведем такова ограничение само за една версия на това приложение и хитрите потребители могат просто да променят файла и той вече няма да отговаря на ограничението. Думата "неизвестен" е много важна в този случай - тя е ключова при избора между BL бели списъци и WL черни списъци - искаме ли да позволим на потребителите да стартират непознат софтуер?

Ако потребителят не може да стартира по-стара версия на определено приложение, да кажем, че то е повредено и системата се срива, тогава използването на правилото „откажи тази HASH стойност“ е добра идея.решение. Моля, не забравяйте, че нова версия на същото приложение ще има нова HASH стойност, която трябва да бъде активирана или деактивирана.

2. Правила за сертификати Правилата за сертификати използват подписани хешове и осигуряват много силно удостоверяване, но ако имаме доверие на конкретен сертификат, тогава имаме доверие на всички софтуерни продукти, които са подписани с помощта на този сертификат. Това може да бъде както добро, така и лошо. Това може да е добре, ако например получим приложение от трета страна, която е подписала всички необходими файлове на приложението (може би включително DLL), така че вместо да създаваме нови HASH правила, ние просто създаваме едно правило, което се доверява на сертификата и продължаваме. Но ако се доверя на цифровия сертификат, който се използва за подписване на някои инструменти от Microsoft (или който и да е друг доставчик) - сега моите потребители могат да стартират всички приложения, които са подписани с този сертификат... Хм, проблемът е да разбера какво точно е подписано с този сертификат? Без такова знание не знаем какво ни е позволено да правим. Вместо да позволяваме едно приложение, от което нашите потребители се нуждаят, трябва да позволим на стотици приложения от този доставчик да работят на нашите системи.

Можете да тествате правила за сертификат, като използвате тези инструменти: Инструмент за подписване на файлове (Signcode.exe) & Инструмент за създаване на сертификат (Makecert.exe)

3. Правила за пътеки Правилата за пътеки са най-често срещаните и лесни за използване правила. Правилата за пътя ви позволяват да разрешите или не да стартирате файл от конкретно местоположение (например "C:\Scripts\Script.VBS"), име на файл (например "Script.VBS"), папка (например "C:\Scripts"), UNC път(т.е. "\\SERVER\SHARE\File.VBS") или път в системния регистър (т.е. "%[Регистър Hive]\[Име на ключ в регистъра]\[Име на стойност]%"). Пътищата могат да използват променливи на средата (т.е. "%WINDIR%") и заместващи знаци "?" = един знак (т.е. "\\SERVER??\Share\Script.VBS") и "*" = произволен брой знаци (т.е. "*.VBS").

Ако използвате правила за път, трябва да имате предвид следното:

  • Ако е указан пътят до която и да е папка, тогава правилото ще засегне и всички изпълними файлове в дъщерни папки
  • Ако потребителят има достъп за запис в папка, която е зададена на Unrestricted, тогава потребителят може да копира всеки файл в тази директория и да го изпълни от там. Дизайнът трябва да вземе това предвид, може би чрез използването на ACL (списъци за контрол на достъпа), когато се използват групови правила
  • Ако потребителят има достъп за запис до папка, която е зададена на Unrestricted, тогава потребителят може да презапише този изпълним файл с друг, за да подмени SRP
  • Ако пътят на папката включва променливи на средата, като %TEMP%, тогава дори ограничен потребител може да промени променливата на средата с помощта на командата SET към друга пътека (SET TEMP=C:\MyFolder) - и тогава потребителят може да контролира това приложение.

Както беше обсъдено по-горе, потребителите може да се опитат да преименуват или преместят забранени файлове - или да презапишат разрешените файлове, за да измамят SRP - поради което правилата за HASH или за сертификати обикновено се считат за най-добрият избор.

4. Интернет зона Зоните за сигурност на Internet Explorer могат да се използват за контрол на инсталирането на софтуер, но това се отнася само за инсталиранетоПакети на Windows Installer (.MSI), които се стартират от една от интернет зоните по подразбиране. Тези правила се използват рядко.

Когато се използват няколко правила, те се обработват в посочения по-горе ред, като правилото по подразбиране е последното.