En måte at du kan bekjempe dette problemet er gjennom bruk av programvare policyer. Restriksjons programvare politikk er en spesiell gruppe policy objekt som du kan bruke for å hindre brukere fra å kjøre uautorisert programvare. Før jeg vise deg hvordan du oppretter en software begrensning politikk skjønt, er det to ting som du trenger å vite om dem.
Først, de er bare effektive mot datamaskiner som kjører Windows XP og Windows Server 2003.
For det andre er en software begrensning politikk ikke er en catch-all-felle for uautorisert programvare. I stedet er det laget for å gi deg en måte å forebygge spesifikke applikasjoner fra å kjøre. For eksempel, mange år siden jeg jobbet på et sted der det syntes at nesten hver bruker hadde videospillet Frogger installert på datamaskinen sin. Restriksjons programvare politikk ikke eksisterte på den tiden, men hvis de hadde, ville de ha vært en perfekt løsning på dette problemet. Jeg kunne ha skapt en software begrensning politikk som ville ha hindret noen fra å kunne kjøre spillet før jeg hadde en sjanse til å rydde ut av alle maskinene.
Opprette en software begrensning politikk
Opprette en software begrensning politikk er enkel. For å gjøre dette, åpner Group Policy Editor og navigere gjennom konsolltreet til Computer Configuration (eller Brukerkonfigurasjon hvis du vil bruke politikken til brukeren i stedet for til datamaskinen) | Windows Innstillinger | Sikkerhetsinnstillinger | Programvarebegrensningspolicyer. I første omgang vil programvarebegrensningspolicyer container være helt tom. Du må høyreklikke på programvarebegrensningspolicyer container og velg Ny Software Restriction Regler kommandoen fra den resulterende hurtigmenyen. Når du gjør det, er du ikke faktisk lage en ekte software begrensning politikk. I stedet er du forårsaker Group Policy Editor til å opprette ytterligere to undermapper under den programvarebegrensningspolicyer container. Den første av disse undermapper kalles Security Levels. Du bør ikke trenger å røre noe i denne mappen. Sikkerhetsrådet Levels mappen definerer bare sikkerhetsnivåene som kan brukes til en politikk som du oppretter. To sikkerhetsnivåer er definert som standard, Ikke tillatt og ubegrenset. Den Ikke tillatt sikkerhetsnivået er akkurat hva det høres ut som. Når det er brukt til en programvare begrensning politikk, så brukere eller datamaskiner at politikken er påført er ikke tillatt å kjøre et program.
Den frie politikk er ikke akkurat det du kanskje tror det er. Når Fri Sikkerhetsnivå er brukt på en software begrensning politikk, er den angitte applikasjonen bare ubegrenset i den forstand at programvaren begrensning politikk ikke vil forstyrre programmets evne til å kjøre. Andre NTFS eller gruppe politikk basert restriksjoner kan fortsatt hindre brukere eller datamaskiner fra å være i stand til å kjøre programmet.
La oss nå se på tilleggsregler mappen. Det er noen regler som er forhåndsdefinert som standard. Disse reglene er bare der slik at en politikk ikke uhell blokkerer Windows fra å kjøre. Du kan opprette en ny regel ved å høyreklikke på tilleggsregler container og velge en av den nye regelen kommandoer fra hurtigmenyen. Det finnes fire forskjellige typer regler som du kan lage. Hver type regel har sine fordeler og ulemper, og du bør velge den regelen som er mest hensiktsmessig for deg eier individuelle situasjon.
Sertifikat regler
Sertifikat reglene blir vanligvis brukt til å tillate eller hindre installasjon av programmer i stedet for å hindre at eksisterende applikasjoner fra å kjøre. Du har sikkert installert programmer eller enhetsdrivere som er digitalt signert av produsenten. Du kan bruke sertifikatet som brukes i den digitale signaturen til enten tillate programmet å løpe eller å hindre den fra å kjøre. I tilfelle av et digitalt signert installasjonsprogrammet kan et sertifikat regel være en effektiv måte å hindre applikasjoner fra et bestemt selskap fra å bli installert. På baksiden, hvis du ønsker å sikre at søknader fra Microsoft eller applikasjoner utviklet i huset er alltid installert, kan du lage et sertifikat regel som gjelder ubegrenset sikkerhetsnivået til disse sertifikatene.
Hash regler
En hash regel er en regel som er basert på en matematisk hash av en bestemt fil. For å se hvordan dette fungerer, la oss gå tilbake til min tidligere eksempel på å ville hindre Frogger fra å kjøre. Jeg kunne lage en hash av frogger.exe filen, tildele nektet sikkerhetsnivået til det, og Frogger ville ikke være i stand til å kjøre.
Hash regler har sine gode poeng og dårlige poeng. På oppsiden er det ingen enkel måte for et program for å skjule en hash regel. Døpe eller flytte et program endrer ikke hasj, og derfor regelen vil fortsatt gjelde for søknaden. På den annen side hvis brukeren var å oppgradere til en ny versjon av programmet, vil hash regelen gjelder ikke lenger, selv om filnavnet forble det samme. For den saks skyld, kan en bruker bruke en hex-editor for å endre en byte i filen, og det ville gjengi hash regelen ubrukelig. Heldigvis er det ikke mange brukere som vet hvordan de skal bruke hex redaktører.
Internett-sonen regler
Internet Zone regler tilbyr utmerket forsvar mot spyware. Vi har alle sett ondsinnede nettsteder som bruker skript for å gjøre ting som å endre nettleserens hjemmeside, installere en haug med oppføringer på listen over favoritter, eller til og med installere trojanere på maskinen din.
Internett-sonen regler kan hjelpe med dette ved å fortelle maskinen at med mindre et nettsted er i en klarert sone at det ikke er lov til å kjøre skript på arbeidsstasjoner. Selvfølgelig er ingen webområder klarert som standard, og enkelte nettsider vil ikke fungere riktig hvis de ikke kan kjøre skript, slik at du kan ha til å eksperimentere med dette.
Bane regler
Den siste regelen typen er en bane regelen. En bane regel lar deg blokkere et program fra å kjøre basert på sin vei. For eksempel kan du blokkere noe i C: \\ Programfiler \\ Microsoft Games-mappen fra å kjøre. Problemet med baneregler er at en bruker lett kan omgå dem ved å flytte blokkert applikasjonen.
Forsinket responstid
Nå som jeg har forklart ulike typer regler som du kan lage, det er en siste ting som jeg ønsker å fortelle deg om programvare begrensning politikk. Når du oppretter en software begrensning politikk, kan du finne at det ikke i utgangspunktet ser ut til å fungere. Det er et par forskjellige ting som kan forårsake dette. For det første, den politikken som du oppretter en gruppe politikk element i Active Directory. Som sådan, må det bli replikert til andre domenekontrollere før det kan være effektivt. Det er også underlagt de vanlige gruppepolitikk hierarki regler.
En annen grunn til at en software begrensning politikk kan i utgangspunktet synes ikke å fungere er fordi noen programmer er lagret i Windows \\ Windows \\ System32 \\ Dllcache. Hvis et begrenset søknaden er bufret til denne mappen kan det fortsatt kjøre til cache posten er utløpt.
Brien M. Posey, MCSE, er en Microsoft Most Valuable Professional for sitt arbeid med Windows 2000 Server og IIS. Brien har fungert som CIO for en landsdekkende kjede av sykehus og var en gang ansvaret for IT-sikkerhet for Fort Knox. Som freelance teknisk forfatter har han skrevet for Microsoft, CNET, ZDNet, Techtarget, MSD2D, relevante teknologier og andre teknologiselskaper. Du kan besøke Brien personlige hjemmeside på www.brienposey.com.