|
|
Szoftverkorlátozó házirend a Windows 2003 szerverben
|
|
|
A Windows 2003 szerver szoftverkorlátozó házirendjének segítségével biztonsággal megóvható hálózatunk az Internetről letöltött ismeretlen alkalmazások okozta károktól. Alapértelmezettként lehet engedélyező, vagy tiltó a házirendünk, majd ezt tovább finomíthatjuk kivételt képező szabályok megadásával. Cikkünkben ezeket a lehetőségeket ismertetjük.
Házirend áttekintés
A "Software restriction policies" egy csoportházirend beállítási együttes, ami definiálja, hogy mely szoftver futhat a számítógépen, szabályozza az ismeretlen, vagy megbízhatatlan szoftverek használatát. A hálózat, illetve az Internet használatának növekedésével a felhasználók különféle módon új programokkal találják szemben magukat. A felhasználóknak dönteniük kell, hogy használják-e vagy sem az ismeretlen programokat. Vírusok, vagy trójai programok gyakran hamisan mutatják be saját magukat a felhasználóknak, hogy azok futtassák őket. Bonyolult dolog biztosan választani a futtatható szoftverek között.
A szoftverkorlátozó házirenddel meghatározhatjuk, hogy melyik program futhat a gépünkön, és melyik nem. Alapértelmezett "Unrestricted" azaz korlátlan, vagy "Disallowed", azaz nem megengedett biztonsági szintet állapíthatunk meg a csoportházirendben. Kivételt képezhetünk ez alól úgy, hogy szoftverkorlátozó házirend szabályokat hozunk létre a programokhoz. A szabálytípusok a következők:
- Hash rules – tördelő szabályok
- Certificate rules – hitelesítési szabályok
- Path rules – útvonal szabályok, tartalmazza a registry útvonal szabályokat
- Internet zone rules – Internet zóna szabályok
Szoftverkorlátozó házirendet megadhatunk tartományra, saját gépre, vagy egyéni felhasználóra. Többféle módszert kínál a házirend a program azonosítására, és házirend alapú infrastruktúrát kínál annak eldöntésére, hogy egy program futtatható-e. Amikor egy felhasználó programot indít, akkor követnie kell az irányelveket, amiket a rendszergazda meghatározott. A következőket tehetjük:
- Felügyelhetjük a program saját rendszer alatt való futásának képességét. Például ha attól félünk, hogy e-mailben vírusok érkeznek a felhasználókhoz, akkor beállíthatjuk a házirendben, hogy a levél melléklet könyvtárban mellékelt állományok megadott típusai ne legyenek futtathatók.
- Engedélyezhetjük a felhasználóknak, hogy több felhasználós gépen, csak bizonyos programokat indíthassanak. Például beállíthatjuk a szoftverkorlátozó házirendben, hogy csak azok a programok futhassanak, amelyek a felhasználó munkájához szükségesek.
- Felügyelhetjük, hogy mely házirend beállítások vonatkozzanak az összes felhasználóra, vagy csak meghatározott felhasználókra.
- Letilthatjuk bármely fájl futását a saját gépen, szervezeti egységben, adott helyen, vagy tartományban. Például ha a gépünkön egy ismert vírus van, akkor megtilthatjuk a gépünknek, hogy azt az állományt elindítsa, amely a vírust tartalmazza.
Fontos! Szoftverkorlátozó házirend nem helyettesíthet vírusirtó programot.
Biztonsági szintek és egyéb szabályok
Biztonsági szint választásának lehetőségei:
- Korlátlan, amely engedélyezi a programnak, hogy a felhasználó teljes jogosultság beállításai mellett fusson.
- Nem megengedett, amely nem teszi lehetővé a program futását.
Az alábbi szabályokkal egészíthetjük ki a biztonsági szint beállításait. Például, ha a tiltott biztonsági szint az alapértelmezett, akkor létrehozhatunk egy út szabályt, ami kivételt képez, tehát engedélyezi a program futtatását az adott útvonal által meghatározott helyen.
Több szabály is beállítható egy programhoz, ebben az esetben a magasabb precedensű szabály dönt a program sorsáról. A precedencia sorrend megegyezik a bemutatás sorrendjével:
- Tördelő (hash) szabály: A töredék (hash), egy fix méretű bájtcsoport, amely egyértelműen azonosítja az adott programot, vagy fájlt. A töredéket egy azonos nevű algoritmus számítja. Ha egy ilyen szabályt alkalmazunk egy programhoz, akkor a házirend készít egy töredéket a programról. Amikor a felhasználó megpróbál elindítani egy programot, akkor a programhoz tartozó töredéket összehasonlítja a házirendben letárolt változattal. Egy szoftverhez tartozó hash mindig ugyanaz marad, bárhol is tárolódik a program a gépen, viszont ha a program bármilyen módon is megváltozik, akkor a hozzá tartozó töredék is megváltozik, és már ezután nem egyezik meg a házirendben tárolt változattal. Ha egy ilyen szabályt alkalmazunk, akkor a szoftver azonosítása az itt leírtak szerint történik.
- Hitelesítési szabály: A házirend azonosíthat egy programot, az őt megjelölő hitelesítéssel is. A hitelesítő szabály alapértelmezésben nincs bekapcsolva. Az azonosítás után a fájl használhatóságának eldöntése már ugyanazon módon történik.
- Útvonal szabály: Azonosítja a programot az alapján, hogy hol helyezkedik el. Ilyen módon megadhatjuk, hogy pl.: egy program ne indulhasson el, ha a megadott mappában akarják elindítani. Megadható egy programhoz registry útvonal is, ebben az esetben a program által használt registry út azonosítja a szoftvert. Ez a szabály megkerülhető, ha más helyről szeretnénk elindítani ugyanazt a programot.
- Internet zóna szabály: Zóna szabály a Windows telepítő csomagokra érvényes csak. Zóna szabály a szoftvert az ő zónája alapján azonosítja, ami az Internet Explorer segítségével állítható be. Ezek a zónák a következők: Internet, Intranet, Korlátozott lapok, Engedélyezett lapok, Sajátgép
Az alapértelmezett biztonsági szint beállítása tiltásra
Alapértelmezésben a rendszer biztonsági szintje engedélyező típusú. Ha ezt át akarjuk állítani a tiltó beállításra, akkor a legtöbb program nem fog elindulni. A következőket érdemes tudni, illetve beállítani:
- Négy registry útvonal szabályt definiál a rendszer:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
- Rendszerindításkor induló fájlok a következő helyre kerülnek:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ha azt akarjuk, hogy fussanak ezek az alkalmazások, akkor készítsünk registry útvonal szabályt hozzájuk.
- Ha a gép logon script-et futtat, akkor ahhoz is készítsünk útvonal szabályt.
- Tekintsük át rendszerünket, hogy mely programokat akarjuk majd indítani. Ügyeljünk arra, hogy bizonyos programok más alkalmazásoktól függenek, azokat előzőleg futtatják, gondoskodjunk tehát valamennyi szükséges alkalmazás futtatási jogáról.
Szoftverkorlátozó házirendek rendszereseményei
Ha egy engedéllyel nem rendelkező programot indítunk, akkor az eseménynaplóba a következő fajta bejegyzések kerülhetnek:
| Esemény azonosító |
Jelentése |
| 865 |
A felhasználó egy olyan programot próbált elindítani, amely az alapértelmezett biztonsági szint szerint nem futtatható |
| 866 |
Útvonal szabály által tiltott program futtatását kezdeményezte a felhasználó |
| 867 |
Hitelesítési szabály által tiltott program futtatását kezdeményezte a felhasználó |
| 868 |
Internet zóna, vagy tördelő szabály által tiltott program futtatását kezdeményezte a felhasználó |
|
Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!
|