Колеги, вітаю. Сьогодні поговоримо про те, як же все-таки заборонити користуватися програмою, яка не до вподоби адміністратору. Написати цю статтю мене спонукали дві біди, з якими я зіткнувся у себе в робочому середовищі. Пов'язані вони перш за все з інформаційною безпекою:
Вирішив я якось поборотися з цими бідами. Придумав поки таке рішення: заблокую за допомогою групових політик програму Ammyy Admin (потім Teamviewer). Аутсорсингові компанії, які працюють у нас в фірмі змушу користуватися стандартною програмою Віддалений помічник і Віддалений робочий стіл. в перспективі закупимо Radmin, який можна розгортати і адмініструвати централізовано. Або як злий адмін змушу з приїжджати на робочі місця клієнтів. Думаю, у багатьох організаціях, де захист інфомарціі критичний сервіс, саме так і роблять. Загалом, час покаже. поки ж стоїть завдання заблокувати використання програми Ammy Admin.
Перш за все трохи теорії, буквально дуже коротко. Стандартними засобами заблокувати програму (далі "залочити") можна двома відомими мені способами:
- Для старих ОС типу Windows XP (хоча повинно працювати і на нових) це механізм політик обмеження використання програм. Працює блокування за сертифікатом додатки / шляху / хешу / зони мережі. Я вибрав сертифікат програми, інші способи мені здаються менш ефективними. Створюємо політику, заходимо в властивості. йдемо по потрібному шляху (див скріншот) і створюємо нове додаткове правило за сертифікатом:
Далі через Огляд додаємо exe-файл програми. Щоб упевнитися можна потім натиснути конпку "Подробиці":
На цьому все. Бачимо, що все гаразд і зберігаємо.
Недолік у цього є і він дуже істотний: як тільки щось змінюється в програмі, в т.ч. версія, швидше за все сертифікат теж, тому створювати нові правила доведеться постійно. Саме тому механізм обмеження використання програм не прижився в IT-співтоваристві. Але ми все ж поспостерігаємо. Тепер другий, більш ефективний спосіб:
- Для ОС версії 7 і вище механізм Applocker. Чим він відрізняється ми скоро зрозуміємо. Розглянемо Applocker докладно.
Бачимо 4 пункту: виконувані правила, правила установника Windows і т.д. Натискаємо на кожен пункт правою кнопкою і вибираємо "Створити правила за замовчуванням", це необхідно. Скрізь створюється 3 правила за замовчуванням, не рекомендую їх чіпати:
Тепер після того, як з'явилися дозволяють правила, додамо явно забороняє правило для програми Ammyy Admin. У розділі "виконувані правила" створюємо нове правило. Запускається майстер, натискаємо "Далі". Вибираємо забороняє правило для всіх:
Далі нехай буде "видавець". А далі найважливіше і цікавіше. Після того, як вибрали через "Огляд" наш додаток, бачимо рівні взаімодеqствія Applocker. Оскільки програми постійно оновлюються, то сенсу блокувати версію немає, нехай лочатся будь-які додатки від видавця Ammyy:
Винятків у нас не буде, тому пропускаємо крок і натискаємо "створити". Ось і все, бачимо наше правило:
Найголовніше мало не забув: необхідно ще запустити службу "посвідчення додатки" (по-англійськи по-моєму Application Identity). На скріншоті видно, де вона включається:
Тепер залишилося застосувати політику на клієнтських машинах. Давайте перевіримо на XP. Для чистоти експерименту тестувати будемо 2 версії. Після команди gpupdate / force пробуємо запустити нашу програму і бачимо таке:
Причому працювало під адміністратором домену, версії програми різні (3.4 і 3.5), але спрацювало забороняє правило все одно. Завдяки сертифікату. Мені пощастило, що він один на всі продукти Ammyy. Але періодично моніторити цього видавця доведеться і це суттєвий недолік. Тепер глянемо на машину з Windows 8.1:
Вам так само сподобається:
