none
Автоматизация создания Политик ограниченого использования программ. RRS feed

  • Вопрос

  • Доброго времени суток!

    Подскажите пожалуйста, как на локальной машине (не в домене) с ОС Windows7 автоматизировать процес создания Политик ограниченого использования программ?
     
    Политики создаются для группы "Не администраторы"

    В ручную я это делаетсю так: в mmc добавилю оснастку "Редактор объектов групповой политики" для Локального компьютера для гуппы "Не администраторы"
    После добавления захожу в:
    Политика "Локальный компьютер\Не администраторы" - Конфигурация пользователя - Кофигурация Windows - Параметры безопасности - Политики ограниченого использования программ - Правая кнопка мыши: Создать политику ограниченого использования программ - Дополнительные правила - Правая кнопка мыши: Создать правило для пути
    В открывшемся окне в поле "Путь" ввожу имя файла в поле "Уровень безопасности" выбираю "Запрещено"

    Максимум до чего я додумался это:
    В mmc добавил оснастку "Редактор объектов групповой политики" для Локального компьютера для гуппы "Не администраторы"
    Зашел в: Политика "Локальный компьютер\Не администраторы" - Конфигурация пользователя - Кофигурация Windows - Параметры безопасности - Политики ограниченого использования программ
    И сохранил оснастку :)))
    Ну и теперь при вызове в командной строке:
    mmc "Имя сохранённой мной оснастки"
    открывается mmc на "Политики ограниченого использования программ".
    То есть скажем автоматизирована половина процесса, да и путь в автоматизации я подозреваю выбран не верно :))
    А хотелось бы полностью этот процесс автоматизировать.
    Может это можно автоматизировать с помощью PowerShell`а или VBS`а или Cmd или с помощью утилитки какой-то?

    Заранее благодарен!!!

    10 ноября 2010 г. 8:12

Все ответы

  • Думаю, что вам может помочь создание шаблона настроек пезопасности, на основе компьютера с настроенным SRP, с последующим применением этого шаблона на других компьютерах. (см. в сторону "анализ и настройка безопасности" и|или secedit)


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 8:30
  • А что такое SRP?

    И как создать шаблон для групы "Не администраторы" ?

    10 ноября 2010 г. 8:37
  • >А что такое SRP?

    Software Restriction Policies

    >И как создать шаблон для групы "Не администраторы" ?

    шаблоны создаются не для групп. шаблон содержит настройки безопасности компьютера/пользователя.

     

    ЗЫ я сам не пробовал переносить настройки SRP при помощи шаблонов (не уверен, что это возможно)ю В интернетах встречал противоположные мнения на эту тему. Так, что вам придется самому найти ответ на этот вопрос.


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 8:54

  • на основе компьютера с настроенным SRP

    То есть я сперва настраиваю один компьютер вручную как описывал выше:

    в mmc добавилю оснастку "Редактор объектов групповой политики" для Локального компьютера для гуппы "Не администраторы"
    После добавления захожу в:
    Политика "Локальный компьютер\Не администраторы" - Конфигурация пользователя - Кофигурация Windows - Параметры безопасности - Политики ограниченого использования программ - Правая кнопка мыши: Создать политику ограниченого использования программ - Дополнительные правила - Правая кнопка мыши: Создать правило для пути
    В открывшемся окне в поле "Путь" ввожу имя файла в поле "Уровень безопасности" выбираю "Запрещено"

    ?

    10 ноября 2010 г. 9:09
  • как вы будете настраивать SRP, к первоначальному вопросу не относится (но замечу, что я, например, настраиваю ее всегда на уровне компьютера, а не пользователя).

    Ваш вопрос был, как автоматизировать процесс настройки других компьютеров? Я ответил, что, возможно, вам удастья автоматизировать процесс переноса настроек SRp при помощи шаблонов безопасности (security templates). Хотя, возможно, я ошибаюсь.


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 9:16
  • >как вы будете настраивать SRP, к первоначальному вопросу не относится (но замечу, что >я, например, настраиваю ее всегда на уровне компьютера, а не пользователя).

    Я понимаю что это уже не относится к первоначальному вопросу, просто если настраивать на уровне компьютера то как указать что эти программы запрещается запускать только не администраторам?

    >вам удастья автоматизировать процесс переноса настроек SRp при помощи шаблонов >безопасности (security templates).

    Попробую разобраться как это сделать и попробую сделать.

    10 ноября 2010 г. 9:26
  • >Я понимаю что это уже не относится к первоначальному вопросу, просто если настраивать на уровне компьютера то как указать что эти программы запрещается запускать только не администраторам?

    SRP позволяет это проделать. См. в редакторе политик "Политики ограниченного использования программ" -> "Принудительный" -> "Применять политику... для следующих пользователей..."-> "Для всех пользователей, кроме локальных админисртраторов"

    >Попробую разобраться как это сделать и попробую сделать

    Заглянул в шаблоны : Там даже узла такого (SRP) нет. Почитал на форумах - пишут, что можно пренести путем импорта/экспорта реестра, но при этом настройки политики не отображаются в редакторе политики.

    Если вариант с шаблонами не прокатывает, возможно надо копать в сторону размножения локального объекта безопасности (есоли это вообще возможно).

    на худой конец, придется выполнять автоматизацию при помощи скрипта AutoIt, который сам поводит мышкой да пощелкает по кнопкам. :(


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 9:35
  • Самым простым вариантом было бы использование групповых политик в домене. Домен у вас совсем не рассматриватеся?


    blog: http://shss.wordpress.com/
    • Изменено s.h.s. _ 10 ноября 2010 г. 11:36
    10 ноября 2010 г. 9:39
  • >"Принудительный" -> "Применять политику... для следующих пользователей..."-> "Для >всех пользователей, кроме локальных админисртраторов"

    Почему-то немогу найти там такого...(((

    >Заглянул в шаблоны : Там даже узла такого (SRP) нет.

    Я тоже попробовал secedit /export /cfg d:\1.inf, потом настроил вручную, потом secedit /export /cfg d:\2.inf и сравнил эти файлы fc d:\1.inf d:\2.inf, в результате выдало, что различий нет...((

    >можно пренести путем импорта/экспорта реестра

    а какой раздел импортировать/экспортировать надо? 

    >но при этом настройки политики не отображаются в редакторе политики

    мда... это печально

    >Если вариант с шаблонами не прокатывает, возможно надо копать в сторону размножения >локального объекта безопасности (есоли это вообще возможно).

    Это как?

    >на худой конец, придется выполнять автоматизацию при помощи скрипта AutoIt, который >сам поводит мышкой да пощелкает по кнопкам. :(

    тоже подумывал об этом, но решил это отложить действительно на крайний случай.

    >Домен у вас совсем не рассматриватеся?

    К сожалению нет. ((

    10 ноября 2010 г. 10:16
  • >Почему-то немогу найти там такого...(((

    http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2008;a=02 (http://www.samag.ru/art/09.2008/54-59+Software_Restriction_Policies.files/image002.gif)

    >а какой раздел импортировать/экспортировать надо?

    HKLM\Software\Policies\Microsoft\Windows\Safer (http://www.freelists.org/post/thin/Appsec-Software-Restriction-Policies-and-Windows-Server-2003,1)

    >Это как?

    я имел ввиду, что, возможно, стоит погуглить в эту сторону, может и найдется какое-нить решение.


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 10:55
  • > я имел ввиду, что, возможно, стоит погуглить в эту сторону, может и найдется какое-нить решение

    погуглил. Этот метод работает, но не для нашего случая:

    If the settings that the administrator wants to enable are available on the user and computer level from the Group Policy Microsoft Management Console (MMC) snap-in, the administrator should use Local Machine policies. Since it may be difficult to visit each client to distribute and configure Local Group Policy, you can use the following two methods to configure Local Group Policy on multiple clients:

    Administrators can also configure a Local Group Policy on one client computer, and then copy the associate's pieces that make up the Local Group Policy Object (LGPO) to other clients.
    NOTE: The only settings you can transfer from one client to another are the settings from Administrative Templates

    http://support.microsoft.com/kb/274478/en-us


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 11:14
  • >http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2008;a=02 (http://www.samag.ru/art/09.2008/54-59+Software_Restriction_Policies.files/image002.gif)

    Ага, Спасибо! Но мне кажется, что при применении "Применять политику... для следующих пользователей..."-> "Для всех пользователей, кроме локальных админисртраторов" это применится ко всем политикам ограниченого использования программ (ну то есть все правила в папочке Политики ограниченого использования программ)

    >HKLM\Software\Policies\Microsoft\Windows\Safer (http://www.freelists.org/post/thin/Appsec-Software-Restriction-Policies-and-Windows-Server-2003,1)

    Вот что мне по этому поводу сказал регшот:

    HKU\S-1-5-21-4051663993-2816149798-3697024568-1000\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{B3EF8BB6-7129-4FA8-8EFA-CC1DE1C9DAD6}User\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f2f39815-23a8-4999-a729-43f0698c987c}\LastModified: BA 63 9C E4 C2 80 CB 01
    HKU\S-1-5-21-4051663993-2816149798-3697024568-1000\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{B3EF8BB6-7129-4FA8-8EFA-CC1DE1C9DAD6}User\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f2f39815-23a8-4999-a729-43f0698c987c}\Description: ""
    HKU\S-1-5-21-4051663993-2816149798-3697024568-1000\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{B3EF8BB6-7129-4FA8-8EFA-CC1DE1C9DAD6}User\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f2f39815-23a8-4999-a729-43f0698c987c}\SaferFlags: 0x00000000
    HKU\S-1-5-21-4051663993-2816149798-3697024568-1000\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{B3EF8BB6-7129-4FA8-8EFA-CC1DE1C9DAD6}User\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{f2f39815-23a8-4999-a729-43f0698c987c}\ItemData: "programma.exe"

    >погуглил. Этот метод работает, но не для нашего случая:

    То есть настройки которые можно импортировать/экспортировать, это настройки из административных шаблонов?

    10 ноября 2010 г. 13:27
  • >Ага, Спасибо! Но мне кажется, что при применении "Применять политику... для следующих пользователей..."-> "Для всех пользователей, кроме локальных админисртраторов" это применится ко всем политикам ограниченого использования программ (ну то есть все правила в папочке Политики ограниченого использования программ)

    Так и должно быть:

    http://technet.microsoft.com/en-us/library/bb457006.aspx#EEAA

    Merging Semantics for Multiple Software Restriction Policies

    Whenever two or more Group Policy objects apply to a user or machine, the policies are merged. When two or more software restriction policies are merged, the following occurs:

    • The GPO with the highest precedence sets the following values:

      • Default Security Level

      • Designated File Types

      • Skip Administrators

      • DLL Checking

    • The rules from multiple GPOs are always merged. Thus, all additional rules from all GPOs are preserved.

    A software restriction policy can be set for user scope and machine scope. The following semantics are observed when merging user and machine scope:

    • The more restrictive default security level is chosen.

    • The list of designated file types in the machine policy, if present, is used. If not present, the list of designated file types in the user policy is used.

    • The Skip Administrators value is always chosen from the machine policy.

    • If DLL checking is enabled in either policy, then it is enabled.

    • All the rules between user and machine policies are merged.

    И еще у Вадима посмотрите про порядок применения правил SRP: http://www.sysadmins.lv/PermaLink,guid,8802cfef-4499-481e-9de7-6daa92f873d8.aspx


    blog: http://shss.wordpress.com/
    10 ноября 2010 г. 14:15
  • 1. Почему вы не хотите сделать политику для всех без исключения? Администраторы - САМЫЕ ОПАСНЫЕ пользователи в системе.

    2. Импорта/Экспорта у SRP нет. Но копировать с машины на машину готовые ПОЛНЫЕ объекты GPO возможно.


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    10 ноября 2010 г. 20:52
    Отвечающий
  • >1. Почему вы не хотите сделать политику для всех без исключения? Администраторы - САМЫЕ ОПАСНЫЕ пользователи в системе.

    Я, например, считаю это бессмысленным, если пользователи и администраторы работают с правами ограниченного пользователя, а привилегии администратора используются в редких случаях, например, для установки удаления программ. Не вижу, каким образом SRP может защитить компьютер от пользователя с правами администратора. Если администратор захочет запустить подозрительную программу, он ее запустит и никакое SRP его не остановит.

    >2. Импорта/Экспорта у SRP нет. Но копировать с машины на машину готовые ПОЛНЫЕ объекты GPO возможно

    Каким образом? копирование папки %windir%\system32\GroupPolicy (со всеми поддиректориями и каталогами)?

    Upd. Вот, тут, говорится о том, что надо копировать только подкаталоги (со всем их содержимым) папки %windir%\system32\GroupPolicy, но не файл gpt.ini


    blog: http://shss.wordpress.com/
    11 ноября 2010 г. 6:39
  • >Почему вы не хотите сделать политику для всех без исключения? Администраторы - САМЫЕ ОПАСНЫЕ пользователи в системе.

    Ну для администраторов мне кажется нет смысла это делать, тюк. те же администраторы эту молитику могут отменить. Да и у меня цель такова что, я  как раз хочу чтоб у Админов была возможность запускать эти программы.

    >>2. Импорта/Экспорта у SRP нет. Но копировать с машины на машину готовые ПОЛНЫЕ объекты GPO возможно.

    >Каким образом? копирование папки %windir%\system32\GroupPolicy (со всеми поддиректориями и каталогами)?

    >Upd. Вот, тут, говорится о том, что надо копировать только подкаталоги (со всем их содержимым) папки %windir%\system32\GroupPolicy, но не файл gpt.ini

    Я вот на компьютере настроил вручную; Потом скопировал с него %windir%\system32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol; А потом скопировал этот файл на другой компьютер; Открываю в ммц редактор груповых политик и смотрю, что они применены.

    Мне вот интересно, что значит S-1-5-32-545 ?

    11 ноября 2010 г. 13:20
  • Мне вот интересно, что значит S-1-5-32-545 ?

    http://support.microsoft.com/kb/243330/ru


    blog: http://shss.wordpress.com/
    11 ноября 2010 г. 13:23
  • http://support.microsoft.com/kb/243330/ru

    Хе...Пользователи

    А чё ж Пользователи, если я создавая политику выбирал "Не администраторы" ?

    11 ноября 2010 г. 14:31
  • http://support.microsoft.com/kb/243330/ru

    Хе...Пользователи

    А чё ж Пользователи, если я создавая политику выбирал "Не администраторы" ?


    То, что вы там выбирали, никак не связано с названием папки.
    blog: http://shss.wordpress.com/
    11 ноября 2010 г. 14:35
  • > Я вот на компьютере настроил вручную; Потом скопировал с него %windir%\system32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol; А потом скопировал этот файл на другой компьютер; Открываю в ммц редактор груповых политик и смотрю, что они применены.

    Одного этого файла оказалось мало, потребовался ещё %windir%\system32\GroupPolicyUsers\S-1-5-32-545\gpt.ini !!!

    То есть без него в редакторе показывало что такая то программа запрещена, но эта политика не работала, программа запускалась позователем, а после того как скопировал gpt.ini начало работать.

    11 ноября 2010 г. 14:41
  • >То, что вы там выбирали, никак не связано с названием папки.

    Ну почему же тогда, если я всё тоже самое делаю для "Администраторы", то у меня там создаётся папка S-1-5-32-544 ?

     

    11 ноября 2010 г. 15:17
  • >То, что вы там выбирали, никак не связано с названием папки.

    Ну почему же тогда, если я всё тоже самое делаю для "Администраторы", то у меня там создаётся папка S-1-5-32-544 ?

     


    либо я вас неправильно понял, либо одно из двух ;)

    у меня winxp в раб группе. у меня локальная политика хранится в папке %windir%\system32\GroupPolicy, а вовсе не в %windir%\system32\GroupPolicyUsers\

    никакой папки GroupPolicyUsers не наблюдаю. Так же, как и подпапок с SID'ами (не зависим от того, что я делаю внутри политики)


    blog: http://shss.wordpress.com/
    11 ноября 2010 г. 15:30
  • > либо я вас неправильно понял, либо одно из двух ;)

    Либо Вы не обратили внимание на:

    > на локальной машине (не в домене) с ОС Windows7

    из моего первого поста ;)

    11 ноября 2010 г. 15:35
  • > либо я вас неправильно понял, либо одно из двух ;)

    Либо Вы не обратили внимание на:

    > на локальной машине (не в домене) с ОС Windows7

    из моего первого поста ;)


    был не прав, вспылил, прошу дать возможность загладить, искупить ;)

    ЗЫ ёлы-палы, я отстал от жизни...

    эта фитча появилась в Vista: Multiple Local Group Policy Objects

    http://technet.microsoft.com/en-us/library/cc766291(WS.10).aspx

    http://www.petri.co.il/understanding_multiple_local_gpo_in_windows_vista.htm 

     

    ЗЫ Когда я говорил о том, как сделать так, чтоб SRP не применялась к Администраторам, я имел ввиду совсем другое: в настройках SRP, есть опция, позволяющая не применять ее к локадминам (см. мои ссылки выше)


    blog: http://shss.wordpress.com/
    11 ноября 2010 г. 16:36
  • Будте добры, выскажите своё мнение о таком варианте решения моей задачи:

    1) На одном компьютере я всё настраиваю вручную.

    2) На остальные компьютеры переношу с этого компьютера файлы:

    %windir%\system32\GroupPolicyUsers\S-1-5-32-545\gpt.ini

    %windir%\system32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol

    ?

    Может в нём есть какие-то недостатки?

    Заранее благодарен!!!

     

    12 ноября 2010 г. 8:25
  • В той я статье, что я нагуглил было сказано, что перенос gpt.ini может вызвать проблемы, но сам я этого не проверял, т.к. сам ни разу не выполнял клонирование локальной политики с одного компа на другой.

    Подождем, что скажет WindowsNT.LV


    blog: http://shss.wordpress.com/
    12 ноября 2010 г. 8:32
  • > В той я статье, что я нагуглил было сказано, что перенос gpt.ini может вызвать проблемы

    а какие?

    > но сам я этого не проверял, т.к. сам ни разу не выполнял клонирование локальной политики с одного компа на другой.

    Ну я вот переносил с одного компьютера на другой. Сходу ничего не заметил в плане проблем. Может плохо смотрел? ;)

    > Подождем, что скажет WindowsNT.LV

    ага!!!

    12 ноября 2010 г. 8:46
  • >а какие

    Посмотрите сами (читал по диагонали)

    (почему-то сейчас ресурс недоступен, посему ссылка ведет на кэш гугла)


    blog: http://shss.wordpress.com/
    12 ноября 2010 г. 9:22
  • >а какие

    Посмотрите сами (читал по диагонали)

    (почему-то сейчас ресурс недоступен, посему ссылка ведет на кэш гугла)


    blog: http://shss.wordpress.com/

    Спасибо!
    15 ноября 2010 г. 13:38