none
Групповые политики. RRS feed

  • Вопрос

  • Приветствую всех!

     

    ОС: Windows Server 2003 (на контроллере домена).

     

    Есть вопрос по групповым политикам, а точнее по следующему пункту: "User Configuration -> Administrative Templates -> System\Run only allowed Windows applications".

     

     Как это работает?

    Т.е., как я понял, надо включить эту функцию и вбить имена тех EXE-шников, которым разрешено запускаться.

    Так?

     

    Если да, то второй вопрос: Говорят, есть возможность указать разрешенные приложения не по имени файла а по его hash-у. Как это сделать, если это возможно?

     

    Какими средствами вычисляется этот hash?

     

    Спасибо.

    2 декабря 2008 г. 9:13

Ответы

  •  techdep написано:

     

    Может такая функция доступна в Windows 2008 ????

     

     

    Она есть и в 2003-м! Вам на нее ссылку дали выше Software Restriction Policies

     

    Можно приверять хэш, можно даже цифровую подпись. Вы только осторожнее, а то все заблокируете, даже для администраторов

    2 декабря 2008 г. 11:18
    Модератор
  • Не обидели Вы никого, Илья это мне =)

    по поводу обвинять имелись в виду так же не Вы. Эту ветку прочитает еще много народа, зачастую не слишком внимательного, потому не хочется их вводить в заблуждение.

    Значит, поехали:

    1) та опция, которую Вы сразу назвали ни от чего толком не защитит.

    2) Restricted Software напротив, защитит (хотя, конечно, слова про "вирусы не страшны" это некое преувеличение), но требует достаточно большой работы и внимательности. Инструмент настолько мощный, что можно с легкостью "прищемить" работу всей организации.

    приложения по хешу обрубать это здорово, но вы только прелдставьте себе, сколько на самом деле используется Вашими пользователями исполняемых файлов. Я не только про офис, но и про dll и прочее...

    По существу:

    1) начните отсюда: http://technet.microsoft.com/en-us/library/bb457006.aspx это что можно делать

    2) можно еще это просмотреть, чтобы понять как.

     

    потом можно и на более конкретные вопросы поотвечать. =)
    2 декабря 2008 г. 11:19

Все ответы

  •  techdep написано:

    Приветствую всех!

     

    ОС: Windows Server 2003 (на контроллере домена).

     

    Есть вопрос по групповым политикам, а точнее по следующему пункту: "User Configuration -> Administrative Templates -> System\Run only allowed Windows applications".

     

     Как это работает?

    Т.е., как я понял, надо включить эту функцию и вбить имена тех EXE-шников, которым разрешено запускаться.

    Так?

     

    Если да, то второй вопрос: Говорят, есть возможность указать разрешенные приложения не по имени файла а по его hash-у. Как это сделать, если это возможно?

     

    Какими средствами вычисляется этот hash?

     

    Спасибо.



    Начните с изучения документации
    2 декабря 2008 г. 9:21
  • А я и не спорю с тем, что надо изучать документацию.

     

    Просто надо сделать быстро. И если бы вы мне скинули ссылку на раздел "Групповые политики", то было бы правеильнее.

     

    Ради одной опции я буду всю документацию читать не буду - это не разумно.

     

    Ответ прият, но не совсем.

     

    2 декабря 2008 г. 9:55
  • Вы все правильно говорите: http://msdn.microsoft.com/en-us/library/ms811966.aspx

    запускаются только указанные программы. (Проверка только по именам!)

    2 декабря 2008 г. 10:11
    Модератор
  • Там же на вкладке Explain все написано:

    Code Snippet

    "Limits the Windows programs that users have permission to run on the computer.

    If you enable this setting, users can only run programs that you add to the List of Allowed Applications.

    This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs such as Task Manager, which are started by the system process or by other processes. Also, if users have access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer.

    Note: It is a requirement for third-party applications with Windows 2000 or later certification to adhere to this setting. Note: To create a list of allowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe)."

     

     

    Про второе, что Вы спросили: называется Software Restriction Policy в ветке Computer Configuration - Windows Settings - Security Settings. Вот с ней начинать работу без внимательного прочтения всей документации на эту тему я категорически не рекомендую.

     

     

    2 декабря 2008 г. 10:14
  •  sie написано:
    Вы все правильно говорите: http://msdn.microsoft.com/en-us/library/ms811966.aspx

    запускаются только указанные программы. (Проверка только по именам!)

    Илья, пусть он лучше прочитает. Потому что оно защищает только от запуска программ, которые запускаются через Windows Explorer. потом обвинят нас с тобой в некомпетентности. =)

    2 декабря 2008 г. 10:17
  • "А что Косой? Чуть что - сразу Косой!"

     

    2 декабря 2008 г. 10:54
    Модератор
  • Александр, приветствую!

     

    Я не в коем случае не стану ни кого объвинять. Просто мне дана команда "свыше" что надо разрешить запускать только определенные приложения. Описание этой опции я прочитал. Кроме того у нас произошло заражение сети вирусом "Win32.sality.aa" (а если быть еще более точным, то новой модификацией этого, извините, говна, над которым в данный момент бьются вирусные аналитики лаборатории Касперского). На фоне этого один очень авторитетный для руководителя нашей фирмы, админ из Москвы, который ни хрена не понимает в администрировании, а все равно суется, сказал, что у него эта опция включена и ни какие вирусы ему не страшны. Так и хочется чказать - "Занимаешься ты 1С-кой, вот и програмируй её!!!". И добавил - "А у вас ведь Windows 2003, поэтому список разрешенных приложений вы можете сделать по ХЭШУ этих приложений!".

    В результате мне дана команда это реализовать.

     

    Ну не объяснить людям, что от витрусов это не спасет.

    У нас и так все юзеры работают с урезанными правами. Им ни сеть не видно, ни диска С:\..... А всё расно - заразились машинки!!!

     

    Может такая функция доступна в Windows 2008 ????

     

    Вот что мне интересно сейчас.

     

    Мне нужно слова "Идите на .... !!!" заменит чем то вроде "Это не возможно сделать, потому, что ......!!! Поэтому идите на.... !!!"

     

    Можете подсказать???

     

    Спасибо.

    2 декабря 2008 г. 11:09
  • Нет, не косой.

     

    Не хотел обижать....

     

     

    2 декабря 2008 г. 11:10
  •  techdep написано:

    Нет, не косой.

     

    Не хотел обижать....

     

     

     

    Это мы между собой прикалываемся

    2 декабря 2008 г. 11:14
    Модератор
  •  techdep написано:

     

    Может такая функция доступна в Windows 2008 ????

     

     

    Она есть и в 2003-м! Вам на нее ссылку дали выше Software Restriction Policies

     

    Можно приверять хэш, можно даже цифровую подпись. Вы только осторожнее, а то все заблокируете, даже для администраторов

    2 декабря 2008 г. 11:18
    Модератор
  • Не обидели Вы никого, Илья это мне =)

    по поводу обвинять имелись в виду так же не Вы. Эту ветку прочитает еще много народа, зачастую не слишком внимательного, потому не хочется их вводить в заблуждение.

    Значит, поехали:

    1) та опция, которую Вы сразу назвали ни от чего толком не защитит.

    2) Restricted Software напротив, защитит (хотя, конечно, слова про "вирусы не страшны" это некое преувеличение), но требует достаточно большой работы и внимательности. Инструмент настолько мощный, что можно с легкостью "прищемить" работу всей организации.

    приложения по хешу обрубать это здорово, но вы только прелдставьте себе, сколько на самом деле используется Вашими пользователями исполняемых файлов. Я не только про офис, но и про dll и прочее...

    По существу:

    1) начните отсюда: http://technet.microsoft.com/en-us/library/bb457006.aspx это что можно делать

    2) можно еще это просмотреть, чтобы понять как.

     

    потом можно и на более конкретные вопросы поотвечать. =)
    2 декабря 2008 г. 11:19
  • Software Restriction Policies - это то, что надо!!!

    5 декабря 2008 г. 6:25