Борьба с NAT’ом
С «халявным» интернетом на работе у многих пользователей появляется соблазн
использовать его в своих целях. Конечно, времена, когда к системному блоку
подключался модем и через него выходили в интернет, практически канули в лету
(для некоторых провинциальных городов это все еще актуально), но менеджеры порой
берут работу на дом, а доступ к нужной инфе пытаются получить посредством
диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут
развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает
любителей, и остается удивляться, как народ на выдумки горазд. Кроме
сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь
через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза
(+ может быть похищена конфиденциальная информация).
Методов обнаружения работы клиентов из-за NAT предостаточно — контроль TTL,
анализ идентификатора IP-пакета и диапазона TCP/UDP портов и так далее
(подробнее о методах обнаружения NAT читай в статье Криса «Охота
на сетевых партизан» в ][ #111). Мы же разберем практическую реализацию.
Инструментом номер один здесь являетсяWireshark —
мультиплатформенный (Windows, Linux, xBSD, Solaris, Mac OS X и т.д.) снифер и
анализатор в одном флаконе. Возможность использования фильтров и сортировки
делает эту программу весьма удобной для решения многих задач: контроль
определенного типа трафика (аська, сетевые игры, проги для удаленного доступа и
так далее), поиск проблем в сети и анализ безопасности.
Для определения работы из-за NAT нас интересует возможность контроля TTL
(время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое
значение TTL, например, все версии Windows — 128, Linux — 64 (максимально 255),
а при прохождении пакета на каждом роутере отнимается единица. То есть, если
получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о
наличии NAT (виртуальные машины также работают из-за NAT). Открываем список
фильтров и в «IP only» устанавливаем значение поля ip.ttl в отлов всех пакетов,
TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа,
поэтому можно захватить трафик с минимальными ограничениями, а затем
просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.
Кроме графического интерфейса, возможен запуск Wireshark в командой строке.
Смотрим список сетевых интерфейсов по команде «tshark -D», а затем вылавливаем
значение поля TTL в проходящих пакетах.
Поддерживаются tcpdump-подобные правила, поэтому можно просто считать
значения нужного поля IP (ip < 64, поле TTL находится в 8-м байте
IP-заголовка).
Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm),
совмещающий в себе функции файрвола и монитора трафика, с возможностью
построения различного рода графиков. Система фильтров позволяет задать любое
правило и затем отслеживать все пакеты, которые под него попадают.
К этому списку можно добавить практически все файрволы, что встретишь в
корпоративной сети: Kerio WinRoute (подробнее о нем читай в статье «Марш-бросок
в большую сеть», опубликованной в сентябрьском номере ][ за 2009 год), ISA Server/Forefront TMG («Форпост
для защиты периметра», ноябрьский ][ за 2009 год) и другие, которые также
имеют все необходимое для анализа и блокировки трафика.
Кроме того, не забываем производить периодическое сканирование сети при
помощи Nmap и сравнивать
результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений
в списке открытых портов производим расследование. Это позволит обнаружить
лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так
далее.
Трюк 5. Используем исключения
Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:
на программы, запущенные от имени учетной записи SYSTEM;
драйверы и другие приложения уровня ядра;
макросы внутри документов Microsoft Office;
программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).
Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). Utilman.exe (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.
Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:
Sub GOSHELL() Shell «C:windowssystem32regedit.exe», vbNormalFocus End Sub
В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как cmd.exe. Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!
Открытие оснастки и изменение пользовательского интерфейса
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:
- Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
- Воспользуйтесь комбинацией клавиш Win+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
- Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».
На следующей иллюстрации изображена оснастка «Управление групповой политикой»:
Рис. 1. Оснастка «Управление групповой политикой»
Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:
- Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
- Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
- Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:
Где находится и как работает локальная политика безопасности
Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.
Запуск редактора локальной политики безопасности Windows 10
Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.
Подтвердите ввод, нажав OK
Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.
Функционал редактора групповой политики
Настройка сервиса ГПБ включает в себя:
- конфигурацию программ — управляет сторонними приложениями;
- конфигурацию «десятки» — управляет настройками безопасности системы;
- административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.
Основное окно редактора показывает все настройки групповой политики
Редактор локальной групповой политики
Приложение входит в состав выпусков Windows Pro, Enterprise и Student. Однако вы также можете включить его в версии Windows Home с помощью простого трюка, как описано в этой статье. Он состоит из двух разделов для политик уровня компьютера и отдельных пользователей. Вы можете перемещаться по различным политикам, чтобы включать или отключать их. К сожалению, в приложении нет доступных настроек внешнего интерфейса, чтобы одним щелчком мыши восстановить все параметры политики до значений по умолчанию.
Приложение редактора локальной групповой политики в Windows 11
Поскольку изменение значений политики повлияет на внешний вид, доступ, безопасность и производительность, перед попыткой сброса рекомендуется сделать полную резервную копию системы или установить точку восстановления.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
1. Сброс настроек групповой политики из терминального приложения.
Первый вариант — использовать командную строку из приложения «Терминал».
- Щелкните правой кнопкой мыши значок «Пуск» на панели задач и выберите меню «Терминал (Администратор)».
- Если вы видите приложение Windows PowerShell, щелкните маленькую стрелку вниз в строке заголовка и откройте вкладку «Командная строка».
- Скопируйте и вставьте или введите следующие команды в командной строке одну за другой и нажмите клавишу ввода.
RD /S /Q «%WinDir%\System32\GroupPolicyUsers» RD /S /Q «%WinDir%\System32\GroupPolicy» gpupdate /force
Сброс редактора локальной групповой политики из командной строки
- Первые две команды предназначены для удаления папок, связанных с редактором групповой политики. Параметры /S предназначены для удаления файлов, включая эту папку, а /Q указывает на запуск команды без каких-либо запросов. Вы не увидите никаких сообщений при выполнении первых двух команд.
- Последняя команда принудительно сбросит все настройки политики. Это займет несколько секунд, и вы увидите «Обновление компьютерной политики успешно завершено» и «Обновление пользовательской политики успешно завершено». Это указывает на то, что политики компьютера и пользователя сбрасываются до исходного состояния.
Теперь откройте приложение «Редактор локальной групповой политики» и убедитесь, что все ранее измененные политики возвращены к значениям по умолчанию. Кроме того, обязательно просмотрите всю систему и убедитесь, что все выглядит и работает нормально.
2. Сброс настроек групповой политики с помощью редактора реестра
Второй способ — использовать редактор реестра вместо приложения «Терминал». Опять же, не забудьте сделать резервную копию реестра перед редактированием.
- Нажмите клавиши «Логотип Windows + R» и откройте диалоговое окно «Выполнить».
- Введите regedit в поле и нажмите клавишу ВВОД, чтобы открыть приложение «Редактор реестра».
- Скопируйте и вставьте следующий путь в адресную строку редактора реестра, чтобы перейти в это место.
HKEY_LOCAL_MACHINE\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Политики\Майкрософт
Щелкните правой кнопкой мыши папку «Microsoft» и выберите «Удалить».
Удалить папку политик Microsoft
Вам будет предложено подтвердить удаление ключа и его подразделов, нажмите «Да».
Подтвердите удаление ключа в редакторе реестра
После этого скопируйте и вставьте следующий путь в адресную строку и перейдите в это место.
HKEY_CURRENT_USER\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Политики\Майкрософт
- Точно так же щелкните правой кнопкой мыши папку «Microsoft» и «Удалить» ее и ее содержимое навсегда.
- Закройте приложение «Редактор реестра» и перезагрузите систему.
Откройте приложение «Редактор локальной групповой политики» и проверьте свою систему, чтобы убедиться, что все работает нормально.
Диктатура админ
После произведенных настроек мы получим полностью контролируемую сеть, в
которой будут использоваться только разрешенные программы, а пользователи не
будут отвлекаться от работы. Также не забываем о записях системы аудита, в
которых будет присутствовать информация о переводе сетевого интерфейса в
пассивный режим или установке программ. Конечно, это не все варианты
установления «диктатуры» админа в LAN; добавим сюда отключение пользователя от
интернета при превышении лимита, шейпинг трафика, контроль МАС- и IP-адресов,
блокировку мессенджеров, фильтрацию URL и контента и многое другое.
Как Windows 10 сбросить настройки локальной групповой политики.
Редактор групповой политики это важный инструмент ОС Windows с его помощью системные администраторы могут настраивать тонкие параметры системы. Он имеет несколько вариантов конфигурации и позволят вам внести коррективы производительности, настройки безопасности для пользователей и компьютеров.
Иногда после неудачной настройки вашего редактора групповой политики ваш компьютер начинает вести себя не лучшим образом. Это значит, что пришло время, сбросить все настройки групповой политики и вернуть значения по умолчанию, тем самым сэкономив время и нервы вместо переустановки Windows. В этом руководстве мы покажем вам , как сбросить все настройки групповой политики по умолчанию в операционной системе Windows 10.
Сброс групповой политики к значениям по умолчанию
Настройки Групповой политики могут различаться между несколькими конфигурациями, как персонализация, настройки брандмауэра, принтеры, политики безопасности и т.д. Мы рассмотрим несколько способов с помощью которых вы можете сбросить соответствующие политики в состояние по умолчанию.
Выполните следующие действия, чтобы сбросить измененные параметры объекта групповой политики.
1. Нажмите Клавиша Windows + R на клавиатуре, для запуска аплета Выполнить. Введите в строку gpedit.msc и нажмите Enter, чтобы открыть редактор локальных групповых политик.
2. Перейдите к следующему пути на левой боковой панели окна редактора групповой политики:
Политика Локальный компьютер> Конфигурация компьютера> Административные шаблоны> Все Параметры
3. Теперь, в правой стороне окна, упорядочить параметры политики с помощью столбца Состояние , так что все политики, которые включены / отключены можно получить в верху списка.
4. Далее вы должны изменить параметры политик с включена / отключена , на не заданна и применить настройки.
5. Повторите то же самое для пути указанного ниже:
Политика локальный компьютер> Конфигурация пользователя> Административные шаблоны> Все Параметры
6. Это позволит восстановить все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, как потеря привилегий администратора или проблемы входа в систему, то вы можете попробовать метод ниже.
Восстановление локальных политик безопасности по умолчанию
Политики безопасности о вашей учетной записи администратора в Windows 10, находятся в другой консоли управления — secpol.msc (Локальная политика безопасности). Эта оснастка параметр безопасности расширяет групповые политики и помогает определить политики безопасности для компьютеров в домене.
Выполните следующие действия, чтобы изменить политику безопасности на вашей машине:
1. Нажмите КлавишиWindows + X на клавиатуре, запустив Quick Link меню. Выберите Командная строка (Admin) , чтобы открыть командную строку с повышенными правами.
2. Введите следующую команду в окне командной строки и нажмите клавишу ВВОД:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
3. После завершения задачи, перезагрузите компьютер, чтобы изменения вступили в силу.
Сброс объектов групповой политики с помощью командной строки
Данный метод включает в себя удаление папки параметров групповой политики с диска, на котором установлена операционная система. Выполните следующие действия, чтобы сделать это с помощью командной строки от имени администратора.
1. Откройте командную строку как администратор
2. Введите следующие команды в CMD и выполнять их одну за другой.
RD /S /Q «%WinDir%\System32\GroupPolicyUsers» RD /S /Q «%WinDir%\System32\GroupPolicy» gpupdate /force
3. После этого, перезагрузите компьютер.
Примечание: Убедитесь, что вы создали точку восстановления системы перед внесением изменений в реестр или объектов групповой политики.
Основные проблемы
- Остановите Службу репликации файлов (FRS) на всех контроллерах домена.
- Скопируйте все файлы и папки из каталога SYSVOL во временную папку на эталонном контроллере домена. Временная папка должна быть на том же разделе, что и каталог SYSVOL.
- Сверьте точки соединения NTFS на каждом контроллере домена.
- Перезапустите FRS на эталонном контроллере домена с параметром D4 в реестре.
- Перезапустите FRS на всех остальных контроллерах домена с параметром D2 в реестре.
- На эталонном контроллере домена переместите все папки и файлы в корневую папку реплекации. По умолчанию это папка C:\Windows\Sysvol\Domain.
- Проверьте согласованность файлов и папок на всех контроллерах домена.
Проверка точкек соединения NTFS
На всех контроллерах домена проверьте состав дерева в SYSVOL:
Verify that the following folders exist in the SYSVOL tree :
\SYSVOL
\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging areas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL
Проверьте, существуют ли точки соединения NTFS:
\SYSVOL\SYSVOL\<dns_domain_name> > \SYSVOL\domain \SYSVOL\staging areas\<dns_domain_name> > \SYSVOL\staging\domain
командой:
linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>" linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>"
Задать перенаправление можно той же командой:
linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>" "%systemroot%\SYSVOL\domain" linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>" "%systemroot%\SYSVOL\staging\domain"
Утилита linkd.exe находится в пакете Windows Server 2003 Resource Kit Tools.
Эталонный контроллер домена
ВНИМАНИЕ!Перед этим шагом выполните архивацию объектов групповой политики без относительно того, что мы с вами об этом думаем.
На эталонном контроллере домена должен быть собран актуальный набор объектов групповой политики. Для этого откройте Active Directory — Пользователи и компьютеры. Включите Дополнительные параметры в меню Вид. В домене найдите контейнер System, а в нем Policies.
С правой стороны представлены объекты групповой политики, которые должны один в один соответсвовать обьектам в дереве SYSVOL.
Для этого:
- Если в дереве SYSVOL встречается папка с именем GUID, который не встречается в Active Directory, вы можете безопасно ее удалить из папки.
- Если в Active Directory встречается обьект групповой политики с GUID не отраженный в SYSVOL\domain\policies, то вы можете безопасно удалить ее из Active Directory.
На эталонном контроллере домена удалите любые файлы и папки из корня SYSVOL. По умолчанию нужно очистить следующие папки:
C:\WINDOWS\SYSVOL\domain C:\WINDOWS\SYSVOL\staging\domain
В редакторе реестра найдите следующие ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID
Задайте значение параметра BurFlags D4 (HexaDecimal).
Остальные контроллеры домена
Удалите все файлы и папки из дерева SYSVOL, очистив его таким образом от мусора.
В редакторе реестра найдите следующие ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID
Задайте значение параметра BurFlags D2 (HexaDecimal).
Проверка
Для получения списка общих ресурсов на каждом контроллере выполните команду:
net share
На основном контроллере домена и через некоторое время на резервном появится следующая строчка выводла этой команды
SYSVOL C:\Windows\SYSVOL\sysvol Общий сервер входа
В логе событий системы будет получено сообщение о восстановлении репликации. На всех контроллерах домена, кроме эталонного, это займет некоторое время.
Не подключается сетевой диск
Если групповая политика сопоставления диска применяется, но на клиентском ПК диск не подключается, проблема может быть в следующем.
Вероятнее всего, на компьютере под управлением Windows XP отключена служба автоматического обновления. Включите службу и обновите ОС до актуального состояния. Критическое обновление, отвечающее за подключение сетевых дисков KB943729.
Что делать, если программам пользователей надо писать данные в Programm Files, но пользоватлям нельзя давать права Администратора?
Reset Local GPO Settings without Logging in
If it is impossible to boot/login Windows, the GPSVC service is not running, you don’t have local administrator privileges, or you cannot open the command prompt (for example, apps are blocked by Applocker/SRP policy), just boot your computer from any Windows installation disc, USB flash drive or LiveCD and reset local GPO outside of the installed Windows image.
- Boot your computer from any Windows installation media and open the command prompt ();
- Run the command:
- Then display the list of volumes on the computer: In this case, the drive letter assigned to the system volume corresponds to the system drive C:\. However, sometimes it may not match. So, the commands below must be executed in the context of your system drive (e. g., D:\ or C:\);
- Close diskpart:
- Run the following commands one by one:
- Restart the computer in the normal mode and make sure that the local Group Policy settings are reset to their default state.
Планирование создания правил политики
Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).
При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.
На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.
Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}
Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.
Параметры политик в реестре
В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.
Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.
Трюк 6. Используем переменные среды
Когда начинаешь мучить групповые политики, то приходит осознание, что для создания защищенной системы потребуется попотеть. Дело трудное и с большим количеством тонкостей. Например, разработчики предлагают админам использовать удобный хинт — указывать переменные среды в качестве путей для ограничений SRP. Да вот здесь проблема. У пользователя, если их жестко не прищучить, есть возможность их переопределять. Указал, например, админ, что из папки %TEMP% можно запускать exe’шники, а юзер взял да и переопределил следующей командой:
И вот так просто получил возможность запускать файлы из корня C:. Кроме того, не стоит забывать про стандартные директории, из которых разрешен запуск exe-файлов:
Они разрешают запуск ПО только из папки Windows и Program Files для пользователей. У обычного пользователя нет возможности записи в них, но и здесь могут быть проблемы. Так как на самом деле права на запись у пользователя есть — по дефолту в папку C:windowssystem32spoolPrinters и C:windowstemp. Если у пользователя будет возможность писать в какой-то каталог с софтом, то, считай, соответствующие политики SRP уже не сработают. Кстати, для того чтобы на практике поверить, какие у пользователя есть права, поможет тулза — AccessChk от все того же Руссиновича.