Коллеги, приветствую. Сегодня поговорим о том, как же все-таки запретить пользоваться программой, которая не по нраву администратору. Написать эту статью меня побудили две беды, с которыми я столкнулся у себя в рабочей среде. Связаны они прежде всего с информационной безопасностью:
- Программы удаленного управления. Их развелось довольно много в последнее время. Наиболее распространенные из коммерческих Radmin, из условно-бесплатных Ammyy Admin, Teamviewer. Программы очень хорошие и имеют богатый функционал. Механизм работы проще простого – клиент подключается к компьютеру через http/https – протокол и может им управлять удаленно. Возможно, у некоторых свой протокол. Не скажу по Radmin, у этой программы свой порт, но протокол все же гипертекстовый скорее всего. Не важно в принципе. Отсюда возникает вопрос – как обезопасить свою рабочую сеть от проникновения? Заблокировать весь протокол нереально, без интернета сейчас никуда. Заблокировать доступ по адресам можно, но их надо узнать, да и они ж могут меняться. Убрать на компьютерах права администратора само собой (но см. 2 проблему), но не всегда это помогает, к тому же всегда есть те, у кого права должны быть. В общем, методов борьбы много, но они не эффективны на 100 %
- Портативные программы. Также очень удобны в плане того, что программу вы не устанавливаете, а “заливаете” все сразу в память. После выхода из приложения все очищается. К тому же Portable Edition-программы не требуют прав администратора. Программы типа Ammyy admin и teamviewer как раз такие.
Решил я как-то побороться с этими бедами. Придумал пока такое решение: заблокирую с помощью групповых политик программу Ammyy Admin (затем Teamviewer). Аутсорсинговые компании, которые работают у нас в фирме заставлю пользоваться стандартной программой Удаленный помощник и Удаленный рабочий стол, в перспективе закупим Radmin, который можно разворачивать и администрировать централизованно. Или как злой админ заставлю из приезжать на рабочие места клиентов. Думаю, во многих организациях, где защита инфомарции критичный сервис, именно так и поступают. В общем, время покажет. пока же стоит задача заблокировать использование программы Ammy Admin.
Прежде всего немного теории, буквально очень кратко. Стандартными средствами заблокировать программу (далее “залочить”) можно двумя известными мне способами:
- Для старых ОС типа Windows XP (хотя должно работать и на новых) это механизм политик ограничения использования программ. Работает блокировка по сертификату приложения/пути/хэшу/зоны сети. Я выбрал сертификат программы, остальные способы мне кажутся наименее действенными. Создаем политику, заходим в свойства. идем по нужному пути (см скриншот) и создаем новое дополнительное правило по сертификату:
Далее через Обзор добавляем exe-файл программы. Чтобы удостовериться можно затем нажать конпку “Подробности”:
На этом все. Видим, что все в порядке и сохраняем.
Недостаток у этого есть и он очень существенен: как только что-то меняется в программе, в т.ч. версия, скорее всего сертификат тоже, поэтому создавать новые правила придется постоянно. Именно поэтому механизм ограничения использования программ не прижился в IT-сообществе. Но мы все же понаблюдаем. Теперь второй, более эффективный способ:
- Для ОС версии 7 и выше механизм Applocker. Чем он отличается мы скоро поймем. Рассмотрим Applocker подробно.
Видим 4 пункта: исполняемые правила, правила установщика Windows и т.д. Нажимаем на каждый пункт правой кнопкой и выбираем “Создать правила по умолчанию”, это необходимо. Везде создается 3 правила по умолчанию, не рекомендую их трогать:
Теперь после того, как появились разрешающие правила, добавим явно запрещающее правило для программы Ammyy Admin. В разделе “исполняемые правила” создаем новое правило. Запускается мастер, нажимаем “Далее”. Выбираем запрещающее правило для всех:
Далее пусть будет “издатель”. А дальше самое важное и интересное. После того, как выбрали через “Обзор” наше приложение, видим уровни взаимодеqствия Applocker. Т.к. программы постоянно обновляются, то смысла блокировать версию нет, пусть лочатся любые приложения от издателя Ammyy:
Исключений у нас не будет, поэтому пропускаем шаг и нажимаем “создать”. Вот и все, видим наше правило:
Самое главное чуть не забыл: необходимо еще запустить службу “удостоверение приложения” (по-английски по-моему Application Identity). На скриншоте видно, где она включается:
Теперь осталось применить политику на клиентских машинах. Давайте проверим на XP. Для чистоты эксперимента тестить будем 2 версии. После команды gpupdate /force пробуем запустить нашу программу и видим такое:
Причем работало под администратором домена, версии программы разные (3.4 и 3.5), но сработало запрещающее правило все равно. Благодаря сертификату. Мне повезло, что он один на все продукты Ammyy. Но периодически мониторить этого издателя придется и это существенный недостаток. Теперь глянем на машину с Windows 8.1:
Примерно так. В любом случае скорее всего есть механизмы для обхода этих запретов. Говорят, что работает это дело нестабильно и не всегда срабатывает. Вы должны понимать, что любая групповая политика (а особенно такая жесткая) довольно сильно нагружает клиентский компьютер. Одни логи Applocker чего стоят, этот журнал постоянно заполняется при запуске любого приложения. Так что принимайте решение и внедряйте у себя, если это действительно того стоит.
AppLocker – шикарный инструмент. Стоит отметить, что понадобится серверная винда не меньше win server 2008
@menpavel, Да, забыл про это упомянуть. Еще всплыли не совсем приятные подробности: Applocker работает только в ultimate и Enterprise версиях Windows. Но ХР тем не менее работает через Software Restriction Policy и довольно стабильно.
@PrihoD, Win 7 professional тоже имеет AppLocker.
Неплохо бы сюда добавить правила QoS для приложений, управляемые групповыми политиками.
@menpavel, Тоже так думал, но правила реально не применяются. Потом прочитал технет и расстроился:
http://technet.microsoft.com/ru-ru/library/dd759131.aspx
А тема Кос реально интересна, мало кто юзает, хотя по-моему зря.
@PrihoD, да, точно. Честно говоря, использовал AppLocker только в частных случаях: на терминальных серверах и на отдельных машинах (видимо там и стоятла версия, выше Proffessional)
Кстати, нашел еще более простой способ – с помощью Split-DNS, т.е. подменив в своем dns адреса Ammyy.com На любой другой. Например, 127.0.0.1