Архитектура политики ограниченного использования программ
На Рисунке 1 изображены три составляющих политики ограниченного использования программ:
- Администратор создает политику для определенного сайта, домена или организационного подразделения Active Directory, используя оснастку Групповая политика (Group Policy) консоли управления MMC.
- Политика загружается на компьютер и применяется на нем. Политики пользователя применяются при его следующем входе в систему. Политики компьютера применяются во время загрузки машины.
- Когда пользователь запускает программу или сценарий, операционная система или сервер сценариев проверяет политику и применяет ее к данному приложению.
Неограниченный (Unrestricted) или Не разрешено (Disallowed)
Политика ограниченного использования программ создается с помощью оснастки Групповая политика (Group Policy) консоли управления MMC. Политика состоит из правила по умолчанию, которое определяет, позволено ли приложению выполняться или нет, а также из исключений из этого правила. Правило по умолчанию может иметь значение Неограниченный (Unrestricted) или Не разрешено (Disallowed) – что по существу означает: запускать или не запускать приложение.
Установка правила по умолчанию Неограниченный (Unrestricted) позволяет администратору определять исключения – например, набор программ, которые нельзя запускать. Более безопасным подходом является установка правила по умолчанию Не разрешено (Disallowed) и разрешать выполнение только известных и доверенных программ.
Уровень безопасности по умолчанию
Существуют два способа применения политик ограниченного использования программ:
- Если администратору известно все программное обеспечение, которое должно выполняться, политика ограниченного использования программ может применяться для контроля выполнения только программ из этого списка доверенных приложений.
- Если приложения, которые могут запускать пользователи, неизвестны, администраторы могут при необходимости предотвратить запуск нежелательных приложений или определенных типов файлов.