Архитектура политики ограниченного использования программ
Четыре правила, которые идентифицируют программное обеспечение
Задачей правила является идентификация одного или нескольких приложений и определение возможности их выполнения. Создание правил в значительной степени состоит из определения приложений, являющихся исключением из правила по умолчанию. Каждое из них может иметь текстовое описание, которое помогает понять причину создания данного правила.
Политика ограниченного использования программ поддерживает четыре способа идентификации программного обеспечения:
- Хеш – криптографический отпечаток файла
- Сертификат – сертификат создателя программного обеспечения, используемый для цифровой подписи файла.
- Путь – локальный или универсальный путь в формате UNC, указывающий местоположение файла
- Зона – Зона Интернета
Правила для хеша
Правило для хеша – это криптографический отпечаток (серия байтов фиксированной длины), однозначно идентифицирующий файл независимо от того, где он расположен и как называется. При желании администратор может запретить пользователям запуск определенной версии программы. Это может произойти в случае, если программа имеет ошибки в безопасности или конфиденциальности или ставит под угрозу стабильность системы. Если использовать правило для хеша, то даже переименованная или перемещенная в другое место на диске программа все равно будет попадать под действие этого правила, поскольку оно основано на криптографическом расчете содержимого файла.
Правило для хеша состоит из трех фрагментов с данными, разделенных двоеточиями:
- Значение хеша, зашифрованное алгоритмом хеширования MD5 или SHA-1
- Длина файла
- Код алгоритма хеширования
Оно имеет следующий формат:
[MD5 или SHA1 значение хеша]:[длина файла]:[код алгоритма хеширования]
Файлы с цифровой подписью будут использовать значение хеша, содержащееся в подписи – оно может быть зашифровано алгоритмом SHA-1 или MD5. Файлы, не имеющие цифровой подписи, будут использовать MD5 хеш.
Пример: Под действие следующего правила для хеша попадает файл длиной 126 байт. Содержимое этого файла соответствует значению хеша 7bc04acc0d6480af862d22d724c3b049, зашифрованному алгоритмом MD5. Алгоритм хеширования обозначен идентификационным номером 32771.
7bc04acc0d6480af862d22d724c3b049:126:32771
Правила для сертификата
Правило для сертификата определяет подписывание кода сертификатом издателя программного обеспечения. Например, организация может потребовать, чтобы все сценарии и элементы управления ActiveX были подписаны определенным набором сертификатов издателей программного обеспечения. Сертификаты, использующиеся в таком правиле, могут быть выданы коммерческими центрами сертификации, такими как VeriSign, Windows 2000/Windows Server 2003 PKI или являться самостоятельно подписанными сертификатами.
Правило для сертификатов является достаточно надежным способом идентификации программного обеспечения, потому что оно использует подписанные хеши, содержащиеся в подписи файла, для его идентификации независимо от названия или местоположения. Если Вы хотите сделать исключения из правила для сертификата, Вы можете идентифицировать их с помощью правил для хеша.