Сценарии
Деловой ПК
В некоторый случаях администратору может потребоваться управлять всем программным обеспечением, выполняющимся на компьютере. Это может произойти по следующей причине: даже если у пользователей недостаточно прав для замены системных файлов или файлов в общих папках (таких как Program Files), но им не запрещена запись файлов в какое-либо место на диске, они могут скопировать туда программу и запустить ее.
Вирусы, проникшие на компьютер таким путем, могут повредить систему, изменив файлы и параметры операционной системы; они могут также нанести огромный ущерб, используя не по назначению привилегии пользователей. Например, некоторые черви могут осуществлять массовую рассылку электронной почты, получив доступ к адресной книге пользователя. Даже обычные пользователи системы уязвимы для такого типа атаки.
До тех пор, пока пользователи не входят в группу администраторов на своих локальных компьютерах, политика, описанная в Таблице 6, защищает их от случайного выполнения вредоносного кода. Поскольку пользователи не могут изменять содержимое папок Program Files или Windows, они могут выполнять только программы, установленные администратором.
Таблица 6 – Политика для управления всем программным обеспечением компьютера.
| Уровень безопасности по умолчанию: Не разрешено (Disallowed) | |
| Применять политики ограниченного использования программ к следующим пользователям: | |
| Все пользователи, кроме администраторов | |
| Правила для пути | |
| %WINDIR% | Неограниченный (Unrestricted) |
| %PROGRAMFILES% | Неограниченный (Unrestricted) |
Эта политика запрещает выполнение всех приложений, установленных на компьютере пользователя, кроме приложений, содержащихся в папках Windows и Program Files и их подпапках. Политика не применяется к администраторам.
Если пользователь получит вложение в сообщении электронной почты (например WORM.vbs), почтовая программа скопирует его в папку профиля (%USERPROFILE%) и попытается запустить оттуда. Поскольку папка профиля не является подпапкой папки Windows или Program Files, запускаемые оттуда приложения не будут выполняться.
Бывают случаи, когда программы, необходимые пользователю, установлены не только в папки %WINDIR% или %PROGRAMFILES% или наоборот, в этих папках есть программы, которые администратор хочет запретить запускать пользователю. В этих случаях администратор может сделать дополнительные исключения, как показано в Таблице 7.
Таблица 7 – Исключения для управления программным обеспечением компьютера.
| Правила для пути | |
| %WINDIR%\regedit.exe | Не разрешено (Disallowed) |
| %WINDIR%\system32\cmd.exe | Не разрешено (Disallowed) |
| \\CORP_DC_??\scripts | Неограниченный (Unrestricted) |
| %HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\InoculateIT\6.0\Path\HOME% | Неограниченный (Unrestricted) |
Создав эти исключения, мы получим следующий результат:
- Выполнение как командной строки (cmd.exe), так и редактора реестра (regedit.exe) не разрешено.
- Создано исключение, позволяющее выполнять сценарии запуска на компьютере пользователя.
- Использование подстановочного знака "?" позволяет применять правило к серверам \\CORP_DC_01, \\CORP_DC_02 и так далее.
- Правило для пути в реестре позволяет антивирусному программному обеспечению выполняться на компьютере.