Сценарии
В этом разделе рассматриваются некоторые распространенные проблемы и способы их решения с помощью политик ограниченного использования программ.
Блокирование вредоносных сценариев
Организации требуется защита от вирусов, являющихся сценариями. Вирус LoveLetter, относящийся к категории сетевых червей, по произведенным оценкам причинил ущерб на сумму от 6 до 10 миллиардов долларов. Этот червь, имеющий более 80 разновидностей, продолжает часто встречаться и до сих пор.
Червь LoveLetter, написанный на языке Visual Basic Script (VBS), встречается в виде файла LOVE-LETTER-FOR-YOU.TXT.VBS. Политика ограниченного использования программ блокирует этого червя, просто запрещая выполнение любых файлов .vbs.
Однако многие организации используют файлы .vbs для выполнения сценариев входа и управления системой. Блокирование всех файлов .vbs защищает организацию, но сценарии Visual Basic не могут более использоваться в необходимых целях. Политика ограниченного использования программ позволяет избежать этого, блокируя нежелательные сценарии VBS и разрешая выполнение допустимых.
Эта политика может быть создана при использовании правил, представленных в Таблице 4.
Таблица 4 – Правила для блокирования вредоносных сценариев.
Уровень безопасности по умолчанию: Неограниченный (Unrestricted) | |
Правила для пути | |
*.VBS | Не разрешено (Disallowed) |
*.VBE | Не разрешено (Disallowed) |
*.JS | Не разрешено (Disallowed) |
*.JSE | Не разрешено (Disallowed) |
*.WSF | Не разрешено (Disallowed) |
*.WSH | Не разрешено (Disallowed) |
Правила для сертификатов | |
Сертификат ИТ-отдела | Неограниченный (Unrestricted) |
Эта политика предотвращает выполнение всех файлов сервера сценариев Windows (WSH), кроме тех сценариев, которые имеют цифровую подпись ИТ-отдела. Информация о том, как получить сертификат и ставить цифровые подписи на файлы, содержится в Приложении.
Управление установкой программного обеспечения
Вы можете сконфигурировать компьютеры Вашей организации таким образом, чтобы разрешить установку только одобренного программного обеспечения. Для программного обеспечения, использующего технологию установщика Windows Installer, этого можно достичь при помощи политики, описанной в Таблице 5.
Таблица 5 – Правила для управления установкой программ.
Уровень безопасности по умолчанию: Неограниченный (Unrestricted) | |
Правила для пути | |
*.MSI | Не разрешено (Disallowed) |
\\products\install\PROPLUS.MSI | Неограниченный (Unrestricted) |
Правила для сертификатов | |
Сертификат ИТ-отдела | Неограниченный (Unrestricted) |
Эта политика предотвращает установку всех пакетов установщика Windows Installer. Политика позволяет устанавливать только пакеты, имеющие цифровую подпись ИТ-отдела, и пакет OWC10.MSI, расположенный в \\products\install. Информация о том, как получить сертификат и ставить цифровые подписи на файлы, содержится в Приложении.
Эта политика также демонстрирует способ использования приоритетов правил для пути и правил для сертификата, при помощи которого разрешается запуск только необходимого программного обеспечения. Чтобы сделать исключения для любых других пакетов, на которые Ваша организация не может или не хочет ставить цифровую подпись, Вы можете создать правила для хеша или правила для полного пути.