BAZA ZNANJA

Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Implementacija sigurnosti koristeći grupne polise

Autor: Test Instruktor

Naziv jedinice: Restrikcija članstva u grupama i pristupa softveru

Jedan od najvećih sigurnosnih rizika tokom svih ovih godina je korišćenje nepoznatog ili nepoverljivog softvera na kompjuterima od strane korisnika. U većini slučajeva, korisnici startuju potencijalno nesiguran (Unsafe) softvere nenamerno. Na primer, milioni korisnika su učitali viruse ili Trojan Horse aplikacije, a da nisu hteli namerno da startuju nepoželjan softver. Software Restriction policies su dizajnirane da spreče da se ovako nešto dešava.

Software Restrction polise štite naše korisnike od startovanja neželjenog softvera određivanjem aplikacije koje mogu ili ne mogu da se startuju na radnim stanicama. Kada podešavamo Software Restrction polisu, možemo da definišemo polisu koja dozvoljava startovanje svih softverskih paketa, izuzev specijalnog softvera koji želimo da blokiramo. Ili možemo da definišemo Software  Restriction polisu koja ne dozvoljava startovanje nijednog softverskog paketa izuzev softverkih paketa koji je eksplicitno dozvoljen. Iako je druga opcija sigurnija, definisanje svih aplikacija koje mogu da se startuju na radnim stanicama je dosta komplikovano i napor koji je potreban da bi se definisale sve aplikacije koje bi trebalo da se startuju na kompjuterima u kompleksnom radnom okruženju može da bude preveliki. Većina kompanija će izabrati prvu opciju koja je manje sigurna, ali kojom se lakše upravlja i koja dozvoljava startovanje svih softverkih paketa, osim onih paketa koje smo eksplicitno zabranili. Ipak, ako moramo da izgradimo grupu radnih stanica u okruženju koje zahteva visok nivo sigurnosti, možda bi ipak trebalo da se odlučimo za izgradnju sigurnije opcije.

Kada kreiramo Software Restriction polisu, možemo da konfigurišemo pet tipova pravila koje određuju aplikacije koje će biti zahvaćene polisom:

• Hash Rules: Hash Rule je kriptografski identifikator koji jedinstveno identifikuje specifični aplikacioni File nezavisno od imena File-a ili lokacije File-a. Ako je Unrestricted opcija slektovana kao defoltni sigurnosni nivo u Security Levels folderu i želimo da sprečimo određenu aplikaciju da se startuje, možemo da kreiramo Hash Rule korišćenjem Software Restrction polise. Kada korisnik pokuša da startuje aplikaciju, radna stanica će izvršiti proveru Hash-a i blokiraće startovanje svih aplikacija. Ako smo konfigurisali Software Restriction Polisu da blokira sve aplikacije od startovanja (konfigurisanjem Disallowed Security Level-a), možemo da iskoristimo Hash Rule za omogućavanje specifičnih aplikacija.

• Certificate Rules: Možemo da kreiramo Certificate Rules (sertifikat pravila) tako da su Selection kriteriumi za aplikacije zasnovani na Software Published sertifikatima. Na primer, ako imamo prilagođenu (Custom) aplikaciju koju smo sami izgradili, možemo da dodelimo sertifikat toj aplikaciji i zatim možemo da konfigurišemo Software Restriction polisu da veruje odgovarajućem sertifikatu.

• Path Rules: Možemo da kreiramo pravila na osnovu staze gde se nalaze exe. File-ovi aplikacije. Ako izaberemo folder, sve aplikacije u tom folderu će biti zahvaćene ovim pravilom. Takođe, možemo da koristimo i Environmental Variables (kao što je %systemroot%) prilikom određivanja staze. Takođe, možemo da koristimo Wildcards u Path Rule-u (kao što je *.vbs).

• Registry Path Rules: Možemo da kreiramo pravila na osnovu Registry lokacija (Registry Locations) koje koristi aplikacija. Skoro svaka aplikacija poseduje defoltnu lokaciju unutar Registry-ja gde smešta Application-specific informacije koje nam dozvoljavaju da kreiramo pravilo koje blokira ili omogućava aplikaciju na osnovu ovih ključeva Registry-ja. Registry-specific opcije se ne pojavljuju u meniju za kreiranje Registry Path pravila, ali New Path Rule opcija nam takođe dozvoljava da kreiramo jedinstveni set pravila. Kada kreiramo novu Software Restriction Polisu, četri defoltna Registry Path pravila su kreirana. Ova pravila konfigurišu Unrestrcited Software polisu za aplikacije koje se nalaze u System Root folderu i u Default Program Files direktorijumu.

• Network Zone Rules: Finalno tip pravila se zasniva na internet zoni iz koje se softver preuzima. Na primer, možda ćemo želeti da konfigurišemo pravilo koje dozvoljava svim aplikacijama koje su preuzete iz Trusted Sites Zone da se startuju ili pravilo koje sprečava startovanje softvera koji je preuzet iz Restricted Sites zone.

Ako konfigurišemo našu default Software Restriction polisu tako da sve aplikacije mogu da se startuju, osim aplikacija koje smo eksplicitno zabranili, ova pravila definišu koje će aplikacije biti blokirane. Ako smo odredili najrestriktivnije pravilo koje blokira startovanje svih aplikacija, ova pravila određuju koje aplikacije će moći da se startuju.

Podrazumevano, nijedna Software Restriction polisa nije konfigurisana u aktivnom direktorijumu. Da bismo definisali polisu, u Group Policy Management Editor konzoli desni klik na folder Software Restriction Policies i selektujemo New Software Restrction Policy (Slika 1). Kada ovo odradimo, kreiraće se podrazumevana polisa.

Slika 1

Na sledećoj slici (Slika 2) se vide objekti koji su kreirani u Software Restriction Polisi:

Slika 2

Security Levels folder se koristi za definisanje defoltnog sigurnosnog nivoa. Unutar foldera nalaze se objekti Disallowed, Basic User & Unrestricted. Ako želimo da konfigurišemo sigurnost tako da sve aplikacije mogu da se startuju, osim aplikacija koje smo eksplicitno zabranili, desni klik na Unrestricted Object i kliknemo na Set As Default. Ako želimo da sprečimo startovanje svih aplikacija osim onih aplikacija koje smo eksplicitno dozvolili, desni klik na Disallowed i kliknemo na Set as the default. Unrestricted Security level je Default Setting.

Additional Rules folder se koristi za konfiguraciju Software Restriction pravila (Rules). Da bismo konfigurisali pravilo, desni klik na Additional Rules folder i selektujemo tip pravila koji želimo da kreiramo. Na primer, ako želimo da kreiramo Hash pravilo, selektujemo New Hash Rule. Da bismo kreirali novo Hash pravilo, kliknemo na Browse i lociramo File koji želimo da identifikujemo sa Hash-om. Kada selektujemo File, File Hash je automatski kreiran. Nakon toga možemo da konfigurišemo da li će aplikacija biti Unrestricted, Disallowed ili Run as a Basic User. Interface za rekonfiguraciju postojećeg Hash pravila prikazana je na sledećoj slici:

Slika 3

Enforcement objekat se koristi za specifičnije definisanje zahvaćenih aplikacija. Možemo da konfigurišemo pravila koja se primenjuju na sve aplikacije ili na sve aplikacije osim DLLs. Takođe možemo da konfigurišemo pravila koja će se primenjivati na sve korisnike ili na sve korisnike izuzev administratora.

Designated File Types objekat definiše sve ekstenzije File-ova koje posuduju .exe kod i kojima će upravljati polisa. Možemo da dodajemo i uklanjamo ekstenzije File-ova u listi.

Trusted Publishers objekat se koristi za definisanje ko može da selektuje da li je Publisher od poverenja (Trusted) ili nije. Možemo da izaberemo All Users, Only Administrators ili Only Enterprise Administrators. Takođe, možemo da konfigurišemo da li će radna stanica videti da li je ponuđeni sertifikat poništen (Revoked) pre startovanja aplikacije.