Как в политике отключить ограничение использования. Как использовать групповые политики Windows для контроля за программами
Выходец из Минвостокразвития РФ Александр Осипов в конце октября был назначен врио губернатора Забайкальского края. Свое первое интервью в новой должности Осипов дал РИА Новости. Он рассказал о том, как Забайкалье будет переходить в состав Дальневосточного федерального округа и какие механизмы и льготы для жителей и инвесторов скоро заработают в регионе, а также о благоустройстве Читы после критики Валентины Матвиенко, планах по участию в выборах главы Забайкалья и рецепте любимого новогоднего блюда.
Александр Михайлович, вы руководите регионом совсем недавно, меньше двух месяцев прошло. Успели ли вы за это время сформулировать основные проблемы и приоритетные задачи в регионе? И есть ли у вас план работы по ключевым направлениям?
Я приехал в Забайкалье и сразу выявил две ключевые проблемы на тот момент. Это несбалансированность бюджета - у нас не было денег на выплату зарплат бюджетникам, на оплату коммунальных услуг всего бюджетного сектора, не уплачивались страховые взносы на заработную плату. Еще ряд первоочередных социальных расходов не предусматривались краевым бюджетом. Это необходимо было срочно решать. Благодаря решению руководства страны, до конца 2018 года наш бюджет подкрепили, выделили нам дополнительно 2,5 миллиарда рублей. Мы смогли решить самые горящие вопросы.
Второй важной проблемой были долги по жилищно-коммунальному хозяйству, из-за этого возникали локальные проблемы с отопительным сезоном в муниципалитетах. Если говорить в целом, у краевого бюджета было под 13 миллиардов рублей просроченных долгов. Из-за этого ресурсоснабжающие организации не могли вовремя заключить договоры, приобрести топливо, у нас просто не было денег.
Третья важная проблема, с которой мы столкнулись: до сих пор не урегулированы вопросы об источниках финансирования ликвидации последствий масштабного паводка. В целом в Забайкалье от стихии пострадало 180 километров автодорог, 36 мостов, 50 других объектов. С первых дней мы активно начали заниматься вопросами их восстановления. Правительство РФ рассматривает распоряжение, которым определяются источники финансирования мероприятий по восстановлению этих объектов.
Это я говорил о проблемах, при этом у нас есть два важных приоритета. Ведь важно не только заниматься проблемами, а развивать край. Первый приоритет - это участие края в национальных проектах. Для нас нацпроекты – уникальная возможность решить накопленные за два десятилетия проблемы. Мы сформировали перечень всех объектов, которые нам нужны, мероприятия, в которых мы можем участвовать, и сейчас утверждаем региональную часть паспортов на сами проекты.
Благодаря этой работе только по дорогам Забайкальский край получит более 13 миллиардов рублей. Для региона это одна из самых болезненных проблем. Таких денег край не видел. Сейчас очень важно будет эффективно их вкладывать. Мы будем модернизировать более тысячи километров автодорог, почти 300 из них – по читинской агломерации. Будем строить и фельдшерско-акушерские пункты, и объекты культуры, и детские сады, и школы, и другие объекты социальной сферы.
При этом к возможностям в рамках нацпроектов еще добавляются особенности Дальнего Востока. Мы хотим очень активно использовать все дальневосточные инструменты как социального, так и экономического характера. Это второй наш приоритет по развитию.
- Вы вводили режим ЧС в ряде районов из-за отсутствия топлива, он до сих пор действует?
На муниципальном уровне вводились локальные режимы ЧС. Был период, когда у нас не было денег и не было угля. То там, то здесь запасы топлива были лишь на сутки, хотя по нормативам - 14 дней в случае поставки железнодорожным транспортом и семь в случае автодорожного транспорта. Естественно, в таких условиях приходилось очень быстро реагировать по территории всего края. Мы принимали решения, вводили соответствующие режимы ЧС, искали, где у нас есть хоть какие-то запасы топлива, перевозили.
Сейчас, благодаря тому, что нам дали дополнительные средства, мы направили их муниципалитетам на приобретение угля. Этим мы стабилизировали ситуацию: полностью оплачиваем услуги жилищно-коммунального хозяйства по бюджетному сектору, мы закрыли часть задолженности, которая накоплена, и восстановили резервные нормативные запасы топлива.
- То есть зима пройдет без сбоев?
Мы будем к этому стремиться. Хотя понятно, что за эти годы накоплено такое количество проблем в коммунальном хозяйстве, что это не может не проявляться. Там обрывы сетей, тут выходят из строя котлы, там рвутся трубы, нам приходится непрерывно этим заниматься. Мы постоянно перебрасываем электрические резервные станции, нам приходится постоянно посылать аварийные бригады. Но это уже частные случаи, а системно мы вопросы решили.
Возвращаясь к теме включения в состав Дальнего Востока, вы уже можете рассказать, какие механизмы хотите использовать? Какие предложения готовите по применению преференций ДФО в Забайкалье?
Есть два важных направления применения механизмов развития Дальнего Востока. По социальному направлению мы сейчас готовим план социального обустройства Забайкальского края. В феврале планируем утвердить его и направить в правительство для рассмотрения вопроса о его финансировании. У Минвостокразвития есть соответствующая государственная программа, есть источники, и я бы хотел, чтобы наши объекты финансировались из этой программы.
Экономических направлений сейчас у нас четыре. Горнодобывающие предприятия, здесь очень большой потенциал, свыше 14 триллионов рублей. В деревопереработке у нас расчетная лесосека более 8 миллионов кубометров. У нас можно построить большое количество предприятий по переработке. Сейчас, к сожалению, большая часть этих лесов используется неэффективно, рабочих мест, кроме лесозаготовления, почти нет. Третье направление – у нас почти 1,5 миллиона гектаров залежных земель, которые мы планируем распахать. Будем выращивать зерно, рапс, заниматься переработкой, молочным животноводством, мясным скотоводством, птицеводством. Наконец, планируем заниматься тепличным хозяйством, потому что у нас достаточно суровые природно-климатические условия, а людям требуется витаминизированное нормальное питание круглый год.
Эти отрасли мы планируем поддержать в первую очередь. Будем использовать территории опережающего развития, механизм свободного порта Владивосток. В Каларском районе, например, у нас есть Удоканское месторождение меди, Апсатское месторождение угля. Это крупные месторождения, на одном из них 88 миллиардов рублей инвестиций по первоначальным подсчетам инвесторов. Так как они рядом расположены, им необходимы общие инфраструктурные решения. Поэтому мы инициировали создание площадки территории опережающего развития, благодаря которой будем обеспечивать энергетическую, транспортную инфраструктуру с возможностью выхода на железную дорогу. Соответственно, те населенные пункты, которые там находятся, будем обеспечивать социальными объектами.
- Когда может быть создана эта ТОР?
Мы ставим задачу направить материалы на правительственную подкомиссию по реализации инвестпроектов на Дальнем Востоке до конца февраля, в крайнем случае – до середины марта. Думаю, что она в эти же сроки и пройдет.
- Готовы вводить программу "Дальневосточный гектар" в Забайкалье?
Мы хотим ее вводить. Надо создавать соответствующие карты, но для этого необходимо провести большую работу по ревизии состояния земель. Как показала практика подобной работы в других субъектах Дальнего Востока, в земельных вопросах существует большая неразбериха.
В течение полугода предстоит очень активная работа, чтобы все это вычистить, подготовить информационную систему, правильно построить технологическую работу муниципальных и региональных органов, которые должны будут заниматься вопросами выделения и оформления. После этого начнем предоставлять земли сначала забайкальцам, потом дальневосточникам, потом всем. Мы хотим использовать лучший опыт, который был на Дальнем Востоке, и постараемся, конечно, некоторых сложностей и трудностей, которые возникали ранее, избежать.
- Когда это может произойти? Лето 2019 года – реальный срок?
Я думаю, что более реалистично будет осень.
И в Забайкалье, и в Бурятии довольно высокие цены на авиаперелеты. Хотите ли вы использовать механизм субсидирования авиаперевозок?
У нас есть два основных механизма. Один – субсидирование для ряда категорий, которые имеют право на льготы. Это люди с ограниченными возможностями здоровья, многодетные семьи. Второй механизм - это плоские тарифы, когда сами авиакомпании принимают решение о том, что билет туда и обратно стоит ровно столько-то. Мы хотим внедрить оба этих механизма. Чита уже ранее была включена в постановление правительства по субсидированию ряда авиационных маршрутов, а сейчас мы работаем над тем, чтобы количество маршрутов расширить.
По плоскому тарифу смотрим, по каким авиационным маршрутам, с какой авиакомпанией мы сможем договориться. Скорее всего, это будут рейсы из Москвы в Читу, из Читы в Москву. Это непростой вопрос. Самое главное – найти авиакомпанию, которая будет готова к введению плоского тарифа и понимает рынок настолько хорошо, чтобы на год спланировать и обеспечить такой маршрут.
На ваш взгляд, сколько времени понадобится двум регионам, чтобы полностью войти в ДФО и чтобы все механизмы заработали?
Здесь нельзя ставить жесткие временные границы, надо говорить о периодах. Первый - до конца первого квартала 2019 года – это применение самых главных механизмов с получением первых экономических эффектов. Территории опережающего развития, территории, на которых будем распространять режим свободного порта, инвестиционные проекты, которым дадим инфраструктурную субсидию, и так далее. Это мы постараемся сделать уже в первом квартале.
Второй период – более длительный, это непосредственная реализация обозначенных инвестиционных проектов. Надо будет все строить, запускать и так далее. Он будет длиться, наверное, два-три года. И третий период, условно его можно назвать – навсегда. Что я имею в виду? Система развития Дальнего Востока не находится в окончательном состоянии, она непрерывно развивается, механизмы меняются, дополняются, разрабатываются новые. Это траектория, границ которой я в ближайшее время не вижу.
Более того, я уже сегодня вижу, что за этапом первичного внедрения существующих мер поддержки мы перейдем к разработке отдельных механизмов, учитывающих специфику Забайкальского края. Регион со своими проблемами во многом похож на дальневосточные, но у него есть и свои особенности. Скорее всего, по каким-то мерам поддержки предстоит значительная коррекция, а где-то возможно и изобретение новых механизмов развития исключительно для Забайкальского края.
Одна из особенностей Забайкальского края – трансграничное положение, регион непосредственно граничит с Китаем. Как планируете выстраивать работу с китайскими инвесторами?
Вы совершенно правы, у Забайкалья вообще уникальное положение, которое, к сожалению, пока правильно не использовано. Мы такая точка, ворота между Дальним Востоком и всей остальной частью страны, при этом точка очень насыщенная богатствами, полезными ископаемыми. У нас государственная граница с крупнейшей экономикой мира - Китаем, граница с Монголией, что открывает большие возможности внешнеэкономического развития. Естественно, это не могло не проявиться, отдельные китайские инвестиции в крае есть. Но сейчас потенциал этот используется не лучшим образом. Китай - крупная экономика, он инвестирует в высокотехнологичные, высокопроизводительные современные рабочие места, но больших объемов инвестиций на территории Забайкальского края пока не добились. Поэтому мы должны перезагрузить политику привлечения инвесторов. Важно создавать высокопроизводительные рабочие места в обрабатывающем секторе, в переработке, но не в сырьевом секторе.
К тому же, когда китайские туристы приезжают к нам, они активно покупают российские продукты – кондитерские изделия, шоколад, молоко, хлеб, растительное масло. Но сейчас этих производств в Забайкальском крае либо практически нет, либо они в зачаточном состоянии. Наша задача, соответственно, такие производства наращивать, сопровождая это внешнеэкономической повесткой – открывать рынки Китая, договариваться не только между двумя странами, но и провинциями, чтобы как можно больше этих товаров уходило в Китай. Одна из точек роста здесь - это город Забайкальск, ближайшая к Китаю территория.
Дальний Восток уделяет внимание не только китайским, но и южнокорейским, и японским инвесторам. Планируются ли какие-то преференции в целом для иностранных инвесторов? Как будете привлекать их капитал на территорию Забайкальского края?
Механизмы экономического развития на Дальнем Востоке не сепарируют инвесторов в зависимости от того, российские они, китайские или из какой-то другой страны. Любой инвестор, который пришел в страну, зарегистрировал юридическое лицо и действует в соответствии с законодательством, имеет право получить соответствующие меры поддержки, соответствующие преференции и льготы.
Мы не будем ставить для себя приоритетом инвестиции какой-то страны. Говоря ответственно и честно, для нас главным приоритетом является высокопроизводительная, современная, качественная занятость для наших людей. Чтобы как можно больше забайкальцев имели хорошие рабочие места, поэтому любая компания, откуда бы она ни пришла, получит поддержку, если отвечает этим требованиям.
Сейчас мы активно работаем с Южной Кореей. У нас запланирована бизнес-миссия корейских бизнесменов, им очень интересно.
- Когда она может пройти?
Сейчас как раз определяем время, ведем подготовительную работу с корейской стороной.
- Речь про следующий год?
Да, скорее всего, это следующий год, в этом году мы не успеем. Но качество важнее сроков. Дело в том, что приоритеты, которые я вам назвал, формируют спрос на большое количество производителей горнодобывающего оборудования, сельскохозяйственной и лесоперерабатывающей техники. Мы знаем, что по многим видам этой продукции южнокорейские компании конкурентоспособны. Мы хотим дать им возможность инвестировать в эти приоритетные отрасли. Сейчас ведем предварительную работу, определяем перечень компаний, у которых есть соответствующие компетенции и которые могут инвестировать в Забайкалье и обеспечить долгосрочную конкурентоспособность проектов в этих сферах. Чтобы эти проекты были устойчивы с экономической точки зрения, а люди, которые на них работают, понимали, что это надолго, что это хорошее рабочее место, которое обеспечит им будущее.
- А китайские бизнес-миссии планируются в следующем году?
Обязательно планируются, но главным фактором, как я уже говорил, является получение практического результата от таких визитов. Поэтому мы будем готовить их таким образом, чтобы это была конкретная и понятная китайским инвесторам работа.
Я неоднократно наблюдал, как годами ведутся переговоры с китайскими партнерами, а в результате ничего не происходит. Потом мы уточняли, в чем дело. Оказывалось, что переговорочный процесс происходит на концептуальном уровне, а людям в другой стране очень трудно сориентироваться и понять, с чего начинать, как это делать. И все либо растягивается надолго, либо в итоге заканчивается неуспешно. Надо делать наоборот: все должно быть подготовлено почти под ключ, а после этого нужно искать тех инвесторов, которым это будет наиболее интересно, которые смогут быстро прийти к реализации проектов.
Самые очевидные проекты мы сможем хорошо подготовить уже через два-три месяца. Поймем, какие площадки, какие виды бизнеса и инфраструкты там нужны. И с этими первыми проектами можно уже ехать к корейцам и китайцам.
Раз вы говорите про три месяца, значит, первые проекты вы сможете презентовать уже на инвестиционном форуме в Сочи и на ПМЭФ?
Я в большей степени рассчитываю на Восточный экономический форум. А непосредственный поиск инвесторов в большей степени переношу на двусторонние отношения с Китаем, Южной Кореей, Японией, Индией. Посмотрим и по остальным соседям, у которых будут интересы в тех отраслях и в тех видах инвестиционных проектов, которые сможем предлагать.
Власти Китая на прошлой неделе изменили правила посещения торгового комплекса в Маньчжурии и теперь просят россиян предоставлять медицинские справки. Это касается всех туристов или только предпринимателей?
Это касается той категории российских граждан, которая вывозит из России на территорию КНР в приграничный торговый комплекс "Маньчжурия" российские продукты питания и там их реализует. По информации народного правительства города Маньчжурия, это требование планируется к введению в соответствии с нормами законодательства КНР.
Александр Михайлович, вы сейчас формируете команду правительства региона. Как планируете выстраивать кадровую политику? Будете привлекать специалистов из других регионов или искать кадры на месте?
Здесь нет единого подхода, что надо делать либо так, либо по-другому. Нам сейчас необходимо искать реальных людей, которые способны решать задачи и проблемы, которые есть в Забайкалье. Поэтому мы организовали специальный проект по поиску, оценке и отбору кандидатов на должности государственной службы. Рабочее название проекта - "Забайкальский призыв". Мы будем это делать совместно с Российской академией народного хозяйства и государственной службы (РАНХиГС), но, конечно, адаптируем к специфике Забайкальского края. Основные технологические решения уже есть, мы изучали опыт других регионов, брали лучшие практики.
Есть три основных критерия, по которым будем оценивать кандидатов. Первый - это честность и справедливость человека. Второй – главным мотивом его работы должно быть служение людям. И третий – его квалификация, он должен быть профессионалом, который способен без специального обучения, без переключения сразу выдавать результат.
Коммунальные тарифы для населения повышаются с 1 января, в Забайкалье они довольно высоки по сравнению с другими регионами. Как планируете решать эту проблему?
Здесь два уровня решения проблемы. Один из них краткосрочный - это сегодня принимать обоснованные тарифные решения, исключать все факторы ускоренного роста тарифов. Второй - более длительный: это изменять те условия, которые приводят к более высокому уровню тарифов в Забайкалье, чем в других регионах.
По первому мы просто внимательно следим за тем, с чем обращаются к нам тарифно-регулируемые компании, насколько обоснованы их запросы по росту тарифов. И естественно, принимаем все меры для того, чтобы этот рост сдерживать.
Один из примеров - тариф на тепло. Есть ряд обстоятельств. У нас край не газифицирован, более того, мощности, которые у нас построены, например, по когенерации - там, где идет одновременное производство и электроэнергии, и тепла, - эти объекты построены, например, в 1936, в 1961 году. Поэтому понятно, что они по топливной, энергетической эффективности не соответствуют современным требованиям и нормам. Естественно, это приводит к завышенной стоимости. По этой части мы ориентируем компании, не позволяем им поднимать тарифы, с другой стороны - принимаем решения о том, как можно их модернизировать или построить новые, чтобы в долгосрочном периоде эту проблему закрыть.
Компании обращались с просьбой поднять тарифы на тепло с достаточно высокими значениями, но мы приняли решение, что рост будет только в пределах безусловно необходимого – с 1 января на 1,7%.
Второй уровень – важный для всей страны вопрос применения новой системы работы с коммунальными отходами. Здесь все решения были приняты до того, как я был назначен на должность, и с первого дня мы начали знакомиться с ситуацией. К сожалению, оказалось, что край не готов к этой системе. У нас не было принято нормальной схемы обращения с отходами – где они собираются, где они накапливаются, где сортируются, куда вывозятся, где утилизируются. В районе Читы нет ни одного полигона, на который можно было бы с учетом новых требований вывозить мусор. Мы знаем нередко, как масштабные проекты реализуются: уборочной машины ни одной нет, а квитанцию ты получишь. По многим другим видам оборудования – контейнерам, площадкам, мешкам – тоже возникали вопросы. Понятно было, что время подготовки было в значительной степени использовано нерезультативно. Поэтому я принял решение, что Забайкальский край не сможет с 1 января ввести новую систему. Мы сейчас ищем нормативные решения, каким образом это законно сделать, и я попросил наших депутатов и сенаторов обратиться в Федеральное собрание Российской Федерации с тем, чтобы рассмотреть возможность отложить введение этой системы в Забайкальском крае не менее чем на год.
Спикер Совета Федерации Валентина Матвиенко летом раскритиковала Читу за неухоженный внешний вид, плохое состояние драматического театра и "уродище-фонтан" в центре. Как вы планируете приводить город в порядок и когда в следующий раз пригласите в гости Валентину Ивановну?
Валентину Ивановну мы ждем всегда. Во-первых, потому что Валентина Ивановна очень опытный государственный деятель, и ее критика носит созидательный характер. Она раскритиковала и тут же помогла. Благодаря этому мы уже в этом году заложили средства на ремонт нашего драмтеатра в федеральный бюджет, на его реконструкцию выделили более 1 миллиарда рублей, со следующего года начнем ремонт.
Второй проект, который также начал реализовываться благодаря Валентине Ивановне, - выделение федеральной субсидии на подготовку шестого рудника в городе Краснокаменске. Он дает второе дыхание городу, у людей будут рабочие места.
Отвечу так: сегодня в Забайкальском крае есть разъединенность, накоплено уже существенное количество, скажем, негативной энергии, разъединяющей людей. Я думаю, что сегодня не самое главное, в какую политическую окраску край окрасится. Более того, я даже вижу, что пыл политических баталий не дает принимать рациональные, прагматичные решения. Поэтому, я думаю, что самое главное сегодня – это реальная практическая работа и объединение всех на благо Забайкалья.
Наконец, праздничный вопрос - определились ли вы, как будете встречать Новый год? И есть ли у вас фирменный рецепт новогоднего блюда?
Встречать Новый год я буду традиционно. Мы с супругой еще ничего не планировали. Скорее всего, будем либо в семейном кругу встречать, либо к кому-то пойдем в гости. А по кулинарным изыскам – мне кажется, одно из самых удивительных блюд, которые изобрела русская кухня, это сельдь под шубой. Я ее очень люблю, она обязательно должна быть там, где я нахожусь за столом.
Как показывает практика, чем меньше пользователей имеют доступ к конкретному компьютеру, тем дольше система остается на нем работоспособной и тем больше вероятность, что папки и файлы окажутся в целости и сохранности. Лучше всего, если у компьютера только один пользователь. Увы, в действительности так бывает далеко не всегда: на работе приходится пускать за свой компьютер других сотрудников, дома довольно часто один и тот же компьютер используется всеми членами семьи, а в публичных местах (в частности, в учебных заведениях и компьютерных клубах) число пользователей компьютера вообще может оказаться очень большим.
О необходимости ограничения доступа
Вполне понятно, что обычно ни коллеги, ни домочадцы не желают нанести вреда вашему компьютеру, но если они относятся к категории начинающих пользователей, то проблем не избежать. Да и подрастающее поколение в учебных заведениях обычно не ставит перед собой цели вывести компьютер из строя и уничтожить хранящуюся на нем информацию - просто активно экспериментирует, не задумываясь о том, к каким последствиям могут привести те или иные действия.
В итоге на компьютерах неизбежно возникают те или иные проблемы в работе отдельных приложений либо операционной системы. Это неудивительно, ведь достаточно случайно (просто по неосторожности или в ходе эксперимента) удалить, например, драйвер монитора - и изображение на экране станет не столь привлекательным, удалить принтер - и печать документов окажется невозможной, изменить сетевые настройки - и компьютер перестанет работать в локальной сети и т.д. И это еще не самый худший вариант - случайное удаление ряда системных папок и файлов может привести к полной неработоспособности операционной системы, так что ее придется переустанавливать. А уничтожение важных рабочих документов может иметь еще более печальные последствия - не исключено, что восстановить их в полном объеме не удастся и часть работы (а то и всю ее целиком) придется выполнять заново. Кроме того, нельзя сбрасывать со счетов и то, что если ваши личные либо корпоративные материалы представляют какую-либо коммерческую ценность, ими могут захотеть воспользоваться злоумышленники.
Таким образом, вопрос ограничения доступа к компьютеру, его отдельным устройствам, а также хранящимся на нем данным в той или иной мере актуален для всех компьютерных пользователей без исключения. Просто для одних (администраторов, преподавателей в компьютерных классах, имеющих детей домашних пользователей) на первый план выходят задачи блокирования доступа к настройкам операционной системы и защиты файлов и папок операционной системы и установленных приложений, а для других (сюда можно отнести администраторов, специалистов отделов компьютерной безопасности и преподавателей, которые в нашей стране наряду с преподавательской деятельностью часто также вынуждены обеспечивать работоспособность находящихся в их ведении компьютеров) важнее блокирование доступа к различным устройствам (USB, CD/DVD, FireWire и др.). Причин необходимости блокирования доступа к устройствам три: во-первых, именно на таких устройствах инсайдеры нередко выносят из компаний конфиденциальную информацию; во-вторых, посредством этих устройств в компьютер часто попадают вирусы и троянские программы; в-третьих, со сменных носителей устанавливаются разнообразные программы, что желательно предотвратить - в противном случае на компьютер, например в учебном заведении, уже через неделю будет установлено такое количество игрушек, что для других приложений просто не останется места.
Многих офисных сотрудников интересует полное блокирование доступа к включенному компьютеру в отсутствие законного пользователя. Необходимость подобной защиты в офисе весьма актуальна, ведь даже при наличии собственного компьютера пользователь не может находиться рядом с ним постоянно и нередки ситуации, когда включенный компьютер оказывается без присмотра, чем могут воспользоваться заинтересованные в ваших материалах другие сотрудники.
Еще одну группу пользователей (к ней относятся все офисные служащие и домашние пользователи) волнует защита персональных данных для предотвращения их порчи, удаления либо утечки. Проблема защиты персональных папок и файлов неизбежно возникает, когда за компьютером работает несколько человек. Это может быть и дома, когда нужно оградить других членов семьи (например, ребенка) от непредназначенной для них информации, и на работе, где даже при наличии у каждого пользователя своего компьютера возможны ситуации, когда другому сотруднику потребуется выполнить за вашим компьютером какие-то операции. В обоих случаях незачем демонстрировать посторонним свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно». Все гораздо проще: никто не любит вмешательства посторонних в свои дела. Кроме того, заблокировав доступ к своим папкам и файлам, можно не переживать, что с ними что-то случится по вине другого (недостаточно подготовленного) пользователя либо ими незаконно воспользуются, что, к сожалению, вполне возможно, если материалы представляют коммерческую ценность.
В общем вопрос разумного ограничения доступа весьма сложен и многогранен, и без подходящих приложений решить его невозможно. Таким приложениям и посвящена данная статья.
Программы для ограничения доступа
Ассортимент предлагаемых на рынке приложений для ограничения доступа достаточно широк и охватывает разноплановые программные продукты. Одни из них блокируют доступ к настройкам операционной системы, другие - позволяют контролировать доступ к разнообразным устройствам, третьи - полностью блокируют компьютер в отсутствии пользователя, четвертые - обеспечивают скрытие персональных данных. Нередко указанные возможности сочетаются в той или иной комбинации, что вполне понятно, ведь многим пользователям для решения стоящих перед ними задач требуется ограничить доступ сразу по нескольким направлениям.
Блокирование доступа к настройкам операционной системы и системным данным
Встроенные средства Windows позволяют вводить некоторые ограничения на доступ пользователей к настройкам операционной системы и системным данным путем управления локальной политикой безопасности (Панель управления=>Администрирование=>Локальная политика безопасности). В частности, можно запретить изменение пароля учетной записи и установку драйверов принтера, ограничить список допустимых для использования приложений и т.п., однако перечень ограничиваемых параметров невелик.
В то же время на практике для обеспечения стабильной работы системы довольно часто требуется больше ограничивать возможности пользователей, что можно сделать уже только с помощью узкоспециализированных утилит, предназначенных для управления доступом к компьютеру. В качестве примера мы рассмотрим программы Security Administrator, WinLock, Deskman и My Simple Desktop. Наибольший интерес из них представляет утилита Security Administrator, позволяющая ограничивать доступ ко всем важным настройкам системы и ориентированная на системных администраторов. Наименьшая функциональность у программы My Simple Desktop, зато она бесплатна для персонального применения и имеет вполне достаточные для части домашних пользователей возможности, да и освоить ее можно в считаные секунды.
Security Administrator 12.0
Разработчик : Getfreefile
Размер дистрибутива : 1,85 Мбайт
Работа под управлением : Windows 9x/Me/NT 4/2000/XP/2003/Vista
Способ распространения http://www.softheap.com/download/secagent.zip)
Цена : 69 долл.
Security Administrator - профессиональное решение для управления доступом к компьютеру, позволяющее ограничить доступ к компьютеру и всем его важным настройкам (рис. 1) как в целом, так и для отдельных пользователей. Возможно также полное блокирование включенного ПК при отсутствии пользователя. Помимо установки ограничений утилита может применяться для контроля работы пользователей на компьютере, поскольку ведет статистику использования локальной сети, Интернета и т.д.
Рис. 1. Ограничение доступа к системным настройкам и скрытие дисков
в Security Administrator
Данное решение пригодится для установки широкого спектра ограничений доступа. С его помощью несложно ограничить доступ к настройкам рабочего стола (запретить изменение свойств дисплея, скрыть определенные иконки и др.) и отключить некоторые пункты меню «Пуск», скрыть панель задач (всю либо только отдельные элементы). А также запретить установку/удаление приложений и ограничить возможности пользователей при работе в Интернете: запретить изменение параметров Internet Explorer, скачивание файлов, доступ к Интернету из приложений и т.д. Предусмотрены и широкие возможности для защиты критических настроек системы от изменений - например можно запретить редактирование системного реестра, активирование режима DOS, инсталляцию новых драйверов, добавление/удаление принтеров, копирование/перемещение файлов в системных папках и удаление файлов и папок из папки «Мой компьютер». А также скрыть в меню «Пуск» панель управления, принтеры, сетевые подключения и команду «Выполнить». При необходимости панель управления можно скрывать не полностью, а частично, спрятав наиболее критичные с точки зрения несанкционированного изменения элементы, такие как «Система», «Свойства экрана», «Сеть», «Пароли» и «Принтеры». Столь же несложно скрыть локальные, сетевые и USB-диски, запретить прожиг и автопроигрывание компакт-дисков, блокировать использование горячих клавиш Windows и запуск конкретных приложений, а также скрыть указанные папки - данные папки станут невидимыми в папке «Мой компьютер», проводнике и диалоговых окнах Open/Save Windows-приложений.
WinLock 5.0
Разработчик : Crystal Office Systems
Размер дистрибутива : 2,65 Мбайт
Работа под управлением : Windows 95/98/Me/NT 4.0/2000/XP/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.crystaloffice.com/winlock.exe)
Цена : WinLock - 21,95 долл.; WinLock Professional - 31,95 долл.
WinLock - удобное решение для ограничения доступа к важным системным ресурсам (рис. 2) и пользовательским данным, в том числе в удаленном режиме. Программа представлена в двух версиях: базовой WinLock и расширенной WinLock Professional (возможности базовой версии не позволяют ограничивать доступ к веб-ресурсам и использовать шифрование).
Рис. 2. Ограничение доступа к системным настройкам и скрытие дисков
в WinLock
С помощью данного решения можно запретить доступ к системному реестру, скрыть в меню «Пуск» команды доступа к панели управления, принтерам и сетевым подключениям и полностью заблокировать доступ к соответствующим системным папкам и к некоторым другим папкам («Мой компьютер», «Мои документы», корзине и др.). А также установить запрет на блокирование компьютера и сделать невозможным изменение настроек панели задач, параметров дисплея, сетевых настроек, добавление/удаление программ из меню «Пуск» и переименование иконок на рабочем столе. Столь же просто установить запреты на активирование режима DOS и загрузку Windows в безопасном режиме и заблокировать горячие клавиши Windows (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc и т.д.). При желании можно даже ограничить возможности управления окнами (например, запретить изменение их размеров и перемещение). Имеется в программе и инструментарий для блокирования доступа к сменным носителям (CD/DVD-приводам, USB-устройствам и др.) и скрытия отображения определенных дисков в папке «Мой компьютер» и проводнике. Можно блокировать запуск конкретных приложений (download-менеджеров, игр и т.д.) и запретить доступ к определенным файлам и папкам (первые нельзя будет открыть для просмотра или редактирования, а вторые - открыть, переименовать или удалить). А также предотвратить доступ к сомнительным веб-ресурсам (на базе белого списка разрешенных сайтов и черного списка запрещенных ключевых слов) и установить ограничения на время использования компьютера конкретными пользователями.
Deskman 8.1
Разработчик : Anfibia Software
Размер дистрибутива : 1,03 Мбайт
Работа под управлением : Windows 2000/2003/XP/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.anfibia-soft.com/download/deskmansetup.exe)
Цена : персональная лицензия - 25 евро; бизнес-лицензия - 35 евро
Deskman - простой инструмент для регулирования доступа к компьютеру и его настройкам (рис. 3), позволяющий полностью блокировать ПК (включая клавиатуру, мышь и рабочий стол) либо ограничивать доступ к тем или иным его функциям (для разных пользователей возможны индивидуальные ограничения).
Рис. 3. Настройка ограничений в Deskman
Воспользовавшись данным решением, можно ограничить доступ к настройкам рабочего стола (например, запретить изменение свойств дисплея, удаление иконок, вызов контекстного меню и др.), проводника Windows, панели задач, настройкам Internet Explorer и запретить изменение различных элементов меню «Пуск». А также ограничить доступ к панели управления и другим критическим параметрам настройки системы - например запретить удаление сетевых дисков, заблокировать перезагрузку и выключение компьютера и т.п. При необходимости несложно заблокировать все либо только определенные горячие клавиши Windows (Alt+Ctrl+Del, Alt+Tab, Ctrl+Esc и др.) и настроить утилиту на автоматическое удаление новых записей из автозапуска для предотвращения действия вирусов, adware- и spyware-модулей. Возможна установка запрета на использование другими пользователями конкретных жестких дисков и сменных носителей (CD/DVD-приводов, USB-устройств, дисководов и др.), блокирование автопроигрывания компакт-дисков и их прожиг. Настраивать ограничения можно через предустановленные профили (это удобнее для новичков и гораздо быстрее) либо вручную.
My Simple Desktop 2.0
Разработчик : Anfibia Software
Размер дистрибутива : 1, 76 Мбайт
Работа под управлением : Windows XP/Vista
Способ распространения : My Simple Desktop Office Edition и My Simple Desktop School Edition - shareware (30-дневная демо-версия - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - freeware (http://www.mysimpledesktop.com/download/msdsetup_home.exe)
Цена : My Simple Desktop Office Edition - 32 евро; My Simple Desktop School Edition - 20 евро; My Simple Desktop Home Edition - бесплатно (только для персонального применения)
My Simple Desktop - очень простая программа для ограничения доступа к компьютеру и его настройкам (рис. 4). Она представлена в трех редакциях: платных My Simple Desktop Office Edition и My Simple Desktop School Edition и бесплатной My Simple Desktop Home Edition (возможности редакций полностью идентичны).
Рис. 4. Установка ограничений доступа в My Simple Desktop
С помощью данной утилиты можно защитить от изменений рабочий стол, панель задач и меню «Пуск», сделать невозможным внесение изменений в настройки дисплея и контекстного меню проводника. А также запретить доступ к панели управления, свойствам папок и системному реестру и заблокировать использование горячих клавиш Windows и правой кнопки мыши. В плане ограничения доступа к устройствам предусмотрен запрет на использование стационарных дисков и внешних USB-устройств, а также скрытие сетевых дисков и блокирование автопроигрывания компакт-дисков. При необходимости можно установить ограничение на время использования компьютера - одинаковое для всех пользователей, за исключением администратора. Настройка ограничений производится путем назначения одного из предустановленных профилей либо вручную.
Ограничение доступа к устройствам
Встроенные механизмы распределения прав доступа и задания политик безопасности в операционных системах семейства Windows (кроме Windows Vista) не позволяют контролировать доступ других пользователей к потенциально опасным устройствам (USB-устройствам, CD/DVD-накопителям, FireWire и инфракрасным портам и др.). Конечно, можно отключить подобные устройства в BIOS, но это не выход, так как для работы с отключенным устройством (если это потребуется) придется каждый раз обращаться к BIOS и вновь его включать, что довольно долго и очень неудобно.
Гораздо разумнее осуществлять контроль доступа к устройствам с помощью дополнительных приложений, которые могут быть самыми разными. Нередко возможность скрытия или блокирования устройств предусмотрена в утилитах, предназначенных для управления доступом к настройкам операционной системы, включая рассмотренные нами. Правда, возможности ограничения доступа к устройствам в них невелики: контролировать доступ можно далеко не ко всем опасным устройствам, а уж о контроле носителей речь и не идет. Гораздо большей функциональностью в этом плане обладают утилиты - блокировщики доступа к устройствам и специализированные решения для защиты системы от утечек корпоративной информации. В качестве примера мы рассмотрим программы DeviceLock, USB Lock Standard и ID Devices Lock. Самой функциональной из них является программа DeviceLock, с помощью которой можно контролировать (а не только блокировать) доступ отдельных пользователей и групп пользователей практически к любым потенциально опасным устройствам (и даже носителям), но она ориентирована преимущественно на системных администраторов. Возможности двух других утилит гораздо скромнее, но их вполне достаточно для большинства пользователей.
DeviceLock 6.3
Разработчик : ЗАО «Смарт Лайн Инк»
Размер дистрибутива : 39,7 Мбайт
Работа под управлением : Windows NT/2000/XP/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.devicelock.com/ru/dl/download.html)
Цена : 1300 руб.
DeviceLock - специализированное решение для организации системы защиты от утечек корпоративной информации, позволяющее контролировать доступ ко всему спектру потенциально опасных устройств: USB-портам, дисководам, CD/DVD-приводам, а также FireWire, инфракрасным, параллельным и последовательным портам, Wi-Fi- и Bluetooth-адаптерам, ленточным накопителям, КПК и смартфонам, сетевым и локальным принтерам, внутренним и внешним сменным накопителям и жестким дискам. Программа имеет централизованную систему удаленного управления, обеспечивающую доступ ко всем функциям с рабочего места администратора системы. Реализуется подобное управление с помощью дополнительной консоли DeviceLock Enterprise Manager либо через групповые политики Actvie Directory, что позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку для новых компьютеров в автоматическом режиме.
Возможно либо полное блокирование определенного типа устройств, либо частичное, то есть в соответствии с белым списком носителей (рис. 5), при котором доступ к некоторым носителям будет разрешен несмотря на блокирование соответствующего типа устройства. Допускаются также задание режима «только чтение» и защита дисков от случайного или преднамеренного форматирования. Предусмотрено назначение различных прав доступа к устройствам и портам ввода-вывода для отдельных пользователей и групп пользователей с возможностью установки контроля в зависимости от времени и дня недели. При необходимости можно протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.) путем выполнения теневого копирования.
Рис. 5. Настройка ограничений доступа к устройствам в соответствии
с белым списком носителей в DeviceLock
USB Lock Standard 3.4.1
Разработчик : Advanced Systems International SAC
Размер дистрибутива : 2,02 Мбайт
Работа под управлением : Windows XP/Vista
Способ распространения : shareware (10-дневная демо-версия - http://www.advansysperu.com/down_st.php)
Цена : 44 долл.
USB Lock Standard - удобный инструмент для блокирования доступа (рис. 6) ко всем типам сменных носителей: USB-портам (USB-дискам, iPods, MP3-плеерам и др.), Zip-устройствам, дисководам, CD/DVD-накопителям, Bluetooth-адаптерам и устройствам чтения смарт-карт (CF, SD, MMC, XD и др.). Он позволяет полностью блокировать доступ к указанным устройствам либо сделать это частично, открыв доступ для авторизованных устройств. Для отмены блокирования требуется знание пароля либо USB-ключ. Операции с незаблокированными устройствами фиксируются в логах.
Рис. 6. Блокирование доступа
к CD/DVD-накопителям в USB Lock Standard
ID Devices Lock 1.2
Разработчик : ID Security Suite
Размер дистрибутива : 1,47 Мбайт
Работа под управлением : Windows 98/NT/2000/XP/Vista
Способ распространения http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)
Цена : 37 долл.
ID Devices Lock - простая утилита для ограничения доступа (рис. 7) к USB-устройствам, CD-накопителям и дисководам путем запрета копирования на них данных, что позволяет предотвратить утечку информации на мобильных носителях. Для отмены блокирования требуется знание пароля.
Рис. 7. Ограничение доступа к дисководу в ID Devices Lock
Полное блокирование компьютера в отсутствие пользователя
Самый простой способ блокировать доступ к включенному компьютеру - установить пароль на заставку, но это не лучший вариант, поскольку при перезагрузке пароль с заставки без проблем можно снять. Гораздо надежнее полностью заблокировать компьютер при помощи специальных программных средств, которые сделают невозможным доступ к любым элементам компьютера, включая клавиатуру, мышь и рабочий стол. После этого просмотреть на нем какую-либо информацию, запустить приложения, получить доступ к файлам и папкам (включая открытые на данный момент) и даже перезагрузить компьютер путем нажатия клавиатурной комбинации Ctrl+Alt+Del будет уже невозможно. Разблокировать компьютер можно, только зная пароль пользователя, а обычная перезагрузка (даже в безопасном режиме) или сбой в питании не приведут к снятию защиты.
Подобное блокирование компьютера обычно обеспечивается с помощью узкоспециализированных утилит: Desktop Lock, Lock My PC и аналогичных, однако такие возможности могут предоставляться и в программах, предназначенных для установки разного рода ограничений доступа, - в частности в Security Administrator и Deskman.
Desktop Lock 7.2.1
Разработчик : TopLang software
Размер дистрибутива : 792 Кбайт
Работа под управлением : Windows NT/2000/XP/2003/Vista
Способ распространения : shareware (15-дневная демо-версия - http://www.toplang.com/dlsetup.exe)
Цена : 24,95 долл.
Desktop Lock - утилита для блокирования компьютера (рис. 8) на время отсутствия пользователя. Установка блокирования производится из самой утилиты путем нажатия определенной комбинации клавиш автоматически в указанное пользователем время или, в случае неактивности пользователя, по истечении заданного срока. Введение компьютера в заблокированный режим может сопровождаться запуском скринсейвера, проигрыванием аудио- или видеофайла, что разумно, например, на выставках при демонстрации корпоративных презентаций. При блокировке отключается мышь и становится невозможным использование основных клавиатурных комбинаций. Для выхода из заблокированного режима требуется нажатие секретной клавиатурной комбинации или клавиши мыши с введением пароля. При желании можно настроить утилиту на фиксирование кратких сообщений от других пользователей, которые подходили к компьютеру во время отсутствия его владельца и пожелали что-либо ему написать.
Рис. 8. Настройка параметров блокирования компьютера в Desktop Lock
Lock My PC 4.7
Разработчик : FSPro Labs
Размер дистрибутива : 1,4 Мбайт
Работа под управлением : Windows 2000/XP/2003/Vista
Способ распространения: shareware (30-дневная демо-версия - http://www.fsprolabs.com/download/distr/lmpc.zip)
Цена : персональная лицензия - 19,95 долл.; бизнес-лицензия - 29,95 долл.
Lock My PC - инструмент для блокирования компьютера (рис. 9) на время отсутствия пользователя. Заблокировать компьютер несложно - достаточно дважды щелкнуть мышью по соответствующему значку в системном трее или нажать особую клавиатурную комбинацию. Возможно автоматическое блокирование по истечении заданного времени неактивности пользователя. При блокировке отключаются мышь и CD/DVD-приводы (это не позволит вынуть из них компакт-диски) и становится невозможным использование основных клавиатурных комбинаций: Ctrl+Alt+Del, Alt+Tab и др. На заблокированном компьютере в качестве скринсейверов могут демонстрироваться любые, в том числе созданные самостоятельно, изображения в форматах GIF, JPEG, BMP и animated GIF. Разблокировать компьютер можно, только зная пароль пользователя либо администратора.
Рис. 9. Настройка параметров блокирования компьютера в Lock My PC
Защита персональной информации
Существует несколько способов защиты персональных данных от несанкционированного доступа: можно сжать папки и файлы в архиве, защищенном паролем; скрыть их; поместить в секретную папку, доступ к которой для других пользователей будет закрыт паролем; зашифровать либо создать виртуальный зашифрованный диск, на который и записывать свои секретные материалы. Выбор наиболее предпочтительного способа зависит от ситуации, однако в большинстве случаев наилучшим является вариант сокрытия и шифрования папок и файлов, поэтому в данной статье мы только им и ограничимся.
Теоретически скрывать папки и файлы можно, используя встроенные возможности Windows - для этого достаточно в свойствах соответствующих объектов включить атрибут «Скрытый». Скрытые таким образом папки и файлы не будут видны в проводнике другим пользователям системы, но лишь при условии, что в свойствах содержащих их родительских папок включен флажок «Не показывать скрытые файлы и папки». В принципе, этого может оказаться достаточно для защиты данных от неподготовленных пользователей. Однако скрытые подобным образом объекты будут видны в приложениях, которые не используют стандартный диалог для отображения файлов и папок (FAR, Total Commander и т.п.), поэтому подобная защита не слишком хороша.
Более надежным вариантом защиты данных встроенными средствами Windows является использование шифрованной файловой системы EFS (Encrypting File System, EFS), позволяющей шифровать файлы путем включения для них в проводнике опции «Шифровать содержимое для защиты данных» (Свойства=>Общие=>Дополнительно). Прочитать зашифрованные таким способом файлы без знания пароля невозможно, однако система EFS позволяет защищать папки и файлы только в файловой системе NTFS.
По этим причинам для защиты персональных папок и файлов лучше пользоваться специализированными утилитами. Данные решения позволят более надежно скрывать папки и файлы (они не будут видны при отключении флажка «Не показывать скрытые файлы и папки»), а также блокировать доступ к ним. Более того, некоторые из таких утилит также дают возможность шифровать данные, что обеспечит их защиту от других пользователей даже при загрузке Windows в безопасном режиме, загрузке в другой операционной системе либо на другом компьютере (если на него предварительно будет установлен жесткий диск с защищенной информацией). В качестве примеров мы рассмотрим программы Folder Lock, Folder Guard и Hide Folders XP. Первая обеспечивает самый высокий уровень защиты шифруемых данных, вторая дополнительно предоставляет инструментарий для защиты базовых настроек ОС от изменений. Пакет Hide Folders XP заметно уступает названным решениям по своим возможностям, но зато имеет русскоязычный интерфейс и предлагается русскоязычным пользователям по весьма привлекательной цене.
Folder Lock 6.0.1
Разработчик : NewSoftware Professionals, Inc.
Размер дистрибутива : 2,78 Мбайт
Работа под управлением : Windows 2000/XP/2003/Vista
Способ распространения : shareware (20-дневная демо-версия - http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)
Цена : 35,95 долл.
Folder Lock - эффективное и надежное решение для зашиты персональных файлов, папок (рис. 10) и дисков путем установки на них пароля, сокрытия и шифрования (алгоритм AES с 256-битным ключом). Для большей безопасности в данном решении допускается применение блокирования и шифрования одновременно - защищенные таким способом файлы не отображаются в проводнике и в приложениях и полностью недоступны, так как получить доступ к ним без знания пароля нельзя даже в случае загрузки в DOS, в безопасном режиме Windows, с другой ОС или на другом компьютере. На случай, если пароль забыт, предусмотрена возможность получения доступа к данным по регистрационному ключу. Исходные данные, которые требуется защитить, могут находиться не только на жестком диске, но и на USB-носителях, картах памяти, дисках CD-RW, дискетах и ноутбуках. А процесс установки предусмотренной защиты может производиться автоматически в случае неактивности компьютера. В специальном режиме Stealth Mode программа умеет скрывать все следы, свидетельствующие об установке на компьютере защиты данных: препятствует отображению собственных ярлыков на рабочем столе и в меню «Пуск», скрывает данные об инсталляции/деинсталляции в соответствующем разделе панели управления, очищает историю и данные буфера обмена и т.д. Кроме того, в целях большей безопасности программа ведет учет всех неудачно введенных для снятия защиты паролей, что позволяет пользователю вовремя зафиксировать проявление нездорового интереса к собственному компьютеру со стороны других пользователей.
Рис. 10. Работа с защищенными папками в пакете Folder Lock
Folder Guard 7.6
Разработчик : WinAbility Software Corporation
Размер дистрибутива : Folder Guard Editions и Folder Guard x64 Edition - 1,8 Мбайт; Folder Guard Professional Edition - 2,5 Мбайт
Работа под управлением : Windows 2K/XP/2003/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.winability.com/folderguard/editions.htm)
Цена : Folder Guard Editions и Folder Guard x64 Edition - 39,95 долл.; Folder Guard Professional Edition - 59,95 долл.
Folder Guard - простое и удобное решение для ограничения доступа к папкам и файлам, а также предотвращения доступа к ряду настроек Windows. Оно представлено в трех версиях: Folder Guard Editions, Folder Guard x64 Edition и Folder Guard Professional Edition. Первая версия работает в 32-разрядных версиях Windows, вторая - в 64-разрядных, а третья - и в тех, и в других.
Ограничение доступа к персональным данным осуществляется путем их сокрытия (рис. 11), установки режима «только для чтения» либо блокирования. При этом сокрытие реализовано в двух вариантах: можно сделать папки и файлы скрытыми либо назначить их пустыми (Empty). Во втором случае папки будут видимыми, но при открытии окажутся пустыми, хотя в реальности содержат информацию - данный вариант защиты подходит для стандартных папок Windows, полное сокрытие которых будет свидетельствовать о том, что информация на компьютере заблокирована, что нежелательно. Защищенные папки без пароля не будут доступны другим пользователям системы даже при загрузке Windows в безопасном режиме, правда для этого потребуется произвести в программе некоторые настройки. На случай, если пароль забыт, предусмотрена функция его восстановления с помощью бесплатной утилиты Emergency Recovery (http://www.winability.com/folderguard/eru.htm). Реализована также возможность работы программы в скрытом режиме (Stealth Mode), при котором ее собственные ярлыки и файлы окажутся скрытыми.
Рис. 11. Сокрытие папки в Folder Guard
С помощью Folder Guard также можно защитить базовые настройки ОС от корректировки (рис. 12) - в частности закрыть доступ к свойствам панели задач, меню «Пуск» и ряда других окон, запретить сохранение свойств дисплея (если они были изменены), заблокировать изменение свойств папок и настроек Internet Explorer, не показывать на рабочем столе иконки. А также предотвратить изменение критических для работы системы параметров путем закрытия доступа к панели управления и установки серии запретов: на доступ в системный реестр, добавление/удаление принтеров, использование команды «Выполнить» и т.д. Можно также скрыть в окне «Мой компьютер», проводнике и стандартных диалоговых окнах Open/Save определенные диски и блокировать запись CD/DVD-дисков. Для разных пользователей возможен различный набор подобных ограничений.
Рис. 12. Установка ограничений на доступ к Windows-настройкам
в Folder Guard
Hide Folders XP 2.9.8
Разработчик : FSPro Labs
Размер дистрибутива : 1,23 Мбайт
Работа под управлением : Windows 2000/XP/2003/Vista
Способ распространения : shareware (30-дневная демо-версия - http://www.fsprolabs.com/download/distr/hfxp.zip)
Цена : 29,95 долл. (в магазине Softkey.ru - 400 руб.)
Hide Folders XP - простая программа для защиты папок и файлов (рис. 13) от несанкционированного доступа путем их сокрытия и/или блокирования. Защищенные папки не будут доступны другим пользователям, включая администратора системы, даже при загрузке Windows в безопасном режиме. При этом защищенными от удаления окажутся не только защищенные папки и файлы, но и содержащие их папки. А для того, чтобы другие пользователи не догадались о наличии на компьютере защищенных данных, программа может удалять следы об установленной защите и умеет скрывать саму себя (может не отображаться в списке часто загружаемых программ, не показывать строку о деинсталляции в панели управления, скрывать себя в списке запущенных процессов и др.).
Рис. 13. Работа с защищенными файлами в среде Hide Folders XP
С целью повышения безопасности сетей (в частности, доменов на основе Active Directory) используются политики ограниченного использования программ. Этот компонент присутствует в любом объекте групповой политики.
Но при использовании этого компонента есть пара моментов, о которых я однажды запямятовал, и в результате получил прямо-таки эпидемию новогодних украшательств на рабочих столах пользователей по всей сети.
Итак, расскажу о моментах, про которые не стоит забывать.
Создавая новый объект групповой политики и редактируя существующий, открываем его в редакторе групповых политик:
Разворачиваем ветку Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности , выбираем раздел Политики ограниченного использования программ . По умолчанию, эти политики не заданы:
Создаём политику:
По умолчанию запуск всех программ разрешён (Уровень безопасности - Неограниченый ). Задаём по умолчанию уровень Не разрешено :
А вот теперь важно не забыть следующее:
1. В разделе Дополнительные правила
удаляем параметр %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
. Этот параметр разрешает запуск всех программ, расположенных в
Program Files.
Этот шаг обусловлен тем, что пользователь, обладая правами записи в папку Program Files, может сохранить туда исполнимый файл и запустить его, что может привести к нарушению безопасности системы. Удалив этот параметр, мы лишаем пользователя такой возможности. Естественно, что надо не забыть прописать хэши разрешённых программ из Program Files в разделе Дополнительные правила.
2. В разделе Политики ограниченного использования программ в параметре Принудительный по умолчанию задано применение политики Для всех пользователей . Следует установить Для всех пользователей, кроме локальных администраторов .
Это необходимо для того, чтобы члены локальной группы Администраторы могли при необходимости выполнять установку программ, запуск необходимых утилит и т.п.
3. В разделе Политики ограниченного использования программ в параметре Назначенные типы файлов следует из списка удалить тип файлов LNK (Ярлык) .
Удалить тип файла LNK (Ярлык) необходимо для того, чтобы не прописывать в политике разрешение на исполнение для каждого ярлыка на компьютере.
Напоследок хочу заметить, что всё вышеизложенное я написал в первую очередь как памятку для себя, и приведенные рекомендации не являются "истиной в последней инстанции".
Несмотря на то, что в составе Windows есть инструменты для ограничения доступа, на практике оказывается, что они не слишком удобны, причем в самых заурядных ситуациях. Достаточно упомянуть такие простые примеры, как установка пароля на директорию или запрет на открытие Панели управления.
Можно отметить, что в Windows 8, по сравнению с предшествующей ей Windows 7, был усовершенствован родительский контроль. Сейчас с ним можно ознакомиться в разделе «Семейная безопасность» Панели управления. Фильтр имеет следующие возможности:
- Фильтрация посещения веб-сайтов
- Ограничения по времени
- Ограничения на Магазин Windows и игры
- Ограничения на приложения
- Просмотр статистики активности пользователей
Из перечисленного ясно, что даже эти функции помогут администратору компьютера решить многие частные моменты. Поэтому далее пойдет речь о небольших программах, которые позволяют ограничить доступ к информации и системным разделам в дополнение к стандартным инструментам управления ОС Windows.
Лицензия: Shareware ($69)
Программа Security Administrator напоминает типичный системный твикер, но только с акцентом на системную безопасность. Каждая из опций отвечает за определенное ограничение, поэтому общее древо настроек так и называется - «Restrictions». Оно делится на 2 раздела: общие (Common Restrictions) и пользовательские ограничения (User Restrictions).
В первой секции - параметры и подразделы, которые касаются всех пользователей системы. К ним относятся загрузка и вход в систему, сеть, Проводник, собственно Интернет, система, Панель управления и другие. Условно их можно разделить на ограничения онлайн- и офлайн-доступа, но разработчики особо сложной разбивки по вкладкам не рассмотрели. По сути, достаточно и того, что каждый «твик» имеет описание: какое влияние на безопасность оказывает та или иная опция.
Во втором разделе, User Restrictions, можно настроить доступ для каждого пользователя Windows индивидуально. В список ограничений входят разделы Панели управления, элементы интерфейса, кнопки, горячие клавиши, съемные носители и др.
Предусмотрен экспорт настроек в отдельный файл, чтобы его можно было применить, например, на других системных конфигурациях. В программу встроен агент для слежения за активностью пользователей. Файлы журнала помогут администратору проследить потенциально опасные действия пользователя и принять соответствующие решения. Доступ к Security Administrator можно защитить паролем - в далее рассматриваемых программах это опция также имеется де факто.
Из недостатков - небольшой список программ, для которых можно применить ограничения: Media Player, MS Office и т. п. Популярных и потенциально опасных приложений намного больше. Усложняет работу отсутствие актуальной для Windows 8 версии и локализации - это как раз тот вариант, когда сложно обходиться без начальных знаний английского.
Таким образом, программа предназначена как для ограничения доступа, так и для гибкой настройки параметров безопасности ОС.
Лицензия: trialware ($23,95)
В WinLock нет распределения настроек на общие и пользовательские, вместо этого имеются разделы «Общие», «Система», «Интернет». В сумме, возможностей меньше, чем предлагает Security Administrator, но такая логика делает работу с программой более удобной.
К системным настройкам относятся ограничения элементов Рабочего стола, Проводника, меню «Пуск» и им подобных. Также можно установить запрет на определеные горячие клавиши и всевозможные меню. Если интересуют только эти аспекты ограничений - ниже см. программу Deskman.
Ограничения функций Интернета представлены весьма поверхностно. Они заменяют один из компонентов Семейной безопасности: блокировка доступа к сайтам. Безусловно, любой файрволл по этой части будет оптимальным решением. Отсутствие же возможности хотя бы задать маску для веб-узлов делает данный раздел WinLock маловажным для опытного пользователя.
Кроме названных разделов, следует упомянуть «Доступ», где доступно управление приложенями. Любую программу легко занести в черный список по названию либо ручным добавлением.
В разделы «Файлы» и «Папки» можно поместить данные, которые необходимо скрыть от других пользователей. Пожалуй, не хватает парольной защиты доступа (для этого нужно обратиться к помощи других программ, см. ниже).
Лицензия: freeware
WinGuard можно использовать для блокировки приложений и разделов Windows, а также для шифрования данных. Программа распространяется в двух редакциях - бесплатной и Advanced. Функциональные отличия между ними невелики - несколько опций в одноименной вкладке «Advanced». Среди них отключение Internet Explorer, Проводника, процесса установки, записи файлов на USB.
Контроль над запуском приложений осуществляется во вкладке «Task Lock». Если нужной программы нет в списке, ее можно добавить самостоятельно, указав название в заголовке либо выбрав из списка открытых в данный момент приложений (аналогично WinLock). Если же сравнивать функцию блокировки с Security Administrator, в случае с WinGuard можно отключить ограничения для администраторского аккаунта. Однако настроить черный список приложений для каждого пользователя нельзя.
Шифрование доступно посредством раздела Encryption. Реализован пользовательский интерфейс неудобно: нельзя составить список для обработки, нет контекстного меню. Все, что нужно сделать - это указать директорию, которая будет являться и исходной, и конечной. Все содержащиеся файлы будут зашифрованы в 128-битный AES (Advanced Encryption Standard). Аналогичным образом производится расшифровка.
Таким образом, функциональность достаточно бедная, даже если взять во внимание платную версию.
Лицензия: shareware ($34,95)
Еще одна программа для AES-шифрования данных, и все же отличие от WinGuard весьма заметно.
Во-первых, выбор файлов для шифрования происходит быстрее. Не нужно выбирать каждую папку по-отдельности, достаточно составить список директорий и файлов. При добавлении Advanced Folder Encryption требует выставить пароль для шифрования.
Вы, в программе нет возможности указать метод защиты, вместо этого позволяется выбрать метод Norman, High или Highest.
Второй удобный момент - шифрование через контекстное меню и расшифровка файлов одним кликом. Нужно понимать, что без установленной Advanced Folder Encryption данные не удастся просмотреть даже зная пароль. В этом отличие от архиваторов, которыми можно запаковать файлы в зашифрованный и всюду доступный exe-архив.
При выборе большого количества файлов для шифрования, как было замечено, не срабатывает кнопка отмены. Поэтому нужно быть осторожным, чтобы не получить результат в виде битого файла.
Лицензия: trialware (€39)
Программа для ограничения доступа к элементам интерфейса и системным разделам. Пожалуй, тут ее уместно сравнить с Security Administrator за той разницей, что Deskman более сконцентрирован на Рабочем столе. Системные опции также присутствуют, но это, скорее, то, что не подошло в другие разделы: отключение кнопок перезагрузки, Панели управления и другие смешанные опции.
В разделе Input - отключение горячих клавиш, функциональных кнопок и функций мыши. Помимо имеющегося списка, можно определить сочетания клавиш самостоятельно.
Любопытна опция Freeze, которая доступна на панели инструментов. По ее нажатию формируется «белый список» из приложений, запущенных в данный момент. Соответственно, не входящие во whitelist программы недоступны до того момента, пока функция Freeze не будет отключена.
Еще одна возможность, связанная с уже онлайн, - защищенный веб-серфинг. Суть «защищенного» метода заключается в том, что доступны будут только те страницы, которые содержат в заголовке определенные ключевые слова. Эту функцию можно назвать разве что экспериментальной. Вдобавок, акцент делается на Internet Explorer, который, безусловно, является стандартным браузером, но явно не единственным.
Следует отметить удобное управление программой. Для применения всех установленных ограничений достаточно нажать кнопку «Secure» на панели, либо босс-клавишу для снятия ограничений. Второй момент - поддерживается удаленный доступ к программе посредством веб-интерфейса. После предварительной настройки он доступен по адресу http://localhost:2288/deskman в виде панели управления. Это позволяет следить за пользовательской активностью (просмотр журналов), запускать программы, перезагружать компьютер/выходить из системы - как на одной, так и на нескольких машинах.
Password for Drive (Secure NTFS)
Лицензия: shareware ($21)
Программа работает только с файловой системой NTFS и использует ее возможности для хранения информации в скрытой области.
Для создания хранилища необходимо запустить Password for Drive с администраторскими правами и выбрать диск для создания хранилища. После этого файлы можно копировать в защищенную область с помощью виртуального диска. Для доступа к данным с другого компьютера не требуются администраторские права.
В качестве хранилища можно использовать также съемный носитель. Для этого предварительно нужно отформатировать диск, например, штатными инструментами Windows, в NTFS и установить Password for Drive в редакции portable.
Программа не отличается интуитивным и удобным интерфейсом, фактически управление осуществляется минимальным набором кнопок - «Открыть»/»Удалить хранилище» и «Активировать диск». В демонстрационном режиме возможно лишь протестировать функциональность программы, так как количество открытий хранилища ограничено сотней.
Лицензия: shareware ($19,95)
Программа предназначена для установки парольной данных на съемные носители.
В отличие от Secure NTFS, диалог настройки значительно более интуитивен, благодаря мастеру настройки. Так, для применения защиты необходимо подсоединить к компьютеру устройство, выбрать его в списке и следовать мастеру установки. После данной процедуры пользователь получает в свое распоряжение диск, защищенный паролем. Для разблокировки достаточно запустить exe-файл в корне диска и ввести пароль.
Зашифрованный диск при открытии доступен как виртуальный диск, с которым можно производить те же операции, что и с исходным. Не стоит забывать, что на компьютерах, где запрещен запуск сторонних программ (не находящихся в «белом» списке), доступ к содержимому будет закрыт.
Также на сайте разработчиков можно скачать другие программы для защиты данных, в том числе:
- Shared Folder Protector - защита файлов внутри сети;
- Folder Protector - защита файлов на съемных носителях.
Лицензия: freeware
Небольшая утилита, которая позволяет контролировать доступ пользователей к Реестру и файлам, находить уязвимости в выданных правах. Другими словами, программа будет полезна в том случае, если права доступа выставляются средствами Windows.
Удобство утилиты состоит в том, что ОС попросту не предоставляет средств для просмотра прав доступа к директориям в виде детального списка. Кроме файлов, также можно проверить доступ к веткам реестра.
Для проверки прав доступа необходимо указать директорию или раздел Реестра для сканирования и начать процесс сканирования. Результаты отображаются в виде колонок «Read»/»Write»/»Deny», соответствующих адресам. В свойства каждого из элементов списка можно зайти через контекстное меню.
Программа работает под всеми ОС семейства Windows NT.
Резюме
Утилиты, рассмотренные в обзоре, можно использовать в дополнение к базовому инструментарию Windows, комплексно и в довесок друг к другу. Их нельзя отнести в категорию «родительский контроль»: некоторые функции в чем-то схожи, но по большей части не совпадают.
И - утилиты-твикеры настроек безопасности, которые также можно использовать для отключения элементов Рабочего стола, системных разделов и др. В WinLock, кроме того, встроен интернет-фильтр и есть возможность блокировки файлов и папок.
В функции входит ограничение доступа к интерфейсу (превосходящее по гибкости и ), управление запуском приложений, интернет-фильтр.
Сочетает в себе функции шифровальщика и ограничителя доступа к программам и устройствам. имеет смысл рассматривать как замену WinGuard по части шифрования.
И ограничивают доступ к данным на съемных носителях.
Бесплатная удобная оболочка для проверки прав доступа пользователей к файлам и Реестру.
Недавно одна кредитная организация наняла компанию, занимающуюся вопросами обеспечения безопасности, для имитации попытки взлома компьютеров своей сети. Специалисты компании успешно осуществили взлом компьютеров, для начала «подбросив» несколько USB-устройств на парковках и в «курилках» организации. Каждое устройство содержало исполняемый файл типа «троян». Сотрудники кредитной организации обнаружили большую часть устройств, подключили их к своим рабочим компьютерам и запустили исполняемый файл. Хотя нельзя быть уверенным в том, что ваши сотрудники или партнеры никогда не будут запускать файлы с найденных устройств, можно предотвратить возникновение описанной ситуации с помощью политик ограничения запуска программ Software Restriction Policies (SRP).
Политики SRP находятся в ведении службы Group Policy, которую можно использовать для ограничения запуска приложений на компьютерах с системами Windows Vista, Windows Server 2003 и Windows XP. Можно рассматривать политики SRP как аналог набора правил брандмауэра. В данном случае вы можете создать более общее правило, запрещающее или разрешающее запуск приложений, для которых не создано отдельных правил. Например, можно настроить общее правило, разрешающее запуск любых программ, и при этом отдельным правилом запретить запуск программы «Пасьянс». Или вы можете начать настройку с запрета запуска любых приложений и далее создавать правила SRP, разрешающие запуск конкретных приложений.
Можно создавать различные типы правил SRP, в том числе правило для зоны, правило для пути, правило для сертификата и правило для хеша. После небольшого обзора базовых понятий политик SRP я вкратце расскажу, как создавать правило каждого типа, но основное внимание будет уделено наиболее эффективному типу - правилам для хеша.
Исходные настройки
Вы можете настраивать политики SRP через разделы User или Computer службы Group Policy. Подобная гибкость позволяет применять политики к группам компьютеров или пользователей. Например, можно применить политику SRP, запрещающую пользователям играть в «Сапера» или «Пасьянс», к организационной единице, включающей сотрудников бухгалтерии. С другой стороны, можно применить политику SRP к группе компьютеров в общедоступной лаборатории колледжа, чтобы ограничить набор приложений, которые может устанавливать каждый, кто использует системы в тестовой лаборатории.
Чтобы активировать политики SRP, сначала создайте или отредактируйте объект Group Policy Object (GPO) и перейдите в окно Computer (или User) Configuration->Windows Settings->Security Settings->Software Restriction Policies. После этого щелкните правой кнопкой мыши на узле Restriction Policies и выберите пункт New Software Restriction Policies в контекстном меню.
После того, как вы активируете политики SRP, необходимо будет выбрать используемый уровень безопасности, Unrestricted или Disallowed. По умолчанию включен уровень Unrestricted, который разрешает запуск любых приложений, кроме запрещенных. И наоборот, режим Disallowed запрещает запуск любых приложений, кроме тех, для которых созданы исключения. Имейте в виду, что система Windows Vista предполагает третий уровень безопасности, Basic User, который вынуждает все приложения, кроме отдельно настроенных, работать с уровнем привилегий Basic User. Но так как эта статья посвящена запрету запуска приложений, мы не будем рассматривать уровень Basic User.
При серьезном подходе к ограничению использования неавторизованного программного обеспечения в организации рекомендуется выбирать уровень безопасности Disallowed. Для использования уровня Unrestricted требуется информация о том, какое именно программное обеспечение может быть запущено, что напоминает угадывание номеров лотерейных билетов. Хотя уровень Unrestricted может хорошо работать в безопасном окружении, где руководство просит вас отключить пользователям встроенные в систему Windows игры, его трудно задействовать в каком-либо решении с повышенными требованиями к безопасности. Однако если вы хотите заблокировать небольшое число приложений, не блокируя полностью компьютеры организации, стоит использовать уровень Unrestricted.
Для переключения политик SRP в уровень Disallowed перейдите в узел Software Restriction Policies->Security Levels и дважды щелкните на политике Disallowed. В появившемся окне Disallowed Properties, см. экран 1, просто установите флажок в поле Set as Default. Система Windows выдаст сообщение о том, что выбранный уровень является более безопасным, чем текущий, и некоторые программы могут быть закрыты. Щелкните на кнопке OK.
Рисунок 1: Установка уровня Disallowed в качестве уровня безопасности, используемого по умолчанию
По умолчанию в политиках SRP изначально существуют исключения для всех приложений, размещенных в папках %SystemRoot% и %SystemRoot%System32. Вы можете просмотреть эти исключения в окне Additional Rules для каждой политики. Эти правила предоставляют операционной системе минимальную функциональность, даже если выбран уровень безопасности Disallowed. Однако такие исключения дают злоумышленнику возможность скопировать исполняемый файл в одну из этих папок. Правила по умолчанию не делают различий между приложениями, например между cmd.exe и rootkit.exe, они лишь разрешают выполнение всех программ, размещенных в данных папках. Разрешения NTFS предоставляют некоторую защиту, не давая пользователям скопировать посторонние приложения в эти папки и запустить их. Но для того, чтобы по-настоящему защитить систему, необходимо заменить эти общие правила более жесткими.
Имейте в виду, что вы можете использовать политики SRP на компьютерах, которые не входят в рамки Active Directory (AD) (например ноутбуки), создав шаблон безопасности на основе компьютера использующего SRP и применив этот шаблон к локальной политике. Необходимо убедиться в том, что шаблон позволяет запускать утилиту Secedit, чтобы вы могли сделать отмену изменений или при необходимости обновить политику SRP.
Настройка общих политик
В узле Software Restriction Policies можно настроить следующие общие политики, которые определяют, каким образом система Windows применяет политики SRP: принуждение, назначенные типы файлов и доверенные издатели. Давайте рассмотрим каждый тип общих политик.
Принуждение. Принудительная политика используется для того, чтобы политики SRP применялись не только к исполняемым файлам типа «.exe», «.vbs» и всем остальным файлам, прописанным как исполняемые политики назначенных типов файлов, но и к библиотекам «.dll». Диалоговое окно Enforcement Properties, показанное на экране 2, позволяет применять политику SRP и к членам группы локальных администраторов.
Рисунок 2: Настройка политики принуждения для SRP
Для усиления безопасности необходимо включить в политику принуждения все типы программных файлов и применить ее ко всем пользователям. Однако создание отдельных правил для тысяч файлов «.dll» в стандартной комплектации Windows может потребовать нескольких недель работы. За исключением случаев, когда вам требуется максимально закрыть систему, более практичным и при этом достаточно надежным решением является использование политики принуждения без указания библиотек.
Имейте в виду, что в политику принуждения необходимо включить локальных администраторов. Если на компьютере требуется запустить приложение, не разрешенное в списках политик SRP, администратор может временно переместить систему в организационную единицу, на которую не распространяются данные политики.
Назначенные типы файлов. Политика назначенных типов файлов представляет собой список всех расширений - помимо стандартных расширений «.exe», «.dll» и «.vbs» - которые система Windows рассматривает как исполняемый код. На экране 3 изображено окно Designated File Types Properties. Если ваша организация использует тип файлов, не указанный в этом списке, например файлы Perl, вы можете добавить тип файла из этого диалогового окна.
Рисунок 3: Назначение исполняемых типов файлов
Доверенные издатели
Политика доверенных издателей используется для того, чтобы не дать пользователям добавить на свои системы новых доверенных издателей. Например, когда пользователи пытаются загрузить приложение с web-сайта компании Adobe, система спрашивает, хотят ли они сделать это приложение доверенным. Настройки политики определяют, кто может принимать решение о том, каким издателям доверять: конечные пользователи, локальные администраторы или корпоративные администраторы. Для обеспечения максимальной безопасности назначать доверенных издателей разрешается только корпоративным администраторам (как это сделать, показано на экране 4). Политика доверенных издателей также позволяет вам инициировать проверку списка отмененных сертификатов (CRL), чтобы выявить подлинность любого сертификата.
Рисунок 4: Предоставление прав на назначение доверенных издателей
Запрет или разрешение приложений
Теперь, когда мы познакомились с основными политиками SRP, давайте рассмотрим 4 типа правил, которые можно использовать для разрешения или запрета исполнения приложений: для зоны, для пути, для сертификата и для хеша.
Правила для зоны . Правила для зон Internet используются для ограничения или разрешения исполнения загруженных файлов «.msi» (для Windows Installer), в зависимости от зоны, из которой получен файл. Так как это правило применяется только к файлам «.msi», загруженным пользователями из Internet, этот тип политик SRP используется реже, чем остальные.
Для создания правила для зоны Internet щелкните правой кнопкой мыши на узле Additional Rules и выберите в контекстном меню пункт New Internet Zone Rule. Выберите Зону Internet и установите Уровень Безопасности в значение Unrestricted или Disallowed. В правиле для зоны Internet, настройка которого показана на экране 5, исполнение файлов «.msi», полученных из зоны Restricted sites, запрещено (уровень Disallowed).
Рисунок 5: Установка ограничений на зоны Internet
Правила для пути
Правила для пути позволяют указать папку или полный путь к приложению, которое может или не может быть выполнено. Недостатком правила для пути является то, что оно опирается исключительно на путь или на имя файла. Например, на экране 6 изображено правило для пути, которое разрешает запуск службы Outlook Express. Злоумышленники могут просто переименовать файл, содержащий вредоносный код, в «msimn.exe» и скопировать его в папку C:Program FilesOutlook Expressmsimn.exe. Так как задействуется правило для пути, файл, содержащий вредоносный код, считается разрешенным и может быть выполнен. Имейте в виду, что при настройке нескольких правил для пути приоритет будет иметь более «узкое» правило. Например, правило для пути C:directoryapplication.exe будет иметь приоритет перед правилом для пути C:directory.
Рисунок 6: Настройка правила для пути
Правила для сертификата
Правила для сертификата основаны на сертификатах, подписанных издателями. Основная проблема здесь заключается в том, что вам необходимо указать подписанный издателем сертификат. Кроме того, вы не можете использовать правило для сертификата, если требуется по-разному настроить политики для нескольких приложений одного и того же издателя. Например, вы не можете использовать данное правило, чтобы запретить сотрудникам играть в «Пасьянс», так как все игры, поставляемые вместе с Windows, подписаны тем же издателем, что и ключевые компоненты операционной системы, такие как служба IE.
Чтобы создать правило для сертификата, щелкните правой кнопкой мыши на узле Additional Rules и выберите пункт New Certificate Rule. Щелкните на кнопке Browse, укажите сертификат издателя (файл типа «.crt» или «.cer»), установите уровень безопасности в значение Unrestricted (или Disallowed) и щелкните на кнопке OK.
Правила для хеша. Правила для хеша я считаю лучшим типом политик SRP. Они не требуют от вас указания сертификата издателя, не берут за основу правила для зон Internet, и, так как для идентификации исполнительного файла они используют вычисленную контрольную сумму (хеш), злоумышленник не может запустить вредоносный код под новым именем в обход этого правила.
Правила для хеша используют контрольную сумму, рассчитанную для определенного файла. Например, блокирующее правило, использующее хеш программы notepad.exe из системы Windows 2003, не будет влиять на работу приложения «notepad.exe», поставляемого с системой XP Professional. А правило, использующее хеш программы notepad.exe из системы XP, не заблокирует приложение «notepad.exe», входящее в состав системы Vista. Хотя приложения, поставляемые с операционными системами, генерируют разный хеш в зависимости от версии системы, другие приложения - такие как Microsoft Word или Mozilla Firefox - генерируют одинаковую контрольную сумму вне зависимости от того, на какую систему они установлены:Vista, Windows 2003 или XP.
Для вычисления хеша необходим доступ к бинарному исполняемому файлу на том компьютере, где вы настраиваете объект GPO. Если вы создаете объект GPO на контроллере домена (DC), вы можете добавить сетевой диск на моделируемую систему, используя общую папку администратора, такую как XP-REF-SYSC$. После этого выбор исполняемого файла сводится к его поиску на сетевом диске.
При конфликте правил SRP правила для хеша имеют приоритет перед всеми другими. Также имейте в виду, что файлы, которые вы переименовываете или перемещаете в другое место, сохраняют свои контрольные суммы. Поэтому, если вы используете правило для блокирования файла, например исполняемого модуля вируса, оно сработает даже в случае, если кто-то изменил имя вируса.
Основной недостаток использования правил для хеша с политикой Disallowed заключается в том, что формирование исходного набора разрешенных приложений требует массы времени. Также нельзя забывать про необходимость обновления контрольной суммы каждый раз, когда изменяется версия приложения или устанавливается новое программное обеспечение. Для запуска обновленного приложения необходимо создать новое правило. Имейте в виду, что лучше создавать новые правила для обновленных приложений, чем менять под них старые, так как в вашей сети одновременно могут сосуществовать различные версии одного продукта. Со временем вы удалите правила для старых версий приложений.
Для создания правил для хеша, щелкните правой кнопкой мыши на узле Additional Rules службы Group Policy и выберите пункт Hash Rule. В появившемся окне New Hash Rule щелкните на кнопке Browse и выберите приложение, для которого хотите создать правило. При выборе приложения система Windows автоматически вычислит контрольную сумму файла, как показано на экране 7, и отобразит свойства файла в окне File information .
Рисунок 7: Создание правила для хеша
Настройка и отладка политик SRP
При создании политик SRP необходимо завести временную организационную единицу в службе AD и приписать к данной единице создаваемый объект GPO. После этого вы можете поместить туда тестовые учетные записи пользователей и компьютеров на время, необходимое вам для отладки политик SRP. После тестирования политик объекта GP можно прикрепить его к организационной единице, в которую входят реальные учетные записи пользователей и компьютеров. Убедитесь, что вы тщательно протестировали политики SRP - в лаборатории IT отдела и с пробной группой пользователей - прежде чем внедрять их в вашу организацию. Политики SRP имеют сложную структуру, и вы вряд ли сможете безошибочно настроить их с первого раза.
Если вам необходимо отладить ошибку в настройках политик SRP, можно просмотреть события, вызванные этими политиками (события под номером 865, 866 и 867), в локальном журнале компьютера. Также вы можете активировать более сложное отслеживание политик SRP, добавив строку LogFileName в следующий подраздел реестра: HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsSafer CodeIdentifiers. Строка LogFileName содержит путь к каталогу, в котором будет храниться файл журнала.
Следуйте правилам
Используя политики SRP, вы сможете запретить запуск в вашей системе нежелательных приложений - от отвлекающих игр до вирусов. Любая система (и Vista, и Windows 2003, и XP) предоставляет множество возможностей, которые позволят создать идеальные политики для вашей организации. Хотя реализация политики SRP исключительно на правилах для хеша требует большой работы, эти правила являются наиболее эффективными при защите компьютеров. Если бы кредитная организация из нашего примера реализовала политику SRP, согласно рекомендациям, приведенным в этой статье, внедренный «троян» никогда бы не был запущен, так как он не входил бы в список разрешенных приложений, организованный с помощью правил для хеша.