Политика ограничения программного обеспечения Software Restriction Policy (SRP) - Преимущества SRP
ОГЛАВЛЕНИЕ
Преимущества SRP
Деловые пользователи организуют свою совместную работу с использованием электронной почты (e-mail), мгновенных сообщений (instant-messaging), особых приложений (peer-to-peer application) и т.п. как никогда ранее. Они используют Интернет для поиска и обмена информацией, и такое тип взаимодействия постоянно увеличивается, что может привести к возникновению угроз со стороны вредоносного кода. Пользователи также переносят неконтролируемые данные в картах памяти (memory stick), MP3 плееры и т.п. из дома в офис и обратно – эти данные могут представлять собой что угодно, от документов Word или таблиц Excel, до игр, хакерских инструментов и различного вредоносного программного обеспечения. Ноутбуки в настоящее время более распространены, чем настольные компьютеры, и с их помощью можно подключаться к неконтролируемым сетям, как проводным, так и на основе беспроводной технологии, тем самым, подвергая их большой опасности стать объектом атаки или взлома.
Именно поэтому я могу привести множество причин, по которым необходимо реализовать SRP:
| Большинство корпораций хотят: | Чтобы защититься от таких опасностей: |
|---|---|
| Защитить компьютеры от заражения | Malware, программы-шпионы (spyware), вирусы, Трояны (Trojan horses), Denial of Service (DoS) атаки. |
| Запретить запускать нежелаемое программное обеспечение на корпоративных компьютерах | Игры и другое программное обеспечение, неотносящееся к работе, снижают производительность и приводят к дополнительному потреблению сетевых и компьютерных ресурсов |
| Запретить запускать нелицензионное программное обеспечение на корпоративных компьютерах | Запуск нелицензионного программного обеспечения может привести к привлечению к ответственности Running unauthorized software on the corpora – ни одна организация не хочет быть привлечена за пиратство… |
| Запретить запускать неподдерживаемое программное обеспечение на корпоративных компьютерах | Предупредить конфликты приложений, которые могут привести к сбоям системы, несовместимости с производственным программным обеспечением, сложной отладке и т.п. |
| Запретить запускать неизвестное программное обеспечение на корпоративных компьютерах | Которое может (и скорее всего так и будет) повредить вам … |
| Снизить общие затраты на имущество Total Cost of Ownership (TCO) | Вирусные атаки приводят к дополнительным затратам денег |
Большинство администраторов IT и менеджеров хотят устранить риск заражения компьютеров вирусами, и другими угрозами, о которых рассказывалось в таблице 1. Это можно сделать с использованием SRP, которая позволяет задать, какие приложения и какие компоненты ActiveX могут быть запущены на компьютере, или же разрешить запускаться только сценариям с цифровой подписью. Мы также может разрешить запускать на корпоративном компьютере только разрешенные приложения с использованием встроенной технологии. Мы можем заблокировать компьютеры клиентов и даже серверы, таким образом, чтобы они могли делать лишь то, что мы хотим разрешить и не более того. Все это совершенно бесплатно и находится прямо перед нами …
Политики ограничения программного обеспечения Software Restriction Policies срабатывает в момент выполнения, пользователь получает блокирующее сообщение, похожее на то, что изображено на рисунке 1, если пытается запустить запрещенный код. На рисунке 2 изображено окно, которое появляется при попытки выполнить запрещенный сценарий.
С помощью SRP вы можете даже запретить локальным администраторам запускать код, отличный от того, который вы им разрешили. Многие компании разрешили обычным пользователям иметь административные права лишь благодаря проблемам, возникающим даже с нужными приложениями, но с помощью SRP сетевые администраторы могут вздохнуть свободно …
Вы можете сказать, что ваши пользователи не могут устанавливать запрещенное программное обеспечение, т.к. они не являются локальными администраторами на своих компьютерах (что очень хорошо), но все дело в том, что выполняемые модули всех типов могут при этом по-прежнему запускаться и выполнять запрещенные вещи. В качестве примера я могу упомянуть небольшую утилиту под названием ProduKey, которая очень полезна, если вы забыли ваши лицензионные ключи Microsoft product keys (для Exchange, Office, SQL или самой операционной системы Windows). С точки зрения администратора это сталкивает нас с еще одной проблемой: даже пользователи с ограниченными правами могут прочитать лицензионные номера (product keys) на локальной машине. Это значит, что пользователи могут найти ваши корпоративные ключи Volume License Keys (VLK) и установить их на свои домашние компьютеры!
Единственный способ избежать этого – это создать политику, которая блокирует все файлы с названием ‘produkey.exe’, но пользователи могут просто переименовать файл и затем снова запустить его. Другой способ – это заблокировать значение HASH, криптографический оттиск, файла ProduKey.exe (последняя версия 1.6), но это значение отличается с каждой новой версией – и что еще хуже: значение HASH можно изменить с помощью специальных утилит, например, SuperStorm и других похожих инструментов. Предположим, вам удалось блокировать ProduKey, но у вас еще много работы, чтобы ограничить приложение с аналогичной функциональностью.
Поэтому, единственный безопасный способ для блокировки программного обеспечения –это использовать белые списки (Whitelisting). Давайте посмотрим на различия между черными списками и белыми списками.