Zasady ograniczeń dla aplikacji

Zasady ograniczeń dla aplikacji oferują administratorom oparty na zasadach mechanizm pozwalający na identyfikację oprogramowania działającego w ich domenach oraz kontrolowanie możliwości działania tego oprogramowania. Dzięki zasadom ograniczeń dla aplikacji administratorzy mogą uniemożliwiać uruchamianie określonego oprogramowania. Dotyczy to wirusów i koni trojańskich oraz innego oprogramowania, o którym wiadomo, że powoduje konflikty podczas instalacji.

Stosowanie zasad ograniczeń dla aplikacji
Jeśli użytkownik ma uprawnienia administratora, może użyć zasad ograniczeń dal aplikacji w celu ograniczenia zakresu używanych aplikacji tylko do grupy zaufanych programów. Aplikacje są identyfikowane w zasadach za pośrednictwem ścieżki do pliku, sumy kontrolnej pliku, certyfikatu osoby podpisującej Microsoft® Authenticode® lub strefy internetowej. Po zidentyfikowaniu aplikacji system wymusza stosowanie zasad określonych przez administratora.

Zasady ograniczeń dla aplikacji mogą również pomóc w ochronie przez opartymi na skryptach wirusami i końmi trojańskimi. Administrator może skonfigurować zasady ograniczeń dla aplikacji w taki sposób, aby zezwalać na uruchamianie tylko skryptów podpisanych przez członka działu informatycznego. Zapobiega to przedostawaniu się do sieci wszystkich wirusów opartych na skryptach, takich jak ILOVEYOU.VBS. zasady ograniczeń dla oprogramowania mogą być również używane do określania, jakie aplikacje użytkownicy mogą instalować na swoich komputerach.

Zasady ograniczeń dla oprogramowania mogą być stosowane dla komputerów autonomicznych poprzez skonfigurowanie lokalnych zasad zabezpieczeń. Zasady ograniczeń dla oprogramowania współdziałają z zasadami grup oraz usługą Active Directory. Można dostosować różne zasady ograniczeń dla oprogramowania dla różnych grup użytkowników lub komputerów. Można użyć komputera opartego na systemie Windows XP w celu utworzenia zasad ograniczeń dla oprogramowania w środowisku Windows 2000. Istniejące w domenie komputery wyposażone w system Windows 2000 będą ignorowały te zasady, podczas gdy będą one stosowane dla komputerów opartych na systemie Windows XP.

Tworzenie zasad ograniczeń dla oprogramowania
Zasady ograniczeń dla oprogramowania są tworzone za pomocą dodatku Microsoft Management Console (MMC) Group Policy. Zasada składa się z domyślnej reguły określającej, czy programy mogą obsługiwać wyjątki od tej reguły. Domyślna reguła może mieć wartość nieograniczone lub niedozwolone, czyli innymi słowy "uruchamiaj" lub "nie uruchamiaj". Wybranie domyślnej reguły "nieograniczone" umożliwia administratorowi zdefiniowanie wyjątków będących po prostu grupami programów, które nie mogą być uruchamiane. Bardziej ostrożna metoda polega na określeniu domyślnej reguły jako “niedozwolone” oraz określeniu tylko takich programów, o których wiadomo, że mogą być uruchamiane bez negatywnych skutków.

Dwa typy zasad ograniczeń dla oprogramowania
Istnieją dwa sposoby korzystania z zasad ograniczeń dla oprogramowania. Jeśli administratorzy zidentyfikowali całe oprogramowanie, które powinno uzyskać zezwolenie na uruchomienie, mogą użyć zasady ograniczeń dla oprogramowania polegającej na ograniczeniu grupy wykonywanych aplikacji tylko do listy zaufanych aplikacji. Jeśli administratorzy nie wiedzą, z jakich aplikacji będą korzystali użytkownicy, będą musieli działać aktywnie i określać ograniczenia dla niewłaściwych aplikacji w miarę ich pojawiania się.

Zasady ograniczeń dla oprogramowania mogą być stosowane w następujących scenariuszach:
Zezwalaj na uruchamianie tylko zaufanego kodu. Jeśli można zidentyfikować cały zaufany kod, administrator może skutecznie blokować system. Poniżej przedstawiono przykłady miejsc stosowania zasad “zezwalaj na uruchamianie tylko zaufanego kodu”:

• Stacja aplikacji

• Stacja zadań

• Kiosk

W tych przypadkach domyślna reguła miałaby wartość "niedozwolone". Zostałyby określone wyjątki, zezwalające na uruchamianie tylko zaufanych aplikacji. Przykładem stosowania takich zasad byłby komputer, na którym powinny uruchamiane tylko wybrane aplikacje, a użytkownicy nie powinni mieć możliwości instalowania innego oprogramowania. Administrator może utworzyć zasadę, według której na komputerze mogłyby być uruchamiane tylko aplikacje Microsoft Word i Microsoft Excel. W przypadku pobrania przez użytkownika programu lub próby uruchomienia go z dyskietki program ten nie działałby, ponieważ nie znajdowałby się na zaufanej liście zdefiniowanej w oparciu o tą zasadę.

Uniemożliwiaj uruchomienie niepożądanego kodu. W niektórych przypadkach administrator nie może przewidzieć kompletnej listy oprogramowania, z jakiego będą musieli korzystać użytkownicy. Wtedy mogą oni jedynie monitorować bieżący rozwój wypadków i identyfikować niepożądany kod w miarę jego pojawiania się. Model ten dotyczy na przykład firm z luźno zarządzanymi stacjami klienckimi. Oto przykładowe scenariusze tego wariantu:

• Luźno zarządzane komputery osobiste

• Komputery osobiste o średnim poziomie zarządzania

Jeśli na przykład administrator stwierdzi, że użytkownicy korzystają z aplikacji do udostępniania plików i powodują w ten sposób znaczne obciążenie sieci, może utworzyć regułę identyfikującą ten program i uniemożliwiającą jego uruchamianie. Jeśli użytkownicy instalują program, o którym wiadomo, że powoduje konflikty z istniejącym oprogramowaniem, administrator może utworzyć regułę identyfikującą program instalacyjny tej aplikacji i uniemożliwić jej zainstalowanie.

Ilustrację ustawień zasad ograniczeń dla oprogramowania pokazano na rysunku.

 Reguły identyfikacji oprogramowania
Administrator identyfikuje oprogramowanie za pomocą jednej z poniższych reguł:

• Reguła sumy kontrolnej. Dodatek MMC dotyczący zasad ograniczeń dla oprogramowania umożliwia administratorowi przeglądanie w poszukiwaniu pliku i identyfikowanie wymaganego programu dzięki obliczeniu jego sumy kontrolnej. Suma kontrolna to rodzaj cyfrowego odcisku palca w sposób unikatowy identyfikującego program lub plik. Plik może mieć zmienioną nazwę lub zostać przeniesiony do innego folderu albo na inny komputer, a mimo to zachowa tą samą sumę kontrolną.

• Reguła ścieżki. Reguła ścieżki umożliwia identyfikację programu na podstawie nazwy jego pełnej ścieżki, na przykład C:\Program Files\Microsoft Office\Office\excel.exe, lub na podstawie nazwy ścieżki prowadzącej do folderu programu, na przykład C:\Windows\System32 (dotyczyłoby to wszystkich programów w tym katalogu oraz jego podkatalogach). W regułach ścieżek mogą być również wykorzystywane zmienne środowiskowe, na przykład %userprofile%\Local Settings\Temp.

• Reguła certyfikatu. Reguła certyfikatu umożliwia identyfikację oprogramowania na podstawie certyfikatu wydawcy użytego do cyfrowego podpisania programu. Administrator może na przykład skonfigurować regułę certyfikatu, na mocy której będzie mogło być instalowane tylko oprogramowanie podpisane przez firmę Microsoft lub dział informatyczny organizacji użytkownika.

• Reguła strefy. Reguła strefy umożliwia identyfikację oprogramowania pochodzącego z Internetu, lokalnego intranetu, zaufanych witryn lub stref witryn ograniczonych.

Kontrola cyfrowo podpisanego oprogramowania
Zasady ograniczeń dla oprogramowania zwiększają możliwości administratora w zakresie kontroli cyfrowo podpisanego oprogramowania w następujący sposób:

• Ograniczenie korzystania z formantów Microsoft ActiveX®. Administrator może wskazać formaty ActiveX, które będą działały w przeglądarce Internet Explorer dla określonej domeny, stosując zasady ograniczeń dla oprogramowania zawierające listę zaufanych certyfikatów wydawców oprogramowania. Jeśli wydawca formantu ActiveX znajduje się na liście zaufanych wydawców, jego oprogramowanie jest automatycznie uruchamiane po pobraniu. Zasady ograniczeń dla oprogramowania mogą również zawierać listę zabronionych wydawców. W ten sposób będzie następowało automatyczne blokowanie formantów ActiveX podpisanych przez tych wydawców.
  
  Dzięki zasadom ograniczeń dla oprogramowania można również kontrolować, kto ma podejmować decyzje dotyczące zaufania wobec nieznanych wydawców, tzn. wydawców, którzy nie są jednoznacznie klasyfikowani jako obdarzeni zaufaniem lub pozbawieni zaufania. Zasady ograniczeń dla oprogramowania mogą być skonfigurowane w taki sposób, aby zezwalały tylko administratorom lokalnym lub administratorom domen na podejmowanie decyzji o tym, którzy wydawcy będą obdarzani zaufaniem, oraz na uniemożliwianie podejmowanie tych decyzji przez użytkowników.

• Korzystanie z Instalatora Windows. Programy zainstalowane za pomocą Instalatora Windows mogą być podpisywane cyfrowo. Korzystając z zasad ograniczeń dla oprogramowania, administrator może określić wymagania, zgodnie z którymi będzie można instalować tylko oprogramowanie podpisane przez określonych wydawców oprogramowania. Przed zainstalowaniem oprogramowania na komputerze Instalator Windows będzie sprawdzał, czy obecny jest zatwierdzony podpis.

• Korzystanie ze skryptu Microsoft Visual Basic®. Pliki skryptu Visual Basic mogą być podpisywane cyfrowo. Administrator może skonfigurować zasady ograniczeń dla oprogramowania, zgodnie z którymi przed uruchomieniem pliki skryptu Visual Basic (.vbs) będą musiały być cyfrowo podpisane przez zatwierdzonego wydawcę oprogramowania.