Top Advertising on Sys-Adm.in

Ниже будут рассмотрены принципы блокирования средствами GPO устанавливаемых по умолчанию в Windows XP и Windows 7 игр, в детали создания и применения GPO вдаваться не буду, предположим что уже есть преднастроенные и работающие политики, включающие в себя настройки Software Restriction Policies для Windows XP / Vista и Application Control Policies для Windows 7, ниже приведу методы и способы настроек данных политик.

Предполагаю несколько этапов:

  1. Сбор данных о блокируемом ПО
  2. Методы блокирования
  3. Тестирование
  4. Применение

Сбор данных о блокируемом ПО

Подразумевает сбор данных о приложениях:

  • Пути месторасположения файлов по умолчанию
  • Сами исполняемые файлы
  • Возможно нужных библиотек

Пути необходимы для определения путей установки игр в папки по умолчанию, исполняемые файлы для получения имен, симков хеша и получения информации о файле (производитель и т.п.).

Методы блокировки

Средства SRP не так гибки как AppLocker но все же можно прибегнуть к некоторым средствам:

  • Блокировка по пути (GPO "понимает" переменные типа %systemroot%)
  • Блокирование по хешу

К сожалениею SRP не понимает такие вещи как *,? :(

Локер уже гибче, подразумевает использование по:

  • Пути
  • Хешу
  • Производителю

Возможность варьировать разрешения путем членства в группах безопасности, создавать исключения, использовать понимаемые локером переменные (%OSDRIVE%, %PROGRAMFILES% и т.п.) и понимание им таких вещей, как *.

Как пример

Игры идущие по умолчанию в комплекте Windows, список месторасположения путей для данных игр приведен ниже:

Windows XP

C:\Program Files\MSN Gaming Zone\Windows\hrtzzm.exe

C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe

C:\Program Files\MSN Gaming Zone\Windows\chkrzm.exe

C:\Program Files\MSN Gaming Zone\Windows\Rvsezm.exe

C:\Program Files\MSN Gaming Zone\Windows\shvlzm.exe

C:\Program Files\Windows NT\Pinball\PINBALL.EXE

%SystemRoot%\system32\freecell.exe

%SystemRoot%\system32\mshearts.exe

%SystemRoot%\system32\winmine.exe

%SystemRoot%\system32\sol.exe

%SystemRoot%\system32\spider.exe

Windows 7

c:\Program Files\Microsoft Games\Chess\Chess.exe

c:\Program Files\Microsoft Games\FreeCell\FreeCell.exe

c:\Program Files\Microsoft Games\Hearts\Hearts.exe

c:\Program Files\Microsoft Games\Mahjong\Mahjong.exe

c:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe

c:\Program Files\Microsoft Games\Multiplayer\Backgammon\bckgzm.exe

c:\Program Files\Microsoft Games\Multiplayer\Checkers\chkrzm.exe

c:\Program Files\Microsoft Games\Multiplayer\Spades\shvlzm.exe

c:\Program Files\Microsoft Games\Purble Place\PurblePlace.exe

c:\Program Files\Microsoft Games\Solitaire\Solitaire.exe

c:\Program Files\Microsoft Games\SpiderSolitaire\SpiderSolitaire.exe

Далее расскажу на примере локера, была создана отдельная группа безопасности, членами которой были сделаны некоторые пользователи, создано две новые блокирующие политики применемые на данные группы людей, одна действует по пути - c:\Program Files\Microsoft Games\*, другая по хешам файлов, помимо этих политик есть еще другие, посредством готорых блокируется запуск любого ПО с любого источника кроме как определенного администратором, т.е. в данном случае фактически исключается возможность использования данных игр на машине пользователя являющегося членом созданной ранее группы.

P.S. не знаю, есть ли целесообразность в данной статье так как по факту здесь не приведены пошаговые действия, которые я уже привык приводить практически во всех статьях, но иногда нужна и "идеоология" так как сухие действия без понимания некотрых вещей не всегда приводят к желаемому результату, а иногда и наоборот к катастрофе ;-)

Добавить комментарий


Защитный код
Обновить

Сейчас один гость и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз