У будь-якій організації є юзверя, які намагаються використовувати ресурси Мережі в своїх цілях. У результаті, незважаючи на встановлені антивіруси і брандмауери, клієнтські системи починають кішіть вірусами, троянами, малварью і лівими програмами, періодично викликають збої в роботі Windows. Та й начальство вимагає прибрати зайве з компів (ігри, чати, посібники для навчання), контролювати використання трафіку і встановити заборону на підключення флешок. Природно, клопоти з розрулювання ситуацій лягають на плечі адміна.
Групові політики

Групові політики (GPO) - зручний і функціональний інструмент, що дозволяє управляти настройками безпеки Windows. З його допомогою можна налаштувати досить багато параметрів ОС. На жаль, більша їх частина бідно описана в літературі, і початківці адміни часто навіть не знають про те, який потенціал у них в руках. До того ж, групові політики постійно розвиваються, і в нових версіях ОС (а також сервіс-паках) GPO отримують нові функції. Дізнатися відмінності і доступні параметри досить просто, - скачай з сайту Microsoft cписок "Group Policy Settings Reference" для використовуваної операційки.

У Win2k8 управління GPO здійснюється за допомогою консолі Group Policy Management Console (GPMC.msc) 2.0. Установки безпеки виробляються в гілці "Конфігурація комп'ютера - Конфігурація Windows - Параметри безпеки" (Computer Configuration - Windows Settings - Security Settings). Тут досить багато налаштувань, за допомогою яких можна визначити політики паролів, задати блокування облікового запису, призначити права доступу, встановити порядок аудиту, політики реєстру, файлової системи, NAP, IP-безпеки і багато іншого. Розберемо найцікавіші з них.

Вибираємо в консолі групу політик "Призначення прав користувача". Політика "Архівація файлів і каталогів" дозволяє ігнорувати дозволу файлів при операціях резервного копіювання. Слід чітко визначитися, хто буде входити в таку групу, тому що права на створення резервних копій, надані кому попало, можуть призвести до витоку корпоративних даних. Політика "Завантаження і вивантаження драйверів пристроїв" (Load and Unload Device) дозволяє встановлювати драйвера після налаштування системи; тут краще залишити у списку тільки адміністраторів, щоб користувачі не могли самостійно підключати сторонні девайси. Дозволивши "Налагодження програм", ми надамо користувачеві можливість підключати відладчик до будь-якого процесу або ядра, а ти сам розумієш, який це ризик. За замовчуванням сюди входить тільки група адміністраторів, але в організаціях, які займаються розробкою ПЗ, хочеш не хочеш, а таке право давати доведеться. Відповідно, потрібно відстежувати легітимність його застосування.

Особливу увагу приділи політикам у групі "Параметри безпеки", де багато корисних пунктів. Наприклад, ми можемо: відключити можливість анонімного доступу до мережевих ресурсів, перейменувати обліковий запис гостя (якщо така використовується і необхідна). У політиків, які починаються з "Пристрої", одним клацанням мишки можна заблокувати можливість підключення та форматування змінних пристроїв, дискет, компакт-дисків і зовнішніх хардів. Вперше політики блокування змінних пристроїв з'явилися в Vista і Win2k8. Раніше для цих цілей доводилося використовувати програми сторонніх розробників на кшталт DeviceLock. У цій же вкладці дозволяємо або забороняємо підключення принтера вибраної групи користувачів.
Політики обмеженого використання програм

Однією з найважливіших в контексті статті буде група об'єктів GPO "Політики обмеженого використання програм" (Software Restriction Policies, SRP). Тут настроюються обмеження запуску додатків на комп'ютерах, починаючи з WinXP і вище. Принцип налаштувань збігається з налаштуваннями правил файрвола: адміністратор вказує перелік програм, які дозволено запускати на системах організації, а для решти ставить заборону. Або поступає навпаки: дозволяє все, а потім у міру необхідності блокує, що не потрібно. Тут кожен адмін вибирає, як йому зручніше. Рекомендується створити окремий об'єкт GPO для SRP, щоб завжди була можливість відкотити зміни при необхідності або виникненні проблем із запуском потрібних застосувань.

За замовчуванням SRP відключені. Щоб їх активувати, слід перейти у вкладку "Політики обмеженого використання програм" (в "Конфігурація комп'ютера" і "Конфігурація користувача" є свої пункти) і вибрати в контекстному меню "Створити політику обмеженого використання програм" (New Software Restriction Policies). За умовчанням встановлений рівень безпеки "Необмежений" (Unrestricted), тобто доступ програм до ресурсів визначається NTFS правами користувача. Дозволено запуск будь-яких додатків, крім зазначених як заборонені. Щоб змінити рівень, потрібно перейти в підпапку "Рівні безпеки", де знаходяться пункти активації ще двох політик - "Заборонено" (Disallowed), при якій виникає відмова в запуску будь-яких додатків, крім явно дозволених адміном. Політика "Звичайний користувач" (Basic User), що з'явилася в GPO, починаючи з Vista, дозволяє задати програми, які будуть звертатися до ресурсів з правами звичайного користувача, незалежно від того, хто їх запустив.

В організації з підвищеними вимогами інформаційної безпеки краще самому визначити список дозволених програм, тому двічі клацаємо по "Заборонено" і у вікні натискаємо кнопку "Встановити за замовчуванням" (Set as Default). Інформація в вікні, що з'явилося повідомить, що обраний рівень - більш суворий, і деякі програми можуть не працювати після його активації. Підтверджуємо зміни. Тепер переходимо в підпапку "Додаткові правила". Після активації SRP створюються дві політики, що перекривають правила за замовчуванням і описують виключення для каталогів% SystemRoot% і% ProgramFilesDir%. Причому за замовчуванням політики для них встановлені в "Необмежений". Тобто після активації політики "Заборонено" системні програми будуть запускатися в будь-якому випадку. У контекстному меню для тонкої настройки політик пропонується 4 пункти. З їх допомогою можна вказати: правило на шляху (шлях до каталогу, файлу або гілці реєстру), зони мережі (інтернет, довірена мережа і так далі), хеш (вказуємо окремий файл, за яким генерується хеш, що дозволяє визначити його однозначно, незалежно від дороги) та сертифікат видавця (наприклад, Microsoft, Adobe і т.п.). При цьому окрема політика має свій рівень безпеки, і легко можна заборонити виконання всіх файлів з каталогу, дозволивши запуск тільки окремих. Правила для хешу мають пріоритет перед іншими і найбільш універсальні. Щоправда, з урахуванням того, що хеш деяких системних програм (того ж Блокнота) буде відрізнятися в різних версіях ОС, до процесу генерування хешу краще підійти уважно.

Якщо клацнути по ярлику "Політики обмеженого використання програм", отримаємо доступ ще до трьох налаштувань. Вибір політики "Застосування" (Enforcement) відкриє діалогове вікно, в якому вказуємо, чи застосовувати SRP для всіх файлів або виключити DLL (за замовчуванням). Враховуючи кількість DLL'ок в системі, активація контролю всіх файлів вимагатиме додаткових ресурсів, тому кастомний варіант вибираємо, тільки коли це дійсно необхідно. За замовчуванням політики є актуальними для всіх користувачів без виключення, але в налаштуваннях пропонується зняти контроль за діяльністю локальних адмінів. У третьому полі активується підтримка правил сертифікатів. Такі політики також сповільнюють роботу системи і за замовчуванням вимкнено.

З допомогою політики "Призначені типи файлів" визначаються типи файлів, які вважаються виконуваними. У списку вже є всі популярні розширення, але якщо використовується щось своє, додаємо його / їх до переліку. І, нарешті, в "Довірені видавці" задаємо тих, хто може (користувач та / або адмін) додати підписану довіреною сертифікатом додаток, а також визначати справжність сертифікату. Для максимальної безпеки дозволь додавати програми лише адмінам доменного рівня.
AppLocker

За кілька років існування технологія SRP так і не змогла завоювати популярність, адже, як ти міг переконатися з попереднього розділу, точно налаштувати політики - не така вже й просте завдання. Максимум, на що зазвичай вистачало адміна, - заборона окремих програм і іграшок. У Win7/Win2k8R2 було представлено логічне продовження SRP - AppLocker. Втім, сам SRP нікуди не подівся, залишений в цілях сумісності. На відміну від SRP, Applocker працює не в призначеному для користувача оточенні, а в системному: встановлюються політики більш ефективні.

Установки AppLocker знаходяться у вкладці Security Settings (secpol.msc) - Application Сontrol Policies. Якщо розкрити дерево, то побачимо три підпункти, в яких настроюються політики відповідно до типів файлів:

    * Executable Rules - правила для файлів з розширенням exe, com і src;
    * Windows Installer Rules - правила для msi і msp файлів;
    * Script Rules - правила для bat, cmd, js, ps1 і vbs скриптів.

За замовчуванням використовується політика Default, робота якої грунтується на установці GPO. Але для кожного типу правил можна вибрати ще одну з двох політик:

    * Enforced - політики активні, і все, що не описано в правилах, блокується;
    * Audit Only - режим аудиту, всі події, для яких створені правила, замість блокування заносяться в журнал. Корисний при знайомстві і початковою налагодження роботи AppLocker.

Для активації потрібного варіанту переходимо у вкладку "Enforcement" вікна властивостей AppLocker. Перейшовши в "Advanced" і встановивши прапорець "Enable DLL rule collection", можна активувати перевірку DLL. Як і у випадку з SRP, перевірка зажадає додаткових системних ресурсів. За замовчуванням правил немає, тому обмеження на запуск програм не накладаються (крім прав NTFS, природно), і на відміну від SRP, рулесети потрібно створити самому. Цей процес в AppLocker виглядає дещо простіше. Контекстне меню пропонує для цього три варіанти:

    * Create New Rule - за допомогою візарду створюються правила для видавця (Publisher), шляху (Path, каталог або файл) і хешу (File Hash);
    * Automatically generate Rules - тут просто вказуємо на каталог, в якому знаходяться встановлені проги, і майстер автоматично створює правила (Path / Hash) для всіх виконуваних файлів всередині;
    * Create Default Rules - створюється набір правил за замовчуванням.

При виборі останнього пункту будуть створені дозволяють правила для запуску додатків з каталогів Windows (% WINDIR%) і Program Files (% PROGRAMFILES%); користувачі, що входять до групи локальних адміністраторів (BUILTIN \ Administrator), обмежень по запуску не мають. Після того, як перші правила в категорії сформовані і обраний варіант Enforced, запуск додатків можливий тільки в тому випадку, якщо він дозволений політикою. У подальшому коригуємо наявні правила і створюємо нові. Щоб відредагувати правило, викликаємо його властивості і міняємо: облікові записи та групи, які потрапляють під політику, шлях до каталогу чи файлу, дію (Action) блокувати або дозволити. Використання облікових записів і груп в правилах AppLocker групи досить зручно, тому що можна створити групу користувачів, яким дозволений запуск офісних додатків, групу "інтернетчиків" і так далі, і потім включати в них окремих користувачів.

Установки у вкладці Exceptions дозволяють задати виключення для окремих об'єктів. Натиснувши кнопку Add, вказуємо окремий файл, хеш або видавця, які не будуть підпадати під дію редагованої політики. Так можна досить тонко вказати дозволу для великої кількості файлів.

Так, і як ти, напевно, помітив, можливість налаштування правила для зони мережі в AppLocker відсутня.

Після доведення Default Rules приступаємо до створення індивідуальних політик. Для чого вибором Create New Rule запускаємо майстер і в покроковому режимі виробляємо потрібні налаштування. Перше вікно пропускаємо, у другому задаємо дію Allow / Deny і вказуємо користувача або групу, для яких буде діяти політика. Далі вибираємо тип політики Publisher / Path / File Hash і, залежно від виробленого вибору, відзначаємо об'єкт. При визначенні шляху AppLocker використовує змінні. Тобто, якщо вказати в Провіднику C: \ soft, шлях буде перетворений до виду% OSDrive% \ soft \ *. Крім того, можливі такі змінні:% WINDIR%,% SYSTEM32%,% PROGRAMFILES%,% REMOVABLE% (CD / DVD) та% HOT% (USB-пристрої). Причому особливо наголошується, що це внутрішні змінні AppLocker, а не системні, хоча деякі назви збігаються.

Політики створені, але щоб вони застосовувалися, потрібно запустити службу Application Identity (AppIDSvc). Робиться це через консоль Services (services.msc) або в редакторі групових політик (Security Settings -> System Services). Після змін оновлюємо політики:

> Gpupdate / force

Ще один метод контролю за встановленим ПЗ і підключеними девайсами - використання спеціальних програм інвентаризації (наприклад, SCCM, про який йшлося в статтях "Начальник мережі" та "Зброя масового управління", опублікованих відповідно в серпневому і вересневому номерах] [за 2009 рік). Також не забуваємо про службу "Управління додатками" (AppMgmt), відключивши яку, ми блокуємо можливість встановлення ПЗ.
Боротьба з NAT'ом

З "халявним" Інтернетом на роботі у багатьох користувачів з'являється спокуса використовувати його у своїх цілях. Звичайно, часи, коли до системного блоку підключався модем і через нього виходили в інтернет, практично канули в лету (для деяких провінційних міст це все ще актуально), але менеджери часом беруть роботу додому, а доступ до потрібної інфе намагаються отримати за допомогою діалапа. Якщо ж офіс знаходиться в житловому будинку, то співробітники-ентузіасти можуть розгорнути WiFi і роздавати сусідам трафік. У будь-якому випадку халява приваблює любителів, і залишається дивуватися, як народ на вигадки мастак. Крім поцупленими трафіку, користувач ставить під удар безпеку всієї мережі, адже через такий чорний хід запросто можуть проникнути віруси, трояни та інша зараза (+ може бути викрадена конфіденційна інформація).

Методів виявлення роботи клієнтів з-за NAT достатньо - контроль TTL, аналіз ідентифікатора IP-пакета і діапазону TCP / UDP портів і так далі (докладніше про методи виявлення NAT читай в статті Кріса "Полювання на мережевих партизан" в] [# 111). Ми ж розберемо практичну реалізацію. Інструментом номер один тут є Wireshark - мультиплатформовий (Windows, Linux, xBSD, Solaris, Mac OS X і т.д.) сніфер і аналізатор в одному флаконі. Можливість використання фільтрів і сортування робить цю програму дуже зручною для вирішення багатьох завдань: контроль певного типу трафіку (аська, мережеві ігри, проги для віддаленого доступу і так далі), пошук проблем в мережі і аналіз безпеки.

Для визначення роботи через NAT нас цікавить можливість контролю TTL (час життя) IP-пакету. Потрібно враховувати, що кожна ОС і версії використовують своє значення TTL, наприклад, всі версії Windows - 128, Linux - 64 (максимально 255), а при проходженні пакета на кожному роутері віднімається одиниця. Тобто, якщо отримуємо пакет з TTL 63 або 127 (або менше), це може свідчити про наявність NAT (віртуальні машини також працюють через NAT). Відкриваємо список фільтрів і в "IP only" встановлюємо значення поля ip.ttl в вилов всіх пакетів, TTL яких менше 64 або 128. Програма має достатній набір для аналізу, тому можна захопити трафік з мінімальними обмеженнями, а потім переглянути, що попалося в мережі, і в подальшому уточнювати налаштування фільтрів.

Крім графічного інтерфейсу, можливий запуск Wireshark в командою рядку. Дивимося список мережевих інтерфейсів по команді "tshark-D", а потім виловлюємо значення поля TTL в проходять пакетах.

> Tshark-i 1-e ip.ttl-Tfields

Підтримуються tcpdump-подібні правила, тому можна просто вважати значення потрібного поля IP (ip [8] <64, поле TTL знаходиться у 8-му байті IP-заголовка).

Хорошою альтернативою Wireshark є BWMeter (desksoft.com / BWMeter.htm), що поєднує в собі функції файрвола і монітора трафіку, з можливістю побудови різного роду графіків. Система фільтрів дозволяє задати будь-яке правило і потім відстежувати всі пакети, які під нього потрапляють.

До цього списку можна додати практично всі файрволи, що зустрінеш в корпоративній мережі: Kerio WinRoute (докладніше про нього читай в статті "Марш-кидок у велику мережу", опублікованій у вересневому номері] [за 2007 рік), UserGate Proxy & Firewall (" Сторож для локальної мережі ", липневий] [за 2009 рік), ISA Server / Forefront TMG (" Форпост для захисту периметра ", листопадовий] [за 2009 рік) та інші, які також мають все необхідне для аналізу та блокування трафіку.

Крім того, не забуваємо проводити періодичне сканування мережі за допомогою Nmap і порівнювати результати з звітами раніше зроблених сканів. У разі виявлення змін у списку відкритих портів виробляємо розслідування. Це дозволить виявити лазівки, залишені троянцями, проксі-сервери, деякі запущені гри і так далі.