Кажется, не проходит и месяца, чтобы в компьютерных СМИ не обсуждались проблемы, связанные с обнаружением очередной уязвимости в программных продуктах Microsoft, или слухи о предстоящих атаках в день X со стороны международного сообщества хакеров; всех интересует, успеет ли Microsoft выпустить очередную заплатку, не забудут ли пользователи установить ее и т. д. В апреле все это говорилось в отношении Internet Explorer, а в мае в поле внимания попал Word.
Конечно, можно посетовать по поводу “дырявости” продуктов Microsoft, хотя многие независимые эксперты отмечают, что корпорация уделяет очень большое внимание безопасности своего ПО (см. например, интервью с Кеном Катлером, PC Week/RE, № 18/2006, с. 18). Ведь именно в силу популярности ПО Microsoft проходит самую тщательную проверку в реальных условиях работы многомиллионной армии пользователей, а поисками брешей в продуктах корпорации занимается подавляющее число хакеров — как любителей, так и профессионалов. А, как известно, систем со 100-процентной защитой не существует — вопрос их взлома определяется лишь наличием у “осаждающей” стороны времени, желания и сил.
Управление записью Software Restriction Policies |
Но есть и другой, более важный аспект обеспечения безопасности. Подавляющее число проблем пользователей происходит из-за их халатности: неправильного конфигурирования ПО, пренебрежения стандартными функциями защиты, нарушения правил эксплуатации приложений.
Одна из самых типичных ситуаций — это совмещение работы в одном сеансе прав пользователя и администратора. Среди многих неприятных вещей, которые делают вредоносные программы, довольно часто встречаются такие операции, как создание и модификация файлов в каталоге system32, отключение Windows Firewall, управление процессами, удаление данных в реестре и пр. Но большинство из этих операций доступны только при наличии прав администратора и невозможны в режиме пользователя. И для повышения уровня защищенности вашего компьютера лучше всего придерживаться следующих правил:
- режим администратора используйте исключительно для настройки компьютера;
- работайте с Интернетом и электронной почтой только в режиме прав пользователя.
Однако на практике многим “продвинутым” пользователям нужно совмещать оба режима, а переключаться с одних прав доступа на другие бывает неудобно. Вот тут-то и возникают потенциальные проблемы, когда администратор начинает работать, в частности, с электронной почтой, с которой приходят вирусы…
На самом деле все эти вопросы можно также решить с помощью средств Software Restriction Policy (или просто Safer), которые появились в Windows XP и Windows Server 2003. Они позволяют более гибко управлять уровнем привилегий, сделав, например, так, что наиболее критичные приложения (Web-браузер, почтовый клиент) вообще нельзя будет запускать в режиме администратора.
Чтобы понять суть дела, проведите небольшой эксперимент с правами администратора. Запустите консоль управления MMC, по команде File \ Add Span-in добавьте объект Group Policy Object и затем откройте элемент Software Restriction Policies. Вы увидите там что-то похожее на изображенное на рисунке. Тут видны два уровня безопасности: Disallowed не позволяет запускать приложение, а Unrestricted означает, что программа будет запускаться с текущими правами пользователя (в данном случае, коль скоро вы запустили консоль, — с правами администратора).
Далее сделайте следующую последовательность операций:
- щелкните правой кнопкой мыши Additional Rules;
- щелкните New Path Rule;
- выберите Notepad.exe в каталоге \Windows\System32 directory;
- установите Security Level как Disallowed и нажмите кнопку Apply;
- далее в командной строке (Run) введите gpupdate (может потребоваться несколько секунд для обновления прав);
- теперь запустите notepad.exe: у вас ничего не получится — вы увидите сообщение о невозможности запуска этой программы.
Не пугайтесь! Вы можете опять сделать Notepad доступным. Установите в окне New Path Rule уровень безопасности Unrestricted или просто удалите созданные записи политики для строки Additional Rules. И еще раз запустите gpupdate.
Управлять режимами Safer можно и программным образом, с помощью, например, API-функций API SaferCreateLevel и SaferComputeTokenFromLevel. Вы можете написать разные сценарии для автоматизации управления уровнями безопасности разных приложений.
Кроме уровней Disallowed и Unrestricted в Safer допускается применять еще три промежуточных варианта: Normal User (или Basic User), Constrained (или Restricted) и Untrusted. В качестве оптимального режима безопасности стоит рекомендовать режим Basic User: он позволяет запускать приложение, но запрещает ему выполнять разные системные операции типа изменения содержимого реестра.
Чтобы установка Basic User была доступна в узле Security Levels, нужно в записи реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers установить величину Levels как 0x20000.
На этом мы завершим обсуждение возможностей использования средств Software Restriction Policy (более детальные сведения и рекомендации можно найти в статье по адресу:msdn.microsoft.com/security/securecode/columns/default.aspx?pull=/library/en-us/dncode/html/secure01182005.asp.
Вернемся к обнаруженной недавно бреши в системе безопасности Microsoft Word. Представители Microsoft считают, что атаки хакеров с ее использованием возможны, но чтобы реализовать злостные намерения, им потребуется работать в режиме администратора. Так что до момента выпуска заплатки (ее появление обещано к 13 июня) при обращении к офисным приложениям лучше выбирать только права обычного пользователя или установить для MS Word уровень безопасности Basic User с помощью функций Software Restriction Policy.