Обеспечение безопасности клиентских компьютеров

Традиционно, безопасности серверов уделяется наибольшее внимание. Тем не менее, не следует недооценивать и значение безопасности клиентских и особенно мобильных станций. Нередко именно клиентские станции служат плацдармом для атак злоумышленника на всю сеть предприятия, так как на клиентскую станцию можно относительно установить троянскую программу, регистратор ввода (keylogger) или вирус.
Для обеспечения безопасности клиентских компьютеров можно применить следующие технологии

• Шаблоны безопасности, в том числе
  
  • Loopback Processing Mode
  • Software Restriction Pulicy
  • Административные шаблоны
• Настройки безопасности Internet-клиентов (например, Зоны безопасности в IE)
• Антивирусные и антишпионские программы
• Установка обновлений для ОС и приложений

Применение шаблонов безопасности для защиты клиентских компьютеров

В Windows ХР Security Guide входят шаблоны безопасности, такие как ЕС - Desktop и ЕС - Laptop, которые можно использовать для повышения безопасности клиентских компьютеров. Ниже обсуждаются некоторые дополнительные настройки, которые можно внести в Групповую политику, действующую на клиентские компьютеры.

Loopback Processing Mode
Механизм Loopback Processing Mode особенно подходит для случая, когда требуется создать так называемый «киоск» (общедоступная станция для выполнения узкой функции). При стандартном поведении групповой политики настройки ОС складываются из компьютерных настроек (применяются при старте компьютера) и пользовательских настроек (применяются при входе пользователя на данный компьютер). Если безопасность доменного компьютера контролируется с помощью GPO, привязанных к подразделениям, то в результате пользовательские настройки могут быть разными. Это зависит от того, в каком OU расположена учетная запись пользователя, и какие объекты групповой политики применяются к ней.

Представим ситуацию, когда киоск предназначен для общего доступа в                                                    
Internet для сотрудников банка. Администратор хотел бы, чтобы при входе настройки зон безопасности  IE были      
максимально ограниченными И был указан СПИСОК доверенных сайтов. Тем                                  
не менее, настройки IE являются пользовательскими, то есть задаются на уровне каждого индивидуального пользователя, а не на уровне всего компьютера. Таким образом, при входе на станцию разных пользователей,              
настройки  IE будут СВОИ у каждого ИЗ НИХ.                                                                                              
Для того чтобы обеспечить всех пользователей конкретного компьютера                                                      
одинаковыми   пользовательскими   настройками,   используется   механизм                                                
Loopback Processing Mode.

Если Loopback Processing Mode работает в режиме Replace, то пользовательские настройки будут браться не из GPO, действующего на пользовательскую учетную запись, а из GPO, действующего на учетную запись компьютера. Если Loopback Processing Mode работает в режиме Merge, то пользовательские настройки будут браться как из GPO, действующего на пользовательскую учетную запись, так и из GPO, действующего на учетную запись компьютера, но в случае конфликта вторые будут иметь приоритет.
Для настройки Loopback Processing Mode необходимо выполнить 3 шага.

• Поместить учетную запись компьютера-киоска в отдельный OU и привязать к этому OU Объект Групповой политики (GPO).
• Задать компьютерные настройки в разделе Computer Configuration этого GPO, а общие пользовательские настройки — в разделе User Configuration этого же GPO.
• В разделе Computer Configuration\Administrative Templates\System\Group Pulicy задать нужный вариант для настройки User Group pulicy loopback processing mode — Replace или Merge.

Software Restriction Pulicy

Если на компьютере сотрудники выполняют строго определенные задачи и набор используемых ими приложений органичен, то можно повысить безопасность компьютера, указав, какие приложения разрешено запускать или наоборот — какие приложения запускать не разрешается. Это позволяет сделать механизм Software Restriction Pulicy. Настройка состоит из трех шагов.

• Задать поведение системы по умолчанию. Возможные варианты — запускать все приложения и блокировать указанные (Unrestricted) или блокировать все приложения и запускать только указанные (Disallowed). Поведение по умолчанию задается в локальной политике безопасности или в GPO в разделе Computer ConfigurationWVindows Settings\Security Settings\Software Restriction Pulicies\Security Levels. По умолчанию выбран режим Unrestricted.
• Указать дополнительные настройки (опционально).                                                              -
  • Применять ли политику ко всем пользователям или применять ко всем пользователям, кроме локальных администраторов (по умолчанию применяется ко всем пользователям).
  • Контролировать ли библиотеки DLL (по умолчанию не контролируются)
  • Какие файлы считать исполняемыми (дополнить существующий список расширений).
  • Кто может контролировать доверенных поставщиков ПО (Trusted Software Publishers).

•      Задать правила, разрешающие или запрещающие запуск приложений. Возможно задание правил четырех типов.

• • Path Rule. Разрешено или запрещено запускать приложение, расположенное в конкретной папке.
  • Hash rule. Разрешено или запрещено запускать приложение, хэш которого имеет заданное значение.
  • Certificate Rule. Разрешено или запрещено запускать приложение, предоставленное соответствующими производителями (приложение должно иметь цифровую подпись поставщика).
  • Internet Zone Rule. Разрешено или запрещено запускать приложение в зависимости от зоны IE. Эти правила применяются только к пакетам Windows Installer (.MSI).

Административные шаблоны

Административные шаблоны (administrative templates) — это текстовые файлы с расширением .ADM, которые описывают настройки Групповой политики, хранящиеся в реестре. С помощью этих шаблонов можно расширять возможности политики для контроля различных приложений, поставляемых как компанией Microsoft, так и третьими фирмами. Настройки, контролируемые административными шаблонами, отображаются в разделах Computer Configuration\Administrative Templates и User Configuration\Administrative Templates. Административные шаблоны используются редактором Групповой политики для отображения пользовательского интерфейса и описания того, в какой ключ реестра должна быть занесена та или иная настройка. Например, главный административный шаблон SYSTEM.ADM, подключаемый редактором Групповой политики автоматически, определяет настройку Computer Configuration\Administrative Templates\System\Group Pulicy\User Group pulicy loopback processing mode следующим образом:

PulICY  !!UserPulicyMode
KEYNAME "Software\Pulicies\Microsoft\Windows\System"
#if version >= 4
SUPPORTED   !!SUPPORTED_Win2k
#endif
EXPLAIN  !!UserPulicyMode_Help
PART   !!UserPulicyModeOp  DROPDOWNLIST    NOSORT
VALUENAME "UserPulicyMode"
ITEMLIST
NAME  !!UserPulicyMode_Merge     VALUE NUMERIC    1
NAME   !!UserPulicyMode_Replace VALUE NUMERIC    2    DEFAULT
END  ITEMLIST END  PART
END  PulICY

Этот фрагмент говорит о том, что при задании в интерфейсе пользователя опции User Group pulicy loopback processing mode, в реестр целевого компьютера будет занесена настройка HKLM\Software\Pulicies\Microsoft\Windows\System\UserPulicyMode типа DWORD. Если был задан вариант Merge, то в реестр будет занесено значением 1, а если был задан вариант Replace, эта настройка будет иметь значение 2.
В состав ОС Windows входят стандартные шаблоны, позволяющие контролировать множество настроек. Некоторые из этих шаблонов подключаются автоматически при создании нового Объекта групповой политики. Также можно подключать собственные административные шаблоны. Ниже описаны наиболее часто применяемые административные шаблоны ОС Windows ХР Professional SP2.

Наиболее часто используемые административные шаблоны

В дополнение к административным шаблонам, поставляемым компаний Microsoft, другие производители ПО могут также поставлять шаблоны для контроля собственных приложений. Также можно писать и подключать собственные шаблоны (компания Microsoft, к сожалению, не предоставляет удобного инструмента для создания ADM-файлов).

Для подключения дополнительного шаблона в Редакторе групповой политики нужно щелкнуть правой кнопкой мыши по разделу Administrative Templates (не важно, Computer Configuration или User Configuration) и выбрать пункт Add/Remove Templates. После подключения появится возможность задавать дополнительные настройки. При подключении собственных шаблонов важно знать, что в зависимости от местоположения настройки в реестре различают действительные политики (true pulicies) и предпочтения (preferences). По умолчанию в Редакторе групповой политики отображаются только действительные политики, а для включения показа предпочтений необходимо в меню View выбрать пункт Filtering и снять флажок Only show pulicy settings that can be fully managed.

Применение зон безопасности IE

Для повышения безопасности работы в Internet следует обратить внимание на такие возможности браузера Microsoft Internet Explorer 6.0 как зоны безопасности (security zones) и обеспечение приватности (privacy).
Зоны безопасности IE позволяют поделить Web-сайты на группы (зоны) и при обращении к тому или иному сайту разрешать или запрещать функциональность в зависимости от зоны, к которой относится сайт. Ниже описаны зоны безопасности IE 6.0.

Зоны безопасности в Internet Explorer 6.0

Каждая зона имеет присвоенный по умолчанию уровень безопасности, но его можно изменить, щелкнув кнопку Custom и задав собственные настройки безопасности. Некоторые источники рекомендуют задать для зоны Internet максимально возможный уровень безопасности — High (в ущерб функциональности), а для зоны Trusted sites — уровень Medium. При этом часто посещаемые сайты, требующие более мягкой политики, добавляются в зону Trusted sites. Этот подход повышает безопасность, но требует планирования и аккуратного последующего обслуживания. Для централизованного распространения настроек зон безопасности можно использовать Групповую политику.

Кроме уязвимостей, связанных с некорректно настроенными зонами безопасности, определенную угрозу несут Cookies. Cookies— это небольшие текстовые файлы, которые Web-сайты записывают компьютер пользователя для различных целей. Наиболее часто cookies применяются для: аутентификации пользователя, сохранения предпочтений и отслеживания посещений сайта.

Web-сайты могут использовать постоянные или сессионные cookies. Постоянные cookies сохраняются на компьютере пользователя и имеют заданное время, после прохождения которого браузер может их удалить. Сессионные cookies не сохраняются на компьютере пользователя — они хранятся в оперативной памяти. Как только пользователь закрывает браузер, они теряются.
Для управления предпочтениями пользователя относительно cookies в IE 6.0 предназначена закладка Privacy.