Расширения групповой политики в Windows Vista и Windows Server 2008

ОГЛАВЛЕНИЕ

Даже с момента создания операционной системы Windows 2000 Server, основной механизм управления безопасности в сетях Windows основывался на политиках групп (group policy). Однако, через несколько лет, мне начало казаться, что политики группы (group policy) необходимо расширить, т.к. появилось много аспектов в операционной системе Windows, которые просто невозможно было контролировать с помощью политики группы. К счастью, разработчики в компании Microsoft также сознавали эти недостатки, связанные с политикой групп, и тщательно пересмотрели политики групп в операционной системе Windows Vista и Windows Server 2008. В этом цикле статей я расскажу вам о новых возможностях политики группы.

Если вы раньше когда-нибудь работали с политикой группы (group policies), то вы знаете, что существует большое количество настроек для политики группы , встроенных в операционную систему Windows. Очень сложно назвать вам точное число реально существующих настроек для политики группы, т.к. новые настройки для политики группы часто появляются вместе с выходом пакетов обновления (service pack), а иногда даже с загрузкой определенных приложений. Однако, я могу сказать, что в операционной системе Windows Server 2003 с пакетом обновления Service Pack 1 предлагает примерно 1700 настроек для политики группы. Это количество увеличилось примерно до 2400 в операционных системах Windows Vista и Windows Server 2008. Поэтому у меня просто не будет возможности рассказать о каждой отдельной существующей настройке политики группы. Поэтому я постараюсь рассказать вам о наиболее важных настройках для политики группы.

Защита от вирусов

Одной из самых часто встречающихся угроз для безопасности за последние несколько лет были вирусы, рассылаемые по электронной почте. Большинство антивирусных продуктов спроектировано для интеграции с Microsoft Outlook. Идея заключается в том, что это программное обеспечение может сканировать вложения к электронной почте в том момент, когда они открываются. Но, даже несмотря на это, операционной системе Windows всегда не хватала централизованного механизма, который гарантировал бы, что на компьютере установлено антивирусное программное обеспечение, и что оно работает правильно. К счастью, операционные системы Windows Vista и Windows Server 2008 теперь обладают настройками для политики группы, которые позволят вам улучшить антивирусные политики в вашей организации на уровне политики группы (group policy level).

Хотя настройки для политики группы, о которых я собираюсь вам рассказать, специфичны для операционных систем Windows Vista и Windows Server 2008, их также можно также использовать для управления компьютерами, работающих на Windows XP Service Pack 2. Вы можете найти настройки для политики группы, связанные с антивирусной защитой group, в дереве политик группы: User Configuration\Administrative Templates\Windows Components\Attachment Manager.

Уведомление антивирусной программы при открытии вложения

Эта настройка для политики группы используется для уведомления вашего антивирусного программного обеспечения, когда открывается вложение к электронному письму, чтобы это вложение было просканировано на наличие вирусов. Хотя это настройка для политики группы кажется достаточно простой, необходимо знать о подводных камнях, которые с ней связаны. Во-первых, если ваше антивирусное программное обеспечение спроектировано на автоматическое сканирование вложение к электронным письмам, то включение этой настройки будет избыточным.

Второй подводный камень заключается в том, что вы должны знать то, если включена эта настройка для политики группы, а ваше антивирусное программное обеспечение по каким-либо причинам не может проверить вложение, то Windows блокирует это вложение.

Не применять информацию о зонах к вложениям

Одна из основных концепций безопасности в браузере Internet Explorer связана с зонами. Internet Explorer позволяет администраторам разбить Web домены на различные зоны, в зависимости от степени доверия к вебсайту. В операционной системе Windows Vista и Windows Server 2008, концепцию зон можно применить и для электронных писем. Если электронное сообщение содержит вложение, то Windows может посмотреть на домен отправителя и сравнить его со списком зон Internet Explorer. Затем он может использовать эту информацию о зоне для определения, стоит ли доверять вложению или нет.

Эта настройка политики группы немного вводит в заблуждение. Если вы включите эту настройку для политики группы, то информация о зонах будет полностью игнорироваться. Если вы хотите, чтобы Windows использовала информацию о зонах для вложений к электронным письмам, то вы должны отключить эту настройку для политики группы.

Один важный аспект, связанный с безопасностью, основанной на использовании зон, заключается в том, что информация о зоне отправителя хранится в качестве атрибута к файлу. Это значит, что должна использоваться файловая систем NTFS file system. Если система отформатирована с использованием FAT или FAT-32, то информация о зонах будет недоступна, и Windows не сообщит о неудаче.

Спрятать механизм для удаления информации о зонах

В обычных обстоятельствах пользователю достаточно просто удалить информацию о зонах из файла. Для этого достаточно нажать на кнопку Unblock (разблокировать), которая находится в окне свойств файла. Если вы хотите запретить пользователям удалять информацию о зонах из файлов, то вы должны просто включить эту настройку для политики группы (policy). В результате этого мы спрячем любой механизм, с помощью которого пользователь сможет потенциально удалить информацию о зонах из файла.

Уровень риска по умолчанию для вложений

Эта настройка для политики группы позволяет вам автоматически присвоить высокий (high), средний (medium) или низкий (low) уровень риска (risk level) для вложений к электронным письмам. Более подробно об уровнях риска я расскажу в следующих разделах.

Список включения (Inclusion List) для типов файлов с высоким уровнем риска

Очевидно, то некоторые типы файлов гораздо более вероятно содержат вредоносный код, чем другие. Например, файл с расширением .EXE или .PIF более опасен, чем файл с расширением .PDF. Поэтому операционная система Windows позволяет вам выделить различные типы файлов, как с высоким уровнем риска, средним или низким.

Windows предоставляет различные настройки политики группы для каждого списка с типами файлов. Причина, по которой Microsoft делает это таким образом, заключается в том, что это позволяет ужесточить настройки безопасности в случае конфликта. Предположим, например, что некоторый тип файла присутствует в списке с высокой степенью риска и со средней степенью риска. В такой ситуации к файлу этого типа будет применена политика для высокой степени риска, а не со средней, и файл будет рассматриваться с точки зрения высокой степени опасности вне зависимости от того, что диктуют другие политики.

Так что же в действительности значит классифицировать файл, как высокая степень риска? Когда пользователь пытается открыть файл, Windows смотрит не только на тип файла, но также и на зону, из которой он отправлен. Если файл отправлен из запрещенной зоны и классифицируется высокой степенью риска, то Windows запретит пользователю открыть этот файл. Если файл был получен из зоны Internet, Windows отобразит предупреждение пользователю.

Список включения для типов файлов с низким уровнем риска

Обработка вложения с типом файла, которому присвоен низкий уровень риска, работает очень похоже на обработку вложения с типом файла, которому присвоен высокий уровень риска (high risk), но есть пара отличий. Первое отличие заключается в том, что Windows по умолчанию рассматривает файлы некоторого типа, как файлы с высоким уровнем риска. Если вы присвоите одному из этих типов файлов низкий уровень, то ваши настройки будут иметь приоритет над встроенными настройками Window, и файл будет рассматриваться, как файл с низкой степенью риска. Конечно, если вручную добавите этот тип файл в список с высокой степень риска, а затем добавите его в список с низкой степенью риска, то файл будет рассматриваться, как имеющий высокую степень риска. Пользователю разрешается открывать типы файлов, включенные в список с низкой степень риска вне зависимости от зоны.

Список включения для файлов с умеренной степенью риска

Присвоить типу файлов среднюю степень риска означает, то же самое, что присвоить ему низкий уровень риска, но с одной оговоркой. Если файл был отправлен из ограниченной, запрещенной зоны или зоны Internet, то пользователь увидит предупреждение при попытке открыть файл.