הקשחת תחנות Windows XP Pro SP2 באמצעות Software Restriction Policy
מנגנון Software Restriction Policies קיים החל מגרסאת Windows 2000 ומאפשר להגביל שימוש ביישום ע"י יצירת מדיניות שימוש באמצעות Object Group Policy (GPO), המדיניות מיושמת ע"י כללים הקושרים תעודות דיגיטאליות (Certificate), כללים המבוססים על Hash מתמטי או נתיב מסוים ובכך מאפשרים לאשר או להגביל שימוש ביישומים וקבצים כרצוננו.
בכדי ליישם את ההקשחה נבצע את הפעולות הבאות:
1. | נתקין מערכת הפעלה, ונבצע את כל עדכוני Windows Update. למידע נוסף |
2. | נתקין אנטי ווירוס, נעדכן את קובצי חתימות הוירוסים. למידע נוסף |
3. | ניצור משתמש פשוט (Standard User), ונאכוף סיסמא על חשבונות מנהל. למידע נוסף |
4. | נקשיח את Windows Firewallונמנע מצב בו ניתן להפסיק אותו: נשנה את מדיניות Windows Firewall באמצעות תפריט התחל, הפעלה, Gpedit.msc יש להרחיב את השדות הבאים:
Computer Configuration
יש להעביר את ההגדרה Protect All Network Connections למצב Enable
והתוצאה היא: (שימו לב שלא ניתן להפסיק את Windows Firewall)
|
5. | נוודא ש- Internet Security Zones ב- IE מכוילים להגדרות ברירת מחדל (יישום IE, כלים, אפשרויות, אבטחה) |
6. | יישם Software Restriction Policies: במאמר זה אדגים כיצד להשתמש במדיניות מקומית (local GPO) בעוד שברשת ארגונית נוכל להיעזר בתכונות ניהול מרכזי של Active Directory באם ניישם שלבים אלה במדיניות GPO על קבוצה ארגונית (OU) כרצוננו. נפעיל חלון CMD ונקלידGpedit.msc נסמן את Computer Settings, Windows Settings, Security ונסמן את Software Restriction Policies
באמצעות לחצן העכבר הימני של נבחר ב Create New Policies (ברירת המחדל של המערכת היא Unrestricted)
נעביר את המערכת למצב Disallowed, (נסמן את Disallowed, נלחץ על לחצן העכבר הימני ונבחר ב- Set as default) תופיע ההודעה הבאה:
נאשר את ההודעה ונבצע הגדרות נוספות כמפורט במאמר זה. מדיניות Software Restriction Policies אינן פעילות במצב בטוח. נסמן שוב את software Restriction Policies ונבטל את הגבלת ההפעלה של קבצים בסיומת *.lnk – (נסמן את LNK ונלחץ Delete)
כעת נותר לנו לקבוע חוק עבור כל יישום אותו נרצה לאפשר, (נגדיר זאת באמצעות לחצן העכבר הימני כאשר אנו בתפריט Additional Rules)
למשל: ניצור Hash Rule עבור קובץ אותו נרצה לאפשר -
|
7. |
באם נרצה נוכל למנוע מהמשתמש לשנות את תמונת הרקע לשולחן העבודה:
|
8. | ניצור חוקים נוספים כרצוננו, נבצע עדכון למדיניות ע"י התחל, הפעלה ו gpupdate |
9. | נשנה את הרשאות המשתמש לתיקיות Windows ותיקיית Program Files, חשוב לזכור שתיקיות אלה חיוניות עבור פעולה תקינה של Windows ולכן ישנם חוקים בסיסיים של Software Restrictions עבור תיקיות אלה כברירת מחדל. באם נשנה את הרשאות NTFS כך שקבוצת Users תהיה בעלת הרשאת קריאה בלבד (חשוב להכיל את ההגדרות על תיקיות ותתי תיקיות, ראה איור) נספק הגנה חזקה לתיקיות אלה ונמנע מצב בו משתמש יוכל לעקוף את ההקשחה שלנו.
שים לב לסמן את Replace permission entries on all child objects |
10. | נבצע Log off ונעבור למשתמש פשוט, נבחן את המדיניות ונוודא שעונה על צרכינו באם ביצענו נכונה את ההקשחה יוכל המשתמש להפעיל יישומים שהיתרנו לו ולא מעבר. |
