

В данной статье рассматриваются практические аспекты применения одного из встроенных защитных механизмов ОС семейства Windows, позволяющего блокировать запуск несанкционированного программного обеспечения, в том числе и вредоносного.
СУТЬ ПРОБЛЕМЫ
Особенностью ОС семейства Windows является гибкий интерфейс настройки дискреционных прав доступа пользователей к каталогам. Однако он, на наш взгляд, содержит недостаток, который с момента появления Windows 2000 «мигрирует» из одной версии ОС в другую. Речь идёт о привилегии «чтение и выполнение». В частности, если пользователю предоставить доступ на изменение информации в папке, то он автоматически получает возможность запуска исполняемых файлов из каталога (рис. 1).
Рисунок 1. Привилегии прав доступа в ОС Windows
Если же администратор с помощью интерфейса Дополнительных разрешений отберёт у пользователя привилегию Траверс папки/Выполнение файлов, то у последнего возникнут проблемы с просмотром содержимого данного каталога. Рассматривая проблему контроля использования программного обеспечения в ОС семейства Windows, необходимо также упомянуть каталоги профилей пользователей, где им (пользователям) вообще предоставлен полный доступ (рис. 2).
Рисунок 2. Права доступа пользователя к каталогам в его профиле
Таким образом, возникает угроза бесконтрольного запуска пользователями программного обеспечения типа portable или его установки в каталоги собственного профиля. Кроме того, создаются отличные условия для первоначального внедрения и последующего запуска ВПО (вредоносного программного обеспечения) в атакуемой системе.
В домашних компьютерах, где многие работают с правами администраторов, ситуация с защищённостью ресурсов информационной системы ещё более тревожная. В них вредоносные программы часто изначально запускаются с правами привилегированной учётной записи.
ПУТИ РЕШЕНИЯ ПРОБЛЕМЫ
Выходом из сложившейся ситуации может стать применение политик ограниченного использования программ. Этот механизм способен блокировать несанкционированный запуск программ, даже если запуск был осуществлён от имени администратора. Чтобы использовать защитный механизм, следует запустить оснастку групповых политик gpedit.msc.
Доступ к редактору политик предоставляется, начиная с редакции Professional. Если же пользователь работает с редакцией Windows 10/11 Home Edition, то по умолчанию оснастка управления политиками безопасности недоступна. Тем не менее имеется несколько способов установки оснастки «Редактор локальной групповой политики» [1] для компьютеров и с такой операционной системой [2]. Рассмотрим настройку политик ограниченного использования программ. Изначально они отсутствуют, поэтому их надо создать (рис. 3).
Рисунок 3. Создание политик ограничения запуска программ
Сразу после создания политик какие-либо ограничения на запуск программного обеспечения отсутствуют, установлено значение уровня доступа к программному обеспечению Неограниченный. Поэтому следует установить уровень безопасности запуска программного обеспечения (рис. 4) в положение Запрещено. При появлении предупреждения о повышении уровня безопасности ответьте утвердительно.
Затем требуется скорректировать Дополнительные правила для доверенного программного обеспечения (рис. 5) с учётом особенностей защищаемой системы.
Рисунок 4. Установка уровня безопасности по умолчанию
Необходимо обратить внимание на каталоги, в которых размещаются файлы антивирусной программы и другого защитного программного обеспечения. Например, файлы антивируса Microsoft Defender находятся в каталоге C:/ProgramData/Microsoft/Windows Defender/Platform [3]. Для этой папки следует установить неограниченные права запуска, как и для каталога с 32-разрядным ПО С:/Program files (x86). Отметим, что для запуска файлов из каталогов C:/Windows и C:/Program files правила в политике ограниченного использования программ создаются по умолчанию.
Наиболее простым способом формирования зоны запуска программного обеспечения является использование «правил для пути». Каталоги или файлы, разрешённые для запуска, определяются с указания полного пути к ним. Если каталог с исполняемыми файлами антивируса не добавить в Дополнительные правила, то он не запустится при старте операционной системы. Запуск будет блокироваться политиками безопасности.
Рисунок 5. Создание правил для запуска программного обеспечения
Следующий этап — это корректировка типов файлов, распознаваемых политикой ограничения запуска программ как исполняемые, чей запуск будет ограничиваться (рис. 6) в окне настройки назначенных типов файлов. Расширения, которые указаны в этом окне, будут относиться к исполняемым файлам.
Рисунок 6. Доступ к настройке типов файлов
Дополнительно желательно добавить расширения dll, sys, bin, cmd и удалить тип lnk. Если расширение *.lnk не удалить, то ярлыки для запуска санкционированного ПО работать не будут, что создаст трудности в работе пользователей. Затем в окне Применение (открывается с помощью одноимённой надписи, показанной на рисунке 6) надо указать, что на dll-файлы также распространяются ограничения использования (рис. 7) и что политика безопасности действует и на локальных администраторов (важно для безопасности домашних компьютеров, где почти все работают с правами администраторов). Чтобы принятые политики вступили в силу, надо перезагрузить компьютер.
Проверить работу созданных ограничений можно с помощью файла calc.exe (встроенная в ОС Windows программа Калькулятор) из каталога C:/windows/system32. Запустите файл calc.exe из разрешённой области — папки C:/windows/system32, где он изначально и находится. Запуск должен быть успешным. Затем скопируйте файл calc.exe и попробуйте запустить из любой папки профиля (рабочего стола или каталога с временными файлами C:/users/user_name/appdata/local/temp). Запуски должны быть неудачными.
Рисунок 7. Выбор области применения политик
Использование описанного метода существенно затруднит установку и запуск любого несанкционированного программного обеспечения.
ЗАКЛЮЧЕНИЕ
Тем не менее использование «правил для пути» не обеспечивает стопроцентной надёжности, поскольку этот тип ограничений контролирует только путь к объекту запуска, но не его содержимое. Например, средства защиты от НСД при настройке замкнутой программной среды дополнительно к пути исполняемого файла контролируют и его хеш-код, что делает крайне маловероятным эффективную его подмену. Тем не менее формирование перечня запускаемых файлов с помощью «правил для пути» позволяет быстро настроить ограничение запуска программ, в отличие от таких значительно более трудоёмких (хотя и более надёжных) способов, как использование правил для хеша или сертификата.
Отметим, что защита от подмены файлов программного обеспечения в Windows, хоть и не идеальная, но имеется. На стандартные папки размещения прикладных программ C:/Program files и C:/Program files (x86) установлены права доступа, разрешающие только их чтение для обычных пользователей. А на файлы из системного каталога C:/Windows даже группа Администраторы и учётная запись Система имеют только права чтения (рис. 8).
Рисунок 8. Права доступа к исполняемым файлам системного каталога
Для противодействия внедрению ВПО рекомендуется также периодически с помощью антивирусных сканеров Drweb CureIt или KVRT осуществлять поиск вредоносных программ на компьютере.
Перед запуском сканеров на время их работы следует или отключить политику ограничения использования программ, или временно добавить правило для пути C:/users/user_name/app_data/local/temp (в этот каталог распаковываются файлы обоих сканеров в процессе работы), разрешающее из каталога запуск программ. После окончания работы сканеров надо вернуть все политики в исходное состояние.
Рассмотренный в данной работе метод ограничения области запуска программ является эффективным способом повышения безопасности работы ОС семейства Windows в случае, если не используются дополнительные средства защиты информации.
[1] Как добавить в Windows 11 Home Редактор локальной групповой политики: https://dzen.ru/a/ZLa_U-KBKTHUCBVM
[2] Как включить редактор локальной групповой политики в Windows Домашняя: https://remontka.pro/enable-group-policy-editor-windows-home/
[3] Microsoft изменила стандартный путь Защитника Windows в Windows 10: https://www.comss.ru/page.php?id=4708
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных