Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 14:

Сетевая установка программного обеспечения

< Лекция 13 || Лекция 14: 1234 || Лекция 15 >

Политики ограничения ПО

Совершенно новый способ управления ПО в сетевой среде с помощью Windows 2003 - это использование возможности ограничения ПО. Ограничения ПО используются не для установки ПО, а для наложения ограничений (запрещений) на код или ПО, которое вы не поддерживаете в своем окружении. Хотите ли вы, чтобы ваши клиенты играли в Solitaire? Это средство поддерживает безопасность и может запрещать использование определенного ПО. Его нет в Windows 2000, и оно лежит в основе обязательства Microsoft по защите вычислительных сред.

Политика ограничения ПО основывается на предыдущих методах защиты по типу зоны, которые действуют в Internet Explorer. Следующие типы зон поддерживаются и реализуются с помощью объекта GPO (Group Policy Object):

  • хеш-правила;
  • правила для сертификатов;
  • правила для пути;
  • правила зоны интернет.

Многим компаниям приходится сталкиваться с ситуацией, когда для ряда работ требуется доступ к Интернет, чтобы персонал мог загружать программы и приложения, причем порт 80 обычно является допустимым портом для поддержки трафика HTTP в World Wide Web. Политика ограничения ПО может предусматривать брандмауэр, прокси-серверы и другие меры защиты в случае недоверяемого Интернет-трафика, как это показано на рис. 14.9. Правило зоны Интернет разрешает отключать доступ ко всем сайтам в Интернет, которые не содержатся в списке конкретных доверяемых зон или веб-сайтов. Это эквивалентно отключению всех сайтов Интернет. Это новое мощное средство безопасности, реализуемое через объекты GPO, но не обеспечивающее защиту от недоверяемого программного обеспечения.

Диалоговое окно Software Installation для варианта Advanced Options

Рис. 14.9. Диалоговое окно Software Installation для варианта Advanced Options

Настройки ограничения ПО содержатся в стандартном редакторе Group Policy Editor и включены в настройки безопасности для пользователей или компьютеров. Элемент ограничения ПО, используемый для определения политик для путей, является совершенно новым аспектом безопасности в том смысле, что можно реально ограничивать доступ к путям. В случае исполнителей рутинных работ, выполняемых в среде Windows 2003 Terminal Server, становятся очень важными политики для путей. На рис. 14.10 показан пример создания политики путей, помещаемых для блокирования исполнителей рутинных работ в среде терминальных серверов.

Ограничения ПО были первоначально выпущены вместе с Windows XP для локального применения, а с выпуском Windows Server 2003 они теперь применимы к сайтам, доменам и организационным единицам Active Directory. Это мощное новое средство администратора, используемое для защиты вычислительной среды Windows 2003.

Зона интернет в политике ограничения ПО

Рис. 14.10. Зона интернет в политике ограничения ПО
< Лекция 13 || Лекция 14: 1234 || Лекция 15 >