Portal Zarządzających Bezpieczeństwem

Niektóre z bardziej przydatnych ustawień nowej polityki grupowej w Windows Server 2008 oraz Windows Vista.

Źródło: www.windowsnetworking.com

Jeśli kiedykolwiek w przeszłości pracowałeś z politykami grupowymi, wiesz o tym, że istnieje wiele ich ustawień wbudowanych w systemie Windows. Ciężko jest podać dokładną liczbę ustawień polityki grupowej, ponieważ są one często wprowadzane razem z service packami, a nawet przy ściąganiu odpowiednich aplikacji. Mogę jednak powiedzieć, że Windows Server 2003 Service Pack 1 oferuje w przybliżeniu 1700 ustawień polityki grupowej. Liczba ta wzrośnie do około 2400 w Windows Vista i Windows Server 2008. I z tego powodu nie jestem po prostu w stanie omówić każdego z tych ustawień, które jest dostępne. Zamiast tego spróbuję przedstawić ważniejsze ustawienia polityki grupowej.

Jednym z najbardziej powszechnych zagrożeń bezpieczeństwa w ostatnich latach są wirusy rozprzestrzeniane drogą mailową. Większość produktów antywirusowych zaprojektowanych jest w taki sposób, aby zintegrować się z Microsoft Outlook, mając na uwadze fakt, że to oprogramowanie może skanować załączniki mailowe w momencie ich otwierania. Pomimo tego, systemowi operacyjnemu Windows zawsze brakowało scentralizowanego mechanizmu zapewniającego, że oprogramowanie antywirusowe jest zainstalowane i działa poprawnie. Na szczęście Windows Vista i Windows Server 2008 zawierają teraz ustawienia polityki grupowej, pozwalające na wzmocnienie polityki antywirusowej organizacji na poziomie polityki grupowej.

Mimo że ustawienia polityki grupowej, które zaraz przedstawię, są ściśle określone dla Windows Vista i Windows Server 2008, mogą być także wykorzystane przy regulowaniu komputerów obsługujących również Windows XP Service Pack 2. Możesz znaleźć ustawienia odpowiedniej grupy polityki antywirusowej w drzewie polityki grupowej: User Configuration\Administrative Templates\Windows Components\Attachment Manager.

To ustawienie polityki grupowej jest używane do powiadomienia oprogramowania antywirusowego, gdy otwierany jest załącznik do maila, aby mógł on zostać przeskanowany pod kątem wirusów. Mimo że ustawienie to wydaje się całkiem proste, istnieją dwa zastrzeżenia, których należy być świadomym przed aktywowaniem. Po pierwsze: jeżeli Twoje oprogramowanie antywirusowe przewiduje automatyczne skanowanie załączników mailowych, wtedy aktywowanie tego ustawienia polityki grupowej jest zbędne.

Drugim zastrzeżeniem, którego trzeba być świadomym jest fakt, że jeżeli to ustawienie polityki grupowej jest włączone, a Twoje oprogramowanie antywirusowe z jakiegoś powodu może przeskanować załącznika, wtedy Windows zablokuje możliwość jego otwarcia.

Jedną z głównych koncepcji w Internet Explorer jest ta o strefach. Internet Explorer zezwala administratorom na klasyfikowanie domen sieci w różnych strefach, co jest oparte na tym jak bardzo administrator ufa danej stronie WWW. W Windows Vista i Windows Server 2008 koncepcja stref może być przeniesiona do maila. Kiedy wiadomość mailowa zawiera załącznik, Windows może porównać domenę nadawcy z listą stref Internet Explorera. Następnie może użyć informacji o strefie, aby określić jak wiarygodny jest załącznik.

To konkretne ustawienie polityki grupowej jest jednak trochę mylące. Jeżeli aktywujesz to ustawienie, wtedy informacja o strefie będzie całkowicie ignorowana. Jeśli chcesz być pewien, że Windows będzie korzystał z informacji o strefie w połączeniu z załącznikami mailowymi, musisz wyłączyć to ustawienie polityki.

Jednym, ważnym aspektem dotyczącym strefy, odnoszącym się do bezpieczeństwa, którego musisz być świadomy jest fakt, że strefa nadawcy jest przechowywana jako atrybut pliku. Oznacza to, że system plików NTFS jest koniecznością. Jeżeli system jest sformatowany przy użyciu FAT albo FAT-32, informacja o strefie nie zostanie zachowana, a Windows nie odnotuje błędu.

W normalnych warunkach użytkownik może w dosyć prosty sposób usunąć z pliku atrybuty przypisane do strefy. Aby to zrobić musisz tylko klikąć „unblock” (odblokuj) w formularzu właściwości pliku. Jeśli chcesz zapobiec możliwości usuwania informacji o strefach z pliku przez użytkowników, aktywuj ustawienie polityki. Dzięki temu ukryjesz każdy mechanizm, jaki użytkownik mógłby potencjalnie wykorzystać do usunięcia informacji o strefach z pliku.

Domyślny Poziom Ryzyka dla Załączników Pliku

To ustawienie polityki grupowej pozwala na automatyczne przypisanie wysokiego, średniego lub niskiego poziomu ryzyka dla załączników mailowych. Poniżej opowiem dużo więcej o poziomach ryzyka.

Oczywistym jest fakt, że niektóre typy plików są bardziej odpowiednie do przenoszenia złośliwych kodów od innych. Na przykład: bardziej prawdopodobne jest to, że plik .EXE albo plik .PIF będzie złośliwy niż plik .PDF. Z tego powodu Windows pozwoli na oflagowanie różnych typów plików jako te o wysokim, średnim lub niskim stopniu ryzyka.

Windows dostarcza ustawień polityki grupowej dla list typów plików o niskim, średnim i wysokim ryzyku. Powodem, dla którego Microsoft wybrał ten sposób jest fakt, że pozwala to na dokładniejsze ustawienia, aby mieć pierwszeństwo nad ustawieniami zabezpieczeń niższego poziomu w razie konfliktu. Przyjmijmy dla przykładu, że pewien typ pliku jest zapisany zarówno jako plik wysokiego oraz średniego ryzyka. W takiej sytuacji polityka wysokiego ryzyka ma pierwszeństwo przed polityką średniego ryzyka, a ten typ pliku będzie traktowany jako plik wysokiego ryzyka bez względu na to, co inne ustawienia polityki mogłyby nakazywać.

Co więc naprawdę oznacza klasyfikacja typu pliku jako plik wysokiego ryzyka? Kiedy użytkownik próbuje otworzyć plik, Windows patrzy nie tylko na typ pliku, ale również na strefę, z której plik pochodzi. Jeżeli pochodzi on ze strefy ograniczonej i jest sklasyfikowany jako plik wysokiego ryzyka, wtedy Windows zapobiegnie otworzeniu go przez użytkownika. Jeżeli plik pochodzi ze strefy Internet, Windows wyświetli użytkownikowi ostrzeżenie przed otwarciem pliku.

To nie jest typo, Windows omija słowo „RISK” (ryzyko) w tej nazwie ustawień polityki

Zdefiniowanie typu pliku jako plik o niskim ryzyku działa bardzo podobnie do zdefiniowania typu pliku jako plik wysokiego ryzyka, lecz z kilkoma różnicami. Pierwszą z nich jest to, że Windows już domyślnie traktuje pewne typy plików jako te o wysokim ryzyku. Jeśli ustawisz jeden z tych typów jako typ o niskim ryzyku, wtedy Twoje ustawienie będzie miało pierwszeństwo przed ustawieniami wbudowanymi w Windowsie, a plik ten będzie traktowany jako plik o niskim ryzyku. Oczywiście jeśli dodałeś ręcznie typ pliku do listy wysokiego ryzyka, a potem dodałeś go do listy niskiego ryzyka, plik będzie traktowany jako ten o wysokim ryzyku, ponieważ lista wysokiego ryzyka ma pierwszeństwo przed listą niskiego ryzyka. W przypadku, gdy masz wątpliwości, użytkownicy mogą otworzyć pliki niskiego ryzyka bez względu na strefę.

Zdefiniowanie typu pliku jako plik o średnim ryzyku działa dokładnie tak samo jak zdefiniowanie pliku jako plik o niskim ryzyku, lecz z jednym wyjątkiem. Jeżeli plik pochodzi ze strefy ograniczonej lub Internet, wtedy Windows wyświetli ostrzeżenie przed pozwoleniem użytkownikowi na otwarcie tego pliku.

W tym artykule wyjaśniłem, że Windows Vista oraz Windows Server 2008 zawierają o wiele więcej ustawień polityki grupowej niż Windows Server 2003 czy Windows XP. Następnie omówiłem niektóre z bardziej użytecznych ustawień odpowiedniej grupy polityki antywirusowej. W drugiej części będę kontynuował dyskusję, omawiając więcej nowych ustawień polityki grupowej.

Źródło: www.windowsnetworking.com

Tłumaczenie: Agnieszka Hawro, Wrocław