Так давайте с этим бороться!
Вот мы и перешли, наконец, к практике. Конечно же, большинство пользователей, которые активно используют интернет, и тем более, имеющих свои блоги, прекрасно понимают, что такое UAC (контроль учетных записей), права администратора и т.п., а также знают и понимают, что при установке любого программного обеспечения нельзя слепо жать на кнопку "далее", а нужно внимательно все просматривать, снимать ненужные галочки и т.п. Но ведь у всех у нас есть матери, сестры, друзья, клиенты наконец, которые даже не догадываются о таких вещах.
Так вот, чтоб оградить их от подобных напастей, мы воспользуемся следующими возможностями: групповая политика и функция AppLocker. Сразу скажу, это работает только на операционках Windows 7 Максимальная и Корпоративная (в конце статьи подробнее напишу как повысить свою версию windows). Насчет Windows 8 — у меня на ноутбуке так же есть данный раздел конфигурации, так что тоже должно работать (ниже будут скрины как раз с 8ки). Данные политики так же есть и в Windows XP, однако там, на сколько мне известно, нет возможности блокировки софта по цифровой подписи.
Для начала, нам нужно будет создать файл XML и наполнить его правилами. Для этого, копируем вот этот код:
Код:<AppLockerPolicy Version="1">
<RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id="19b6ae09-1a65-3707-cb5f-91e0af523108" Name="CNET" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=CBS INTERACTIVE, L=SAN FRANCISCO, S=CALIFORNIA, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="3701715b-a211-ff1e-7668-129691f0f8a4" Name="Yandex" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=OOO YANDEX, L=MOSCOW, S=MOSCOW, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="46914bbc-204f-300a-6035-90e81e4b6c44" Name="AOL" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=AOL INC., L=DULLES, S=VIRGINIA, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="5633511a-d7f0-fc53-4efd-48bab71a5d7e" Name="SweetIM" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=SWEETIM TECHNOLOGIES LTD, L=RA'ANANA, S=ISRAEL, C=IL" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="63432a8b-bb11-cf87-d9e0-99f3c31519c6" Name="Uniblue" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=UNIBLUE SYSTEMS, L=MSIDA, S=MSIDA, C=MT" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="9428d01d-597b-d0f4-4467-1e853dd706f6" Name="ASK" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=ASK.COM, L=OAKLAND, S=CALIFORNIA, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="a3b33e8f-62de-0e8e-cc24-b8b16193adbc" Name="Mail" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=LLC MAIL.RU, L=MOSCOW, S=MOSCOW, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="d6a01c41-0e6e-7c59-6e3a-5145139d1381" Name="Messenger Plus" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=YUNA SOFTWARE LIMITED, L=ST. HELIER, S=JERSEY, C=GB" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="fce59a6f-e89d-23f8-5286-f4999ef2e72b" Name="MediaGet" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=MEDIA GET LLC, L=SAINT-PETERSBURG, S=RUSSIA, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="ff5c450e-44a7-4f31-ab14-093de96947bb" Name="Reg Organizer" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=KONSTANTIN POLYAKOV, L=EKATERINBURG, S=N/A, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="E7980077-85FA-5B81-F712-EE53B2F78986" Name="Hamster" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=HAMSTER SOFT, L=MOSCOW, S=MOSCOW, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(правило по умолчанию) Все файлы, расположенные в папке "Program Files"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Program Files"." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(правило по умолчанию) Все файлы, расположенные в папке "Windows"" Description="Разрешает группе "Все" запускать приложения, расположенные в папке "Windows"." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="fd686d83-a829-4351-8ff4-27c7de5755d2" Name="(правило по умолчанию) Все файлы" Description="Разрешает локальным администраторам запускать любые приложения." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Msi" EnforcementMode="Enabled">
<FilePublisherRule Id="0447f5bd-8a5a-2d9f-ad19-574ca0739de8" Name="ASK" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=ASK.COM, L=OAKLAND, S=CALIFORNIA, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="1d0108dd-b76d-ee4c-d6e7-8196420a7da7" Name="MediaGet" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=MEDIA GET LLC, L=SAINT-PETERSBURG, S=RUSSIA, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="361d7116-e31f-7225-c13b-bf8b5f875b3a" Name="Yandex" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=OOO YANDEX, L=MOSCOW, S=MOSCOW, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="5315aa39-b92f-c5b6-0d1c-bd835ad0e184" Name="Mail" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=LLC MAIL.RU, L=MOSCOW, S=MOSCOW, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="643d7a07-5c3e-2434-7739-7ff3a1957475" Name="Reg Organizer" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=KONSTANTIN POLYAKOV, L=EKATERINBURG, S=N/A, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="9a48cbbe-3b20-d59b-d87d-4dbbbbabcd2a" Name="AOL" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=AOL INC., L=DULLES, S=VIRGINIA, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="b755212e-78c1-3244-3d75-6dccc5692553" Name="SweetIM" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=SWEETIM TECHNOLOGIES LTD, L=RA'ANANA, S=ISRAEL, C=IL" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="b7af7102-efde-4369-8a89-7a6a392d1473" Name="(правило по умолчанию) Все файлы установщика Windows c цифровой подписью" Description="Разрешает группе "Все" выполнять файлы установщика Windows с цифровой подписью." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="0.0.0.0" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="c8a2d46f-0634-cdff-307e-2bc7a909a8e3" Name="Messenger Plus" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=YUNA SOFTWARE LIMITED, L=ST. HELIER, S=JERSEY, C=GB" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="e3763c39-e775-0913-afe7-dc335aef7c76" Name="CNET" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=CBS INTERACTIVE, L=SAN FRANCISCO, S=CALIFORNIA, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="eb83ea8e-cf5d-64e6-5dc9-da63a40534d7" Name="Uniblue" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=UNIBLUE SYSTEMS, L=MSIDA, S=MSIDA, C=MT" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id="99703899-BCB7-2EDC-2700-7F62BB6DE87F" Name="Hamster" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=HAMSTER SOFT, L=MOSCOW, S=MOSCOW, C=RU" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePathRule Id="5b290184-345a-4453-b184-45305f6d9a54" Name="(правило по умолчанию) Все файлы установщика Windows из каталога "%systemdrive%\Windows\Installer"" Description="Разрешает группе "Все" выполнять файлы установщика Windows с цифровой подписью, расположенные в каталоге из каталога "%systemdrive%\Windows\Installer"." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\Installer\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="64ad46ff-0d71-4fa0-a30b-3f3d30c5433d" Name="(правило по умолчанию) Все файлы установщика Windows" Description="Разрешает локальным администраторам запускать любые файлы установщика Windows." UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*.*" />
</Conditions>
</FilePathRule>
</RuleCollection>
<RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>
(В конце поста ссылка на скачивание готового файла)
Затем, открываем текстовый редактор (желательно использовать Notepad++), и вставляем в него скопированный код, кодировку лучше установить UTF-8. Сохраняем файл (можно на рабочий стол для удобства), назовём его, например, blockmailru.xml. Все, файл у нас готов.
Теперь, нам необходимо запустить службу "Удостоверение приложения", и установить для нее автоматический режим запуска, иначе функция AppLocker работать не будет. Для того, чтобы запустить эту службу, откройте: Панель управления – Администрирование – Службы.
Кликаем мышкой дважды по "Удостоверение приложения", запустится окно свойств данной службы. Теперь нам необходимо запустить эту службу, и включить для нее автоматический тип запуска:
Готово, жмём на "ОК" . Если служба у Вас уже запущена, обязательно включите для нее автоматический тип запуска, как показано на рисунке выше. По умолчанию тип запуска этой службы установлен "Вручную".
Все, со службами мы закончили. Теперь нам необходимо импортировать созданный ранее список (который мы предварительно назвали blockmailru.xml) в AppLocker. Для этого снова открываем:
Панель управления – Администрирование — Локальная политика безопасности.
Ищем: Политики управления приложениями — AppLocker.
Жмем правой кнопкой мыши на AppLocker и выбираем "Импортировать политику...". После чего, в открывшимся окне нужно указать на созданный нами файл blockmailru.xml и открыть его. Система выдаст запрос на изменение политики и уведомит, что все предыдущие правила политики будут заменены. Соглашаемся. Все. Основная часть работы проведена. В "Исполняемые правила" Вы увидите такую картину:
Такая же картина будет и в пункте "Правила установщика Windows"
Важный момент! На скриншоте этого правила нет, но в правилах есть пункт: Разрешить – Все – D:\Portable Soft*. У вас его изначально не будет. Это правило гласит о следующем: разрешен запуск любым пользователем и любой программы из папки Portable Soft, расположенной в корне диска D. Для чего это нужно? Как следует из названия папки, в первую очередь это правило необходимо, для запуска портативных программ (т.е. которые запускаются без установки). Или же, например, для разрешения установки тех программ, инсталляторы которых, Вы поместите в эту папку (например, я сыну своей сестры закинул в эту папку все игры с диска Alawar, чтобы их установка не блокировалась, и он мог их самостоятельно устанавливать, без ввода административного пароля).
Вам тоже необходимо включить такое правило. Делается это очень просто. Создайте папку, где Вам удобнее (хоть на рабочем столе), назовите ее как-нибудь (по типу "Portable"), и поместите в нее все portable-программы и инсталляторы, которым Вы доверяете. Далее, еще раз открываем (если закрыли): Панель управления – Администрирование — Локальная политика безопасности — Политики управления приложениями – AppLocker. На "Исполняемые правила" жмем правой кнопкой мыши и выбираем "Создать новое правило...". Там все просто: жмем "далее", еще "далее", затем ставим галочку "Путь", снова "далее" и "Обзор папок". Откроется окно, в котором нужно будет указать ту самую папку и снова "далее", "далее", и на конечном этапе "создать". Правило создано. На самом деле все проще простого. К тому же, при создании, или редактировании таких правил можно указать исключения, разрешать или блокировать пути (папки), издателей и т.д.
Тоже самое нужно проделать для таких программ, которые устанавливаются не в Program Files, а например, в C:\Users\имя_пользователя\AppData\Local\Apps. В общем, если после внесенных настроек у Вас не запускается какая-то программа, добавьте в правила ее месторасположение. Аналогично тому, как мы добавляли разрешения для папки "Portable"
Давайте теперь окончательно поймем, чего мы добились всеми этими манипуляциями, и, что нам теперь запрещено, а что разрешено:
* блокировка запуска и установки любых программ от таких издателей, как: CNET, Yandex, AOL, SweetIM, Uniblue, ASK, Mail, Messenger Plus, Hamster, Mediaget, Reg Organaizer. Все эти издатели уличены в недобросовестных действиях (скрытая установка и т.п.). Список можно самостоятельно дополнять и редактировать. Об этом я напишу в следующей статье, в которой также объясню, как добавить исключения;
* разрешен запуск всех программ, которые расположены в Program Files, Windows и в той папке (директории), которую мы добавили самостоятельно;
* разрешен запуск любых программ локальным администратором (т.е. учетной записью администратора)
* разрешено выполнение файлов установщика Windows с цифровой подписью (файлы .msi с цифровой подписью);
* разрешено выполнение файлов установщика Windows с цифровой подписью (файлы .msi с цифровой подписью), которые расположены в каталоге Installer (в папке Windows);
* разрешен запуск любых файлов установщика Windows локальным администратором (т.е. учетной записью администратора).
Таким образом, никакие Guard;ы, Ззащитники, левые браузеры от Mail.RU, от Яндекса, Спутники, Яндекс-бары, и прочий не нужный хлам не появятся больше на Вашем компьютере, или на компьютере Ваших близких и знакомых. Все программы, от указанных издателей больше не проникнут на компьютер, на котором действуют эти правила; они попросту будут заблокированы.
И напоследок хочу сказать – никогда не ведитесь на рекламные уловки, не качайте всякие сборки "Яндекс Браузер" или "Браузер Интернет", ведь все это — самый обычный Google Chrome (если быть точнее, это всё браузеры на основе Chromium).
При установке любого софта всегда следите за "галочками", смотрите внимательно, чтобы не установить сторонний софт.
И одно из главных правил – качайте софт ТОЛЬКО с официальных сайтов.
