معلومات عامة

باستخدام سياسات تقييد البرامج، يمكنك حماية أجهزة الكمبيوتر لديك من البرامج غير المعروفة المصدر عن طريق تحديد البرامج المسموح بتشغيلها. في هذه السياسة، يمكن تعريف التطبيقات باستخدام قاعدة التجزئة، وقاعدة الشهادة، وقاعدة المسار، وقاعدة منطقة الإنترنت. يمكن تشغيل البرنامج على مستويين: غير مقيد ومحظور.

تحكم سياسات تقييد البرامج استخدام البرامج غير المعروفة وغير الموثوقة. تستخدم المنظمات مجموعة من التطبيقات المعروفة والمثبتة. ويتم تدريب المسؤولين وموظفي الدعم لدعم هذه البرامج. ومع ذلك، عندما يقوم المستخدم بتشغيل برامج أخرى، فقد تتعارض مع البرنامج المثبت، أو تغير بيانات التكوين المهمة، أو الأسوأ من ذلك، أنها تحتوي على فيروسات أو أحصنة طروادة للوصول غير المصرح به عن بعد.

مع الاستخدام المكثف للشبكات والإنترنت والبريد الإلكتروني في الأعمال التجارية، يواجه المستخدمون في كل مكان برامج مختلفة. يتعين على المستخدمين دائمًا اتخاذ قرارات لتشغيل برامج غير معروفة لأن المستندات وصفحات الويب تحتوي على تعليمات برمجية للبرنامج - نصوص برمجية. غالبًا ما يتم إخفاء الفيروسات وأحصنة طروادة عمدًا لتضليل المستخدمين عند إطلاقها. مع هذا العدد الكبير والتنوع من البرامج، يصعب على المستخدمين الفرديين تحديد البرنامج الذي سيتم تشغيله.

يحتاج المستخدم إلى آلية فعالة لتحديد البرامج وفصلها إلى برامج آمنة وغير جديرة بالثقة. بمجرد تحديد البرامج، يمكن تطبيق سياسة عليها لتحديد ما إذا كان يمكن تشغيلها أم لا. توفر سياسات تقييد البرامج مجموعة متنوعة من الطرق لتحديد البرامج ووسيلة لتحديد ما إذا كان يجب تشغيل تطبيق معين أم لا.

قواعد إضافية ومستويات الأمان

عند تطبيق سياسات تقييد البرامج، يتم تحديد البرنامج باستخدام القواعد التالية:

قاعدة الشهادة

يمكن لسياسات تقييد البرامج التعرف على الملف من خلال شهادة التوقيع الخاصة به. لا تنطبق قواعد الشهادة على الملفات ذات الملحق ‎.exe أو ‎.dll. يتم استخدامها للبرامج النصية والحزم الخاصة بـ Windows Installer. من الممكن إنشاء قاعدة شهادة تحدد تطبيقًا ما، ثم تسمح بتشغيله أو تمنعه، حسب مستوى الأمان. على سبيل المثال، يمكن للمسؤول استخدام قواعد الشهادة للوثوق تلقائيًا في البرامج من مصدر موثوق به في المجال دون مطالبة المستخدم. بالإضافة إلى ذلك، يمكن استخدام قواعد الشهادة في المناطق المحظورة في نظام التشغيل.

قاعدة المسار

تحدد قاعدة المسار البرامج حسب مسار الملف. على سبيل المثال، إذا كان لديك جهاز كمبيوتر يتبع سياسة الرفض الافتراضية، فلديك خيار منح الوصول غير المقيد إلى مجلد محدد لكل مستخدم. بعض المسارات الشائعة التي يمكن استخدامها لهذا النوع من القواعد هي %userprofile% و%windir% و%appdata% و%programfiles% و%temp%.

نظرًا لأنه يتم تعريف هذه القواعد باستخدام مسار، فلن يتم تطبيق قاعدة المسار عند نقل البرنامج.

قاعدة التجزئة

التجزئة عبارة عن سلسلة من وحدات البايت ذات الطول الثابت التي تحدد البرنامج أو الملف بشكل فريد. يتم حساب التجزئة باستخدام خوارزمية التجزئة. يمكن لسياسات تقييد البرامج التعرف على الملفات من خلال التجزئة الخاصة بها باستخدام خوارزمية التجزئة SHA-1 (خوارزمية التجزئة الآمنة) وMD5.

على سبيل المثال، يمكنك إنشاء قاعدة تجزئة وتعيين مستوى الأمان إلى "غير مسموح به" لمنع تشغيل ملف معين. لا يتغير تجزئة الملف الذي تمت إعادة تسميته أو نقله إلى مجلد آخر. ومع ذلك، في أي وقت يتغير فيه الملف، تتغير قيمة التجزئة، مما يسمح لك بتجاوز القيود.

تتعرف سياسات تقييد البرامج فقط على التجزئة المحسوبة بواسطة سياسات تقييد البرامج.

حكم منطقة الإنترنت

تؤثر قواعد المنطقة فقط على حزم Windows Installer.

تحدد قاعدة المنطقة البرنامج من منطقة محددة بواسطة Internet Explorer. هذه المناطق هي الإنترنت والكمبيوتر المحلي والإنترانت المحلية والمواقع المحظورة والمواقع الموثوقة.

مستوى الأمان

تستخدم سياسات تقييد البرامج مستويات الأمان التالية:

• غير محدود. يعمل التطبيق مع كافة حقوق المستخدم الذي قام بتسجيل الدخول.
• غير مسموح. لا يمكن بدء التطبيقات.

مؤسسة ويكيميديا. 2010.

تعرف على "سياسات تقييد البرامج" الموجودة في القواميس الأخرى:

الدولة في الشرق. آسيا. في النصف الأول من الألفية الأولى الميلادية. ه. المعروفة باسم دولة ياماتو. يأتي الاسم من الاسم العرقي ياماتو، والذي يشير إلى اتحاد القبائل التي تعيش في وسط الجزيرة. هونشو، وتعني أهل الجبال، متسلقي الجبال. في القرن السابع بالنسبة للبلد الاسم مقبول... ... الموسوعة الجغرافية

باراك اوباما- (باراك أوباما) باراك أوباما هو الرئيس الرابع والأربعون للولايات المتحدة الأمريكية، وهو أول رئيس أسود يشغل هذا المنصب. السيرة الذاتية للرئيس الأمريكي باراك أوباما، بما في ذلك مسيرته السياسية ونشاطه في مجلس شيوخ ولاية إلينوي ومن ثم في مجلس الشيوخ ... موسوعة المستثمر

برنامج الحكومة- (برنامج الحكومة) برنامج الدولة هو أداة لتنظيم اقتصاد الدولة، مما يضمن تحقيق الأهداف طويلة المدى. مفهوم برنامج الدولة، وأنواع البرامج الفيدرالية والبلدية للدولة، ... ... موسوعة المستثمر

اقتصاد بلد ما- (الاقتصاد الوطني) اقتصاد الدولة هو العلاقات الاجتماعية لضمان ثروة البلاد ورفاهية مواطنيها. دور الاقتصاد الوطني في حياة الدولة جوهره ووظائفه وقطاعاته ومؤشراته لاقتصاد البلاد، وبنية الدول... ... موسوعة المستثمر

بنك- (البنك) البنك هو مؤسسة ائتمانية مالية تقوم بالمعاملات بالأموال والأوراق المالية والمعادن الثمينة. هيكل وأنشطة والسياسة النقدية للنظام المصرفي وجوهر ووظائف وأنواع البنوك النشطة و... ... موسوعة المستثمر

البطالة- (البطالة) البطالة هي ظاهرة اجتماعية واقتصادية حيث لا يملك جزء من السكان العاملين البالغين وظيفة ويبحثون عنها بنشاط. البطالة في روسيا والصين واليابان والولايات المتحدة الأمريكية ودول منطقة اليورو، بما في ذلك خلال فترات الأزمات ... ... موسوعة المستثمر

تفاحة- (Apple, Apple) تاريخ شركة Apple، إدارة Apple، الدعاوى القضائية ضد Apple أجهزة الكمبيوتر الشخصية واللوحية، الهواتف المحمولة، مشغلات الصوت، برامج Apple، iPhone، iPad، iPod classic، iPod shuffle، iPod nano، iPod touch... موسوعة المستثمر

إدارة الأزمات- (إدارة الأزمات) المحتويات المحتويات 1. المفهوم "" 2. مبادئ إدارة الأزمات الإستراتيجية 3. عوامل الأزمات 4. اتجاهات إدارة الأزمات 5. الوسائل العالمية لإدارة الأزمات 6. تغيير التوجه... ... موسوعة المستثمر

ألمانيا (Bundesrepublik Deutschland). I. معلومات عامة ألمانيا دولة تقع في أوروبا الوسطى. حدودها مع جمهورية ألمانيا الديمقراطية وتشيكوسلوفاكيا والنمسا وسويسرا وفرنسا ولوكسمبورغ وبلجيكا وهولندا والدنمارك. يتم غسل الشمال. عن طريق البحر... ... الموسوعة السوفيتية الكبرى

تسويق- (التسويق) تعريف التسويق، عصر في تاريخ التسويق معلومات عن تعريف التسويق، عصر في تاريخ التسويق المحتويات المحتويات 1. التعاريف 1. غرض ومسؤوليات المسوق 2. أربعة عصور في التاريخ عصر الإنتاج عصر العصر ... ... موسوعة المستثمر

سياسات تقييد البرامج هي إحدى تقنيات عملاء Windows 7 المتوفرة لأنظمة التشغيل Windows XP وWindows Vista وWindows Server 2003 وWindows Server 2008. وتتم إدارة سياسات تقييد البرامج باستخدام "نهج المجموعة". توجد العقدة المقابلة في Computer Configuration\Windows Configuration\Security Options\Software Restriction Policies ( تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\سياسات تقييد البرامج). الخيارات المتاحة لهذه السياسات غير محدودة ( غير مقيد)، والسماح بتشغيل التطبيقات، والرفض ( غير مسموح به)، منع تنفيذ التطبيق.

يمكنك أيضًا تقييد تنفيذ التطبيقات باستخدام حقوق نظام الملفات NTFS. ومع ذلك، يعد إعداد أذونات NTFS لعدد كبير من التطبيقات على العديد من أجهزة الكمبيوتر عملية تستغرق وقتًا طويلاً للغاية.

من حيث المبدأ، فإن قدرات سياسات تقييد البرامج وAppLocker بها الكثير من التداخل. تتمثل فائدة سياسات تقييد البرامج في إمكانية تطبيقها على أجهزة الكمبيوتر التي تعمل بنظامي التشغيل Windows XP وWindows Vista، بالإضافة إلى إصدارات Windows 7 التي لا تدعم AppLocker. من ناحية أخرى، مع سياسات تقييد البرامج، يجب تكوين جميع القواعد يدويًا لأنه لا توجد معالجات مضمنة لإنشائها. يتم تطبيق سياسات تقييد البرامج بترتيب محدد، حيث تكون للقواعد الأكثر تحديدًا الأولوية على القواعد الأكثر عمومية. أولوية القواعد من الأكثر تحديدًا (قواعد التجزئة) إلى الأقل تحديدًا (الافتراضي) هي كما يلي:

1. قواعد التجزئة.
2. قواعد الشهادة.
3. قواعد المسار.
4. قواعد المنطقة.
5. القواعد الافتراضية.

إذا تم تحديد قاعدتين متعارضتين لنفس البرنامج، تكون الأولوية للقاعدة الأكثر تخصصًا. على سبيل المثال، تتجاوز قاعدة التجزئة التي تقيد استخدام أحد التطبيقات قاعدة المسار التي تقيد هذا التطبيق. وهذا على النقيض من سياسات AppLocker، حيث لا يتم استخدام الأولويات ويهيمن الحظر بواسطة أي قاعدة دائمًا على قاعدة السماح.

في البيئات التي يتم فيها استخدام سياسات تقييد البرامج وAppLocker، تكون لسياسات AppLocker الأولوية. إذا كانت سياسة AppLocker تسمح بشكل صريح بتشغيل تطبيق تم حظره بواسطة سياسة تقييد البرامج، فسيتم تشغيل التطبيق.

مستويات الأمان والقواعد الافتراضية

تسمح لك عقدة مستويات الأمان بتعيين قواعد تقييد التطبيق الافتراضية. يتم تطبيق القاعدة الافتراضية في حالة عدم تطبيق أي سياسة أخرى على التطبيق. يمكن تفعيل قاعدة افتراضية واحدة فقط في كل مرة. القواعد الافتراضية الثلاثة هي:

• مُحرَّم (غير مسموح به). إذا تم تمكين هذه السياسة، فلن يتمكن المستخدمون من تشغيل التطبيق إلا إذا كانت سياسة تقييد البرامج الحالية تسمح بذلك.
• المستخدم العادي (مستخدم أساسي). إذا تم تمكين هذه السياسة، فسيتمكن المستخدمون من تشغيل التطبيقات التي لا تتطلب امتيازات إدارية. لن يتمكن المستخدمون من الوصول إلى التطبيق الذي يتطلب امتيازات إدارية إلا إذا تم إنشاء قاعدة تغطي هذا التطبيق.
• غير محدود (غير مقيد). إذا تم تعيين هذه القاعدة كقاعدة افتراضية، فسيتمكن المستخدم من تشغيل هذا التطبيق ما لم يتم حظره بواسطة سياسة تقييد البرامج الحالية.

إذا كنت تنوي تقييد قدرات المستخدمين على قائمة التطبيقات المسموح بها، فقم بتكوين القاعدة الافتراضية إلى مرفوض ( غير مسموح به). وهذا يضمن عدم السماح بتشغيل أي تطبيق غير مسموح به صراحةً. إذا كنت تريد حظر بعض البرامج التي بها مشكلات فقط، ولكنك لا تريد حظر كافة التطبيقات الأخرى المستخدمة في بيئتك، فقم بتكوين القاعدة الافتراضية على غير مقيد ( غير مقيد). يسمح هذا لأي تطبيق بالعمل طالما لم يتم حظره بشكل صريح.

كيفية إنفاذ السياسات

نافذة الخصائص: التطبيق ( خصائص التنفيذ)، يسمح لك بتعيين سياسات تقييد البرامج ليتم تطبيقها على كافة ملفات البرامج باستثناء المكتبات، مثل ملفات DLL، أو على كافة ملفات البرامج، بما في ذلك المكتبات. إذا تم تعيين المستوى الافتراضي على معطل ( غير مسموح به) وقمت بتكوين تطبيق السياسات على أي ملفات برمجية، لاستخدام برنامج معين، ستحتاج إلى تكوين قواعد لمكتبات الارتباط الحيوي (DLL) التي يستخدمها هذا البرنامج. لا توصي Microsoft بتقييد استخدام مكتبات الارتباط الحيوي (DLL) إلا إذا كانت البيئة التي تديرها تتطلب أمانًا محسنًا. ويرجع ذلك أساسًا إلى أن إدارة قواعد مكتبات الارتباط الحيوي (DLL) تزيد بشكل كبير من حجم العمل المطلوب للحفاظ على سياسات تقييد البرامج.

نافذة الخصائص: التطبيق ( خصائص التنفيذ) يسمح لك بتكوين تطبيق سياسات تقييد البرامج لجميع المستخدمين أو لجميع المستخدمين باستثناء المسؤولين. باستخدام هذه السياسة، يمكنك أيضًا تحديد قواعد الشهادات التي سيتم فرضها أو تجاهلها. عيب فرض قواعد الشهادة هو أنها تقلل بشكل كبير من أداء الكمبيوتر.

أنواع الملفات المخصصة

سياسة أنواع الملفات المخصصة ( أنواع الملفات المعينة)، يتيح لك تحديد الملحقات التي سيتم استخدامها للتعرف على الملفات القابلة للتنفيذ والتي تخضع لسياسات تقييد البرامج. يمكن تحرير قائمة الملحقات باستخدام أزرار الإضافة ( يضيف) وحذف ( يزيل). لا يمكن إزالة الملحقات القياسية (.com، و.exe، و.vbs). يتم التعرف عليها دائمًا على أنها قابلة للتنفيذ.

قواعد الطريق

تسمح لك قواعد المسار بتحديد ملف أو مجلد أو قيمة تسجيل ككائن سياسة تقييد البرامج. كلما كانت قاعدة المسار أكثر تحديدًا، زادت أولويتها. على سبيل المثال، إذا كانت لديك قاعدة تقيد استخدام الملف C:\Program files\Application\App.exe وقاعدة تقيد استخدام الملفات الموجودة في المجلد C:\Program files\Application، فستستخدم القاعدة الأكثر تخصصًا الأسبقية: سيتم تشغيل التطبيق. يمكن لقواعد المسار استخدام أحرف البدل. على سبيل المثال، من الممكن أن تكون هناك قاعدة للمسار C:\Program files\Application*.exe . القواعد التي تستخدم أحرف البدل أقل تحديدًا من القواعد التي تستخدم مسار الملف الكامل. عيب قواعد المسار هو أنها تفترض أن موقع الملفات والمجلدات لن يتغير. على سبيل المثال، إذا قمت بإنشاء قاعدة مسار لحظر التطبيق C:\Apps\Filesharing.exe، فيمكن للمهاجم تنفيذها عن طريق نقل الملف إلى مجلد مختلف أو إعطائه اسمًا مختلفًا. تعمل قواعد المسار فقط إذا كانت أذونات نظام التشغيل لا تسمح بنقل الملفات أو إعادة تسميتها.

قواعد التجزئة

تعمل قواعد التجزئة بناءً على بصمة رقمية تحدد الملف من خلال محتواه الثنائي. وهذا يعني أنه سيتم تحديد الملف الذي قمت بإنشاء قاعدة تجزئة له بغض النظر عن اسمه أو موقعه. تعمل قواعد التجزئة مع أي ملف ولا تتطلب توقيعًا رقميًا. عيب قواعد التجزئة هو أنه يجب إنشاؤها بشكل منفصل لكل ملف. لا يمكنك إنشاء قواعد تجزئة تلقائيًا لسياسات تقييد البرامج؛ يجب عليك إنشاء كل قاعدة يدويًا. تحتاج أيضًا إلى تغيير قاعدة التجزئة في كل مرة تقوم فيها بتحديث التطبيق الذي تنطبق عليه القاعدة، لأن تحديث البرنامج يغير المحتوى الثنائي للملف. وهذا يعني أن الملف المعدل لن يطابق البصمة الرقمية الأصلية بعد الآن.

قواعد الشهادة

تستخدم قواعد الشهادات شهادات ناشري البرامج الموقعة المشفرة لتحديد التطبيقات الموقعة من قبل جهة إصدار محددة. تسمح لك قواعد الشهادة بتوزيع قاعدة واحدة عبر تطبيقات متعددة، مما يضمن نفس الأمان مثل قواعد التجزئة. لا يلزم تغيير قواعد الشهادة حتى عند ترقية البرنامج لأن التطبيق الذي تمت ترقيته سيظل موقعًا باستخدام نفس شهادة البائع. لتكوين قاعدة الشهادة، تحتاج إلى الحصول على شهادة من الشركة المصنعة. تعمل قواعد الشهادة على زيادة الحمل على الكمبيوتر لأنه يجب التحقق من صحة الشهادة قبل تشغيل التطبيق. عيب آخر لقواعد الشهادة هو أنها تنطبق على جميع الطلبات المقدمة من شركة مصنعة معينة. إذا كان لديك عشرين تطبيقًا من شركة معينة مثبتة على جهاز الكمبيوتر الخاص بك، وتريد السماح بتشغيل واحد منها فقط، فقد تحتاج إلى استخدام قواعد مختلفة. وبخلاف ذلك، سيتمكن المستخدمون من تشغيل أي من هذه التطبيقات العشرين.

قواعد منطقة الشبكة

تنطبق قواعد منطقة الإنترنت على حزم Windows Installer فقط (.msi)، تم الحصول عليها باستخدام إنترنت إكسبلورر. إلى تطبيقات أخرى، مثل الملفات .إملف تنفيذى، لا تنطبق قواعد المنطقة حتى إذا تم الحصول على هذه الملفات أيضًا من خلال Internet Explorer. تحدد قواعد المنطقة إمكانية استخدام الحزمة اعتمادًا على الموقع الذي تم تنزيلها منه. تتضمن المواقع المحتملة الإنترنت والإنترانت والمواقع المحظورة والمواقع الموثوقة وجهاز الكمبيوتر.

يمكن العثور على مزيد من المعلومات حول سياسات تقييد البرامج على

يوم جيد للجميع وكل تلك الأشياء الأخرى.

كثيرًا ما يُسألني عن كيفية منع المستخدم من استخدام برامج معينة وتثبيتها وكذلك فتح أنواع مختلفة من الملفات (التي لا يحتاجها ويمكن أن تسبب ضررًا) وما إلى ذلك. بشكل عام، للمبتدئين ومسؤولي النظام وأنواع أخرى من الأشخاص، يعد هذا سؤالًا شائعًا إلى حد ما.

وهذا السؤال ليس غير معقول، لأن الحد من حقوق المستخدم غير المعقول غالبا ما يبسط العمل إلى حد كبير، ويزيد من الأمن، وكل هذا الجاز.

بالإضافة إلى ذلك، هذا مفيد ليس فقط لأولئك الذين يعملون فيه هو - هي-sphere، ولكن أيضًا ببساطة للمستخدمين الذين يرغبون في حماية أنفسهم من الفيروسات المختلفة والوظائف الإضافية وما إلى ذلك. بالمناسبة، يمكن أيضًا استخدام هذه التقنية كرقابة أبوية.

على أية حال، دعونا نبدأ.

إدارة سياسة تقييد البرامج الأساسية

هذه الأداة بسيطة، وبشكل عام، يجب أن تكون معروفة للجميع تقريبًا، ولحسن الحظ فهي موجودة منذ فترة طويلة، ويتم استخدامها من قبل جميع أنواع المتخصصين في تكنولوجيا المعلومات (وليس فقط) من قبل الكثيرين في كل مكان.

بعض إصدارات الأنظمة لا تحتوي عليها (مثل الإصدار المنزلي)، ولكنها موجودة في أغلبها. ليست هناك رغبة كبيرة في سرد ​​كل شيء، نظرًا لوجود مثل هذا الدعم، يمكنك القيام به في غضون دقائق، في الواقع، من خلال محاولة فتح هذه الأداة.

ويسمى هذا الفرح سياسات تقييد البرامج (SPR)، والتي يمكن ترجمتها تقريبًا على أنها سياسة الاستخدام المحدود للبرامج (كما هو مكتوب في العنوان الفرعي).

يمكنك إطلاقه عبر " بدء تشغيل(فوز+ر)- secpol.msc" :

هل تريد أن تعرف وتكون قادرًا على فعل المزيد بنفسك؟

نقدم لك التدريب في المجالات التالية: أجهزة الكمبيوتر، البرامج، الإدارة، الخوادم، الشبكات، بناء المواقع، تحسين محركات البحث والمزيد. تعرف على التفاصيل الآن!

أو من خلال الإدارة التي تعيش على طول المسار "ابدأ - الإعدادات - لوحة التحكم - الأدوات الإدارية - سياسة الأمان المحلية - سياسات تقييد البرامج". على النحو التالي:

هنا، للبدء، انقر بزر الماوس الأيمن على اسم "المجلد"، أي " سياسات تقييد البرامج"وحدد العنصر" إنشاء سياسة تقييد البرامج" .

بعد ذلك، سوف تحتاج إلى اتخاذ قرار بشأن الإعدادات الأولية وجعلها. للقيام بذلك، انقر بزر الماوس الأيمن على العنصر " طلب"وتحديد العنصر الفرعي" ملكيات". هنا (انظر أعلاه) يمكنك ترك كل شيء بشكل افتراضي، أو تمكين التطبيق على كل شيء دون استثناءات (الإعداد الافتراضي هو التجاهل DLL) وعلى سبيل المثال، قم بتبديل خيار تطبيق سياسة محدودة على الجميع باستثناء المسؤولين المحليين (مع الأخذ في الاعتبار أن حساباتك مقسمة إلى حسابات مسؤول وحسابات مستخدمين).

بعد ذلك، بعد حفظ التغييرات، انقر بزر الماوس الأيمن على العنصر " أنواع الملفات المخصصة"وحدد العنصر الفرعي مرة أخرى" ملكيات". هنا يمكنك إدارة الأذونات التي تحدد مفهوم الكود التنفيذي، والذي سنحظر استخدامه لاحقًا. يمكنك تكوينه وفقًا لتقديرك، اعتمادًا على الأهداف والغايات التي حددتها لنفسك، ولكن في الوقت الحالي سنترك كل شيء كما هو.

بعد ذلك، قم بتوسيع "المجلد" وانتقل إلى الفرع التالي، أي إلى " مستويات الأمان". هنا يمكنك إدارة مستويات الأمان، بما في ذلك تحديد المستويات الافتراضية، وتصدير القوائم، وما إلى ذلك، وما إلى ذلك.

إن أبسط حل للاختبار هنا هو ضبط مستوى الأمان " مُحرَّم"افتراضيًا (للقيام بذلك، انقر بزر الماوس الأيمن عليه ثم انقر فوق الزر المناسب)، وبعد ذلك، عندما توافق على الإشعار، سيتم تنشيط التقييد.

الآن عند بدء تشغيل البرامج، إذا لم تقم بإزالة الملحقات من القائمة إملف تنفيذىسترى إشعارًا مثل لقطة الشاشة أعلاه. في الواقع، يمكنك إزالة الامتداد على هذا النحو، أو يمكنك اتباع طريق أكثر دقة، على سبيل المثال، إزالة الامتداد فقط LNK، أي الاختصار.

بعد ذلك، في الواقع، سيتمكن المستخدم من تشغيل البرنامج الذي لديه اختصار له على سطح المكتب فقط. هذه الطريقة مثيرة للجدل بالطبع، لكنها بشكل عام ماكرة للغاية (حتى لو كان المستخدم يعرف كيفية تحرير الاختصارات، على الرغم من أن هذا قد يكون محظورًا).

كما تفهم، في الواقع، فإن القواعد العالمية لكل شيء على الكمبيوتر ومعالجة الأذونات للاختصارات فقط ليست جيدة، لذلك سيكون من الجيد تعيين بعض المجلدات حيث يمكنك تشغيل التطبيقات من مجلدات الطرف الثالث (افتراضيًا، اعتمادًا على النظام، يمكن تعيين الأذونات من مجلدات النظام، أي من شبابيكو ملفات البرنامج).

للقيام بذلك، انتقل إلى علامة التبويب " قواعد إضافية" ثم اضغط على زر الفأرة الأيمن في مكان فارغ، مع تحديد العنصر " إنشاء قاعدة المسار"، حيث نحدد المسار والإذن أو الحظر للمستخدم.

بنفس الطريقة، كما أتمنى أن تكون قد فهمت بالفعل، يتم تنظيم حظر الوصول أو الإذن به عن طريق التجزئة أو مناطق الشبكة أو الشهادة.

باختصار، في الواقع، شيء من هذا القبيل.

خاتمة

آمل أن يكون مفيدًا لشخص لا يعرف شيئًا عن السياسات، والتي، بالمناسبة، هي أداة مهمة جدًا في أي نوع من الإدارة.

كما هو الحال دائمًا، إذا كان لديك أي أسئلة أو أفكار أو إضافات أو أي شيء من هذا القبيل، فنحن نرحب بك للتعليق على هذا المنشور.

قامت إحدى مؤسسات الإقراض مؤخرًا بتعيين شركة أمنية لمحاكاة محاولة اختراق لأجهزة الكمبيوتر الموجودة على شبكتها. نجح متخصصو الشركة في اختراق أجهزة الكمبيوتر، أولاً عن طريق زرع العديد من أجهزة USB في مواقف السيارات وغرف التدخين التابعة للمنظمة. يحتوي كل جهاز على ملف قابل للتنفيذ من نوع حصان طروادة. اكتشف موظفو مؤسسة الائتمان معظم الأجهزة وقاموا بتوصيلها بأجهزة كمبيوتر العمل الخاصة بهم وقاموا بتشغيل الملف القابل للتنفيذ. على الرغم من أنه لا يمكنك ضمان عدم قيام موظفيك أو شركائك مطلقًا بتشغيل الملفات من الأجهزة المكتشفة، يمكنك منع حدوث ذلك باستخدام سياسات تقييد البرامج (SRPs).

تتم إدارة SRPs بواسطة خدمة Group Policy، والتي يمكن استخدامها لتقييد تشغيل التطبيقات على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows Vista، وWindows Server 2003، وWindows XP. يمكنك اعتبار سياسات SRP مشابهة لمجموعة قواعد جدار الحماية. في هذه الحالة، يمكنك إنشاء قاعدة أكثر عمومية تحظر أو تسمح بتشغيل التطبيقات التي لم يتم إنشاء قواعد منفصلة لها. على سبيل المثال، يمكنك وضع قاعدة عامة تسمح بتشغيل أي برنامج، وفي نفس الوقت قاعدة منفصلة تمنع تشغيل برنامج سوليتير. أو يمكنك البدء بتعطيل كافة التطبيقات من التشغيل ثم إنشاء قواعد SRP التي تسمح بتشغيل تطبيقات معينة.

يمكنك إنشاء أنواع مختلفة من قواعد SRP، بما في ذلك قاعدة المنطقة وقاعدة المسار وقاعدة الشهادة وقاعدة التجزئة. بعد إلقاء نظرة سريعة على المفاهيم الأساسية وراء سياسات SRP، سأغطي بإيجاز كيفية إنشاء كل نوع من القواعد، لكنني سأركز على النوع الأكثر فعالية، وهو قواعد التجزئة.

الإعدادات الأولية

يمكنك تكوين سياسات SRP من خلال قسم المستخدم أو الكمبيوتر في خدمة نهج المجموعة. تسمح لك هذه المرونة بتطبيق السياسات على مجموعات من أجهزة الكمبيوتر أو المستخدمين. على سبيل المثال، يمكنك تطبيق سياسة SRP التي تمنع المستخدمين من لعب لعبة Minesweeper أو Solitaire على وحدة تنظيمية تتضمن موظفي المحاسبة. ومن ناحية أخرى، يمكنك تطبيق سياسة SRP على مجموعة من أجهزة الكمبيوتر في معمل الكلية العامة للحد من التطبيقات التي يمكن تثبيتها بواسطة أي شخص يستخدم الأنظمة الموجودة في معمل الاختبار.

لتمكين سياسات SRP، قم أولاً بإنشاء أو تحرير كائن نهج المجموعة (GPO) وانتقل إلى تكوين الكمبيوتر (أو المستخدم)->إعدادات Windows->إعدادات الأمان->نافذة سياسات تقييد البرامج. بعد ذلك، انقر بزر الماوس الأيمن على عقدة سياسات التقييد وحدد سياسات تقييد البرامج الجديدة من قائمة السياق.

بعد تمكين سياسات SRP، ستحتاج إلى تحديد مستوى الأمان المراد استخدامه، غير مقيد أو غير مسموح به. افتراضيًا، يتم تمكين المستوى غير المقيد، والذي يسمح بتشغيل أي تطبيقات باستثناء التطبيقات المحظورة. وعلى العكس من ذلك، يمنع الوضع غير المسموح به تشغيل أي تطبيقات باستثناء تلك التي تم إنشاء استثناءات لها. تذكر أن نظام التشغيل Windows Vista يشتمل على مستوى ثالث من الأمان، وهو المستخدم الأساسي، الذي يفرض على كافة التطبيقات باستثناء تلك التي تم تكوينها خصيصًا للتشغيل بمستوى امتياز المستخدم الأساسي. ولكن بما أن هذه المقالة تدور حول منع تشغيل التطبيقات، فلن نأخذ في الاعتبار مستوى المستخدم الأساسي.

إذا كنت جادًا بشأن الحد من استخدام البرامج غير المصرح بها في مؤسستك، فنوصيك بتحديد مستوى الأمان غير المسموح به. يتطلب استخدام المستوى غير المقيد معلومات حول البرامج التي يمكن تشغيلها، وهو ما يشبه تخمين أرقام تذاكر اليانصيب. على الرغم من أن المستوى غير المقيد قد يعمل بشكل جيد في بيئة آمنة حيث تطلب منك الإدارة تعطيل الألعاب المضمنة في Windows للمستخدمين، إلا أنه من الصعب تنفيذه في أي حل حساس للأمان. ومع ذلك، إذا كنت تريد حظر عدد صغير من التطبيقات دون حظر أجهزة الكمبيوتر الخاصة بمؤسستك بشكل كامل، فيجب عليك استخدام المستوى غير المقيد.

لتبديل سياسات SRP إلى المستوى غير المسموح به، انتقل إلى سياسات تقييد البرامج->عقدة مستويات الأمان وانقر نقرًا مزدوجًا فوق السياسة غير المسموح بها. في نافذة الخصائص غير المسموح بها التي تظهر، انظر الشكل 1، ما عليك سوى تحديد المربع تعيين كافتراضي. سيعرض Windows رسالة تشير إلى أن المستوى المحدد أكثر أمانًا من المستوى الحالي، وقد يتم إغلاق بعض البرامج. انقر فوق الزر "موافق".

الشكل 1: تحديد المستوىغير مسموح بهكمستوى الأمان الافتراضي

بشكل افتراضي، تحتوي سياسات SRP في البداية على استثناءات لكافة التطبيقات الموجودة في المجلدين %SystemRoot% و%SystemRoot%System32. يمكنك عرض هذه الاستثناءات في نافذة القواعد الإضافية لكل سياسة. توفر هذه القواعد الحد الأدنى من الوظائف لنظام التشغيل، حتى إذا تم تعيين مستوى الأمان على غير مسموح به. ومع ذلك، فإن مثل هذه الاستثناءات تمنح المهاجم الفرصة لنسخ الملف القابل للتنفيذ إلى أحد هذه المجلدات. لا تفرق القواعد الافتراضية بين التطبيقات، على سبيل المثال بين cmd.exe وrootkit.exe، فهي تسمح فقط بتنفيذ كافة البرامج الموجودة في هذه المجلدات. توفر أذونات NTFS بعض الحماية عن طريق منع المستخدمين من نسخ تطبيقات الطرف الثالث إلى هذه المجلدات وتشغيلها. ولكن لحماية النظام بشكل حقيقي، يجب استبدال هذه القواعد العامة بقواعد أكثر صرامة.

ضع في اعتبارك أنه يمكنك استخدام سياسات SRP على أجهزة الكمبيوتر التي ليست جزءًا من Active Directory (AD) (مثل أجهزة الكمبيوتر المحمولة) عن طريق إنشاء قالب أمان يعتمد على الكمبيوتر الذي يستخدم SRP وتطبيق هذا القالب على سياسة محلية. يجب عليك التأكد من أن القالب يسمح لك بتشغيل الأداة المساعدة Secedit بحيث يمكنك التراجع عن التغييرات أو تحديث سياسة SRP إذا لزم الأمر.

وضع السياسات العامة

في عقدة سياسات تقييد البرامج، يمكنك تكوين السياسات العامة التالية التي تتحكم في كيفية قيام Windows بفرض سياسات SRP: التنفيذ، وأنواع الملفات المعينة، والناشرين الموثوق بهم. دعونا نلقي نظرة على كل نوع من أنواع السياسة العامة.

إكراه.يتم استخدام سياسة التنفيذ لضمان تطبيق سياسات SRP ليس فقط على الملفات القابلة للتنفيذ من النوع ".exe" و".vbs" وجميع الملفات الأخرى المسجلة كسياسات قابلة للتنفيذ لأنواع الملفات المحددة، ولكن أيضًا على المكتبات ".dll" ". يتيح لك مربع الحوار "خصائص الفرض"، الذي يوضحه الشكل 2، تطبيق SRP على أعضاء مجموعة المسؤولين المحليين.

الشكل 2: تكوين سياسة التنفيذ لـSRP

لتعزيز الأمان، يجب عليك تضمين كافة أنواع ملفات البرامج في سياسة التنفيذ الخاصة بك وتطبيقها على كافة المستخدمين. ومع ذلك، فإن إنشاء قواعد فردية لآلاف ملفات ".dll" التي تأتي بشكل قياسي مع Windows يمكن أن يستغرق أسابيع من العمل. ما لم تكن بحاجة إلى إيقاف تشغيل النظام قدر الإمكان، فإن الحل الأكثر عملية والموثوق به إلى حد ما هو استخدام سياسة التنفيذ دون تحديد المكتبات.

ضع في اعتبارك أنه يجب تضمين المسؤولين المحليين في سياسة التنفيذ. إذا كان الكمبيوتر يحتاج إلى تشغيل تطبيق غير مسموح به في قوائم سياسات SRP، فيمكن للمسؤول نقل النظام مؤقتًا إلى وحدة تنظيمية لا تغطيها هذه السياسات.

أنواع الملفات المخصصة.إن سياسة أنواع الملفات المعينة عبارة عن قائمة بجميع الملحقات - بخلاف الملحقات القياسية ".exe" و".dll" و".vbs" - التي يتعامل معها Windows على أنها تعليمة برمجية قابلة للتنفيذ. يوضح الشكل 3 نافذة خصائص أنواع الملفات المعينة. إذا كانت مؤسستك تستخدم نوع ملف غير مدرج في هذه القائمة، مثل ملفات Perl، فيمكنك إضافة نوع الملف من مربع الحوار هذا.

الشكل 3: الغرض من أنواع الملفات القابلة للتنفيذ

ناشرون موثوقون

يتم استخدام سياسة الناشرين الموثوقين لمنع المستخدمين من إضافة ناشرين موثوقين جدد إلى أنظمتهم. على سبيل المثال، عندما يحاول المستخدمون تنزيل تطبيق من موقع Adobe على الويب، يسألهم النظام عما إذا كانوا يريدون الوثوق بالتطبيق. تتحكم إعدادات السياسة في من يمكنه تحديد الناشرين الذين تثق بهم: المستخدمون النهائيون أو المسؤولون المحليون أو مسؤولو المؤسسة. لضمان أقصى قدر من الأمان، يُسمح فقط لمسؤولي المؤسسة بتعيين ناشرين موثوقين (يوضح الشكل 4 كيفية القيام بذلك). تسمح لك سياسة المصدرين الموثوقين أيضًا ببدء التحقق من قائمة الشهادات الباطلة (CRL) لتحديد صحة أي شهادة.

الشكل 4: منح الحقوق لتعيين ناشرين موثوقين

حظر أو السماح بالتطبيقات

الآن بعد أن أصبحنا على دراية بسياسات SRP الأساسية، دعنا نلقي نظرة على الأنواع الأربعة من القواعد التي يمكن استخدامها للسماح بتنفيذ التطبيق أو رفضه: المنطقة، والمسار، والشهادة، والتجزئة.

قواعد المنطقة. تُستخدم قواعد منطقة الإنترنت لتقييد أو السماح بتنفيذ ملفات ".msi" التي تم تنزيلها (لبرنامج Windows Installer)، اعتمادًا على المنطقة التي يتم تلقي الملف منها. ونظرًا لأن هذا النهج لا ينطبق إلا على ملفات ".msi" التي تم تنزيلها بواسطة المستخدمين من الإنترنت، فإن هذا النوع من نهج SRP يتم استخدامه بشكل أقل تكرارًا من الأنواع الأخرى.

لإنشاء قاعدة لمنطقة إنترنت، انقر بزر الماوس الأيمن على عقدة القواعد الإضافية وحدد قاعدة منطقة الإنترنت الجديدة من قائمة السياق. يختار منطقة الانترنتوتثبيت مستوى الأمانإلى غير المقيد أو غير المسموح به. في قاعدة منطقة الإنترنت، التي تم تكوينها في الشكل 5، يُحظر تنفيذ ملفات ".msi" التي تم الحصول عليها من منطقة المواقع المحظورة (المستوى غير مسموح به).

الشكل 5: وضع القيود على مناطق الإنترنت

قواعد المسار

تسمح لك قواعد المسار بتحديد مجلد أو مسار كامل لتطبيق قد يتم تنفيذه أو لا يتم تنفيذه. عيب قاعدة المسار هو أنها تعتمد فقط على المسار أو اسم الملف. على سبيل المثال، يوضح الشكل 6 قاعدة المسار التي تسمح ببدء تشغيل خدمة Outlook Express. يمكن للمهاجمين ببساطة إعادة تسمية الملف الذي يحتوي على التعليمات البرمجية الضارة إلى "msimn.exe" ونسخه إلى المجلد C:Program FilesOutlook Expressmsimn.exe. نظرًا لتمكين قاعدة المسار، يعتبر الملف الذي يحتوي على التعليمات البرمجية الضارة مسموحًا به ويمكن تنفيذه. تذكر أنه عند تكوين قواعد متعددة لمسار، ستكون الأولوية للقاعدة الأضيق. على سبيل المثال، ستكون لقاعدة المسار C:directoryapplication.exe الأسبقية على قاعدة المسار C:directory.

الشكل 6: إعداد قاعدة المسار

قواعد الشهادة

تعتمد قواعد الشهادة على الشهادات الموقعة من قبل الجهات المصدرة. المشكلة الرئيسية هنا هي أنك تحتاج إلى تقديم شهادة موقعة من الناشر. بالإضافة إلى ذلك، لا يمكنك استخدام قاعدة شهادة إذا كنت تريد تكوين السياسات بشكل مختلف لتطبيقات متعددة من نفس المُصدر. على سبيل المثال، لا يمكنك استخدام هذه القاعدة لمنع الموظفين من لعب لعبة Solitaire لأن جميع الألعاب التي تأتي مع Windows موقعة من قبل نفس الناشر كمكونات رئيسية لنظام التشغيل، مثل خدمة IE.

لإنشاء قاعدة شهادة، انقر بزر الماوس الأيمن فوق عقدة القواعد الإضافية وحدد قاعدة شهادة جديدة. انقر فوق الزر Browse، وحدد شهادة المُصدر (ملف ".crt" أو ".cer")، واضبط مستوى الأمان على غير مقيد (أو غير مسموح به) وانقر فوق الزر "موافق".

قواعد التجزئة.أنا أعتبر قواعد التجزئة هي أفضل نوع من سياسة SRP. فهي لا تتطلب منك تقديم شهادة ناشر، ولا تستخدم قواعد منطقة الإنترنت كأساس، ولأنها تستخدم المجموع الاختباري المحسوب (التجزئة) لتحديد الملف القابل للتنفيذ، لا يمكن للمهاجم تشغيل تعليمات برمجية ضارة تحت اسم جديد لتجاوز هذا قاعدة.

تستخدم قواعد التجزئة المجموع الاختباري المحسوب لملف معين. على سبيل المثال، لن تؤثر قاعدة الحظر التي تستخدم تجزئة برنامج Windows 2003 notepad.exe على التطبيق "notepad.exe" الذي يأتي مع XP Professional. والقاعدة التي تستخدم تجزئة برنامج notepad.exe من XP لن تمنع تطبيق "notepad.exe" المضمن في نظام التشغيل Vista. على الرغم من أن التطبيقات التي تأتي مع أنظمة التشغيل تولد تجزئات مختلفة اعتمادًا على إصدار النظام، إلا أن التطبيقات الأخرى - مثل Microsoft Word أو Mozilla Firefox - تولد نفس المجموع الاختباري بغض النظر عما إذا كانت مثبتة على نظام التشغيل Vista أو Windows 2003 أو XP.

لحساب التجزئة، يجب أن يكون لديك حق الوصول إلى الملف الثنائي القابل للتنفيذ على الكمبيوتر حيث تقوم بتكوين كائن نهج المجموعة (GPO). إذا قمت بإنشاء GPO على وحدة تحكم المجال (DC)، فيمكنك إضافة محرك أقراص الشبكة إلى النظام الذي تمت محاكاته باستخدام مشاركة المسؤول مثل XP-REF-SYSC$. بعد ذلك، يتم تحديد ملف قابل للتنفيذ للبحث عنه على محرك أقراص الشبكة.

عندما تتعارض قواعد SRP، تكون لقواعد التجزئة الأولوية على جميع القواعد الأخرى. ضع في اعتبارك أيضًا أن الملفات التي تعيد تسميتها أو تنقلها إلى موقع آخر تحتفظ بمجاميعها الاختبارية. لذا، إذا كنت تستخدم قاعدة لحظر ملف، مثل فيروس قابل للتنفيذ، فستعمل حتى لو قام شخص ما بتغيير اسم الفيروس.

العيب الرئيسي لاستخدام قواعد التجزئة مع السياسة غير المسموح بها هو أن إنشاء المجموعة الأولية من التطبيقات المسموح بها يستغرق الكثير من الوقت. ويجب ألا ننسى أيضًا ضرورة تحديث المجموع الاختباري في كل مرة يتم فيها تغيير إصدار التطبيق أو تثبيت برنامج جديد. لتشغيل التطبيق المحدث، تحتاج إلى إنشاء قاعدة جديدة. ضع في اعتبارك أنه من الأفضل إنشاء قواعد جديدة للتطبيقات المحدثة بدلاً من تغيير القواعد القديمة لاستيعابها، نظرًا لأن إصدارات مختلفة من نفس المنتج قد تتواجد معًا على شبكتك في نفس الوقت. وبمرور الوقت، ستتم إزالة القواعد الخاصة بالإصدارات الأقدم من التطبيقات.

لإنشاء قواعد التجزئة، انقر بزر الماوس الأيمن فوق عقدة القواعد الإضافية لخدمة نهج المجموعة وحدد قاعدة التجزئة. في نافذة New Hash Rule التي تظهر، انقر فوق الزر Browse وحدد التطبيق الذي تريد إنشاء قاعدة له. عند تحديد تطبيق ما، سيقوم Windows تلقائيًا بحساب المجموع الاختباري للملف، كما يوضح الشكل 7، ويعرض خصائص الملف في النافذة. ملف معلومة.

الشكل 7: إنشاء قاعدة التجزئة

إعداد وتصحيح السياساتSRP

عند إنشاء سياسات SRP، يجب عليك إنشاء وحدة تنظيمية مؤقتة في AD وتعيين كائن GPO الذي تقوم بإنشائه لهذه الوحدة. يمكنك بعد ذلك وضع حسابات مستخدمين وكمبيوتر اختبارية هناك طالما أنك بحاجة إلى تصحيح أخطاء سياسات SRP. بعد اختبار سياسات كائن GP، يمكنك إرفاقه بوحدة تنظيمية تتضمن حسابات المستخدمين والكمبيوتر الفعلية. تأكد من اختبار سياسات SRP بدقة - في معمل تكنولوجيا المعلومات ومع مجموعة تجريبية من المستخدمين - قبل تنفيذها في مؤسستك. تتميز سياسات SRP ببنية معقدة، ومن غير المحتمل أن تتمكن من تكوينها بشكل صحيح في المرة الأولى.

إذا كنت بحاجة إلى تصحيح مشكلة في إعدادات نهج SRP، فيمكنك عرض الأحداث التي تم إنشاؤها بواسطة هذه السياسات (الأحداث 865 و866 و867) في سجل الكمبيوتر المحلي. يمكنك أيضًا تمكين تعقب نهج SRP الأكثر تقدمًا عن طريق إضافة سلسلة LogFileName إلى مفتاح التسجيل الفرعي التالي: HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsSafer CodeIdentifiers. يحتوي سطر LogFileName على المسار إلى الدليل حيث سيتم تخزين ملف السجل.

اتبع القوانين

باستخدام سياسات SRP، يمكنك منع تشغيل التطبيقات غير المرغوب فيها على نظامك - بدءًا من الألعاب التي تشتت انتباهك وحتى الفيروسات. يوفر أي نظام (Vista أو Windows 2003 أو XP) العديد من الخيارات التي تسمح لك بإنشاء سياسات مثالية لمؤسستك. على الرغم من أن تطبيق SRP على قواعد التجزئة فقط يتطلب الكثير من العمل، إلا أن هذه القواعد هي الأكثر فعالية في حماية أجهزة الكمبيوتر. إذا كان المقرض المثالى الخاص بنا قد قام بتنفيذ سياسة SRP وفقًا للتوصيات الواردة في هذه المقالة، فلن يتم إطلاق حصان طروادة المضمن أبدًا لأنه لن يكون جزءًا من قائمة التطبيقات المسموح بها المستندة إلى قواعد التجزئة.

لتحسين أمان الشبكات (خاصة المجالات المستندة إلى Active Directory)، يتم استخدام سياسات تقييد البرامج. هذا المكون موجود في أي GPO.
ولكن عند استخدام هذا المكون، هناك بضع نقاط نسيتها ذات مرة، ونتيجة لذلك انتهى بي الأمر مع وباء زخارف السنة الجديدة على أجهزة سطح المكتب للمستخدمين عبر الشبكة.
لذا، سأخبرك باللحظات التي لا يجب أن تنساها.
عند إنشاء كائن نهج المجموعة (GPO) جديد وتحرير كائن موجود، افتحه في محرر نهج المجموعة:

توسيع الفرع تكوين الكمبيوتر -> تكوين Windows -> إعدادات الأمان، حدد قسمًا سياسات تقييد البرامج. بشكل افتراضي، لا يتم تعيين هذه السياسات:

إنشاء سياسة:

بشكل افتراضي، يُسمح بتشغيل كافة البرامج ( مستوى الأمان - غير محدود ). ضبط المستوى الافتراضي غير مسموح :

والآن من المهم ألا ننسى ما يلي:

1. في القسم قواعد إضافيةإزالة المعلمة %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%. يسمح هذا الإعداد لجميع البرامج الموجودة فيهملفات البرنامج.

ترجع هذه الخطوة إلى حقيقة أن المستخدم لديه حقوق الكتابة في المجلد ملفات البرنامج ، يمكنه حفظ ملف قابل للتنفيذ هناك وتشغيله، مما قد يؤدي إلى انتهاك أمان النظام. وبإزالة هذا الخيار، فإننا نحرم المستخدم من هذه الفرصة. بطبيعة الحال، يجب أن تتذكر تسجيل تجزئات البرامج المسموح بها من ملفات البرنامج في قسم القواعد الإضافية.


2. في القسم سياسات تقييد البرامج في الإعداد المفروض افتراضيًا، يتم تعيين السياسة للتطبيق لكل المستخدمين. ينبغي تثبيتها لجميع المستخدمين باستثناء المسؤولين المحليين.

وهذا أمر ضروري حتى يتسنى لأعضاء المجموعة المحلية المسؤولينيمكنه، إذا لزم الأمر، تثبيت البرامج، وتشغيل الأدوات المساعدة الضرورية، وما إلى ذلك.

3. في القسم سياسات تقييد البرامج في المعلمة أنواع الملفات المخصصة يجب عليك إزالة نوع الملف من القائمة LNK (اختصار) .

إزالة نوع الملف LNK (اختصار) ضروري حتى لا يتم تحديد إذن التنفيذ في السياسة لكل اختصار على جهاز الكمبيوتر.

أخيرًا، أود أن أشير إلى أنني كتبت كل ما سبق كتذكير لنفسي في المقام الأول، والتوصيات المقدمة ليست "الحقيقة المطلقة".