HOWTO: Software Restriction Policies.

Inleiding

Deze policy is nieuw in Windows server 2003 en kan een hele grote impact hebben als het verkeerd geconfigureerd word.

Waarom hier een minikookboek over maken. Wel deze policy is nieuw en heel krachtig.
Je kunt afdwingen dat men bv *.vbs niet meer kan draaien mits het aan een aantal voorwaarden voldoet.

Welke vormen van policies kent deze policy.

• Certificate rule
  
• Hash rule
  
• Path rule
  
• Internet zone rule
  

Aanmaken policy

Zoals je in het andere kookboek [rml][ windows 2003]Howto: policies en tools[/rml] al hebt kunnen lezen hoe je policies aan kunt maken gaan we hier alleen maar naar 1 policy kijken.
Namelijk de Software Restriction Policy.

Maak een policy aan en druk op Edit en browse naar zie Fig 1
Je ziet dat er geen policy actief is. Rechts klik er nu op en kies New. Je zult zien dat er 2 folders bijgemaakt worden. zie fig 2

Fig. 1:

• security levels
  
• additional rules
  

Fig. 2:

Hash Rule

Rechts klik nu op de folder aditional rules en kies "Hash rule" zie fig 3
Als voorbeeld hebben we het bestand "Login.cmd" even genomen. Je ziet dat er een Hash code omheen geschreven wordt.
Deze rule zet je op Unrestricted wat inhoud dat het bestand uitgevoerd mag worden.
Nu maak je nog een 2e rule aan en deze zet *.cmd op restricted.
Je voelt em al aankomen. Hoe kan een script nu uitgevoerd worden als de policy het tegenhoud.
De policy zegt gewoon dat jou script wel uitgevoerd mag worden en de rest niet.

Nadeel Hash rule: het bestand of file mag niet veranderen.

Fig. 3:

Path rule

Ja maar ik wil een script uit voeren dat kijkt hoeveel ruimte gebruikers nog hebben.
Daarvoor heeft men de Path rule in het leven geroepen. Zie fig 4
In het path kun je bijvoorbeeld "\serversysvoldomainnamescriptsspace.vbs" zetten. Nu mag dit script uitgevoerd worden.
Deze policy zet je dus op "Unrestricted" nu maak je nog een policy aan met *.vbs en zet deze op "Disallowed" zie Fig 5

Fig. 4:

Fig. 5:

Internet Zone Rule

Je kunt ook nog internet zone rules aanmaken. Handig in een omgeving waar gebruikers maar naar een paar sites mogen browsen en de rest niet.
Je zet in een policy gewoon een hele stapel sites in de "Trusted zone" en maakt hier rules op. Zie fig 6

Je ziet dat er 2 rules gemaakt zijn. De eerste geeft "unrestricted" aan op trusted sites.
De tweede geeft "Disallowed" op internet.
Op deze manier mogen gebruikers alleen naar de trusted sites browsen.

Fig. 6:

Certificate Rule

Last but not least, Digital certificates.

De certificate rule werkt alleen als je certificaten hebt.
Je kunt een file signen met het certificate en hier zal dan bij andere files op gecontrolleerd worden.
Op het moment dat gebruiker X een file probeerd te runnen welke niet toegestaan is zal er gecontroleerd worden of deze een digital certificate heeft.
Indien dit niet het geval is zal gebruiker X een foutmelding krijgen.

Nadeel Certificate rule: Het bestand of file mag niet veranderen dan klopt het niet meer met het certificate.

Notes

Let met het maken van Software Restricion Policies erop dat als een bestand veranderd je geen Certificate of Hash rule mag gebruiken. Op het moment dat het bestand namelijk veranderd klopt de vergelijking niet meer en wordt het bestand niet langer uitgevoerd.

Expirimenteer eerst op een testwerkstation en een test OU voordat je het de organisatie in zet. Maak geen restricties aan op extensies die door Operating Systems gebruikt worden om te functioneren denk aan *.exe dan krijg je leuke en vage foutmeldingen.....

Thanks to

Deze howto is geschreven door Hans, beter bekend als mutsje (www.datacrash.net).
Op- of aanmerkingen, en suggesties kunnen worden doorgegeven aan de WOS moderators

Lijst met figuren

• Figuur 1: figuur1
• Figuur 2: figuur2
• Figuur 3: figuur3
• Figuur 4: figuur4
• Figuur 5: figuur5
• Figuur 6: figuur6

Inhoudsopgave

• 1: Inleiding
• 2: Aanmaken policy
• 3: Hash Rule
• 4: Path rule
• 5: Internet Zone Rule
• 6: Certificate Rule
• 7: Notes
• 8: Thanks to
• 9: Lijst met figuren
• 10: Inhoudsopgave