در صورتی که شما بخواهید برنامه های قابل اجرا در ویندوز 7 را کنترل کنید. یکی از راه های کنترل برنامه ها استفاده از Software Restriction Policy می باشد. این قابلیت در ویندوز XP ارائه شد. اما در ویندوز 7 بهینه تر شده است. در زیر به بررسی این قابلیت در ویندوز 7 می پردازم.
برای اعمال کردن این قابلیت می توانید آن را از طریق Group Policy مدیریت کنید. این قابلیت می تواند به Computer Configuration و User Configuration اعمال شود. در این آموزش نحوه تنظیم کردن این قابلیت در Computer Configuration آموزش داده می شود.
ابتدا باید به کنسول Local Group Policy بروید.
برای ورود به این کنسول بر روی ویندوز 7 خود کافی است که دستور gpedit.msc را اجرا کنید.
برای تنظیم کردن محدودیت برنامه ها کافی است که به مسیر زیر بروید: Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies
سپس بر روی Software Restriction Policy راست کلیک کرده و New Software Restriction Policies را انتخاب کنید.
همانطور که می بینید پنج قسمت برای مدیریت SRP وجود دارد.
Security Levels
در این قسمت می توانید سطح کاری SRP را مشخص کنید. سه سطح در ویندوز 7 در نظر گرفته شده است:
Unrestricted: در صورتی که این سطح دسترسی استفاده شود، تمام برنامه ها می توانند اجرا شوند مگر اینکه Rule اجرای آن را Disallowed کند.
Disallowed: در صورتی که این سطح دسترسی استفاده شود، هیچ کدام از برنامه ها نمی توانند اجرا شوند مگر اینکه Rule ها اجرای آن را Unrestricted کنند.
Basic User: زمانی این گزینه را انتخاب کنید که می خواهید همه برنامه ها به صورت normal user اجرا شوند. مگر اینکه Rule آن را Unrestricted یا Disallowed کند. در این حالت هیچ برنامه ای نمی تواند با مجوز Administrators اجرا شود.
امن ترین حالت در میان این گزینه ها Unrestricted می باشد که جلوی اجرای تمام برنامه ها را می گیرد. حالت بعدی Normal User می باشد که در این حالت اگر برنامه ای اجرا شود شما مطمئن خواهید بود که این برنامه بدون مجوز های مدیریتی اجرا نخواهد شد. اما در حالت Unrestricted هر برنامه ای می تواند اجرا کند.
زمانی که شما Security Level خود را انتخاب کردید باید rule های اضافی را به Additional Rules اضافه کنید. در صورتی که بخواهید برنامه ای در حالتی به غیر از حالت انتخاب شده در Security Level اجرا شود باید یک Additional Rule برای آن برنامه بنویسید.
برای اضافه کردن Additional Rules کافی است که بر روی آن راست کلیک کنید:
چهار روش برای معرفی کردن یک برنامه جدید وجود دارد:
Certificate Rule:
در صورتی که این حالت را انتخاب کنید تمام برنامه هایی که از Digital Signature استفاده می کنند شامل این rule می شوند. زمانی که شما یک certificate را انتخاب می کنید. اگر برنامه ای از آن certificate استفاده کند شامل آن rule خواهد شد. یعنی اگر شما آن برنامه را Disallow کرده باشید برنامه مورد نظر چون بوسیله آن certificate امضا شده است اجرا نخواهد شد.
همانگونه که در تصویر بالا مشاهده می کنید تمام ابزار های Mozilla با Mozilla Corporation certificate شناسایی می شوند. حال کافی است که این certificate را اضافه کرده و سپس برای آن rule مشخص کنید.
زمانی که می خواهید certificate اضافه کنید. می توانید این فایل را مستقیم اضافه کنید یا اینکه فایل اجرایی برنامه را باز کنید سپس certificate rule از آن برنامه certificate را خارج می کند و برای rule استفاده می کند. شما می توانید برای آن برنامه rule مشخص کنید.
حال هر برنامه ای که با Mozilla certificate بخواهد اجرا شود این rule به آن اعمال خواهد شد.
نکته:
به صورت پیش فرض در ویندوز certificate rule ها اعمال نمی شوند چون کارایی ویندوز را پایین می آورند، برای اینکه این rule ها را اعمال کنید باید به قسمت Enforcement بروید و گزینه Enforce Certificate Rules را انتخاب کنید.
Hash Rule
این گزینه به ما این امکان را می دهد که یک برنامه را به صورت hash اضافه کنیم. این روش برنامه را Hash می کند. هر موقع که این برنامه بخواهد اجرا شود rule مورد نظر به آن اعمال می شود. به یاد داشته باشید که این rule به مسیر یا certificate وابسته نیست. بلکه هر جایی این برنامه اجرا شود rule مورد نظر به آن اعمال می شود. اما اگر یک بیت در برنامه مورد نظر تغییر کند دیگر hash rule کارایی نخواهد داشت.
Network Zone Rule
بوسیله این rule می توان از طریق اجرای برنامه در Network Zone های مختلف به آن ها rule اعمال کرد.
Path rule
در صورتی که بخواهید برای برنامه ها بر اساس محل قرار گیری آن ها rule بنویسید بهترین گزینه این روش است.
باید به یاد داشته باشید که بعد از فعال شدن Software Restriction Policy برای اولین بار باید سیستم restart شود. اما در هنگام تغییرات دیگر نیازی به restart کردن سیستم نیست.
سعی کنید حتما ابتدا این قابلیت را در محیط آزمایشگاهی تست کنید سپس در ساختار خود و از طریق Group Policy آن را پیاده سازی کنید.
Patris_70 edited Original. Comment: added more tags
first: Welcome to TechNet Wiki
second: Great article, thanks
I hope, we see more Farsi/Persian article writer
Regards
به ویکی خوش آمدید و تشکر از آرتیکل خوبتان، امیدوارم ادامه دهید و افراد بیشتری در این کار شرکت کنند
موفق باشید