По своей сути описанные выше настройки – это реализация замкнутости программной среды для компьютера (для системы). При настройке замкнутости программной среды для пользователя следует усечь эти возможности применительно к пользователю. КСЗИ предоставляет такую возможность. Это реализуется следующим образом. В настройках, приведенных на рисунке выше, следует установить галку «Вместе с правами пользователя». В этом случае права, заданные для процесса и для пользователя будут объединяться по логическому «И» (см. алгоритм обработки запроса, приведенный выше).

Затем следует назначить для пользователя те объекты (в простейшем случае, папки), из которых ему разрешено выполнять соответствующие файлы. В результате получим, что пользователь сумет выполнять только те исполняемые файлы, которые заданы настройками, представленными выше, без возможности их модификации (это основное условие реализации замкнутости программной среды), причем только из тех объектов (папок), которые для него установлены.

Пример настроек для пользователя. Пусть пользователю User 1 разрешен запуск только из папок Windows (системные процессы) и Program Files загруженной системы. Пример настроек прав доступа для пользователя User 1 приведен на рисунке. При этом настройками, представленными выше, предотвращается модификация исполняемых файлов, в том числе, в папках Windows и Program Files.

Замечание. Настраивая механизм обеспечения замкнутости программной среды целесообразно предотвращать возможность несанкционированной модификации пользователем (соответственно, всеми запущенными им приложениями) не только исполняемые файлы (системные и приложений), но и иные системные файлы, и файлы приложений. Это реализуется настройкой, приведенной на следующем рисунке.

Замечание. В этом случае может возникнуть конфликт работы некоторых приложений, которым требуется получить доступ к запрещенным на запись системным объектам и объектам приложений. Для этих приложений потребуется разрешить необходимые им права доступа (либо отказаться от использования этих приложений – все зависит от тех прав доступа, которые им необходимы для функционирования – вопрос в том, насколько эти права критичны с точки зрения безопасности.

Для выявления подобных конфликтных ситуаций можно воспользоваться аудитом КСЗИ. Аудит механизма управления доступом к файловой системе «по умолчанию» осуществляет регистрацию всех отказов в доступе, что отображается в виде, приведенном на рисунке.

Как следствие, будут зафиксированы и все отказы в доступе для исследуемого приложения. Для исследования отказов в доступе приложения следует воспользоваться программой фильтрации журналов аудита armrfltr.exe (в составе дистрибутива), используя которую можно выбрать все зафиксированные события, связанные с работой конкретных приложений (подробнее в документации).