Замкнутая программная среда#
Замкнутая программная среда (ЗПС) обеспечивает защиту от эксплуатации вредоносного ПО путем контроля целостности исполняемых или открываемых файлов.
Использование ЗПС обеспечивает динамический контроль неизменности (целостности) и подлинности файлов и предназначено для выявления фактов несанкционированного изменения исполняемых файлов и других файлов (в т. ч. относящихся к КСЗ), предотвращения загрузки измененных исполняемых файлов, а также открытия других измененных файлов.
Контроль целостности реализован в невыгружаемом модуле ядра ОС digsig_verif и производится на основе проверки:
цифровой подписи, внедренной в бинарные исполняемые файлы и библиотеки формата ELF или в PE-файлы, в том числе формата DLL, для контролируемого запуска Windows-программ в среде Wine;
цифровой подписи, содержащейся в расширенных атрибутах файловой системы файла;
отсоединенной цифровой подписи (содержащейся в отдельном файле).
Функционирование режима ЗПС предполагает предварительную подготовку, включающую получение или формирование пар ключей ассиметричного шифрования (закрытого и открытого) и формирование цифровых подписей, как показано на рисунке 1.
ЗПС является одним из вариантов ограничения программной среды, наряду с режимами киосков, изоляцией приложений и другими возможностями, подробнее описанными в Руководстве по КСЗ Эксплуатационной документации на ОС СН Astra Linux Special Edition.
Порядок получения ключей и формирования цифровых подписей для режима ЗПС изложен в следующих материалах:
Подписание файлов для работы в режиме ЗПС:
Примечание
Ключи, выпущенные в очередном обновлении, поддерживаются в более старшем очередном обновлении. Например, ключи выпущенные в 1.5 действительны для 1.7 при установке дополнительного пакета astra-digsig-oldkeys.
Совет
Подробнее о ЗПС можно узнать в Эксплуатационной документации на ОС СН Astra Linux Special Edition в Руководстве по КСЗ.