Политики ограниченного использования программ (SRP)

В этой статье рассмотрим ещё один механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP).















Настройка SRP




Механизм «Software Restriction Policies (SRP)» доступен в локальных политиках безопасности (secpol.msc) и может распространятся глобальными политиками в домене.




Политики ограниченного использования программ




Чтобы создать политику, нужно нажать правой кнопкой мышки:




Создание политики ограниченного использования программ




После чего появятся правила связанные с данной технологией:




Настройка SRP




Правила связанные с SRP




Выше у нас появились три правила:




  • Применение (Enforcement) — настраивает применение политик к программам или библиотекам и определяет применение политик только к пользователям или к администраторам в том числе:




Применение




  • Назначенные типы файлов (Designated File Types) — хранит расширения файлов, которые считаются исполняемым кодом:




Назначенные типы файлов




  • Доверенные издатели (Trusted Publishers) — а это правило управляет тем, кто может выбирать, какие из сертификатов являются доверенными:




Доверенные издатели




Дополнительные правила




Если перейти в каталок «Дополнительные правила«, то там вы увидите созданные правила и сможете создать новые. Возможно создать правила для: сертификата, хэша, зоны сети (зоны Internet Explorer), пути.




Создание различных типов правил
Создание различных типов правил




Уровни безопасности




Дальше, при создании правила, нужно связать его с определенным уровнем безопасности:




Уровни безопасности / Запрещено
Уровни безопасности / Запрещено




  • Запрещено (Disallowed) — программы запускаться не будут, вне зависимости от прав доступа пользователя;
  • Обычный пользователь — разрешает выполнение программ, но только без прав администратора;
  • Неограниченный (Unrestricted) — доступ к ресурсам определяется правами пользователя.




Эксперимент




  1. Запустите оснастку secpol.msc и перейдите к узлу «Политики ограниченного использования программ.
  2. Если политики не определены, то создайте новые политики.
  3. Создайте основанную на пути к файлу запрещающую политику для %SystemRoot%System32Notepad.exe в дополнительных правилах:




Создание правила для приложения




Создание правила для пути / Ввод пути к приложению




4. Попробуйте запустить «Блокнот» (notepad.exe).




Ваша попытка приведет к выводу сообщения, в котором говорится, что вы не можете выполнить указанную программу:




Приложение заблокировано




Важное уточнение




Если ваш компьютер включен в домен, то локальные групповые политики будут переписаны групповыми, это следует учитывать при работе с Software Restriction Policies.







Вернуться к оглавлению



2021-10-14T23:26:28
Администрирование Windows