Политика ограничения программного обеспечения Software Restriction Policy (SRP) - Внедрение SRP

ОГЛАВЛЕНИЕ

Внедрение SRP

Ошибки при проектировании и реализации SRP могут привести к значительным недовольствам со стороны пользователей, и даже к потере денег и производительности, поэтому будьте очень внимательны. Для этого необходимо все тщательно спланировать, проверить и поддерживать с момент ввода в промышленную среду. После этого вы сможете спать ночью спокойно …

Следующий список представляет собой краткий обзор того, о чем необходимо помнить при внедрении SRP в среде Windows.

При проектировании установки SRP необходимо принять различные решения, например:

  1. Выбрать между объектами групп GPO пользователей или компьютеров - для каких объектов AD должны быть применены политики SRP?
  2. Выбрать между черным списком (Blacklisting BL) и белым списком (Whitelisting (WL) (WL – рекомендуется использовать по возможности)
  3. Если используется подход на основе BL, необходимо составить список всего, что не должно запускаться
  4. Если используется подход на основе WL, необходимо составить список всего, что должно запускаться
  5. Выбрать, как настройки SRP использовать (форсирование, определенные типы файлов, исключения для администраторов)
  6. Выбрать типы правил, которые будут использоваться (путь, HASH, сертификат или зона интернет)

При тестировании установки SRP необходимо предпринять различные шаги, например:

  1. Проверить основную функциональность в виртуальной лаборатории (с помощью Virtual PC/Server, VMware или других)
  2. Проверить функциональность в вашей среде, используя для этого условия максимально приближенные к промышленным.
  3. Проверить на небольших группах опытных пользователей по 5-10 пользователей на протяжении несколько недель, затем увеличивать
  4. Продолжить со следующей опытной группой лишь после успешной реализации для предыдущей группы опытных пользователей
  5. Убедиться, что проверены все различные типы пользователей и типы компьютеров, которые вы хотите обезопасить с помощью SRP
  6. Убедиться, что проверены все обновления, патчи для операционных систем, обновления приложений сторонних производителей и т.п.
  7. Также сфокусироваться на производительности различного аппаратного обеспечения в вашей организации. Реализация SRP в большинстве случаев влияет немного на производительность, в зависимости от того, как она реализована (смотрите раздел о Trusted Publishers)
  8. Иногда приложения запускают другие приложения, поэтому необходимо убедиться, что все это находиться под контролем
  9. По умолчанию блокируются ярлыки Desktop (рабочий стол) и Start (пуск) (.LNK), поэтому в случае необходимости это нужно исправить
  10. Убедитесь, что запускаются все сценарии администратора (в том числе сценарий, запускающиеся при входе login в SYSVOL/NETLOGON)

Перед внедрением SRP в промышленной среде, необходимо определить некоторые процедуры:

  1. Необходимо описать технологический процесс относительно того, какие приложения, обновления и т.п. необходимо протестировать, утвердить и внедрить в сеть, чтобы все знали о необходимых процедурах
  2. Убедиться, что управляющий персонал знает обо всех преимуществах и недостатках SRP, и что они согласны с решением о его внедрении
  3. Необходимо иметь запасной план, описывающий, как быстро отказаться от SRP GPO для определенных пользователей, групп, компьютеров, сайтов и т.д.
  4. Образование пользователей: информировать пользователей, почему важен SRP, и какие процедуры необходимы для приобретения нового программного обеспечения
  5. Небольшая подсказка: добавляйте комментарии к правилам SRP, по прошествии некоторого времени это позволит сохранить вам немного времени