Политика ограничения программного обеспечения Software Restriction Policy (SRP) - Различные пути к SRP

ОГЛАВЛЕНИЕ

Различные пути к SRP

Настройка политики ограничения программного обеспечения (Software Restriction Policy) включает в себя несколько этапов:

  1. Создание объекта политики групп для пользователя (User GPO) или для компьютера (Computer GPO) и размещение его на сайте (Site), домене (Domain) или организационной единице OU (или в качестве локальной политики) и подключение SRP для политики группы (Group Policy). Настройки SRP расположены здесь (смотрите рисунок 1):

    Computer Configuration| Windows Settings | Security Settings | Software Restriction Policies

    User Configuration | Windows Settings | Security Settings | Software Restriction Policies

    При первом обращении к SRP в GPO будет доступна настройка "New Software Restriction Policies" (новая политика ограничения программного обеспечения).


    Рисунок 1
  2. Установка Default Security Level (уровень безопасности по умолчанию). На рисунке 2 показано, как с помощью нажатия правой кнопки мыши уровень установлен на "Set as default" (установить по умолчанию).
    • По умолчанию уровень "Unrestricted" (без ограничений), что значит, что программное обеспечение может быть запущено, и что необходимо задать дополнительные правила для запрещения определенного программного обеспечения (software) – такой подход известен, как черный список Blacklisting.
    • Самый безопасный уровень – это "Disallowed" (запрещен), что значит, что никакое программное обеспечение не может быть запущено, и что необходимо задать дополнительные правила для разрешения программного обеспечения – такой подход известен, как белые списки Whitelisting.
    • По умолчанию система создает несколько правил, которые позволяют операционной системе работать без всякого неудобного блокирования NB! Если эти правила удалить или изменить не подумав, то система может выйти из строя.

    Рисунок 2
  3. В операционных системах Windows Vista и Longhorn у нас появился новый уровень под названием "Basic User" (основной пользователь), который позволяет программам запускаться от имени пользователя, у которого нет прав администратора, поэтому пользователь может получить доступ лишь к ресурсам, доступным для обычных пользователей. Этого уровня мы больше не коснемся в этой статье.
    • Типы файлов можно добавлять и удалять, что лучше подстроиться под вашу среду, но список файлов по умолчанию включает основные типы исполняемых файлов: BAT, CMD, COM, EXE, HTA, LNK, MSI, OCX, PIF, REG & SCR и дополнительно такие расширения: ADE, ADP, BAS, CHM, CPL, CRT, HLP, INF, INS, ISP, MDB, MDE, MSC, MSP, MST, PCD, SHS, URL, VB & WSC.
    • Примечание: Как говорится в окне Designated Files Type Properties (свойства заданных типов файлов), список является дополнением к стандартным типам файлов, таким как EXE, DLL и VBS – я не смог получить их полный список, но выяснил, что VBS, VBE, JS и JSE блокируются, хотя они и не в списке. Я бы предпочел иметь единый список, который администраторы по всему миру смогли бы исправлять в случае необходимости.

    Рисунок 3
  4. Определение исключений (exception) для уровня безопасности по умолчанию (Default Security Level). Они также известны, как "Additional Rules" (дополнительные правила). Пожалуйста, посмотрите раздел "Additional Rules" (дополнительные правила) в этой статье для подробной информации.
  5. Настройка "Enforcement Properties" (форсирующие свойства). Посмотрите на рисунок 4, она включает:
    • "All software files" (все файлы программного обеспечения): У нас также есть настройка для проверки DLL (Dynamic Link Libraries), когда они выполняются. Это не является настройкой по умолчанию и влияет на производительность и задачи планирования реализации и поддержки.
    • "All users except local administrators" (все пользователи за исключением локальных администраторов): Здесь мы можем выбрать, будет ли SRP касаться локальных администраторов (Local administrators). По умолчанию SRP касается всех пользователей. Эта настройка применима лишь для политики для компьютера (computer policies).
    • "Enforce certificate rules" (форсирование правил для сертификатов): Настройка позволяет задать, будут ли использоваться правила для сертификатов.
    • Примечание: Как говориться в диалоговом окне, изображенном на рисунке 4 "Правила для сертификатов отрицательно влияют на производительность вашего компьютера ".

    Рисунок 4
  6. Настройка "Trusted Publishers Properties" (свойства доверительных издателей), также известных, как настройки политики Authenticode policy (смотрите Рисунок 5). В этом диалоговом окне мы можем выбрать, кто может выбирать Trusted Publisher (доверительных издателей) для правил сертификатов. У нас есть также возможность проверки аннулирования сертификата.

    Рисунок 5