SRP (Software Restriction Policies)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 22:37, 25 июня 2016.

SRP (англ. Software Restriction Policies) — это политики доверия, которые представляют из себя ограничения, заданные администратором для того, чтобы запретить скриптам или другому коду выполнение, если он не является полностью доверенным.

Общее

Программные политики ограничения предоставляют администраторам механизм для идентификации и контроля приложений, которые выполняются на данном компьютере. Эти политики могут быть использованы для защиты компьютера от известных конфликтов и уберечь компьютер от возможных угроз.

Политики ограничения основанные на групповых политиках

Администраторы могут использовать SRP для определения того, каким приложениям разрешено/запрещено выполняться на целевом компьютере. Для профилактики проблемы выполнения неизвестного кода, администраторы могут использовать SRP для следующих задач:

  • Борьба с компьютерными вирусами
  • Регулирование ActiveX[1]
  • Выполнение только подписанных скриптов
  • Запуск только подтвержденных приложений
  • Создание строго ограниченной конфигурации для компьютера

Преимущества SRP

Использование SRP предоставляет следующие преимущества:

  • Администраторы могут обеспечить SRP на домене или на локальном компьютере
    SRP может быть имплементирован на большом предприятии и различных компьютерах и приложениях, также как и в stand-alone среде для компьютеров которые не являются частью домена.
  • SRP может применяться на различных типах файлов
    SRP предоставляет контроль над различными скриптовыми языками, а также интегрируется в Windows Installer для контроля над программами, которые устанавливаются на клиенте. Эта особенность включает API для координирования времени выполнения SRP и времени выполнения других сервисов.
  • SRP предоставляет гибкость
    Администратор может запрещать выполнение неавторизированых скриптов, регулировать ActiveX или заблокировать компьютер клиента
  • SRP использует сильную криптографию для идентификации программ
    SRP может идентифицировать софт использую хэш или сертификаты

Различные SRP

Настройка политики ограничения программного обеспечения (Software Restriction Policy) включает в себя несколько этапов:

1. Создание объекта политики групп для пользователя (User GPO) или для компьютера (Computer GPO) и размещение его на сайте (Site), домене (Domain) или организационной единице OU (или в качестве локальной политики) и подключение SRP для политики группы (Group Policy). Настройки SRP расположены здесь: Computer Configuration| Windows Settings | Security Settings | Software Restriction Policies

User Configuration | Windows Settings | Security Settings | Software Restriction Policies

При первом обращении к SRP в GPO будет доступна настройка "New Software Restriction Policies" (новая политика ограничения программного обеспечения).

Srp1.jpeg

2. Установка Default Security Level (уровень безопасности по умолчанию). На рисунке 2 показано, как с помощью нажатия правой кнопки мыши уровень установлен на "Set as default" (установить по умолчанию).

  • По умолчанию уровень "Unrestricted" (без ограничений), что значит, что программное обеспечение может быть запущено, и что необходимо задать дополнительные правила для запрещения определенного программного обеспечения (software) – такой подход известен, как черный список Blacklisting.
  • Самый безопасный уровень – это "Disallowed" (запрещен), что значит, что никакое программное обеспечение не может быть запущено, и что необходимо задать дополнительные правила для разрешения программного обеспечения – такой подход известен, как белые списки Whitelisting.
  • По умолчанию система создает несколько правил, которые позволяют операционной системе работать без всякого неудобного блокирования NB! Если эти правила удалить или изменить не подумав, то система может выйти из строя.
Srp2.jpeg

3. В операционных системах Windows Vista и Longhorn у нас появился новый уровень под названием "Basic User" (основной пользователь), который позволяет программам запускаться от имени пользователя, у которого нет прав администратора, поэтому пользователь может получить доступ лишь к ресурсам, доступным для обычных пользователей. Этого уровня мы больше не коснемся в этой статье.

  • Типы файлов можно добавлять и удалять, что лучше подстроиться под вашу среду, но список файлов по умолчанию включает основные типы исполняемых файлов: BAT, CMD, COM, EXE, HTA, LNK, MSI, OCX, PIF, REG & SCR и дополнительно такие расширения: ADE, ADP, BAS, CHM, CPL, CRT, HLP, INF, INS, ISP, MDB, MDE, MSC, MSP, MST, PCD, SHS, URL, VB & WSC.
  • Примечание: Как говорится в окне Designated Files Type Properties (свойства заданных типов файлов), список является дополнением к стандартным типам файлов, таким как EXE, DLL и VBS – я не смог получить их полный список, но выяснил, что VBS, VBE, JS и JSE блокируются, хотя они и не в списке. Я бы предпочел иметь единый список, который администраторы по всему миру смогли бы исправлять в случае необходимости.
Srp2.jpeg

4. Определение исключений (exception) для уровня безопасности по умолчанию (Default Security Level). Они также известны, как "Additional Rules" (дополнительные правила). Пожалуйста, посмотрите раздел "Additional Rules" (дополнительные правила) в этой статье для подробной информации.

Srp3.jpeg

5.Настройка "Enforcement Properties" (форсирующие свойства):

  • "All software files" (все файлы программного обеспечения): У нас также есть настройка для проверки DLL (Dynamic Link Libraries), когда они выполняются. Это не является настройкой по умолчанию и влияет на производительность и задачи планирования реализации и поддержки.
  • "All users except local administrators" (все пользователи за исключением локальных администраторов): Здесь мы можем выбрать, будет ли SRP касаться локальных администраторов (Local administrators). По умолчанию SRP касается всех пользователей. Эта настройка применима лишь для политики для компьютера (computer policies).
  • "Enforce certificate rules" (форсирование правил для сертификатов): Настройка позволяет задать, будут ли использоваться правила для сертификатов.
  • Примечание: Как говориться в диалоговом окне, изображенном на рисунке 4 "Правила для сертификатов отрицательно влияют на производительность вашего компьютера ".
Srp5.jpeg

6. Настройка "Trusted Publishers Properties" (свойства доверительных издателей), также известных, как настройки политики Authenticode policy. В этом диалоговом окне мы можем выбрать, кто может выбирать Trusted Publisher (доверительных издателей) для правил сертификатов. У нас есть также возможность проверки аннулирования сертификата.

Srp6.jpeg

Примечания

Ссылки