Политики ограниченного использования программ (SRP)

В этой статье рассмотрим механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP).
Tags:

Настройка SRP

Механизм «Software Restriction Policies (SRP)» доступен в локальных политиках безопасности secpol.msc и может распространятся глобальными политиками в домене.

Чтобы создать политику, нужно нажать правой кнопкой мышки:

После чего появятся правила связанные с данной технологией:

Правила связанные с SRP

Выше у нас появились три правила:

  • Применение (Enforcement) — настраивает применение политик к программам или библиотекам и определяет применение политик только к пользователям или к администраторам в том числе:

  • Назначенные типы файлов (Designated File Types) — хранит расширения файлов, которые считаются исполняемым кодом:

  • Доверенные издатели (Trusted Publishers) — а это правило управляет тем, кто может выбирать, какие из сертификатов являются доверенными:

Дополнительные правила

Если перейти в каталок Дополнительные правила, то там вы увидите созданные правила и сможете создать новые. Возможно создать правила для: сертификата, хэша, зоны сети (зоны Internet Explorer), пути.

Уровни безопасности

Дальше, при создании правила, нужно связать его с определенным уровнем безопасности:

  • Запрещено (Disallowed) — программы запускаться не будут, вне зависимости от прав доступа пользователя;
  • Обычный пользователь — разрешает выполнение программ, но только без прав администратора;
  • Неограниченный (Unrestricted) — доступ к ресурсам определяется правами пользователя.

Эксперимент

  1. Запустите оснастку secpol.msc и перейдите к узлу Политики ограниченного использования программ.
  2. Если политики не определены, то создайте новые политики.
  3. Создайте основанную на пути к файлу запрещающую политику для %SystemRoot%\System32\Notepad.exe в дополнительных правилах:

  1. Попробуйте запустить «Блокнот» (notepad.exe).

Ваша попытка приведет к выводу сообщения, в котором говорится, что вы не можете выполнить указанную программу:

Важное уточнение

Если ваш компьютер включен в домен, то локальные групповые политики будут переписаны групповыми, это следует учитывать при работе с Software Restriction Policies.

Если понравилась статья, подпишись на мой канал в  VK  или  Telegram .