Software restriction policy windows 10

Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде. В предыдущих частях мы рассмотрели настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки. Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей.

Помимо антивируса, еще одним барьером для предотвращения запуска вредоносного ПО на компьютерах пользователей могут быть политики ограниченного использования программ. В среде Windows это могут быть технология Software Restriction Policies или AppLocker. Мы рассмотрим пример использования Software Restriction Policies для защиты от вирусов.

Software Restriction Policies (SRP) предоставляют возможность разрешать или запрещать запуск исполняемых файлов с помощью локальной или доменной групповой политики. Метод защиты от вирусов и шифровальщиков с помощью SRP предполагает запрет запуска файлов из определенных каталогов в пользовательском окружении, в которые, как правило, попадают файлы или архивы с вирусом. В подавляющем большинстве случаев файлы с вирусом, полученные из интернета или из электронный почты оказываются внутри каталога %APPDATA% профиля пользователя (в нем же находится папки %Temp% и Temporary Internet Files). В этом же каталоге хранятся распакованные временные копии архивов, когда пользователь не глядя открывает архив полученный по почте или скачанный с интернета.

При настройке SRP могут быть использованы две стратегии:

  • Разрешить запуск исполняемых файлов на компьютере только из определенных папок (как правило, это каталоги %Windir% и Program Files / Program Files x86) – это самый надежный метод, но требует длительного периода отладки и выявления нужного ПО, которое не работает в такой конфигурации
  • Запрет запуска исполняемых файлов из пользовательских каталогов, в которых в принципе не должно быть исполняемых файлов. Именно в этих каталогах в большинстве случаев оказываются файлы вируса при появлении на компьютере. Кроме того, у пользователя, не обладающего правами администратора, просто отсутствуют права на запись в каталоги системы кроме своих собственных. Поэтому вирус просто не сможет поместить свое тело куда-либо кроме директорий в профиле пользователя.

Мы рассмотрим создание SRP по второму варианту, как достаточно надежному и менее трудоемкому во внедрении. Итак, создадим политику, блокирующую запуск файлов по определенным путям. На локальном компьютере это можно сделать с помощью консоли gpedit.msc, если политика должна использоваться в домене, нужно в консоли Group Policy Management (gpmc.msc) создать новую политику и назначить ее на OU с компьютерами пользователей.

Примечание. Настоятельно рекомендуем перед внедрением SRP политик, протестировать их работу на группе тестовых компьютерах. В случае обнаружения легитимных программ, которые не запускаются из-за SRP, нужно добавить отдельные разрешительные правила.

В консоли редактора GPO перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings . Щелкните ПКМ по Software Restriction Policies и выберите New Software Restriction Policies.

Настройка Software Restriction Policies с помощью GPOВыберите раздел Additional Rules, и создайте новое правило New Path Rule.

Новое SRP правило для пути Создадим правило, запрещающее запуск исполняемых файлов с расширением *.exe из каталога %AppData%. Укажите следующие параметры правила:

  • Path: %AppData%\*.exe
  • Security Level: Disallowed
  • Description: Блокировка запуска exe файлов из папки %AppData%

Блокировка запуска exe файлов из каталога AppDataАналогичным образом нужно создать запрещающие правила для путей, перечисленных в таблице. Т.к. переменные окружения и пути в Windows 2003/XP и Windows Vista/выше отличаются, в таблице указаны значения для соответствующих версий ОС. Если у вас в домене еще остались Windows 2003/XP, для них лучше создать отдельную политики и назначить ее на OU с компьютерами с использованием WMI фильтра GPO по типу ОС.

Описание Windows XP и 2003 Windows Vista/7/8/10, Windows Server 2008/2012
Запрет запуска файлов из %LocalAppData% %UserProfile%Local Settings*.exe %LocalAppData%\*.exe
Запрет запуска файлов из вложенных каталогов %AppData%: %AppData%\*\*.exe %AppData%\*\*.exe
Запрет запуска файлов из вложенных каталогов %LocalAppData% %UserProfile%\Local Settings\*\*.exe %LocalAppData%\*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinRAR  %UserProfile%\Local Settings\Temp\Rar*\*.exe %LocalAppData%\Temp\Rar*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью 7zip  %UserProfile%\Local Settings\Temp\7z*\*.exe %LocalAppData%\Temp\7z*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinZip  %UserProfile%\Local Settings\Temp\wz*\*.exe %LocalAppData%\Temp\wz*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows %UserProfile%\Local Settings\Temp\*.zip\*.exe %LocalAppData%\Temp\*.zip\*.exe
Запрет запуска exe файлов из каталога %temp% %Temp%\*.exe %Temp%\*.exe
Запрет запуска exe файлов из вложенных каталогов %temp% %Temp%\*\*.exe %Temp%\*\*.exe
Опционально. Запрет запуска exe фалов из любых каталогов в профиле пользователя .

Важно. с эти правилом нужно быть внимательным, т.к. некоторое ПО, например плагины браузеров, установщики – хранят свои исполняемые файлы в профиле. Для таких программ нужно будет сделать правило исключения SRP

%UserProfile%\*\*.exe UserProfile%\*\*.exe

Вы можете добавить собственные каталоги. В нашем примере получился примерно такой список запрещающих правил SRP.

Список блокирующих правил SRP

Как правило, также следует запретить запуск других расширений потенциально опасных файлов (*.bat,*.vbs, *.js, *.wsh и т.п.), ведь вредоносный код может находиться не только в *.exe файлах. Для этого нужно изменить пути в правилах SPR , удалив вхождения *.exe. Таким образом, будет запрещен запуск всех исполняемых файлов и файлов сценариев в указанных каталогах. Список «опасных» расширений файлов задается в параметрах политики SRP в разделе Designated File Types. Как вы видите, в нем уже есть предустановленный список расширений исполняемых файлов и скриптов. Можете добавить или удалить определенные расширения.

Designated File Types Осталось проверить действие политики Software Restriction Policies на клиентском компьютере. Для этого обновите политики командой gpupdate /force и попробуйте запустить исполняемый *.exe файл из любого из указанных каталогов. Должно появиться сообщение об ошибке:

Your system administrator has blocked this program. For more info, contact your system administrator.

Your system administrator has blocked this program. For more info, contact your system administrator.

Попытки запуска исполняемых файлов из защищенных каталогов, которые были блокированы политиками SRP можно отслеживать с помощью журнала событий Windows. Интересующие нас события находятся в разделе Application, и имеют Event ID 866, с источником SoftwareRestrictionPolicies и примерно таким текстом:

Access to C:\Users\root\AppData\Local\Temp\71E88B1F-3073-436E-A3D8-D577E72DA049\dismhost.exe has been restricted by your Administrator by location with policy rule {31f4dcb9-d39b-4df3-b682-1b83892c6db4} placed on path C:\Users\root\AppData\Local\Temp\*\*.exe.

Access to exe as been restricted by your Administrator by location with policy rule

Совет. В том случае, если политика мешает запуску нужного доверенного приложения, можно добавить это файл в исключения политики (создав новое правило, указывающее на этот *.exe файл со значением Unrestricted).

Итак, мы показали общий пример техники использования политики ограниченного использования программ (SRP или Applocker) для блокировки вирусов, шифровальщиков и троянов на компьютерах пользователей. Рассматриваемая методик позволяет существенно усилить степень защиты систем от запуска вредоносного кода пользователями.

Software restriction policies can be configured to prevent unknown executables from running on a system. This is an effective method of preventing malware execution.

Using the feature requires Windows 10 Professional or better. AppLocker and DeviceGuard offer more sophisticated functionality, but are only available in Windows Enterprise editions.

Configuration

Open gpedit.msc as an administrator. Navigate to Windows Settings > Security Settings > Software Restriction Policies. Click enforcement, and set the options below:

C:\Users\user\AppData\Local\Packages\Microsoft.Office.OneNote_8wekyb3d8bbwe\TempState\msohtmlclip\clip_image001.png

Click on designated filetypes and remove .LNK files. If you don’t do this, you will find shortcuts to programs no longer work…

C:\Users\user\AppData\Local\Packages\Microsoft.Office.OneNote_8wekyb3d8bbwe\TempState\msohtmlclip\clip_image002.png

Under security levels, select “Disallowed” and select “Set as default”.

C:\Users\user\AppData\Local\Packages\Microsoft.Office.OneNote_8wekyb3d8bbwe\TempState\msohtmlclip\clip_image003.png

Now, if a user attempts to execute an application which has not been whitelisted they will receive the following error:

C:\Users\user\AppData\Local\Packages\Microsoft.Office.OneNote_8wekyb3d8bbwe\TempState\msohtmlclip\clip_image004.png

If you find an installed application is getting blocked, you can configure exceptions based on file hash, file path, or file signature. These can be configured under the additional rule section. For instance in the below example, I’ve added an entry for “C:\Program Files (x86)\”:

C:\Users\user\AppData\Local\Packages\Microsoft.Office.OneNote_8wekyb3d8bbwe\TempState\msohtmlclip\clip_image005.png

Be aware that attackers with access to a system will be able to determine whitelisted locations. Care should be taken to ensure that user accounts do not have write access to whitelisted directories.

  1. How do I remove the software restriction policy in Windows 10?
  2. What is software restriction policy?
  3. Which type of files is restricted by software restriction policy?
  4. How do I disable Administrator restrictions?
  5. What is the difference between software restriction policy basic user and unrestricted?
  6. How to enable software restriction policies and application whitelisting?
  7. How do I add a software restriction policy?
  8. How to unblock programs blocked by administrator Windows 10?
  9. How to bypass Windows 10 admin password without software?
  10. What are the three types of file permissions?
  11. What are the four types of rules associated with software restriction policies?
  12. What is the difference between AppLocker and software restriction policies?
  13. Where are software restriction policies stored in the registry?
  14. What is a restricted computer system?
  15. What is the meaning of restricted in computer?
  16. What is one advantage of AppLocker over software restriction policies?
  17. Should I use AppLocker?
  18. Does Windows 10 have AppLocker?

How do I remove the software restriction policy in Windows 10?

To delete the software restriction policies that are applied to a GPO, in the console tree, right-click Software Restriction Policies, and then click Delete Software Restriction Policies. When you delete software restriction policies for a GPO, you also delete all software restriction policies rules for that GPO.

What is software restriction policy?

Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run.

Which type of files is restricted by software restriction policy?

Software restriction policies only apply to executable files. To review or modify which files are considered executable, you can edit the Designated File Types policy.

How do I disable Administrator restrictions?

Open MMC, and then select Local Users and Groups. Right-click the Administrator account, and then select Properties. The Administrator Properties window appears. On the General tab, clear the Account is Disabled check box.

What is the difference between software restriction policy basic user and unrestricted?

Basic User: allows users to execute applications that do not require administrative privileges – to allow users to run applications with administrative privileges a specific rule must be created. Unrestricted: users are able to execute an application by default – others specific rules may override this one.

How to enable software restriction policies and application whitelisting?

Configuring SRPs for Whitelisting Applications

Navigate to User Configuration → Windows Settings → Security Settings → Software Restriction Policies. Right-click on the Software Restriction Policies folder and select New Software Restriction Policies from the menu.

How do I add a software restriction policy?

Creating a software restriction policy is simple. To do so, open the Group Policy Editor and navigate through the console tree to Computer Configuration (or User Configuration if you want to apply the policy to the user rather than to the computer) | Windows Settings | Security Settings | Software Restriction Policies.

How to unblock programs blocked by administrator Windows 10?

Step 1: Right-click on the file and select Properties. Step 2: In the General tab, check «Unblock» under «Security». Step 3: Click Apply and then Ok.

How to bypass Windows 10 admin password without software?

In the Command Prompt window, type net user username “” and press Enter. Replace username with your actual Windows account name. This will reset your Windows 10 password to blank. Close the Command Prompt window and click Sign in on the login screen to log in to Windows 10 without a password.

What are the three types of file permissions?

Files and directories can have three types of permissions: read, write, and execute: Someone with read permission may read the contents of a file, or list the contents of a directory.

What are the four types of rules associated with software restriction policies?

Four rule types can be defined within a software restriction policy. They include, in order of precedence, hash, certificate, path, and network zone rules.

What is the difference between AppLocker and software restriction policies?

SRP rules apply to all users on a particular computer. AppLocker rules can be targeted to a specific user or a group of users. SRP doesn’t support rule exceptions. AppLocker rules can have exceptions, which allow you to create rules such as “Allow everything from Windows except for regedit.exe”.

Where are software restriction policies stored in the registry?

Go to User Configuration > Policies > Windows Settings > Security Settings > Software Restriction Policies.

What is a restricted computer system?

Restricted computer software means computer software developed at private expense and that is a trade secret, is commercial or financial and confidential or privileged, or is copyrighted computer software, including minor modifications of the computer software.

What is the meaning of restricted in computer?

A restricted function is a computer operation that is only capable of being executed or performed by a specific user, group, or computer hardware device. For example, an administrator is going to be the only person capable of creating a new user on a computer.

What is one advantage of AppLocker over software restriction policies?

One of the advantages of AppLocker over Software Restriction Policies is that it can selectively enable PowerShell for Active Directory groups.

Should I use AppLocker?

AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

Does Windows 10 have AppLocker?

You can use the AppLocker CSP to configure AppLocker policies on any edition of Windows 10 and Windows 11 supported by Mobile Device Management (MDM). You can only manage AppLocker with Group Policy on devices running Windows 10 and Windows 11 Enterprise, Windows 10 and Windows 11 Education, and Windows Server 2016.

В этой статье рассмотрим ещё один механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP).

Механизм «Software Restriction Policies (SRP)» доступен в локальных политиках безопасности (secpol.msc) и может распространятся глобальными политиками в домене.

Политики ограниченного использования программ

Чтобы создать политику, нужно нажать правой кнопкой мышки:

Создание политики ограниченного использования программ

После чего появятся правила связанные с данной технологией:

Настройка SRP

Правила связанные с SRP

Выше у нас появились три правила:

  • Применение (Enforcement) — настраивает применение политик к программам или библиотекам и определяет применение политик только к пользователям или к администраторам в том числе:

Применение

  • Назначенные типы файлов (Designated File Types) — хранит расширения файлов, которые считаются исполняемым кодом:

Назначенные типы файлов

  • Доверенные издатели (Trusted Publishers) — а это правило управляет тем, кто может выбирать, какие из сертификатов являются доверенными:

Доверенные издатели

Дополнительные правила

Если перейти в каталок «Дополнительные правила«, то там вы увидите созданные правила и сможете создать новые. Возможно создать правила для: сертификата, хэша, зоны сети (зоны Internet Explorer), пути.

Создание различных типов правил

Создание различных типов правил

Уровни безопасности

Дальше, при создании правила, нужно связать его с определенным уровнем безопасности:

Уровни безопасности / Запрещено

Уровни безопасности / Запрещено
  • Запрещено (Disallowed) — программы запускаться не будут, вне зависимости от прав доступа пользователя;
  • Обычный пользователь — разрешает выполнение программ, но только без прав администратора;
  • Неограниченный (Unrestricted) — доступ к ресурсам определяется правами пользователя.

Эксперимент

  1. Запустите оснастку secpol.msc и перейдите к узлу «Политики ограниченного использования программ.
  2. Если политики не определены, то создайте новые политики.
  3. Создайте основанную на пути к файлу запрещающую политику для %SystemRoot%\System32\Notepad.exe в дополнительных правилах:

Создание правила для приложенияСоздание правила для пути / Ввод пути к приложению

4. Попробуйте запустить «Блокнот» (notepad.exe).

Ваша попытка приведет к выводу сообщения, в котором говорится, что вы не можете выполнить указанную программу:

Приложение заблокировано

Важное уточнение

Если ваш компьютер включен в домен, то локальные групповые политики будут переписаны групповыми, это следует учитывать при работе с Software Restriction Policies.


Вернуться к оглавлению

Сводка

Политики ограниченного использования программ (SRP)

Имя статьи

Политики ограниченного использования программ (SRP)

Описание

В этой статье рассмотрим ещё один механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP)

В данной статье рассказывается о механизме Software Restriction Policies (SRP), который предназначен для создания политик запуска программ в среде Microsoft  Windows. В частности, для возможности использования SRP для минимизации рисков возможного инфицирования компьютера вредоносными программами. 

1. С чего начинается защита от вирусов

2. Описание механизма SRP

3. Работа с SRP

4. Устранение возможных проблем

5. Выводы

С чего начинается защита от вирусов и других зловредных программ?

Защита от компьютерных вирусов, «троянских коней» и прочей дряни в первую очередь зависит от того, с какими привилегиями ты заходишь в компьютер. Обычно все учётные записи (логины) делятся на две категории — административные, предназначенные для установки программ и настройки системы; и стандартные (с ограниченными правами), предназначенные для ежедневной работы. Хочешь что-то настроить, проинсталлировать? Входи Администратором. Хочешь смотреть фильмы, писать курсовую, общаться в Skype? Входи стандартным пользователем.

Дело в том, что у стандартных пользователей нет прав на инсталляцию программ и настройку системы, за счёт чего она работает весьма стабильно и безопасно. Что-то напортачить или сломать не получится, на это у пользователя просто нет прав. Компьтерный вирус — это не чёрная магия, а программа, просто компьютерная программа, поэтому заразить систему вирусом рядовой пользователь тоже не может. Причём, компьютеру всё равно, новый это вирус или старый, особо хитрый или примитивный — если имеющихся привилегий недостаточно, занести вирус в системную папку или прописать его автозапуск в системном реестре не получится никак.

Рисунок 1. Уровень привилегий учётной записи пользователя в Windows 7

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

Вне зависимости от того, работаем мы дома или в офисе, в систему всегда следует входить только с ограниченными привилегиями. Системные администраторы должны обладать двумя учётными записями — и рядовой, и административной, но использовать последнюю только при доказанной необходимости. Тип используемой вами учётной записи можно уточнить в Control Panel (Панели Управления).

Однако, существуют зловредные программы, которые способны сохраняться не только в системных папках, но и в User Profile — так называемом профиле, рабочей среде пользователя. Эти программы запускаются каждый раз при входе пользователя в систему. Обычно вирусы такого типа «приезжают» на flash-дисках, рассылаются через программы обмена сообщениями и по электронной почте, попадают в компьютер со специальным образом созданных веб-страниц. Для борьбы с подобного типа угрозами в Windows-системах существует весьма простая и надёжная настройка безопасности — Software Restriction Policies (Политики ограничения программ).

Что же такое Software Restriction Policies?

С помощью SRP можно создать “белый список” программ, которые заведомо разрешены для запуска; все остальные программы будут заблокированы. Например, мы говорим системе “запускай всё из папок C:\Windows, C:\Program Files, D:\Games, а остальное не разрешается”. В результате, приезжающий на флешке вирус тихо «обламывается», не сумев запуститься с неразрешённого пути E:\ или Z:\. Что-то попыталось пролезть с ненадёжного веб-сайта? Оно тоже не запустится, так как было сохранено в папке профиля пользователя Temporary Internet Files или %Temp%. А мы оттуда ничего запускать не разрешали! Присланный посредством Skype «новый супер-пупер скринсейвер», на самом деле представляющий собой троянскую программу, тоже не запустится.

Политика Software Restriction Policies сильно выигрывает в сравнении с любыми тормозяще-навороченными, но в то же время очень ненадёжными антивирусными программами, будь то Kaspersky, NOD или Avast (название и производитель не имеют значения). Ловля блох антивирусным монитором — компьютерный аналог «русской рулетки». Причём, далеко не факт, что вы в ней выиграете. В то же время, SRP сразу же отбросит всё неразрешённое, не вникая, что это там было, хорошее или плохое.

На самом деле, политика не предотвратит сохранение тела вируса на жёстком диске. SRP — не антивирусная программа, она не анализирует содержимое файлов. Но и запуститься хранящейся на диске или flash-носителе потенциально деструктивной программе она не позволит.

SRP не нужно откуда-то скачивать, она уже встроена в следующие системы Microsoft:

  • Windows XP Professional, Windows XP Media Center 2005;
  • Windows Vista Business, Windows Vista Enterprise & Ultimate;
  • Windows 7 Professional, Windows 7 Enterprise & Ultimate;
  • Windows Server 2003 и 2008 (все редакции);

К сожалению, никакие системы из серии Windows Home не поддерживаются.

Как включить и настроить политику SRP?

Для включения SRP зайдите в систему с правами администратора и выполните команду Start → Run → gpedit.msc. В разделе Computer Configuration (Конфигурация компьютера) раскройте папку Windows Settings → Security Settings → Software Restriction Policies.

Рисунок 2. Включение политики SRP

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

На всех упомянутых ранее версиях Windows это окно выглядит примерно одинаково. Однако, в политиках домена Active Directory вы можете найти SRP и в разделе User Configuration (Конфигурация пользователя). Я рекомендую выполнять базовую конфигурацию SRP на уровне Computer Configuration, а User Configuration использовать только для расширения области действия политики для некоторых групп пользователей.

Щёлкните правой кнопкой по папке Software Restriction Policies и выберите команду Create New Policies. Политика создана, теперь нужно сделать дополнительные настройки. Выполните двойной щелчок по значению Enforcement и укажите Apply to: All software files и Apply to: All Users. Тем самым, проверке будут подлежать все программы и динамические библиотеки, и защищены будут все пользователи, включая самых опасных — администраторов.

Параметр Apply to: All software files может оказаться неприменимым для вашей системы, если используются приложения, вызывающие dll-модули некорректными методами либо хранящие множество своих модулей в профилях пользователей. Чтобы облегчить управление такими приложениями, можно ослабить уровень защиты, переключив настройку в положение Apply to: All software except libraries. Однако, учтите, что количество зловредных программ, выполненных в виде динамических библиотек и вызываемых строкой вида rundll32.exe C:\Recycler\virus.dll, неуклонно растёт. И только более строгая, полная фильтрация позволяет защитить систему от крайне опасной проблемы, носящей название DLL Hijacking.

Рисунок 3. Настройка области действия политики SRP

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

Один параметр может оказаться досадной и никак не улучшающей безопасность помехой — по умолчанию, SRP обрабатывает не только исполняемые файлы, но и некоторые другие типы файлов — например, ярлыки (Shortcuts). Выполните двойной щелчок по значениюDesignated File Types и удалите расширение LNK из списка. Замечу, сами ярлыки и их целевые файлы обрабатываются политикой отдельно. Таким образом, удаляя LNK из списка обрабатываемых расширений, вы не понижаете уровень безопасности системы — создать ярлык на неразрешённый файл и таким образом запустить его в обход политики всё равно будет невозможным.

Рисунок 4. Настройка обрабатываемых политикой SRP типов файлов

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

Существуют несколько режимов работы SRP:

  • Disallowed: режим «белого списка». По умолчанию, запрещён запуск любых программ, кроме описанных в правилах политики;
  • Basic User: режим принудительного ограничения привилегий. Все программы запускаются с привилегиями рядового пользователя, кроме исключений, описанных политикой;
  • Unrestricted: режим «чёрного списка». По умолчанию, разрешается запускать любые программы, кроме отдельно заблокированных в правилах политики.

Раскройте папку Security Levels и назначьте режим Disallowed в качестве основного.

Рисунок 5. Включение режима «белого списка» политики SRP

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

В контейнере Additional Rules перечисляются программы, которые мы разрешаем запускать. Обычно особого внимания это от нас не требует, так как политика автоматически указывает, что все программы, находящиеся в Program Files и Windows, разрешены для запуска. Таким образом, большинство программ будет работать нормально, а стандартные пользователи не имеют прав на изменение содержимого этих папок. Однако, если ваши программы установлены в иные каталоги, добавьте в список дополнительные разрешённые пути или хэш-суммы исполняемых модулей в режиме Unrestricted.

По возможности, не добавляйте в Additional Rules пути, которые открыты рядовым пользователям для Записи. «Белый список» Software Restriction Policies позволяет защитить систему не только от случайно приносимых вирусов, но также от других нежелательных программ — например, чат-клиентов, игр, альтернативных браузеров. Ни в коем случае не добавляйте в Additional Rules пути вида C:\, %Temp% илиF:\ (путь к сменному носителю) с типом доступа Unrestricted, так как это аннулирует весь эффект политики.

Рисунок 6. Настройка списка разрешённых для запуска программ

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

Итак, политика настроена. Для того, чтобы она вступила в силу, перезагрузите систему. Дальнейшие настройки и переключения режимов работы SRP перезагрузку требовать не будут.

Что делать, если что-то перестало работать?

Существует вероятность, что самая важная для вас программа перестанет работать из-за блокировок, налагаемых политикой SRP. В этом случае, вам на помощь приходит системный журнал, с содержимым которого можно ознакомиться, выполнив команду Start → Run → eventvwr.msc.

Рисунок 7. Просмотр журнала событий Application

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

Если действительно SRP является причиной неработоспособности программы, вы увидите в журнале одно или несколько предупреждений от источника SoftwareRestrictionPolicies с кодом 865. Внутри сообщения указывается имя и путь заблокированного модуля. Добавьте этот путь или цифровой отпечаток (hash) программы в Additional Rules и запустите программу ещё раз.

Теперь всё работает, но что будет дальше?

Иногда вам придётся устанавливать новые программы, а также обновлять их и саму систему. Для этого политику SRP нужно временно отключать. Создайте два файла, которые помогут вам облегчить отключение/включение SRP, и сохраните их в папке Windows:

SRP_Disable.reg

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

SRP_Enable.reg

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

На самом деле, значение DefaultLevel не отключает политику, а переводит её из режима «белого списка» Default: Disallowed в режим «чёрного списка» Default: Unrestricted, разрешая запуск любых программ, кроме тех, что описаны в контейнере Additional Rules в режиме Disallowed. По возможности, не создавайте записи с типом доступа Disallowed, так как это осложняет работу с политикой.

Создайте ярлыки на reg-файлы на рабочем столе Администратора. Процедура установки новых программ усложняется лишь ненамного по сравнению с тем, как вы привыкли это делать:

  • отключаем защиту SRP ярлыком SRP Disable;
  • инсталлируем программу или выполняем обновление системы;
  • снова включаем SRP ярлыком SRP Enable.

Рисунок 8. Ярлыки управления режимами SRP

Software Restriction Policies (SRP) - эффективная защита от вирусов на Microsoft Windows

Возможно, поначалу вы будете забывать включать политику после установки программ. Можно настроить систему таким образом, чтобы вручную отключенная защита включалась снова через регулярные интервалы времени. Запустив программу gpedit.msc, в секции Computer Configuration откройте папку Administrative Templates -> System -> Group Policy и в параметре Registry Policy Processing выберите Enabled и включите галочку Process even if the GPO have not changed. В любом случае, после перезагрузки компьютера Software Restriction Policies включится автоматически.

Software Restriction Policies не гарантирует стопроцентную защиту от зловредных программ, но её эффективность может быть по крайней мере на несколько порядков выше эффективности обычных антивирусных программ. Успехов в повышении уровня безопасности вашего компьютера!

Источник 

  • Software reporter tool грузит процессор windows 10
  • Software policies microsoft windows windowsupdate au noautoupdate
  • Software policies microsoft windows nt printers
  • Software policies microsoft windows control panel desktop screensavetimeout
  • Software policies microsoft windows nt currentversion networklist signatures