Набор базовых правил Software Restriction Policy

Собрал в одном месте набор правил для базовой настройки Software Restriction Policy.

Собрал в одном месте набор правил для базовой настройки Software Restriction Policy. При создании правил я руководствовался великолепным циклом статей Вадима Поданса и DenTNT. Собственно, здесь представлена краткая выжимка, за пояснениями почему — смотреть по ссылкам первоисточники.

Эти настройки проверены эксплуатаций на 16 машинах последние за два года. При использовании Windows 7 и 10 проблема возникает только с обновлением стороннего софта, что, к сожалению, неизбежно.

Включение политики: командная строка от имени администратора -> secpol (или secpol.msc)

После включения политики нужно сконфигурировать ее.

1. Удалить из списка исполняемых типов файлов .lnk

2. Удалить правила путей по умолчанию и создать следующие:
— для 64-битных систем

Это первоначальные правила. Их придется дополнять на конкретной машине под конкретное ПО. Также, полезно просканировать системные директории на предмент нетипичных папок, доступных пользователю для записи. Сделать это можно утилитой AccessEnum. Подробнее смотри там же.

3. Добавляем в список контролируемых расширений .js, .jse, .scf, .vbs, .vbe, .ps1, au3, .wsh, .wsf

Кроме того, если файл .ps1 запрещён, то ISE пытается сделать проверку для файлов .psm1 (см. здесь)

4. Запрешаем hh.exe, mshta.exe, reg.exe, runas.exe. См. здесь почему.

5. При желании использовать правила сертификатов см. какие есть подводные камни

6. Дополнительные правила Unrestricted для Яндекс.Диска и OneDrive:

Здесь важно обратить внимание, что в пути к файлу, который вне ветки реестра, используются прямые слеши, а не обратные!

Прим. Строго говоря, не рекомендуется использовать пути ветки HKCU, потому что пользователь может туда писать все, что хочет. Но в моем случае злонамеренные действия самого пользователя не предполагается.

7. При выборе между режимами «Контролировать только файлы программ, исключая DLL» и «Контролировать все» следует ориентироваться на используемый софт. В идеале лучше контролировать все, потому что это защищает и от инъекций dll.

8. Если что-то не работает, можно включить расширенное логирование:

Удалить этот ключ после окончания диагностики, потому что лог очень быстро разрастается

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

SRP (Software Restriction Policies)

SRP (англ. Software Restriction Policies ) — это политики доверия, которые представляют из себя ограничения, заданные администратором для того, чтобы запретить скриптам или другому коду выполнение, если он не является полностью доверенным.

Содержание

Общее

Программные политики ограничения предоставляют администраторам механизм для идентификации и контроля приложений, которые выполняются на данном компьютере. Эти политики могут быть использованы для защиты компьютера от известных конфликтов и уберечь компьютер от возможных угроз.

Политики ограничения основанные на групповых политиках

Администраторы могут использовать SRP для определения того, каким приложениям разрешено/запрещено выполняться на целевом компьютере. Для профилактики проблемы выполнения неизвестного кода, администраторы могут использовать SRP для следующих задач:

• Борьба с компьютерными вирусами
• Регулирование ActiveX[1]
• Выполнение только подписанных скриптов
• Запуск только подтвержденных приложений
• Создание строго ограниченной конфигурации для компьютера

Преимущества SRP

Использование SRP предоставляет следующие преимущества:

• Администраторы могут обеспечить SRP на домене или на локальном компьютере
  SRP может быть имплементирован на большом предприятии и различных компьютерах и приложениях, также как и в stand-alone среде для компьютеров которые не являются частью домена.
• SRP может применяться на различных типах файлов
  SRP предоставляет контроль над различными скриптовыми языками, а также интегрируется в Windows Installer для контроля над программами, которые устанавливаются на клиенте. Эта особенность включает API для координирования времени выполнения SRP и времени выполнения других сервисов.
• SRP предоставляет гибкость
  Администратор может запрещать выполнение неавторизированых скриптов, регулировать ActiveX или заблокировать компьютер клиента
• SRP использует сильную криптографию для идентификации программ
  SRP может идентифицировать софт использую хэш или сертификаты

Различные SRP

Настройка политики ограничения программного обеспечения (Software Restriction Policy) включает в себя несколько этапов:

1. Создание объекта политики групп для пользователя (User GPO) или для компьютера (Computer GPO) и размещение его на сайте (Site), домене (Domain) или организационной единице OU (или в качестве локальной политики) и подключение SRP для политики группы (Group Policy). Настройки SRP расположены здесь: Computer Configuration| Windows Settings | Security Settings | Software Restriction Policies

User Configuration | Windows Settings | Security Settings | Software Restriction Policies

При первом обращении к SRP в GPO будет доступна настройка «New Software Restriction Policies» (новая политика ограничения программного обеспечения).

2. Установка Default Security Level (уровень безопасности по умолчанию). На рисунке 2 показано, как с помощью нажатия правой кнопки мыши уровень установлен на «Set as default» (установить по умолчанию).

• По умолчанию уровень «Unrestricted» (без ограничений), что значит, что программное обеспечение может быть запущено, и что необходимо задать дополнительные правила для запрещения определенного программного обеспечения (software) – такой подход известен, как черный список Blacklisting.
• Самый безопасный уровень – это «Disallowed» (запрещен), что значит, что никакое программное обеспечение не может быть запущено, и что необходимо задать дополнительные правила для разрешения программного обеспечения – такой подход известен, как белые списки Whitelisting.
• По умолчанию система создает несколько правил, которые позволяют операционной системе работать без всякого неудобного блокирования NB! Если эти правила удалить или изменить не подумав, то система может выйти из строя.

3. В операционных системах Windows Vista и Longhorn у нас появился новый уровень под названием «Basic User» (основной пользователь), который позволяет программам запускаться от имени пользователя, у которого нет прав администратора, поэтому пользователь может получить доступ лишь к ресурсам, доступным для обычных пользователей. Этого уровня мы больше не коснемся в этой статье.

• Типы файлов можно добавлять и удалять, что лучше подстроиться под вашу среду, но список файлов по умолчанию включает основные типы исполняемых файлов: BAT, CMD, COM, EXE, HTA, LNK, MSI, OCX, PIF, REG & SCR и дополнительно такие расширения: ADE, ADP, BAS, CHM, CPL, CRT, HLP, INF, INS, ISP, MDB, MDE, MSC, MSP, MST, PCD, SHS, URL, VB & WSC.
• Примечание: Как говорится в окне Designated Files Type Properties (свойства заданных типов файлов), список является дополнением к стандартным типам файлов, таким как EXE, DLL и VBS – я не смог получить их полный список, но выяснил, что VBS, VBE, JS и JSE блокируются, хотя они и не в списке. Я бы предпочел иметь единый список, который администраторы по всему миру смогли бы исправлять в случае необходимости.

4. Определение исключений (exception) для уровня безопасности по умолчанию (Default Security Level). Они также известны, как «Additional Rules» (дополнительные правила). Пожалуйста, посмотрите раздел «Additional Rules» (дополнительные правила) в этой статье для подробной информации.

5.Настройка «Enforcement Properties» (форсирующие свойства):

• «All software files» (все файлы программного обеспечения): У нас также есть настройка для проверки DLL (Dynamic Link Libraries), когда они выполняются. Это не является настройкой по умолчанию и влияет на производительность и задачи планирования реализации и поддержки.
• «All users except local administrators» (все пользователи за исключением локальных администраторов): Здесь мы можем выбрать, будет ли SRP касаться локальных администраторов (Local administrators). По умолчанию SRP касается всех пользователей. Эта настройка применима лишь для политики для компьютера (computer policies).
• «Enforce certificate rules» (форсирование правил для сертификатов): Настройка позволяет задать, будут ли использоваться правила для сертификатов.
• Примечание: Как говориться в диалоговом окне, изображенном на рисунке 4 «Правила для сертификатов отрицательно влияют на производительность вашего компьютера «.

6. Настройка «Trusted Publishers Properties» (свойства доверительных издателей), также известных, как настройки политики Authenticode policy. В этом диалоговом окне мы можем выбрать, кто может выбирать Trusted Publisher (доверительных издателей) для правил сертификатов. У нас есть также возможность проверки аннулирования сертификата.

Software Restriction Policies Software Restriction Policies

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье для ИТ-специалистов описываются политики ограниченного использования программ (SRP) в Windows Server 2012 и Windows 8, а также приведены ссылки на технические сведения о наборе исправлений безопасности, начиная с Windows Server 2003. This topic for the IT professional describes Software Restriction Policies (SRP) in Windows Server 2012 and Windows 8, and provides links to technical information about SRP beginning with Windows Server 2003.

Описание политик ограниченного использования программ Software Restriction Policies description

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. Политики ограниченного использования программ являются частью стратегии управления и безопасности Майкрософт, позволяющей предприятиям повышать надежность, целостность и управляемость их компьютеров. Software restriction policies are part of the Microsoft security and management strategy to assist enterprises in increasing the reliability, integrity, and manageability of their computers.

Кроме того, данные политики помогают создать конфигурацию с расширенными ограничениями для компьютеров, на которых разрешается запуск только определенных приложений. You can also use software restriction policies to create a highly restricted configuration for computers, in which you allow only specifically identified applications to run. Политики ограниченного использования программ интегрируются со службой Microsoft Active Directory и групповой политикой. Software restriction policies are integrated with Microsoft Active Directory and Group Policy. Политики можно создавать на изолированных компьютерах. You can also create software restriction policies on stand-alone computers. Они являются политиками доверия, то есть представляют собой правила, устанавливаемые администратором, чтобы ограничить выполнение сценариев и другого кода, не имеющего полного доверия. Software restriction policies are trust policies, which are regulations set by an administrator to restrict scripts and other code that is not fully trusted from running.

Данные политики ограниченного использования программ определяются как расширение редактора локальных групповых политик или оснастки Microsoft Management Console (MMC) «Локальные политики безопасности». You can define these policies through the Software Restriction Policies extension of the Local Group Policy Editor or the Local Security Policies snap-in to the Microsoft Management Console (MMC).

Более подробные сведения о политике ограниченного использования программ см. в разделе Технический обзор политик ограниченного использования программ. For in-depth information about SRP, see the Software Restriction Policies Technical Overview.

Практическое применение Practical applications

Администраторы могут использовать политики ограниченного использования программ для решения следующих задач: Administrators can use software restriction policies for the following tasks:

определить доверенный код; Define what is trusted code

разработать гибкую групповую политику для регулирования работы сценариев, исполняемых файлов и элементов ActiveX. Design a flexible Group Policy for regulating scripts, executable files, and ActiveX controls

Политики ограниченного использования программ применяются операционной системой и приложениями (например, для создания сценариев), которые им соответствуют. Software restriction policies are enforced by the operating system and by applications (such as scripting applications) that comply with software restriction policies.

В частности, администраторы могут использовать политики ограниченного использования программ в следующих целях: Specifically, administrators can use software restriction policies for the following purposes:

определить программное обеспечение (исполняемые файлы), которое может выполняться на клиентах; Specify which software (executable files) can run on clients

запретить пользователям выполнять определенные программы на компьютерах с общим доступом; Prevent users from running specific programs on shared computers

определить, кто может добавлять доверенных издателей на клиентах; Specify who can add trusted publishers to clients

установить область действия политик ограниченного использования программ (указать, будут ли политики применяться для всех пользователей или только для группы пользователей на клиентах); Set the scope of the software restriction policies (specify whether policies affect all users or a subset of users on clients)

запретить работу исполняемых файлов на локальном компьютере, сайте, в подразделении или домене. Prevent executable files from running on the local computer, organizational unit (OU), site, or domain. Это уместно в тех случаях, когда политики ограниченного использования программ не применяются для решения потенциальных проблем со злоумышленниками. This would be appropriate in cases when you are not using software restriction policies to address potential issues with malicious users.

Новые и измененные функции New and changed functionality

Функциональные изменения в политиках ограниченного использования программ отсутствуют. There are no changes in functionality for Software Restriction Policies.

Удаленные или устаревшие функциональные возможности Removed or deprecated functionality

Удаленные или устаревшие функции в политиках ограниченного использования программ отсутствуют. There is no removed or deprecated functionality for Software Restriction Policies.

Требования к программному обеспечению Software requirements

Расширение редактора локальных групповых политик для политик ограниченного использования программ доступно через консоль управления (MMC). The Software Restriction Policies extension to the Local Group Policy Editor can be accessed through the MMC.

Для создания и поддержки политик ограниченного использования программ на локальном компьютере требуются следующие компоненты: The following features are required to create and maintain software restriction policies on the local computer:

Редактор локальных групповых политик Local Group Policy Editor

Установщик Windows Windows Installer

Authenticode и WinVerifyTrust Authenticode and WinVerifyTrust

Если планируются вызовы для развертывания этих политик в домене, к вышеупомянутому списку потребуется добавить следующие компоненты: If your design calls for domain deployment of these policies, in addition to the above list, the following features are required:

Доменные службы Active Directory Active Directory Domain Services

Групповая политика Group Policy

Сведения о диспетчере сервера Server Manager information

Политики ограниченного использования программ представляют собой расширение редактора локальных групповых политик и не устанавливаются с помощью пункта «Добавить роли и компоненты» диспетчера серверов. Software Restriction Policies is an extension of the Local Group Policy Editor and is not installed through Server Manager, Add Roles and Features.

См. также See also

В следующей таблице содержатся ссылки на соответствующие ресурсы, необходимые для понимания и применения политик ограниченного использования программ. The following table provides links to relevant resources in understanding and using SRP.