Политика ограниченного использования программ (Hklnmntg kijguncyuukik nvhkl,[kfgunx hjkijgbb)

Перейти к навигации Перейти к поиску

Политика ограниченного использования программ (в английской версии Windows - SRP, Software Restriction Policy) впервые появилась в Windows XP и присутствуют в последующих версиях ОС Windows.

Общие сведения

[править | править код]

С помощью политик ограниченного использования программ имеется возможность защищать компьютерное оборудование от программ неизвестного происхождения путём определения программ, разрешенных для запуска. В данной политике приложения могут быть определены с помощью правила для хеша, правила для сертификата, правила для пути и правила для зоны Интернета. Программное обеспечение может выполняться на двух уровнях: неограниченном и запрещенном.

Политики ограниченного использования программ регулируют использование неизвестных программ и программ, к которым нет доверия. В организациях используется набор хорошо известных и проверенных приложений. Администраторы и служба поддержки обучены для поддержки этих программ. Однако, при запуске пользователем других программ, они могут конфликтовать с установленным программным обеспечением, изменять важные данные настройки или, что ещё хуже, содержать вирусы или «троянские» программы для несанкционированного удаленного доступа.

При интенсивном использовании сетей, Интернета и электронной почты в бизнесе пользователи повсеместно сталкиваются с различными программами. Пользователям постоянно приходится принимать решения о запуске неизвестных программ, поскольку документы и веб-страницы содержат программный код — сценарии. Вирусы и «троянские» программы зачастую умышленно замаскированы для введения пользователей в заблуждение при запуске. При таком большом количестве и разнообразии программ отдельным пользователям трудно определить, какое программное обеспечение следует запускать.

Пользователям необходим эффективный механизм идентификации и разделения программ на безопасные и не заслуживающие доверия. После идентификации программы к ним может быть применена политика для определения, могут ли они быть запущены. Политики ограниченного использования программ предоставляют различные способы идентификации программного обеспечения и средства определения, следует ли запускать данное приложение.

Дополнительные правила и уровни безопасности

[править | править код]

При применении политик ограниченного использования программ идентификация программного обеспечения производится посредством следующих правил:

Правило для сертификата

[править | править код]

Политики ограниченного использования программ могут идентифицировать файл по его сертификату подписи. Правила для сертификатов не применяются к файлам с расширением .exe или .dll. Они используются для сценариев и пакетов установщика Windows. Имеется возможность создать правило для сертификата, идентифицирующее приложение и затем, в зависимости от уровня безопасности, позволяющее или не позволяющее его запустить. Например, администратор может использовать правила для сертификатов, чтобы автоматически доверять программам из проверенного источника в домене без запроса пользователя. Кроме того, правила для сертификатов могут использоваться в запрещенных областях операционной системы.

Правило для пути

[править | править код]

Правило для пути идентифицирует программы по пути к файлу. Например, если имеется компьютер с политикой запрета по умолчанию, имеется возможность, предоставить неограниченный доступ к указанной папке для каждого пользователя. Для данного типа правил могут быть использованы некоторые общие пути: %userprofile%, %windir%, %appdata%, %programfiles% и %temp%.

Поскольку данные правила определяются с использованием пути, при перемещении программы правило для пути применяться не будет.

Правило для хеша

[править | править код]

Хеш представляет собой серию байтов фиксированной длины, однозначно идентифицирующую программу или файл. Хеш рассчитывается с помощью алгоритма хеширования. Политики ограниченного использования программ могут идентифицировать файлы по их хешу с помощью алгоритмов хеширования SHA-1 (Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется возможность создать правило для хеша и задать уровень безопасности «Не разрешено», чтобы запретить запуск определенного файла. Хеш переименованного или перемещенного в другую папку файла не изменяется. Однако, при любом изменении файла значение хеша изменяется, позволяя обойти ограничения.

Политики ограниченного использования программ распознают только хеши, рассчитанные с помощью политик ограниченного использования программ.

Правило для зоны Интернета

[править | править код]

Правила для зоны влияют только на пакеты установщика Windows.

Правило для зоны идентифицирует программное обеспечение из зоны, указанной посредством Internet Explorer. Такими зонами являются Интернет, локальный компьютер, местная интрасеть, ограниченные узлы и надежные сайты.

Уровень безопасности

[править | править код]

В политиках ограниченного использования программ используются следующие уровни безопасности:

  • Неограниченный. Приложения запускаются со всеми правами пользователя, вошедшего в систему.
  • Не разрешено. Приложения не могут быть запущены.
  • Обычный пользователь. Приложения запускаются с правами обычного пользователя, даже если пользователь является членом группы администраторов. (Появилось в интерфейсе Windows Vista, хотя в API доступно и в Windows XP.)