n  Disallowed – запрещено всё, кроме исключений в Additional Rules.

n  Unrestricted – разрешено всё, кроме исключений в Additional Rules.

n  Basic User – то же самое, что и Unrestricted, только дополнительно включает запрет запуска приложений с повышенными привилегиями.

Рисунок 1. Внешний вид консоли управления политикой Software Restriction Policies

Далее следует объект Enforcement (см. рис. 2). В этом окне можно форсировать применение политики не только к исполняемым файлам, но и к связанным с ними библиотекам DLL. Включение данной опции может значительно повысить нагрузку на систему, так как при запуске приложения через политику проходят и все файлы библиотек, из-за чего расходуется и время, и процессорные мощности. Но при этом данная опция позволяет программе при старте подгружать библиотеки только из разрешенных мест. Например, если при запуске программы последняя пытается загрузить библиотеки из профиля пользователя и путь размещения библиотек не указан в исключениях, то политика блокирует их загрузку в память.

Рисунок 2. Окно выбора степени воздействия политики SRP. Настройки этого окна влияют на глобальную эффективность политик SRP

Чуть ниже предлагается выбор применения политики для всех пользователей без исключения или для всех пользователей, кроме членов группы Administrators.

Здесь хочу отметить, что при включенном UAC (User Account Control) локальные администраторы не выводятся из-под действия политики SRP и освобождаются от фильтрации только приложения, которые запущены с использованием повышенных привилегий. Также в доменной среде данная опция доступна только в секции Computer Configuration редактора групповых политик.

И последняя опция – Enforce Certificate Rule. На практике правила сертификатов редко используются, и зачастую есть смысл отключить их проверку, что приведет к ускорению обработки политики.

Следом идёт элемент Designated File Type. Здесь перечислен список расширений файлов, которые контролируются Software Restriction Policies. Если пользователям необходимо запускать (или запрещено запускать) файлы с указанными в этом списке расширениями, то для них нужно составлять исключения для уровня безопасности по умолчанию (об этом подробнее чуть дальше). Данный список можно редактировать под свои условия.