Пример 2. Запуск System Configuration

Запуск инструментов для диагностирования проблем с запуском системы и автозапуском программ требует использования повышенных привилегий, и без них запустить приложение невозможно. Чтобы продемонстрировать действие Basic User на приложение, которое требует повышенных привилегий, создадим в Additional Rules хэш-правило для этой утилиты, которая находится по адресу: %SystemRoot%system32msconfig.exe.

И в Security Level укажем Basic User (см. рис. 9).

Рисунок 9. Настроенный уровень Basic User хэш-правила для утилиты MSCONFIG.EXE

Теперь запускаем утилиту из папки Administrative Tools, и снова появляется окно UAC, которое требует подтвердить повышенные привилегии. При подтверждении политика SRP снова по хэш-правилу отменяет эти привилегии и пытается запустить приложение в обычном пользовательском режиме (см. рис. 10).

Рисунок 10. Такое сообщение будет получено при попытке запустить системную утилиту без использования повышенных привилегий

Однако данное приложение не поддерживает такую работу, в результате чего запуск приложения блокируется полностью действием по умолчанию, как это продемонстрировано на скриншоте.

Таким образом, уровень Basic User позволяет создавать менее жёсткие правила запуска приложений. Например, можно разрешить запуск приложений из любых мест, не опасаясь, что они нанесут ущерб системе, поскольку для деструктивных действий требуются повышенные привилегии.

Заключение

Из вышеизложенного материала следует, что политики ограниченного использования программ – Software Restriction Policies являются гибким и эффективным инструментом в управлении решением контроля запуска приложений пользователями. Однако политики SRP должны быть не единственным средством обеспечения безопасности, а являться частью общего комплекса мер безопасности, и только тогда политики SRP будут по-настоящему эффективны. Фундаментальной частью системы безопасности является работа в системе с минимальными необходимыми привилегиями. Если все пользователи в системе работают под учётной записью с административными привилегиями, то польза от применения политик SRP будет минимальна. Также советую более ответственно отнестись к планированию реализации политик SRP. Чем больше внимания вы уделите стадии планирования, тем меньше времени потребуется для конечной реализации. Кроме того, план поможет избежать ошибок.