none
Политика ограниченного использования программ RRS feed

  • Вопрос

  • 1)Настроил Политику ограниченного использования программ

    Включил "применять для всех пользователей, кроме локальных администраторов"

    Захожу на компьютер под учеткой доменного админа (он разумеется находятся в группе Локальных администраторов), и вижу, что ограничения применяются и ко мне. Что это за баг? Причем ограничивает как-то выборочно - например не дает запустить Internet Explorer, но можно запустить WordPad.

    2) автоматически создались два правила для пути:

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

    что это за специфический синтаксис указания пути? чем он отличается от обычного указания пути, например C:\Windows?

    18 июня 2013 г. 14:16

Ответы

  • 1. Ваша политика настроена на пользователя или на компьютер?

    Бест-практис состоит в том, чтобы настраивать SRP только на компьютер и форсировано на всех пользователей. Основаная суть SRP защитить учётные записи Администраторов, какой смысл это делать для пользователей если они всё равно ограничены в правах? Гораздо опаснее возможность запускать экзешники под привилегированными учётками. Обращаю ваше внимание также на то, что запретить также нужно и загрузку dll, про regsvr32.учу навреное знаете?

    Я не берусь судить для каких целей вы настраиваете себе SRP, но в моей сети это основной бастион защиты от зловреда и дестабилизации, машины с этой политикой будут работать тысячелетиями без сбоев.

    Для целей администрирования вам проще создать переключатель политики, который будет включать/выключать её по запросу администратора:

    .reg-файл выключения:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
    "DefaultLevel"=dword:00040000

    .reg-файл включения

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
    "DefaultLevel"=dword:00000000

    Поместите оба файла в папку C:\Program Files\SRP, запускайте их правой кнопкой "от имени администратора". Также вы можете создать соответствующие ярлыки на запуск этих файлов на машинах пользователей (это в разы упрощает работу с SRP):

    SRP ага, нужны теперь антивирусы?

    В свойствах ярлыка нужно указать "Запуск от имени администратора" (по кнопочке "Дополнительно"), а в самом ярлыке указать следующее:

    C:\Windows\regedit.exe /s "C:\Program Files\SRP\SRPDisable.reg"

    или

    C:\Windows\regedit.exe /s "C:\Program Files\SRP\SRPEnable.reg"

    2. Синтаксис отличается тем, что при раскрытии этой переменной нужно обращаться к реестру. Проблема в том, что в этих политиках не работают стандартные переменные окружения. Разработчики решили вывернуться таким путём - переменные определенные через параметры реестра, если папка "Program Files" пермещается, то меняется и значение параметра реестра. (вы можете заглянуть в редактор regedit и увидите значения этих параметров - те самые пути). Естественно, ни что не мешает вам создавать в реестре свои строковые параметры с указанием путей к каким-либо папкам, которые нужно запрещать или разрешать, например к стандартным правилам на разрешение я добавляю два правила на запрещение:

    1.) Для папки спулера печати (туда могут записывать пользователи, а следовательно с помощью неё можно обойти SRP):

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% - запрещено

    2.) Системная папка TEMP (туда могут писать администраторы):

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - запрещено



    • Помечено в качестве ответа mst-user 19 июня 2013 г. 6:43
    • Изменено ITD27M01 19 июня 2013 г. 6:43 причина
    19 июня 2013 г. 5:14

Все ответы

  • 2) это нормальные универсальные пути, расчет на то что данные папки могут находится не только в местах по умолчанию
    18 июня 2013 г. 16:26
    Модератор
  • 1. Ваша политика настроена на пользователя или на компьютер?

    Бест-практис состоит в том, чтобы настраивать SRP только на компьютер и форсировано на всех пользователей. Основаная суть SRP защитить учётные записи Администраторов, какой смысл это делать для пользователей если они всё равно ограничены в правах? Гораздо опаснее возможность запускать экзешники под привилегированными учётками. Обращаю ваше внимание также на то, что запретить также нужно и загрузку dll, про regsvr32.учу навреное знаете?

    Я не берусь судить для каких целей вы настраиваете себе SRP, но в моей сети это основной бастион защиты от зловреда и дестабилизации, машины с этой политикой будут работать тысячелетиями без сбоев.

    Для целей администрирования вам проще создать переключатель политики, который будет включать/выключать её по запросу администратора:

    .reg-файл выключения:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
    "DefaultLevel"=dword:00040000

    .reg-файл включения

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
    "DefaultLevel"=dword:00000000

    Поместите оба файла в папку C:\Program Files\SRP, запускайте их правой кнопкой "от имени администратора". Также вы можете создать соответствующие ярлыки на запуск этих файлов на машинах пользователей (это в разы упрощает работу с SRP):

    SRP ага, нужны теперь антивирусы?

    В свойствах ярлыка нужно указать "Запуск от имени администратора" (по кнопочке "Дополнительно"), а в самом ярлыке указать следующее:

    C:\Windows\regedit.exe /s "C:\Program Files\SRP\SRPDisable.reg"

    или

    C:\Windows\regedit.exe /s "C:\Program Files\SRP\SRPEnable.reg"

    2. Синтаксис отличается тем, что при раскрытии этой переменной нужно обращаться к реестру. Проблема в том, что в этих политиках не работают стандартные переменные окружения. Разработчики решили вывернуться таким путём - переменные определенные через параметры реестра, если папка "Program Files" пермещается, то меняется и значение параметра реестра. (вы можете заглянуть в редактор regedit и увидите значения этих параметров - те самые пути). Естественно, ни что не мешает вам создавать в реестре свои строковые параметры с указанием путей к каким-либо папкам, которые нужно запрещать или разрешать, например к стандартным правилам на разрешение я добавляю два правила на запрещение:

    1.) Для папки спулера печати (туда могут записывать пользователи, а следовательно с помощью неё можно обойти SRP):

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% - запрещено

    2.) Системная папка TEMP (туда могут писать администраторы):

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - запрещено



    • Помечено в качестве ответа mst-user 19 июня 2013 г. 6:43
    • Изменено ITD27M01 19 июня 2013 г. 6:43 причина
    19 июня 2013 г. 5:14
  • >>1. Ваша политика настроена пользователя или на компьютер?

    Сейчас в конфигурации пользователя. Если перемещу в конфигурацию компьютера, она перестанет ограничивать администраторов?

    >>2. Синтаксис отличается тем, что при раскрытии этой переменной нужно обращаться к реестру. Проблема в том, что в этих политиках не работают стандартные переменные окружения.

    Ясно, спасибо. Не знал, что не работают стандартные переменные окружения.


    19 июня 2013 г. 6:42
  • Да, если переместите в конфигурацию компьютера - перестанет. Не забудте отключить параметры пользователя для этой политики в gpmc.

    Для корректного применения политики нужно перезагрузить машину хотя бы один раз.

    19 июня 2013 г. 6:49