SRP - лучшая бесплатная защита от вирусов
Несколько шагов надежно защитит компьютер от массовых вирусов
Немного отступления или вступление.
Если вы читаете данную заметку, скорее всего уже имеете печальный опыт в ситуации, когда любимый антивирус пропустил какую-то заразу.
Наверняка я не открою новую галактику, сообщив, что в большинстве случаев антивирусы устраняют последствия, а не предотвращают заражение. Антивирусные базы этих компаний пополняются за счет несчастных пострадавших от неизвестных ранее вирусов.
Часто слышишь от друзей и знакомых такие просьбы о помощи:
- Вирус зашифровал мои файлы, что делать?
- Как убрать порно-баннер?
- У меня тормозит компьютер, куча установленных программ, но я ничего не устанавливал(а);
- Не открываются сайты, помоги;
- и так далее.. продолжай помогать нам дорогой друг.
Спасение утопающих - дело рук самих утопающих. ("Двенадцать стульев", И. Ильф, E. Петров)
Потратив сейчас 15 минут на пошаговую настройку компьютера, вы получите хорошую первоначальную защиту от троянов, баннеров, шифровщиков и прочей массовой нечисти.
Основная часть заметки касается настройки политики SRP - Software restriction policy (англ.: Политика ограниченного использования программ). Данная настройка (политика) работает по следующим принципам:
- Все программы на компьютере могут свободно запускаться и работать только из тех мест (папок), из которых мы это разрешим явно;
- Все остальные программы запускаться и работать не смогут. А следовательно и навредить вам они не смогут.
Единственный маленький минус этого способа предотвращения заражения компьютерными вирусами заключается в том, что после настройки компьютера по данной заметке, установка любой новой программы на ваш компьютер будет занимать на пару минут больше времени. Вас это не останавливает? Тогда перейдем к делу.
Большинство шагов относится к операционной системе Windows 7 (32/64). До Windows 8 пока не дошли ноги, а Windows XP доживает свой век. (Если кому нужно, добавлю описание шагов для XP)
Статья применима к следующим редакциям Windows:
Windows 7 Профессиональная, Windows 7 Корпоративная и Windows 7 Максимальная;
Windows Vista Бизнес, Windows Vista Корпоративная и Windows Vista Максимальная;
Windows XP Professional, Windows XP Media Center 2005.
Windows 7 Домашняя (Базовая и Расширенная) к сожалению не поддерживается. В этих версиях можно использовать "Родительский контроль". Чуть позже опишу и этот способ защиты.
1. Включите обновления вашей операционной системы
Для чего это нужно? Странный вопрос на самом деле. Дело в том, что производители ПО часто выпускают исправления ошибок в работе своих программ. Образно говоря, заколачивают дыры в заборе, через которые на ваш компьютер проникают вирусы.
Как включить обновления?
Пуск -> Все программы -> Центр обновления Windows -> Настройка параметров -> Важные обновления -> Устанавливать обновления автоматически
2. Не работайте под пользователем с правами администратора системы
Работая в системе с правами администратора вы фактически позволяете злоумышленникам (читай вирусам) распоряжаться как у себя дома. Вирусы с большой легкостью и вероятностью могут повредить ваши системные файлы. А если вы работаете под пользователем с ограниченными правами - безопасность системы значительно повышается.
Возьмите себе за правила:
- Ежедневные дела за компьютером (работа с текстом, графикой, интернет, игрушки) выполняйте в системе под пользователем с ограниченными правами;
- Если нужно установить какую либо программу - заходите под пользователем с правами администратора и устанавливайте.
Проверьте под каким пользователем сейчас работаете и, если окажется, что у текущего пользователя права администратора (как в примере ниже), добавьте в систему простого пользователя с ограниченными правами и работайте под ним.
Пуск -> Панель управления -> Учетные записи пользователей
Нажмите "Создание учетной записи"
В будущем ежедневную работу выполняйте от имени этого пользователя, как уже упоминалось выше.
3. Создание политики ограниченного использования программ (SRP)
Все дальнейшие настройки выполняются от имени администратора.
3.1. Откройте редактор групповой политики
Пуск -> Выполнить -> gpedit.msc (или, если нет пункта Выполнить: Пуск -> Найти программы и файлы -> gpedit.msc)
3.2. Создайте политику ограниченного использования программ
В редакторе групповой политики следующий путь:
Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ - Создать политику ограниченного использования программ
3.3. Политика ограниченного использования программ - Применение
Применять ко всем файлам программ; Применять для всех пользователей.
3.4. Политика ограниченного использования программ - Назначенные типы файлов
Удалить LNK - Ярлык
Добавить тип SCF
3.5. Политики открытого ключа - Параметры подтверждения пути сертификата
убрать галочку "Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов"
3.6. Политики ограниченного использования программ - Уровни безопасности
Установить Запрещено по умолчанию
3.7. Политики ограниченного использования программ - Дополнительные правила
Здесь уже есть несколько правил по умолчанию.
Добавим сюда еще пару правил.
В контекстном меню в правой части окна: Создать правило для пути...
Добавляем следующие правила:
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено
В итоге у нас получился такой список правил:
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено
Для Windows 7 x64 здесь будет еще 2 пути по умолчанию:
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% - Уровень безопасности: Неограниченный
Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir% - Уровень безопасности: Неограниченный
Если у вас есть другие места откуда вы обычно запускаете программы (точнее куда вы их устанавливаете), например, игры вы устанавливаете в папку на диске D:
D:\Games
В этом случае добавьте эти пути аналогично тому, как было указано выше, и установите для этих путей уровень безопасности Неограниченный
Очень важное замечание!
Не добавляйте сюда временные папки (c:\temp и т. д.) или папки вашего профиля (c:\users\masha\ и т. д.) с уровнем безопасности Неограниченный! Иначе все наши настройки политики потеряют смысл. Почему? Потому, что вирусы как правило загружаются на ваш компьютер через дыру в браузере или какую-либо другую дыру и записываются в указанные выше места (а точнее они записываются туда, куда имеют доступ на запись). Если вы разрешите запуск программ из этих папок, то сами понимаете что произойдет.
Добавили все необходимые вам пути?
3.8. Настроим автоматическое применение политики, даже если мы забудем ее включить
Здесь же, в редакторе групповой политики откройте следующий путь:
Конфигурация компьютера - Административные шаблоны - Система - Групповая политика - Обработка политики реестра
поставьте там следующие галочки:
На этом окно Редактора групповой политики можно закрыть.
4. Перенос системной папки Temp и папки spool\PRINTERS
Создайте папку Temp на диске C (C:\Temp).
Далее откройте свойства системы:
Правой кнопкой мыши на значке Мой компьютер -> Свойства -> Дополнительные параметры системы
или просто нажмите на клавиатуре клавиши: Win+Pause/Break
Далее, вкладка Дополнительно -> Переменные среды
измените системные переменные TEMP и TMP на C:\Temp
Теперь перенесем папку spool\PRINTERS
Создайте на диске C папку spool. Внутри созданной папки spool создайте папку PRINTERS.
Откройте Пуск -> Устройства и принтеры
Выделите мышью любой принтер или факс, чтобы в верхней части окна появилось меню Свойства сервера печати.
Откройте последовательно Свойства сервера печати -> Дополнительные параметры -> Изменить дополнительные параметры
В строку Папка очереди печати впишите путь к ранее созданной папке C:\spool\PRINTERS
Нажмите Применить и ОК.
5. Быстрое включение и отключение политики ограниченного использования программ
Чтобы у вас была возможность при необходимости устанавливать программы из любой папки (скачали программу, например, в D:\Downloads\, а запуск оттуда естественно запрещен) создадим 2 ярлыка. Один временно выключает политику (srp_disable.reg), другой (srp_enable.reg) включает ее обратно.
1-й файл
Откройте блокнот (Пуск -> Все программы -> Стандартные -> Блокнот)
Вставьте туда следующий текст:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000
Сохраните файл под названием srp_disable.reg
Меню Файл -> Сохранить как...
Выберите: Тип файла -> Все файлы (*.*)
Имя файла: SRP_Disable.reg
2-й файл
Откройте блокнот, вставьте следующий текст:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
Сохраните по аналогии с предыдущим, только назовите файл srp_enable.reg
Переместите созданные файлы в системную папку C:\Windows
Создайте для каждого файла ярлык и поместите его на рабочий стол:
Правой кнопкой мыши на файле -> Отправить ярлык на рабочий стол
В итоге должно быть 2 ярлыка на рабочем столе:
srp_disable.reg и srp_enable.reg
Теперь если вам нужно установить какую либо программу, запускаете ярлык srp_disable.reg устанавливаете программу, после чего запускаете srp_enable.reg
На этом настройка закончена. Перезагрузите компьютер, чтобы изменения вступили в силу.
Теперь если вы попробуете запустить какую-либо программу из не разрешенного для запуска места, увидите такое предупреждение:
Еще раз порядок действий для безопасной от вирусов работы за компьютером
- Ежедневную работу, игры, и т. д. выполняйте под пользователем с ограниченными правами.
- Для установки необходимых программ делайте следующее:
а) Пуск - Сменить пользователя (или клавиши Win+L)
б) Выбираем пользователя с правами администратора
в) Зашли под администратором
г) Запустили ярлык srp_disable.reg
д) Установили необходимую программу (предварительно проверив ее антивирусом)
е) Запустили ярлык srp_enable.reg
ж) Пуск - Сменить пользователя (или клавиши Win+L)
з) Выбираем своего обычного пользователя с ограниченными правами
и) Свободно работаем в системе без вирусов, баннеров, шифровщиков.
Хотелось бы отметить, что данная технология не отменяет использование антивирусов, их можно использовать хотя бы для проверки скачанных из сети файлов. Ну и две двери лучше чем одна)
При подготовке статьи были использованы материалы с сайта Vadims Podans
Комментарии: 44
А как быть с обновлениями системы?
Есть ли способ без домена переносить, один раз настроенные политики, на другой компьютер??
%systemroot%\system32\grouppolicy\
Вы можете копировать политику по этому пути. С учетом разрядности системы.
Также в статье не описано о необходимости выставить права на созданные папки Temp и spool.
столкнулся с проблемой. настроил SRP через GPO. но, в этом случае не работает reg для отмены. единственное пока не очень удобное решение это переопределить политику локально. создав разрешающие правила. может можно проще?
Роман, зачем отключать не спрашиваю. Думаю можно добавить в исключения сетевой путь, куда имеет доступ учетка с правами на инсталляцию. Такой вариант не подойдет?
Edw,
как частный случай да, возможно подойдет. я например создал правило %temp%\*\*.exe, из-за которого не могут самообновиться некоторые программы. и тут уже вопрос.
Не проще ли пользоваться программами типа
Toolwiz или RebootRestoreRx где происходит замораживаие сисстемы и после работы в инете или установки программы можно оставить систему в дальнейшем пользовании или сделать отмену, тогда после перезагрузки системы всё остается в исходном состоянии!!!Рекомендую Toolwiz там есть пункт Защита системы, включаем и устанавливаем что хотим пусть и с вирусами, далее перезагрузка или отключить защиту и выбираем пункт удалить изменения и всё система нормальном состоянии!!!
Юрий,
в случае шифровальщиков, это не спасет вас от порчи файлов на сетевом диске.
Напишите, пожалуйста, для Windows xp. Работаю по ней и никуда переходить не собираюсь.
добрый день!
сделал как все и было предложено, только SRP_Disable.reg не может внести данные в реестр пишет об ошибке доступа к реестру.
Я имею права админа.
из-за этого программы в автозагрузке не запускаются нормально и/или просят подтвердить запуск вручную. Настройка выдачи таких уведомлений отключаю каждый раз но отключение не срабатывает...
теперь я самый большой вирус :(
Влад, у Вас какие то проблемы с правами, не смотря на то, что запускаете из под админа. Если бы работала SRP, то при запуске программ Вы получили бы сообщение как на последнем скриншоте. Дело точно не в SRP_Disable.reg. Какая у Вас система?
Спасибо, что отвечаете
Виндовс 7 x64/
Поигрался немного согласно пункту 3,8 и поставил обработку реестра как не задано - теперь окошки про подтверждение запуска пропали.
но внести данные в реестр через srp_enable.reg и и SRP_Disable.reg - не получается....
Ребят, подскажите. Система ХР (под админом). После применения политик некоторые портативные проги работают криво, например Рево Унинсталлер Портабле запускается только после отключения политик через ярлык, причём запускается она каждый раз с настройками по умолчанию. Не могу вручную обновить базы антивирусных сканеров (AVZ, Avira PC Cleaner Portable, EmsisoftEmergencyKit) - пишут, якобы нет соединения с интернетом, хотя инет работает. Папка D:\Program Files с этими портативками добавлена в исключения (разрешённые пути), естественно. Что я делаю не так?
Пишу может у кого будет подобное.
внести данные в реестр через srp_enable.reg и и SRP_Disable.reg - не получается.... (пишет ошибка доступа к реестру)
Пропадали значки из системного трея возле часов. хотя сами программы были запущены - видно в диспетчере задач.
Было много попыток их вернуть в том числе после перезапуска эксплорера и прочих танцев с бубном.
Вернул все настройки SPR в положение как они были до того - то есть в первоначальное состояние. Пока иконки не пропадают... Дальше будет видно.
Данные не вносились в реестр поскольку у меня dr. web, в котором уже стоит использование политики SPR и запрет на внесение изменений (во вкладке превентивная защита.
Vital, настройки по Рево могут храниться рядом в той же папочке а могут в реестре. так вот скорее всего данные в реестр не попадают из-за ограниченного доступа. Попробуй в настройках по рево сделать так. чтоб его настройки были в файле сетингс в его же папке. На счет интернета посмотри настройки сети - не изменились ли они? Забыл уже где они в ХР точно сидят. Попробуй сеть-свойства-протокол интернета версии4 - свойства. Если нет прокси. то должно стоять автоматически получать IP адрес. также проверь настройки самих которые потеряли связь с интернетом.
Влад, спасибо за ответ, проверил настройки - стоит авто.
В общем, SPR хорошая штука, но надо быть знатоком и хорошо разбираться в нюансах.
Итог таков.
При включенном через ярлык SPR не работают приложения: Cloud Mail.ru, TeamViewer, IDM, Revo Portable и многие др. портативные проги, требующие запись в реестр или работают кривовато.
Теперь, даже при выключенном SPR, не обновляются базы портативных антивирусных сканеров. Подозреваю, как заметил Влад, изменение настроек интернета. Как вернуть всё взад?
Vital, подозреваю, что все гораздо проще с запуском портэйбл версий. Сокрее всего часть файлов они распаковывают во временную папку, откуда запуск чего либо мы запретили. Для отладки подобных вещей очень помогает чтение журналов событий системы.
Для этого жмем Win+R, пишем eventvwr.msc Далее смотрим "Журналы Windows" -> "Приложения". Сразу скажу, из-за портэйбл программ я лично не стану разрешать запуск из временных папок, так как это сразу перечеркивает всю затею с внедрением SRP. Сетевые настройки политикой SRP никак не затрагиваются. Если хотите удалить SRP, просто удалите политику в оснастке gpedit.msc
Ура, товарищи! Методом научного тыка победил незапуск почти всех портативных (и не очень) программ. Приходилось открывать папку C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp и смотреть какие файлы появляются при запуске той или иной программы. Потом долгим методом проб и ошибок добавлял в исключения для пути.
Теперь вроде всё работает. Надеюсь эта инфа кому-нибудь пригодится. Далее здесь пишу проблему с программой и решение:
Не обновлялся Гугл Хром (выдавал ошибку при проверке версии). Добавил исключение:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Application Data\Google\Chrome\User Data
Не обновлялся Файерфокс. Добавил исключение:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Application Data\Mozilla\Firefox\firefox\updates
Не обновлялась Java 8. Добавил два исключения:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Application Data\Sun\Java
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp\jre-????-windows-au.exe
Не запускалось приложение Mail.Ru Cloud. Добавил исключение:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Application Data\Mail.Ru\Cloud
Не запускался TeamViewer Portable. Добавил исключение:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp\TVP
Не запускалось Speccy Portable (выдавало "Невозможно загрузить SPC DLL"). Добавил исключение:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp\speccycpuid.dll
Теперь Speccy работает, но как-то слишком медленно собирает информацию.
Далее. Не запускались (или работали криво) следующие портативки:
ABBYY FineReader Рortable
HD Tune Pro Portable
LibreOffice Portable
Mail.Ru Agent Portable
Revo Portable
При попытке запуска писали - "Класс не найден" или что-то в этом роде. Заметил закономерность - при запуске всех этих программ в папке Темп создаются файлы вида, например, nsd1A.tmp, nsd19.tmp, nsv2C.tmp, nsv2B.tmp и т.п. По два файла на программу. Создал исключение с переменной ns???.tmp:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp\ns???.tmp
И, о чудо, они все сразу одномоментно заработали! Не знаю как это и объяснить.
И главное (и самое трудное для меня) - Internet Download Manager. Не работала плавающая панелька скачки (зеленый треугольник над проигрывателем) в Файерфоксе. Хотя сама прога запускалась без проблем. При отключении SRP всё работало штатно, как и должно. Долго мучался, но вычислил:
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Application Data\Mozilla\Firefox\Profiles
Так я и не смог победить:
1. ICE Book Reader Portable - "Приложению не удалось загрузить требуемый компонент виртуальной машины"
2. Munsoft Easy Drive Data Recovery Portable - то же самое
3. Tag&Rename 3.6.5 Portable - то же самое
Как видим, всё дело в невозможности запуска некой виртуальной машины. Как это решить, не знаю. Хотя, в принципе, это мелочь, из этих трёх программ я реально использую только Tag&Rename, да и то очень редко. Можно и SRP отключить на время.
Проблема с НЕобновлением вирусных баз портативных сканеров (AVZ, Avira, Emsisoft), как выяснилось, была из-за комодовского файера (или ХИПСА, я не понял). Добавил их в Доверенные программы и всё стало обновлятся как часы. Зря грешил на SRP)))
Присоединяюсь к проблеме, выявленной некоторыми участниками топика. Server 2008 после вышеперечисленных манипуляций, ни в какую не удаляются созданные правила ограничения запуска программ. Т.е., из папки ТЕМП программы не запускаются при любых настройках :(. В GPO убрал правила, но сообщения об ограничении запуска по-прежнему появляются. Создал файл отмена ограничений - при запуске reg-файла перестало хватать прав. На сервере я локальный админ, раньше проблем не было. Я не снимаю с себя ответственности - выполнения резервных копий реестра, но как бэ - читаешь с целью положительного применения, а в итоге - возник большой головняк, как верно здесь подметили "теперь я сам большой вирус". Автор, пожалуйста, посодействует решению проблемы! Ответ "что-то у вас с правами" не устраивает, все было нормально с правами... Давайте думать.
St, попробуем разобраться. Вы где создавали политики? Локальные или доменные GPO? Ваш Server 2008 - контроллер домена?
Очень жаль,что не поясняется суть провидимых действий. Зачем удалять LNK-Ярлык? Зачем добавлять тип SCF? Зачем убирать галочку "Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов"? И так далее. Инструкция для слепого повтора,к сожалению. Не хочу обидеть автора за его старания,для нас, пользователей.Но хотелось бы научиться не только тупо повторять за специалистом,но и понимать суть проводимых манипуляций. Если будет возможность,внесите пожалуйста коррективы с описанием логики действий.
p.s. Если статья написана специалистом исключительно ДЛЯ специалистов,то приношу свои извинения.
С уважением!
Владимир, в ближайшее время поправим статью с пояснениями и уточнениями. Плюс ко всему здесь не рассмотрена установка прав на переносимые папки (temp, spool). Да, обычно мало кому интересна суть)
Большая благодарность,что не оставили мой пост без внимания. Мне вот как раз суть и интересна.Так лучше запоминается,когда понимаешь логику действий. Я думаю,вам должно быть приятно, что ламеров становится меньше :) благодаря вашему бескорыстному порыву. :) Проясниет пожалуйста ещё такой момент. Для обеспечения безопасности все и всегда рекомендуют не работать с учётной записи администратора.Житейский момент.С учетной записи администратора были вненсены изменения в ПО машины. По выходу из системы администратор забыл включить SRP. Как сделать так,чтобы по выходу из системы SRP включался всегда. Попытка сделать это через сценарии завершения работы для C:\Windows\regedit.exe c параметрами C:\Program Files\SRP_Enable.reg успехом не увенчался. На одном из ресурсов видел, что параметр содержит дополнительный (элемент?) /s перед C:\. Но пояснений там не было и в таком варианте тоже не срабатывает. Что здесь посоветуете? В чём может быть ошибка?
С уважением!
Владимир, в данном примере за автоматическое включение SRP отвечает настройка из пункта 3.8.
После включения данного пункта SRP будет включена (применена) в 2-с случаях:
1. при перезагрузке компьютера
2. во время автоматической обработки раз в 90 минут со случайным смещением времени от 0 до 30 минут.
Время применения политики можно настроить в том же окне (см. пункт 3.8.) в параметре "Интервал обновления групповой политики для компьютеров"
А как теперь сделать так, чтобы именно "ПОЛЬЗОВАТЕЛЬ" мог включать (srp - enable.reg) и отключать (spr - enable.reg) ?
Просто при попытке включить или отключить находясь в учётке Пользователя выдаётся сообщение, которое блокирует все действия с этими (srp - ...reg) файлами.
Мне это нужно, чтобы каждый раз не выходить из одной учётки в другую. Как то напряжно получается.
Какие будут предложения ?
*и ещё: после проделанных операций некоторое проги, которые были установленны ранее перестали открываться! Что делать ?
Спасибо!
Здравствуйте! А зачем менять путь в свойствах: сервер печати на C:\spool\PRINTERS, если я не пользуюсь принтером и он у меня не подключён ?
Я просто отключил службы такие как: "факс", "Служба загрузки изображений Windows (WIA)"
Денис от пользователя с ограниченными правами Вы не сможете запускать эти файлы, потому как с помощью этих файлов вносятся изменения в реестр, в системный раздел, куда обычному пользователю писать запрещено. В начале статьи написано, что установка любой новой программы на ваш компьютер будет занимать на пару минут больше времени. Это малая плата за повышенную безопасность.
По поводу прог, которые перестали открываться, посмотрите куда они установлены. Если пусть установки отличается от "c:\program files" или "c:\program files (x86)", тогда создайте для них дополнительные правила. Как это сделать описано в пункте 3.7.
терминатор, просто запретите запуск из этой папки C:\Windows\System32\spool
"Vital" Спасибо тебе за помощь по поводу Portable программ, сделал, как ты сказал и все исключения запустились, как надо
"Admin" Во-первых спасибо Вам за ответ и во-вторых за классную статью. Классная информация!
Но всё же как-то всё таки хотелось бы предоставить обычному - "ПОЛЬЗОВАТЕЛЮ" доступ для этих srp...enable/disable.reg файлов, чтобы не выходить из учётки. Ведь всё равно же защита капитальная получается: где находятся файлы знаю только я, запустить от имени админа могу только я, так как знаю пароль.
Пытался предоставить к ним доступ через но не получается, не знаю как ? Вы знаете ?
По поводу пункта 3.8 - "Настроим автоматическое применение политики, даже если мы забудем ее включить"
Я не аз в этом деле по этому вопрос: как работает это автоматическое применение политики ? Т.е. через какое время или при смене учётки, или переходе компа в одно из его состояний (сон, гибернация, ...) Т.е. какова причина срабатывания этой политики в автомате, если админ забыл её включить рачками ?
Спасибо господа!
Денис, политика обрабатывается системными таймерами, т.е. срабатывает раз в 90 минут +- случайное время от 0 до 30 минут. Время срабатывания настраивается. Об этом написано в этом комментарии http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov?d=15#c274
Добрый вечер! Спасибо автору за статью. Возникли некоторые вопросы с настройкой этой политики для групповых политик в домене на Server 2003. Путь обязательно указывать реестра или же можно указывать как обычно диск такой то и то-то. плюс в Server 2003 и XP там путей указано 4. Может еще какую рекомендацию дадите чтобы повысить безопасность. Спасибо!
Владимир, Вы конечно можете создать правило для пути и указать путь UNC вида \\server\papka
Про Server 2003 и XP не совсем понял, там по умолчанию 4 правила?
Что там за правила? Сейчас нет возможности проверить. Проверьте чтобы
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - запрещено
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - запрещено
и перенести их, как указано в заметке
Чтобы отключить шифрование на файловой системе ntfs нужно. В реестре изменить ключ
hklm\system\ccs\control\filesystem NtfsDisableEncryption 1
Потом выставить права доступа всем только чтение на ветку hklm\system\ccs\control\filesystem
и перезагрузить комп, шифрование будет отключено. Т.е вирусы шифровальщики не будут работать.
Николай, к сожалению будут. Этими действиями Вы отключили, скорее всего, шифрование, встроенное в операционную систему (EFS).
После реализации вашей статьи по поводу SRP перестала работать камера на ноуте. Что только не делал и биос обновлял на последний и драйвера пытался (комп не видит камеру, поэтому не обновляет их) обновить, сбрасывал настройки биоса на default, Ноутбук - Lenovo ThinkPad Edge T130. Камера включается включалась при нажатии кнопки "Fn" и "F5"
Пытался включить её отключив политику SRP вручную файлом - disable.reg! Вроде реакция ноута есть на кнопки Fn и F5 но камера не работает и не загорается индикатор камеры на самом ноуте, однако выводится лишь сообщение о настройке звука.
Вообще ничего не понимаю!
Так и не объяснили, зачем переносить временные папки и спулер в корень диска. И про права на них тоже... :(
Статья интересная, спасибо за разъяснения.
В интернете есть аналогичная тема SRP — Политика ограниченного использования программ (смотрите на сайте jameszero)только ещё проще. Может кому будет интересно. Хорошая штука.
Евгений, грубо, вкратце):
1. из системных папок возможен запуск любых программ, а именно там находятся папки c:\windows\temp и c:\windows\system32\spool\printers
2. Эти папки доступны на запись по умолчанию (чем это грозит, думаю понятно - оттуда можно запускать все что угодно)
3. мы запретили запуск из этих папок следующими правилами из пункта 3.7 данной заметки:
а) Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp - Уровень безопасности: Запрещено
б) Путь: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32/spool/PRINTERS - Уровень безопасности: Запрещено
4. перенесли мы их по причине удобства установки софта своими руками. Поясню. В тот момент, когда мы разрешаем себе установку софта запуском файла реестра из пункта 5 (srp_disable.reg), отключение политики для системных папок применяется только после после перелогона текущего пользователя. А на папки не входящие в системные (c:\windows) отключение политики действует сразу. В общем это сделано для удобства установки ПО после временного отключения политики.
По поводу того, что что-то перестало работать после создания политики (применения данной заметки). Внимательно смотрите логи системы на предмет действия политики SRP, и, в большинстве случаев, сразу станет понятно: кто виноват, и что делать дальше.
Помимо SCF добавьте ещё тип файлов WCF - это файл сценария Windows, сегодня я словил такой вирус..
Olya, если в Toolwiz выставить под защиту не только диск с, но и диск с личными файлами, например диск д, то всё будет хорошо в итоге после перезагрузки. А вот от кражи информации это не спасёт...
Добавить комментарий