728 x 90

Software Restriction Policies

Software Restriction Policies

W naszym poprzednim artykule wymieniliśmy włączone zasady ograniczeń oprogramowania (SRP, Software Restriction Policies) jako jedno z podstawowych wymagań. Cóż to takiego SRP? Jest to mechanizm zastosowany po raz pierwszy w Windows XP, ograniczający możliwość wykonywania programów na podstawie spełniania określonych kryteriów.

TL;DR dla osób znających system Linux: SRP działa podobnie do opcji „noexec” używanej podczas montowania systemu plików, jest jednak o wiele bardziej elastyczny.

W SRP możliwe jest jednoczesne stosowanie kilku różnych typów ograniczeń:

  • ścieżka (np. „C:\Program Files”) – umożliwia włączenie lub wyłączenie możliwości wykonywania plików z podanego dysku i katalogu
  • hash (czyli skrót pliku, np. SHA-1) – ten typ ograniczenia umożliwia zwykłym użytkownikom uruchomienie samodzielnie pobranego pliku, np. z Intranetu (gdzie administrator umieszcza zweryfikowane pliki i przez AD rozsyła do komputerów listę hashy)
  • certyfikat – umożliwia uruchamianie programów podpisanych cyfrowo przez określone CA (instytucję certyfikującą, w tym przypadku najczęściej rolę CA pełni firmowy dział IT)
  • strefa sieciowa – ten rzadziej stosowany typ ograniczenia umożliwia sterowanie instalowaniem pakietów MSI w zależności od źródła, z którego dany pakiet został pobrany

Co ważne, stworzone ograniczenia obowiązują również administratorów i konta systemowe – jeśli SRP zabrania uruchomienia danego programu, wówczas nie uruchomi go nikt, nie tylko zwykły użytkownik.

A zatem, celem SRP jest podniesienie poziomu bezpieczeństwa systemu poprzez uniemożliwienie niekontrolowanego uruchamiania przez użytkowników samodzielnie ściągniętego oprogramowania. Skuteczna konfiguracja SRP sprowadza się do prostej zasady: w dowolnym miejscu na dysku możesz albo zapisywać pliki, albo je uruchamiać, nigdy jedno i drugie. Od tej zasady można poczynić pewne wyjątki za pomocą reguł typu hash lub certyfikat, umożliwiających uruchamianie oprogramowania wcześniej zaakceptowanego przez administratora i samodzielnie ściągniętego przez użytkownika. Stosując tego typu wyjątki należy jednak mieć na uwadze wzrost komplikacji zestawu reguł jako całości, co przekłada się na trudniejszy audyt, a także wzrost ryzyka popełnienia błędu przez samego administratora.

Wady mechanizmu SRP

Każde zabezpieczenie powoduje jakieś efekty uboczne. W przypadku dobrej konfiguracji SRP nie będą niestety działały programy instalujące się bezpośrednio w katalogu domowym użytkownika. Oto lista takiego oprogramowania:

  • Google Chrome
  • Foxit Cloud (dodatek do czytnika PDF Foxit Reader)
  • plugin KeeFox do Firefox (plugin działa, ale jego samodzielna konfiguracja już nie)
  • mechanizmy aktualizacji niektórych aplikacji, np. Gadu Gadu, Foxit Reader
  • narzędzia dla programistów (kompilatory, linkery, debuggery, build servery itp.) – działają, natomiast nie jest możliwe uruchamianie skompilowanych programów