26 03.2015

Software Restriction Policies

W naszym poprzednim artykule wymieniliśmy włączone zasady ograniczeń oprogramowania (SRP, Software Restriction Policies) jako jedno z podstawowych wymagań. Cóż to takiego SRP?

TL;DR dla osób znających system Linux: SRP działa podobnie do opcji "noexec" używanej podczas montowania systemu plików, jest jednak o wiele bardziej elastyczny.

Software Restriction Policies to mechanizm zastosowany po raz pierwszy w Windows XP, ograniczający możliwość wykonywania programów spełniających określone kryteria (na zasadzie blacklisty bądź whitelisty). Możliwe jest przy tym jednoczesne stosowanie kilku różnych typów ograniczeń:

  • ścieżka (np. "C:\Program Files") - umożliwia włączenie lub wyłączenie możliwości wykonywania plików z podanego dysku i katalogu
  • hash (czyli skrót pliku, np. SHA-1) - ten typ ograniczenia umożliwia zwykłym użytkownikom uruchomienie samodzielnie pobranego pliku, np. z Intranetu (gdzie administrator umieszcza zweryfikowane pliki i przez AD rozsyła do komputerów listę hashy)
  • certyfikat - umożliwia uruchamianie programów podpisanych cyfrowo przez określone CA (instytucję certyfikującą, w tym przypadku najczęściej rolę CA pełni firmowy dział IT)
  • strefa sieciowa - ten rzadziej stosowany typ ograniczenia umożliwia sterowanie instalowaniem pakietów MSI w zależności od źródła, z którego dany pakiet został pobrany

Co ważne, stworzone ograniczenia obowiązują również administratorów i konta systemowe - jeśli SRP zabrania uruchomienia danego programu, wówczas nie uruchomi go nikt, nie tylko zwykły użytkownik.

A zatem, celem SRP jest podniesienie poziomu bezpieczeństwa systemu poprzez uniemożliwienie niekontrolowanego uruchamiania przez użytkowników samodzielnie ściągniętego oprogramowania. Skuteczna konfiguracja SRP sprowadza się do prostej zasady: w dowolnym miejscu na dysku możesz albo zapisywać pliki, albo je uruchamiać, nigdy jedno i drugie. Od tej zasady można poczynić pewne wyjątki za pomocą reguł typu hash lub certyfikat, umożliwiających uruchamianie oprogramowania wcześniej zaakceptowanego przez administratora i samodzielnie ściągniętego przez użytkownika. Stosując tego typu wyjątki należy jednak mieć na uwadze wzrost komplikacji zestawu reguł jako całości, co przekłada się na trudniejszy audyt, a także wzrost ryzyka popełnienia błędu przez samego administratora.

W tym artykule znajdziesz więcej informacji nt. sposobu konfigurowania SRP.


Wady mechanizmu SRP

Każde zabezpieczenie powoduje jakieś efekty uboczne. W przypadku dobrej konfiguracji SRP nie będą niestety działały programy instalujące się bezpośrednio w katalogu domowym użytkownika. Oto lista takiego oprogramowania:

  • Google Chrome
  • Foxit Cloud (dodatek do czytnika PDF Foxit Reader)
  • Belisama4CRM
  • plugin KeeFox do Firefox (plugin działa, ale jego samodzielna konfiguracja już nie)
  • mechanizmy aktualizacji niektórych aplikacji, np. Gadu Gadu, Foxit Reader
  • narzędzia dla programistów (kompilatory, linkery, debuggery, build servery itp.) - działają, natomiast nie jest możliwe uruchamianie skompilowanych programów


Tomasz Klim
Administrator serwerów i baz danych, specjalista w zakresie bezpieczeństwa, architekt IT, przedsiębiorca. Ponad 15 lat w branży IT. Pracował dla największych i najbardziej wymagających firm, jak Grupa Allegro czy Wikia. Obecnie zajmuje się doradztwem dla klientów Fajne.IT, a w wolnych chwilach pisze artykuły. Chętnie podejmuje się ciekawych zleceń.


Wzbudziliśmy Twoje zainteresowanie?

Szukasz pomocy IT? formularz kontaktowy