• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Software Restriction Policies или Система на страже своей безопасности. (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Понравилось бы Вам юзать эту хрень?

  • Да

    Голосов: 5 62.5%
  • Нет

    Голосов: 2 25.0%
  • Иди ты ...со своей хренью!

    Голосов: 1 12.5%

  • Всего проголосовало
    8

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Недавно,leon24(это чел с ru-sphere),поднял интересную тему-Software Restriction Policies.Я жалом поводил по форуму,вроде нет такой хрени у нас в обсуждении.
Итак приступим.Прежде чем читать и настраивать свою несчастную виндовз,подумайте,а нахер это всё надо,можно поставить нормальный антивирь и плевать в потолок. И вы будете отчасти правы..но мы же не любим ходить лёгкими путями,нам геммор давай.Кароч поехали.Во всяких пособиях по виндовзам пишут,что встроен Software Restriction Policies на вот этих системах:
Windows XP Professional, Windows XP Media Center.
Windows Vista Business, Windows Vista Enterprise & Ultimate.
Windows 7 Professional, Windows 7 Enterprise & Ultimate.
Windows Server 2003 и выше(все редакции).
Мне на них пох,так как я сижу на windows 8.1( вы тоже вскоре все пересядете).Поэтому буду настраивать эту полицию на 8.1Pro(хотя разницы нет).Сразу скажу суть этой защиты:она позволяет запускать тока хорошие довереные проги.Эта типа швейцара на дверях,ты ему сказал-пускай тока Ваську и Ленку,а остальных гони нах.Так вот и тут.Но с другой стороны это может быть и минус,лишние движения при установке какой-нибудь срочно нужной программки (типа может Олег с бухлом заходил,а его не пустили).Ладно пристумим-с:прежде всего нам надо открыть оснастку “Локальная политика безопасности”.Проще всего это сделать через "Выполнить"(Win+R) захерачиваем туда команду secpol.msc
Снимок.PNG

и перед нами появляется эта самая ЛПБ.
Снимок1.PNG

Далее правой клавишей мыши по пункту “Политики ограниченного использования программ”(я сча подумал,нах буду скринить и настраивать на виртуалке,а то потом назад всё настраивать) и в выпадающем меню выбираем "Создать политику ограниченного использования программ".Жмём.
Снимок2.PNG

Теперь нужно малеха настроить.Я поюзал немного статьи везде вообщем-то предлагают одно и тоже.Выбираем пункт "Применение" и ставим настройки по скрине,скажу вам по секрету это настройки по-умолчанию,так что нах ничего не трогайте(эти политики будут распространяться на всех пользаков компьютера,тоесть и на юзера и на админа,но можно этот пункт корректировать).
Снимок3.PNG

Теперь перед нами встал вопрос о невозможности пользовать ярлыки с этими зверскими настройками.Что мы будем делать?Нужно жмакнуть пункт “Назначенные типы файлов” и удалить нах из него расширение LNK.Не забываем подтверждать наши манипуляции.
Снимок4.PNG

Вот по этому разрешению ярлыкам делать чо хошь,есть спорные мнения,типа это ухудшает безопасность системы.Не слушайте никого,тока меня...они пиздят.Нифига это не влияет на нашу безопасность.Кстати если вы шибко умные,то можете полазать по этому пункту (“Назначенные типы файлов”) и что-нить добавить(для окончательного краха вашей винды,сорь за офтопп).Теперича включим правила,так называемого "Белого списка".Для этого жмём смело "Уровни безопасности" и там пункту "Запрещено" присваиваем значение "По-умолчанию".
Снимок6.PNG

Теперь винда у нас стала строгая как сцуко неудовлетворённая женщина (простите за сравнение).Проги будут запускаться,лишь из разрешённых ею папок.Чтобы добавить свои папочки,проги и всякую шнягу(но учтите,это скажеться на без-ти системы) идём в пункт "Дополнительные правила" жмём пр.клавишью мыши и видим строчку"Создать правило для пути".
Снимок7.PNG

Вот эта хрень нам и поможет.Создадим,например,правило для пути С:\rusphere типа тут мы будем что-либо запускать в дальнейшем без ограничений.Вообще эти правила очень важны и если у вас что-то не получается сделать в системе,дуйте сюды.
Снимок8.PNG

Вот вроде и всё.Теперича,нам нужно сделать включалку и выключалку наших злоебучих правил,чтобы не париться с установкой новых прог или обнов.Создаём два рег-файла.Для отключения(SRP_Disable.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000
Для включения(SRP_Enable.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
Создаём папочку на диске С,например,в программ филес и называем её...как хотим.Туды забрасываем эти рег файлы.Кстати,для тех кто в танке,чтобы создать файл с расширением reg нужно просто переименовать расширение текстового документа .Вместо буковок тхт пишем reg.Да простят меня форумчане за такое дикое отступление.
Снимок9.PNG

Далее создаём ярлыки на эти рег файлы и кидаем их на рабочий стол.Когда ставите новую прогу жмём ярлык отключения правил(это даже не отключение,а перевод на другие более "добрые" правила),поставили,снова включаем,другим ярлыком.
И самое главное,внимательне устанавливайте новые правила,а то начнёте добавлять целые диски в доверенные+разрешите обычному юзеру пользоваться этим.Вообщем,скажу честно,читайте Гугл,а то может я вам и напизд..л что-нить=)Хотя не думаю.А вот может случиться хрень и что-нибудь перестало работать,сразу идём в системный журнал в просмотр событий(командой eventvwr.msс в "Выполнить"),там наша винда втихаря пишет что она накосячила.Так вот,если видим там ошибкопредупреждение от SoftwareRestrictionPolicies,внимательно смотрим на путь и добавляем его в наш "белый список",как я описывал выше.Что-то надоело писать,вообщем фиг с ним,эта статейка лишь для привлечения внимания к такому виду защиты нашей горячо любимой системы.
Хоть писал эту статью я,тоесть Антоха (хоть и посматривал в Гугл),но ответственности за ваши кривые руки не несу.Аминь.
З.Ы.У меня всё работает на виртуалке,точнее не работает=)хотел запустить одну прожку,но хрен,виндос,что-то протявкал про политику...вообщем работает,система осталась чистой.
Снимок10.PNG
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Бляяя,нафига писал,сейчас только увидел,что у Хатопа эта тема уже запилена
ci.gif
И раскрыта она у него более полно.С учётом добавления своих правил в "белый список" ит.п и т.д.Ну ладно,пускай моя тема будет как дополнение.У меня более наглядно и по-русски.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Вообщем я сейчас поюзал-поюзал,как-то неудобно с этими политиками работать.Помимо того,что я написал в статье выше,нужно будет "допиливать" всё это дело.Одним словом,эти правила хороши для системного администратора,если у него под контролем сеть компов с быдло-юзерами у монитора.Настроил,например,чтобы у всех работал только Майкрософт Офис и доступ к инету с ограничением и не епёт.Зато заразы нет.
 

metalhead

Уважающий себя и других
Форумчанин
Регистрация
13.04.2013
Сообщения
102
Репутация
23
Windows 7 Emsisoft Anti-Maleware &Emsisoft On-Line Armor и больше ничего не нужно(ну конечно при условии_что проблема находится не в полуметре от компа!)
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Windows 7 Emsisoft Anti-Maleware &Emsisoft On-Line Armor и больше ничего не нужно(ну конечно при условии_что проблема находится не в полуметре от компа!)
Нужно,брат...нужно!А я что буду делать,сидеть и скучать у компа?Дай ты мне сейчас хоть стопроцентную защиту где никаких действий совершать не надо-я откажусь.Для меня главное,чтоб не скучно было.А,вот например твой эмсик интересное что-нибудь творит?Обычный антивирь.Так что,спасибо у мине уже есть.
ну конечно при условии_что проблема находится не в полуметре от компа!)
А данные политики (описанные в статье выше) решают и эту проблему.
 

metalhead

Уважающий себя и других
Форумчанин
Регистрация
13.04.2013
Сообщения
102
Репутация
23
Согласен скучать у компа не надо.Но дело в том_что я уже столько раз ронял систему_что потом уже и восстанавливать её стало лень.Работает и хрен с ней.Единственное что меняю так это оформление ну а остальное по мелочи...
 

024

Уважаемый пользователь
Форумчанин
Регистрация
02.01.2014
Сообщения
163
Репутация
201
Антоха молодец замечательная статья.sm582398247
 

024

Уважаемый пользователь
Форумчанин
Регистрация
02.01.2014
Сообщения
163
Репутация
201
Windows 7 Emsisoft Anti-Maleware &Emsisoft On-Line Armor и больше ничего не нужно(ну конечно при условии_что проблема находится не в полуметре от компа!)

Dmeh-Smeh-Smeh!!! ха-ха-ха Ну ты меня насмешил. Чаще всего сама проблема на против монитора сидит и клацает мышкой без разбора ,а в другой руке кружка кофе или бутерброд,что приходилось мне чаще всего видеть через вебкамеру
 

BLONDY HACKER

:))
Форумчанин
Регистрация
07.12.2012
Сообщения
2 083
Репутация
333
Антоха, у тебя новый стиль написанияwink1 я закрою глаза на ненорматив, My mind объяснил все доходчиво и по-русскиОтдыхай!!! Единственное, пиши в таком стиле всегда!Думки думаю!!! Я ухохоталась, пока дочитала твою статью, думала, что на работе вызовут неотложку,tease1 напялят на меня стильную, белую рубашку (такую с длинными рукавами)fear и отправят на агафуровские дачи i'm beach загорать, так как нельзяnea88 так ржатьDmeh-Smeh-Smeh!!! Dmeh-Smeh-Smeh!!! Dmeh-Smeh-Smeh!!! во время работы - это мне так сказалиi cray