W naszym poprzednim artykule wymieniliśmy włączone zasady ograniczeń oprogramowania (SRP, Software Restriction Policies) jako jedno z podstawowych wymagań. Cóż to takiego SRP? Jest to mechanizm zastosowany po raz pierwszy w Windows XP, ograniczający możliwość wykonywania programów na podstawie spełniania określonych kryteriów.
TL;DR dla osób znających system Linux: SRP działa podobnie do opcji „noexec” używanej podczas montowania systemu plików, jest jednak o wiele bardziej elastyczny.
W SRP możliwe jest jednoczesne stosowanie kilku różnych typów ograniczeń:
- ścieżka (np. „C:\Program Files”) – umożliwia włączenie lub wyłączenie możliwości wykonywania plików z podanego dysku i katalogu
- hash (czyli skrót pliku, np. SHA-1) – ten typ ograniczenia umożliwia zwykłym użytkownikom uruchomienie samodzielnie pobranego pliku, np. z Intranetu (gdzie administrator umieszcza zweryfikowane pliki i przez AD rozsyła do komputerów listę hashy)
- certyfikat – umożliwia uruchamianie programów podpisanych cyfrowo przez określone CA (instytucję certyfikującą, w tym przypadku najczęściej rolę CA pełni firmowy dział IT)
- strefa sieciowa – ten rzadziej stosowany typ ograniczenia umożliwia sterowanie instalowaniem pakietów MSI w zależności od źródła, z którego dany pakiet został pobrany
Co ważne, stworzone ograniczenia obowiązują również administratorów i konta systemowe – jeśli SRP zabrania uruchomienia danego programu, wówczas nie uruchomi go nikt, nie tylko zwykły użytkownik.
A zatem, celem SRP jest podniesienie poziomu bezpieczeństwa systemu poprzez uniemożliwienie niekontrolowanego uruchamiania przez użytkowników samodzielnie ściągniętego oprogramowania. Skuteczna konfiguracja SRP sprowadza się do prostej zasady: w dowolnym miejscu na dysku możesz albo zapisywać pliki, albo je uruchamiać, nigdy jedno i drugie. Od tej zasady można poczynić pewne wyjątki za pomocą reguł typu hash lub certyfikat, umożliwiających uruchamianie oprogramowania wcześniej zaakceptowanego przez administratora i samodzielnie ściągniętego przez użytkownika. Stosując tego typu wyjątki należy jednak mieć na uwadze wzrost komplikacji zestawu reguł jako całości, co przekłada się na trudniejszy audyt, a także wzrost ryzyka popełnienia błędu przez samego administratora.
Wady mechanizmu SRP
Każde zabezpieczenie powoduje jakieś efekty uboczne. W przypadku dobrej konfiguracji SRP nie będą niestety działały programy instalujące się bezpośrednio w katalogu domowym użytkownika. Oto lista takiego oprogramowania:
- Google Chrome
- Foxit Cloud (dodatek do czytnika PDF Foxit Reader)
- plugin KeeFox do Firefox (plugin działa, ale jego samodzielna konfiguracja już nie)
- mechanizmy aktualizacji niektórych aplikacji, np. Gadu Gadu, Foxit Reader
- narzędzia dla programistów (kompilatory, linkery, debuggery, build servery itp.) – działają, natomiast nie jest możliwe uruchamianie skompilowanych programów