SRP — Политика ограниченного использования программ

Для усиления безопасности персональных компьютеров, в дополнение к антивирусу, достаточно эффективно зарекомендовала себя технология политики ограниченного использования программ (Software Restiction Policies). Однако удобство её настройки лимитировано особенностями редакций Windows.

Применение политики ограниченного использования программ в домашних редакциях WindowsПрофессиональные и корпоративные редакции Windows, имеющие полноценный механизм конфигурирования SRP, рассчитаны на работу в доменной среде предприятий, где за безопасностью следят администраторы, и конечным пользователям не нужно вникать во многие нюансы. Домашним же пользователям часто приходится самим обеспечивать безопасность своих компьютеров, довольствуясь при этом одним из вариантов Windows Home, предустановленным при продаже. В этой редакции, к сожалению, отсутствует оснастка для редактирования политик безопасности, да и бдительные администраторы, как правило, не стоят за спиной невидимой тенью. Слепо доверяясь антивирусам и допуская массу ошибок при работе за компьютером, такие пользователи являются наиболее уязвимой группой и бездонным денежным мешком для разного рода доморощенных компьютерных самоучек, регулярно изгоняющих демонов из их компьютеров.
В этой статье я не буду рассматривать надежность тех или иных антивирусов, поскольку уже много лет не пользуюсь ими на своих компьютерах. Вместо этого предлагаю готовое решение для включения политики ограниченного использования программ в домашних (и не только) редакциях Windows. Кто уже утомился читать, крутите страницу до конца, и качайте архив с установочными файлами, а для желающих узнать, что включает в себя данная политика, предлагаю заглянуть под достаточно длинный спойлер со списком путей, расширений и имён файлов, запуск которых будет заблокирован на компьютере встроенными средствами ОС.

Показать »

%allusersprofile%\*.bat
%allusersprofile%\*.cmd
%allusersprofile%\*.com
%allusersprofile%\*.exe
%allusersprofile%\*.js
%allusersprofile%\*.jse
%allusersprofile%\*.pif
%allusersprofile%\*.scr
%allusersprofile%\*\*.bat
%allusersprofile%\*\*.cmd
%allusersprofile%\*\*.com
%allusersprofile%\*\*.exe
%allusersprofile%\*\*.js
%allusersprofile%\*\*.jse
%allusersprofile%\*\*.pif
%allusersprofile%\*\*.scr
%appdata%\*.bat
%appdata%\*.cmd
%appdata%\*.com
%appdata%\*.exe
%appdata%\*.js
%appdata%\*.jse
%appdata%\*.pif
%appdata%\*.scr
%appdata%\*\*.bat
%appdata%\*\*.cmd
%appdata%\*\*.com
%appdata%\*\*.exe
%appdata%\*\*.js
%appdata%\*\*.jse
%appdata%\*\*.pif
%appdata%\*\*.scr
%programdata%\*.bat
%programdata%\*.cmd
%programdata%\*.com
%programdata%\*.exe
%programdata%\*.js
%programdata%\*.jse
%programdata%\*.pif
%programdata%\*.scr
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.bat
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.cmd
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.com
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.js
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.jse
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.pif
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.scr
%programdata%\*\svchost.exe
%programfiles%\*\svchost.exe
%programfiles(x86)%\*\svchost.exe
%systemdrive%\*\svchost.exe
%systemdrive%\Users\*.bat
%systemdrive%\Users\*.cmd
%systemdrive%\Users\*.exe
%systemdrive%\Users\*.js
%systemdrive%\Users\*.jse
%systemdrive%\Users\*.pif
%systemdrive%\Users\*.scr
%userprofile%\*.bat
%userprofile%\*.cmd
%userprofile%\*.com
%userprofile%\*.exe
%userprofile%\*.js
%userprofile%\*.jse
%userprofile%\*.pif
%userprofile%\*.scr
%userprofile%\AppData\*.bat
%userprofile%\AppData\*.cmd
%userprofile%\AppData\*.com
%userprofile%\AppData\*.exe
%userprofile%\AppData\*.js
%userprofile%\AppData\*.jse
%userprofile%\AppData\*.pif
%userprofile%\AppData\*.scr
%userprofile%\AppData\Local\*.bat
%userprofile%\AppData\Local\*.cmd
%userprofile%\AppData\Local\*.com
%userprofile%\AppData\Local\*.exe
%userprofile%\AppData\Local\*.js
%userprofile%\AppData\Local\*.jse
%userprofile%\AppData\Local\*.pif
%userprofile%\AppData\Local\*.scr
%userprofile%\AppData\LocalLow\*.bat
%userprofile%\AppData\LocalLow\*.cmd
%userprofile%\AppData\LocalLow\*.com
%userprofile%\AppData\LocalLow\*.exe
%userprofile%\AppData\LocalLow\*.js
%userprofile%\AppData\LocalLow\*.jse
%userprofile%\AppData\LocalLow\*.pif
%userprofile%\AppData\LocalLow\*.scr
%userprofile%\AppData\LocalLow\*\*.bat
%userprofile%\AppData\LocalLow\*\*.cmd
%userprofile%\AppData\LocalLow\*\*.com
%userprofile%\AppData\LocalLow\*\*.exe
%userprofile%\AppData\LocalLow\*\*.js
%userprofile%\AppData\LocalLow\*\*.jse
%userprofile%\AppData\LocalLow\*\*.pif
%userprofile%\AppData\LocalLow\*\*.scr
%userprofile%\Appdata\Roaming\Microsoft\Windows\IEUpdate\*.exe
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.bat
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.cmd
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.com
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.js
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.jse
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.pif
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.scr
*.7z*.bat
*.7z*.cmd
*.7z*.com
*.7z*.exe
*.7z*.js
*.7z*.jse
*.7z*.pif
*.7z*.scr
*.7z*.vbs
*.7z*.vba
*.avi*.bat
*.avi*.cmd
*.avi*.com
*.avi*.exe
*.avi*.js
*.avi*.jse
*.avi*.pif
*.avi*.scr
*.avi*.vbs
*.avi*.vba
*.bmp*.bat
*.bmp*.cmd
*.bmp*.com
*.bmp*.exe
*.bmp*.js
*.bmp*.jse
*.bmp*.pif
*.bmp*.scr
*.bmp*.vbs
*.bmp*.vba
*.divx*.bat
*.divx*.cmd
*.divx*.com
*.divx*.exe
*.divx*.js
*.divx*.jse
*.divx*.pif
*.divx*.scr
*.divx*.vbs
*.divx*.vba
*.doc*.bat
*.doc*.cmd
*.doc*.com
*.doc*.exe
*.doc*.js
*.doc*.jse
*.doc*.pif
*.doc*.scr
*.doc*.vbs
*.doc*.vba
*.docx*.bat
*.docx*.cmd
*.docx*.com
*.docx*.exe
*.docx*.js
*.docx*.jse
*.docx*.pif
*.docx*.scr
*.docx*.vbs
*.docx*.vba
*.gif*.bat
*.gif*.cmd
*.gif*.com
*.gif*.exe
*.gif*.js
*.gif*.jse
*.gif*.pif
*.gif*.scr
*.gif*.vbs
*.gif*.vba
*.jpeg*.bat
*.jpeg*.cmd
*.jpeg*.com
*.jpeg*.exe
*.jpeg*.js
*.jpeg*.jse
*.jpeg*.pif
*.jpeg*.scr
*.jpeg*.vbs
*.jpeg*.vba
*.jpg*.bat
*.jpg*.cmd
*.jpg*.com
*.jpg*.exe
*.jpg*.js
*.jpg*.jse
*.jpg*.pif
*.jpg*.scr
*.jpg*.vbs
*.jpg*.vba
*.mp3*.bat
*.mp3*.cmd
*.mp3*.com
*.mp3*.exe
*.mp3*.js
*.mp3*.jse
*.mp3*.pif
*.mp3*.scr
*.mp3*.vbs
*.mp3*.vba
*.mp4*.bat
*.mp4*.cmd
*.mp4*.com
*.mp4*.exe
*.mp4*.js
*.mp4*.jse
*.mp4*.pif
*.mp4*.scr
*.mp4*.vbs
*.mp4*.vba
*.pdf*.bat
*.pdf*.cmd
*.pdf*.com
*.pdf*.exe
*.pdf*.js
*.pdf*.jse
*.pdf*.pif
*.pdf*.scr
*.pdf*.vbs
*.pdf*.vba
*.png*.bat
*.png*.cmd
*.png*.com
*.png*.exe
*.png*.js
*.png*.jse
*.png*.pif
*.png*.scr
*.png*.vbs
*.png*.vba
*.ppt*.bat
*.ppt*.cmd
*.ppt*.com
*.ppt*.exe
*.ppt*.js
*.ppt*.jse
*.ppt*.pif
*.ppt*.scr
*.ppt*.vbs
*.ppt*.vba
*.pptx*.bat
*.pptx*.cmd
*.pptx*.com
*.pptx*.exe
*.pptx*.js
*.pptx*.jse
*.pptx*.pif
*.pptx*.scr
*.pptx*.vbs
*.pptx*.vba
*.pub*.bat
*.pub*.cmd
*.pub*.com
*.pub*.exe
*.pub*.js
*.pub*.jse
*.pub*.pif
*.pub*.scr
*.pub*.vbs
*.pub*.vba
*.rar*.bat
*.rar*.cmd
*.rar*.com
*.rar*.exe
*.rar*.js
*.rar*.jse
*.rar*.pif
*.rar*.scr
*.rar*.vbs
*.rar*.vba
*.rtf*.bat
*.rtf*.cmd
*.rtf*.com
*.rtf*.exe
*.rtf*.js
*.rtf*.jse
*.rtf*.pif
*.rtf*.scr
*.rtf*.vbs
*.rtf*.vba
*.txt*.bat
*.txt*.cmd
*.txt*.com
*.txt*.exe
*.txt*.js
*.txt*.jse
*.txt*.pif
*.txt*.scr
*.txt*.vbs
*.txt*.vba
*.wav*.bat
*.wav*.cmd
*.wav*.com
*.wav*.exe
*.wav*.js
*.wav*.jse
*.wav*.pif
*.wav*.scr
*.wav*.vbs
*.wav*.vba
*.wma*.bat
*.wma*.cmd
*.wma*.com
*.wma*.exe
*.wma*.js
*.wma*.jse
*.wma*.pif
*.wma*.scr
*.wma*.vbs
*.wma*.vba
*.wmv*.bat
*.wmv*.cmd
*.wmv*.com
*.wmv*.exe
*.wmv*.js
*.wmv*.jse
*.wmv*.pif
*.wmv*.scr
*.wmv*.vbs
*.wmv*.vba
*.xls*.bat
*.xls*.cmd
*.xls*.com
*.xls*.exe
*.xls*.js
*.xls*.jse
*.xls*.pif
*.xls*.scr
*.xls*.vbs
*.xls*.vba
*.xlsx*.bat
*.xlsx*.cmd
*.xlsx*.com
*.xlsx*.exe
*.xlsx*.js
*.xlsx*.jse
*.xlsx*.pif
*.xlsx*.scr
*.xlsx*.vbs
*.xlsx*.vba
*.zip*.bat
*.zip*.cmd
*.zip*.com
*.zip*.exe
*.zip*.js
*.zip*.jse
*.zip*.pif
*.zip*.scr
*.zip*.vbs
*.zip*.vba
*.xlt*.bat
*.xlt*.cmd
*.xlt*.com
*.xlt*.exe
*.xlt*.js
*.xlt*.jse
*.xlt*.pif
*.xlt*.scr
*.xlt*.vbs
*.xlt*.vba
*.xltx*.bat
*.xltx*.cmd
*.xltx*.com
*.xltx*.exe
*.xltx*.js
*.xltx*.jse
*.xltx*.pif
*.xltx*.scr
*.xltx*.vbs
*.xltx*.vba
*.dot*.bat
*.dot*.cmd
*.dot*.com
*.dot*.exe
*.dot*.js
*.dot*.jse
*.dot*.pif
*.dot*.scr
*.dot*.vbs
*.dot*.vba
*.dotx*.bat
*.dotx*.cmd
*.dotx*.com
*.dotx*.exe
*.dotx*.js
*.dotx*.jse
*.dotx*.pif
*.dotx*.scr
*.dotx*.vbs
*.dotx*.vba
*.ppt*.bat
*.ppt*.cmd
*.ppt*.com
*.ppt*.exe
*.ppt*.js
*.ppt*.jse
*.ppt*.pif
*.ppt*.scr
*.ppt*.vbs
*.ppt*.vba
*.pptx*.bat
*.pptx*.cmd
*.pptx*.com
*.pptx*.exe
*.pptx*.js
*.pptx*.jse
*.pptx*.pif
*.pptx*.scr
*.pptx*.vbs
*.pptx*.vba
*.pptm*.bat
*.pptm*.cmd
*.pptm*.com
*.pptm*.exe
*.pptm*.js
*.pptm*.jse
*.pptm*.pif
*.pptm*.scr
*.pptm*.vbs
*.pptm*.vba
*.potx*.bat
*.potx*.cmd
*.potx*.com
*.potx*.exe
*.potx*.js
*.potx*.jse
*.potx*.pif
*.potx*.scr
*.potx*.vbs
*.potx*.vba
*.pot*.bat
*.pot*.cmd
*.pot*.com
*.pot*.exe
*.pot*.js
*.pot*.jse
*.pot*.pif
*.pot*.scr
*.pot*.vbs
*.pot*.vba
*.potm*.bat
*.potm*.cmd
*.potm*.com
*.potm*.exe
*.potm*.js
*.potm*.jse
*.potm*.pif
*.potm*.scr
*.potm*.vbs
*.potm*.vba
*.pps*.bat
*.pps*.cmd
*.pps*.com
*.pps*.exe
*.pps*.js
*.pps*.jse
*.pps*.pif
*.pps*.scr
*.pps*.vbs
*.pps*.vba
*.ppsx*.bat
*.ppsx*.cmd
*.ppsx*.com
*.ppsx*.exe
*.ppsx*.js
*.ppsx*.jse
*.ppsx*.pif
*.ppsx*.scr
*.ppsx*.vbs
*.ppsx*.vba
*.ppsm*.bat
*.ppsm*.cmd
*.ppsm*.com
*.ppsm*.exe
*.ppsm*.js
*.ppsm*.jse
*.ppsm*.pif
*.ppsm*.scr
*.ppsm*.vbs
*.ppsm*.vba
*.docm*.bat
*.docm*.cmd
*.docm*.com
*.docm*.exe
*.docm*.js
*.docm*.jse
*.docm*.pif
*.docm*.scr
*.docm*.vbs
*.docm*.vba
*.dotm*.bat
*.dotm*.cmd
*.dotm*.com
*.dotm*.exe
*.dotm*.js
*.dotm*.jse
*.dotm*.pif
*.dotm*.scr
*.dotm*.vbs
*.dotm*.vba
*.xlsm*.bat
*.xlsm*.cmd
*.xlsm*.com
*.xlsm*.exe
*.xlsm*.js
*.xlsm*.jse
*.xlsm*.pif
*.xlsm*.scr
*.xlsm*.vbs
*.xlsm*.vba
*.xlsb*.bat
*.xlsb*.cmd
*.xlsb*.com
*.xlsb*.exe
*.xlsb*.js
*.xlsb*.jse
*.xlsb*.pif
*.xlsb*.scr
*.xlsb*.vbs
*.xlsb*.vba
*.xlam*.bat
*.xlam*.cmd
*.xlam*.com
*.xlam*.exe
*.xlam*.js
*.xlam*.jse
*.xlam*.pif
*.xlam*.scr
*.xlam*.vbs
*.xlam*.vba
*.xla*.bat
*.xla*.cmd
*.xla*.com
*.xla*.exe
*.xla*.js
*.xla*.jse
*.xla*.pif
*.xla*.scr
*.xla*.vbs
*.xla*.vba
*.odt*.bat
*.odt*.cmd
*.odt*.com
*.odt*.exe
*.odt*.js
*.odt*.jse
*.odt*.pif
*.odt*.scr
*.odt*.vbs
*.odt*.vba
*.ott*.bat
*.ott*.cmd
*.ott*.com
*.ott*.exe
*.ott*.js
*.ott*.jse
*.ott*.pif
*.ott*.scr
*.ott*.vbs
*.ott*.vba
*.odg*.bat
*.odg*.cmd
*.odg*.com
*.odg*.exe
*.odg*.js
*.odg*.jse
*.odg*.pif
*.odg*.scr
*.odg*.vbs
*.odg*.vba
*.otg*.bat
*.otg*.cmd
*.otg*.com
*.otg*.exe
*.otg*.js
*.otg*.jse
*.otg*.pif
*.otg*.scr
*.otg*.vbs
*.otg*.vba
*.odp*.bat
*.odp*.cmd
*.odp*.com
*.odp*.exe
*.odp*.js
*.odp*.jse
*.odp*.pif
*.odp*.scr
*.odp*.vbs
*.odp*.vba
*.otp*.bat
*.otp*.cmd
*.otp*.com
*.otp*.exe
*.otp*.js
*.otp*.jse
*.otp*.pif
*.otp*.scr
*.otp*.vbs
*.otp*.vba
*.ods*.bat
*.ods*.cmd
*.ods*.com
*.ods*.exe
*.ods*.js
*.ods*.jse
*.ods*.pif
*.ods*.scr
*.ods*.vbs
*.ods*.vba
*.ots*.bat
*.ots*.cmd
*.ots*.com
*.ots*.exe
*.ots*.js
*.ots*.jse
*.ots*.pif
*.ots*.scr
*.ots*.vbs
*.ots*.vba
*.odc*.bat
*.odc*.cmd
*.odc*.com
*.odc*.exe
*.odc*.js
*.odc*.jse
*.odc*.pif
*.odc*.scr
*.odc*.vbs
*.odc*.vba
*.otc*.bat
*.otc*.cmd
*.otc*.com
*.otc*.exe
*.otc*.js
*.otc*.jse
*.otc*.pif
*.otc*.scr
*.otc*.vbs
*.otc*.vba
*.oti*.bat
*.oti*.cmd
*.oti*.com
*.oti*.exe
*.oti*.js
*.oti*.jse
*.oti*.pif
*.oti*.scr
*.oti*.vbs
*.oti*.vba
*.odi*.bat
*.odi*.cmd
*.odi*.com
*.odi*.exe
*.odi*.js
*.odi*.jse
*.odi*.pif
*.odi*.scr
*.odi*.vbs
*.odi*.vba
*.odf*.bat
*.odf*.cmd
*.odf*.com
*.odf*.exe
*.odf*.js
*.odf*.jse
*.odf*.pif
*.odf*.scr
*.odf*.vbs
*.odf*.vba
*.odm*.bat
*.odm*.cmd
*.odm*.com
*.odm*.exe
*.odm*.js
*.odm*.jse
*.odm*.pif
*.odm*.scr
*.odm*.vbs
*.odm*.vba
*.otf*.bat
*.otf*.cmd
*.otf*.com
*.otf*.exe
*.otf*.js
*.otf*.jse
*.otf*.pif
*.otf*.scr
*.otf*.vbs
*.otf*.vba
*.oth*.bat
*.oth*.cmd
*.oth*.com
*.oth*.exe
*.oth*.js
*.oth*.jse
*.oth*.pif
*.oth*.scr
*.oth*.vbs
*.oth*.vba
*.arj*.bat
*.arj*.cmd
*.arj*.com
*.arj*.exe
*.arj*.js
*.arj*.jse
*.arj*.pif
*.arj*.scr
*.arj*.vbs
*.arj*.vba
*.djvu*.bat
*.djvu*.cmd
*.djvu*.com
*.djvu*.exe
*.djvu*.js
*.djvu*.jse
*.djvu*.pif
*.djvu*.scr
*.djvu*.vbs
*.djvu*.vba
*:\$Recycle.Bin

В расширенной версии блокируются также:
cscript.exe
wscript.exe
vssadmin.exe
syskey.exe
cipher.exe

Как видно из листинга, блокируются поддельные двойные расширения популярных типов файлов независимо от их местонахождения на дисках, а так же ограничен запуск программ из профиля пользователя. И да, обеспокоенный безопасностью пользователь, обязательно должен работать под ограниченной учётной записью, это не обсуждается. Только в этом случае ни один вирус не скопирует себя в системные директории и не заразит весь компьютер. Самое худшее, что может произойти при работе под «Пользователем», это заражение текущего профиля, который легко пересоздаётся, но даже это потребуется вам с очень малой долей вероятности, если вы выполните рекомендации из данной статьи.

После применения политик ограниченного использования программ (пункт «Установить» в контекстном меню файла SRPPrevent.inf)
Установка Software Restiction Policy Preventing
и перезагрузки компьютера, результат запуска любого исполняемого файла, например, из профиля пользователя вас порадует (или удивит, если вы не до конца понимаете, о чём речь). Среднестатистический вирус при этом будет полностью остановлен, причём без использования именитых антивирусов.

Политика ограниченного использования программ в действии

Если по каким-то причинам потребуется отменить ограничения SRP и привести компьютер к первоначальному незащищённому состоянию, сделать это предельно просто, достаточно деинсталлировать «Software Restiction Policy Preventing» из панели «Программы и компоненты»

Скачать SRP REG-файлы
.
Файлы совместимы с операционными системами от Windows Vista до Windows 10.
Windows XP, к сожалению, не поддерживается из-за отсутствия её в моём домашнем парке, а в организациях я обычно разворачиваю политику SRP в домене, но это тема для отдельной статьи.
В архиве так же находится бинарный инсталлятор (7z SFX архив) для привычной установки двойным кликом мышью, инсталлятор имеет режим установки расширенной защиты, подробности в файле ReadMe.txt.