Недавно,leon24(это чел с ru-sphere),поднял интересную тему-Software Restriction Policies.Я жалом поводил по форуму,вроде нет такой хрени у нас в обсуждении.
Итак приступим.Прежде чем читать и настраивать свою несчастную виндовз,подумайте,а нахер это всё надо,можно поставить нормальный антивирь и плевать в потолок. И вы будете отчасти правы..но мы же не любим ходить лёгкими путями,нам геммор давай.Кароч поехали.Во всяких пособиях по виндовзам пишут,что встроен Software Restriction Policies на вот этих системах:
Windows XP Professional, Windows XP Media Center.
Windows Vista Business, Windows Vista Enterprise & Ultimate.
Windows 7 Professional, Windows 7 Enterprise & Ultimate.
Windows Server 2003 и выше(все редакции).
Мне на них пох,так как я сижу на windows 8.1( вы тоже вскоре все пересядете).Поэтому буду настраивать эту полицию на 8.1Pro(хотя разницы нет).Сразу скажу суть этой защиты:она позволяет запускать тока хорошие довереные проги.Эта типа швейцара на дверях,ты ему сказал-пускай тока Ваську и Ленку,а остальных гони нах.Так вот и тут.Но с другой стороны это может быть и минус,лишние движения при установке какой-нибудь срочно нужной программки (типа может Олег с бухлом заходил,а его не пустили).Ладно пристумим-с:прежде всего нам надо открыть оснастку “Локальная политика безопасности”.Проще всего это сделать через "Выполнить"(Win+R) захерачиваем туда команду secpol.msc
и перед нами появляется эта самая ЛПБ.
Далее правой клавишей мыши по пункту “Политики ограниченного использования программ”(я сча подумал,нах буду скринить и настраивать на виртуалке,а то потом назад всё настраивать) и в выпадающем меню выбираем "Создать политику ограниченного использования программ".Жмём.
Теперь нужно малеха настроить.Я поюзал немного статьи везде вообщем-то предлагают одно и тоже.Выбираем пункт "Применение" и ставим настройки по скрине,скажу вам по секрету это настройки по-умолчанию,так что нах ничего не трогайте(эти политики будут распространяться на всех пользаков компьютера,тоесть и на юзера и на админа,но можно этот пункт корректировать).
Теперь перед нами встал вопрос о невозможности пользовать ярлыки с этими зверскими настройками.Что мы будем делать?Нужно жмакнуть пункт “Назначенные типы файлов” и удалить нах из него расширение LNK.Не забываем подтверждать наши манипуляции.
Вот по этому разрешению ярлыкам делать чо хошь,есть спорные мнения,типа это ухудшает безопасность системы.Не слушайте никого,тока меня...они пиздят.Нифига это не влияет на нашу безопасность.Кстати если вы шибко умные,то можете полазать по этому пункту (“Назначенные типы файлов”) и что-нить добавить(для окончательного краха вашей винды,сорь за офтопп).Теперича включим правила,так называемого "Белого списка".Для этого жмём смело "Уровни безопасности" и там пункту "Запрещено" присваиваем значение "По-умолчанию".
Теперь винда у нас стала строгая как сцуко неудовлетворённая женщина (простите за сравнение).Проги будут запускаться,лишь из разрешённых ею папок.Чтобы добавить свои папочки,проги и всякую шнягу(но учтите,это скажеться на без-ти системы) идём в пункт "Дополнительные правила" жмём пр.клавишью мыши и видим строчку"Создать правило для пути".
Вот эта хрень нам и поможет.Создадим,например,правило для пути С:\rusphere типа тут мы будем что-либо запускать в дальнейшем без ограничений.Вообще эти правила очень важны и если у вас что-то не получается сделать в системе,дуйте сюды.
Вот вроде и всё.Теперича,нам нужно сделать включалку и выключалку наших злоебучих правил,чтобы не париться с установкой новых прог или обнов.Создаём два рег-файла.Для отключения(SRP_Disable.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000
Для включения(SRP_Enable.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
Создаём папочку на диске С,например,в программ филес и называем её...как хотим.Туды забрасываем эти рег файлы.Кстати,для тех кто в танке,чтобы создать файл с расширением reg нужно просто переименовать расширение текстового документа .Вместо буковок тхт пишем reg.Да простят меня форумчане за такое дикое отступление.
Далее создаём ярлыки на эти рег файлы и кидаем их на рабочий стол.Когда ставите новую прогу жмём ярлык отключения правил(это даже не отключение,а перевод на другие более "добрые" правила),поставили,снова включаем,другим ярлыком.
И самое главное,внимательне устанавливайте новые правила,а то начнёте добавлять целые диски в доверенные+разрешите обычному юзеру пользоваться этим.Вообщем,скажу честно,читайте Гугл,а то может я вам и напизд..л что-нить=)Хотя не думаю.А вот может случиться хрень и что-нибудь перестало работать,сразу идём в системный журнал в просмотр событий(командой eventvwr.msс в "Выполнить"),там наша винда втихаря пишет что она накосячила.Так вот,если видим там ошибкопредупреждение от SoftwareRestrictionPolicies,внимательно смотрим на путь и добавляем его в наш "белый список",как я описывал выше.Что-то надоело писать,вообщем фиг с ним,эта статейка лишь для привлечения внимания к такому виду защиты нашей горячо любимой системы.
Хоть писал эту статью я,тоесть Антоха (хоть и посматривал в Гугл),но ответственности за ваши кривые руки не несу.Аминь.
З.Ы.У меня всё работает на виртуалке,точнее не работает=)хотел запустить одну прожку,но хрен,виндос,что-то протявкал про политику...вообщем работает,система осталась чистой.
Итак приступим.Прежде чем читать и настраивать свою несчастную виндовз,подумайте,а нахер это всё надо,можно поставить нормальный антивирь и плевать в потолок. И вы будете отчасти правы..но мы же не любим ходить лёгкими путями,нам геммор давай.Кароч поехали.Во всяких пособиях по виндовзам пишут,что встроен Software Restriction Policies на вот этих системах:
Windows XP Professional, Windows XP Media Center.
Windows Vista Business, Windows Vista Enterprise & Ultimate.
Windows 7 Professional, Windows 7 Enterprise & Ultimate.
Windows Server 2003 и выше(все редакции).
Мне на них пох,так как я сижу на windows 8.1( вы тоже вскоре все пересядете).Поэтому буду настраивать эту полицию на 8.1Pro(хотя разницы нет).Сразу скажу суть этой защиты:она позволяет запускать тока хорошие довереные проги.Эта типа швейцара на дверях,ты ему сказал-пускай тока Ваську и Ленку,а остальных гони нах.Так вот и тут.Но с другой стороны это может быть и минус,лишние движения при установке какой-нибудь срочно нужной программки (типа может Олег с бухлом заходил,а его не пустили).Ладно пристумим-с:прежде всего нам надо открыть оснастку “Локальная политика безопасности”.Проще всего это сделать через "Выполнить"(Win+R) захерачиваем туда команду secpol.msc
и перед нами появляется эта самая ЛПБ.
Далее правой клавишей мыши по пункту “Политики ограниченного использования программ”(я сча подумал,нах буду скринить и настраивать на виртуалке,а то потом назад всё настраивать) и в выпадающем меню выбираем "Создать политику ограниченного использования программ".Жмём.
Теперь нужно малеха настроить.Я поюзал немного статьи везде вообщем-то предлагают одно и тоже.Выбираем пункт "Применение" и ставим настройки по скрине,скажу вам по секрету это настройки по-умолчанию,так что нах ничего не трогайте(эти политики будут распространяться на всех пользаков компьютера,тоесть и на юзера и на админа,но можно этот пункт корректировать).
Теперь перед нами встал вопрос о невозможности пользовать ярлыки с этими зверскими настройками.Что мы будем делать?Нужно жмакнуть пункт “Назначенные типы файлов” и удалить нах из него расширение LNK.Не забываем подтверждать наши манипуляции.
Вот по этому разрешению ярлыкам делать чо хошь,есть спорные мнения,типа это ухудшает безопасность системы.Не слушайте никого,тока меня...они пиздят.Нифига это не влияет на нашу безопасность.Кстати если вы шибко умные,то можете полазать по этому пункту (“Назначенные типы файлов”) и что-нить добавить(для окончательного краха вашей винды,сорь за офтопп).Теперича включим правила,так называемого "Белого списка".Для этого жмём смело "Уровни безопасности" и там пункту "Запрещено" присваиваем значение "По-умолчанию".
Теперь винда у нас стала строгая как сцуко неудовлетворённая женщина (простите за сравнение).Проги будут запускаться,лишь из разрешённых ею папок.Чтобы добавить свои папочки,проги и всякую шнягу(но учтите,это скажеться на без-ти системы) идём в пункт "Дополнительные правила" жмём пр.клавишью мыши и видим строчку"Создать правило для пути".
Вот эта хрень нам и поможет.Создадим,например,правило для пути С:\rusphere типа тут мы будем что-либо запускать в дальнейшем без ограничений.Вообще эти правила очень важны и если у вас что-то не получается сделать в системе,дуйте сюды.
Вот вроде и всё.Теперича,нам нужно сделать включалку и выключалку наших злоебучих правил,чтобы не париться с установкой новых прог или обнов.Создаём два рег-файла.Для отключения(SRP_Disable.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000
Для включения(SRP_Enable.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000
Создаём папочку на диске С,например,в программ филес и называем её...как хотим.Туды забрасываем эти рег файлы.Кстати,для тех кто в танке,чтобы создать файл с расширением reg нужно просто переименовать расширение текстового документа .Вместо буковок тхт пишем reg.Да простят меня форумчане за такое дикое отступление.
Далее создаём ярлыки на эти рег файлы и кидаем их на рабочий стол.Когда ставите новую прогу жмём ярлык отключения правил(это даже не отключение,а перевод на другие более "добрые" правила),поставили,снова включаем,другим ярлыком.
И самое главное,внимательне устанавливайте новые правила,а то начнёте добавлять целые диски в доверенные+разрешите обычному юзеру пользоваться этим.Вообщем,скажу честно,читайте Гугл,а то может я вам и напизд..л что-нить=)Хотя не думаю.А вот может случиться хрень и что-нибудь перестало работать,сразу идём в системный журнал в просмотр событий(командой eventvwr.msс в "Выполнить"),там наша винда втихаря пишет что она накосячила.Так вот,если видим там ошибкопредупреждение от SoftwareRestrictionPolicies,внимательно смотрим на путь и добавляем его в наш "белый список",как я описывал выше.Что-то надоело писать,вообщем фиг с ним,эта статейка лишь для привлечения внимания к такому виду защиты нашей горячо любимой системы.
Хоть писал эту статью я,тоесть Антоха (хоть и посматривал в Гугл),но ответственности за ваши кривые руки не несу.Аминь.
З.Ы.У меня всё работает на виртуалке,точнее не работает=)хотел запустить одну прожку,но хрен,виндос,что-то протявкал про политику...вообщем работает,система осталась чистой.