Як за допомогою srp в windows 10 налаштувати додатковий захист від вірусів

Для захисту від шкідливого програмного забезпечення традиційно прийнято використовувати антивіруси і це правильно, але і сама система зовсім не так беззахисна, як це може здатися на перший погляд.

Досить ефективним засобом захисту від шкідливого ПО можуть служити політики безпеки Windows, потрібно тільки їх належним чином налаштувати.

Відео: Включити Захисник Windows 10 (Defender)

У даній статті буде розглянуто метод захисту від вірусів за допомогою Software Restriction Policies або скорочено SRP - політики обмеження програмного забезпечення.

Цей механізм Windows дозволяє забороняти запуск виконуваних файлів з певних каталогів за допомогою локальної або доменної групової політики, отже, може використовуватися як засіб блокування вірусів, троянів, шифрувальників і деяких інших типів шкідливого ПО.

варіанти захисту

Варіантів захисту за допомогою SRP два:

• дозвіл запуску виконуваних файлів тільки з папок Windows і Program Files;
• заборона запуску виконуваних файлів з певних користувальницьких папок.

Перший варіант більш надійний, але в той же час він і більш складний, тому що вимагає ретельного вибору і налагодження додатків.

Ми віддамо перевагу другому, більш простому і зрозумілому для середнього користувача метод.

Як правило, при зараженні ПК більшість вірусів потрапляє в призначені для користувача каталоги AppData і LocalAppData, звідти ж вони і запускаються.

Причина, по якій саме ці папки стали улюбленим місцем для вірусів проста - у користувачів, які не мають адміністраторських прав, можливість копіювати або переміщати файли в каталоги системи відсутня, запис для них обмежується тільки їх власними папками, тому вірусу нічого не залишається як розміщувати свою копію в доступних для запису розташуваннях.

Щоб запобігти запуск вірусів, створимо політику, обмежує старт виконуваних файлів із зазначених каталогів.

командою gpedit.msc запустіть редактор локальних групових політик і перейдіть по ланцюжку Конфігурація комп`ютера - Конфігурація Windows - Параметри безпеки.

Клацніть правою кнопкою по елементу «Політики обмеженого використання програм» і виберіть у меню опцію «Створити політику обмеженого використання програм».

Далі, розгорнувши елемент, клацніть правою кнопкою миші по пункту «Додаткові правила» і виберіть опцію «Створити правило для шляху ...».

Відео: Захист від вірусів-шифрувальників на базі механізмів захисту Windows - AppLocker і SRP

У віконці в поле «Шлях» впишіть % AppData% / *. Exe, «Рівень безпеки» встановіть «Заборонено», вміст поля «Опис» може бути довільним.

Натисніть кнопку «Применить», а потім «OK».

Точно таким же чином створіть правила для наступних шляхів:

Зверніть увагу, що в список папок з обмеженнями ми додали тимчасове сховище для розпаковувати WinRAR архівів (третє правило знизу).

Якщо ви використовуєте інший архіватор, замініть елемент рядка Rar основним підтримуваним їм розширенням, наприклад, % LocalAppData% / Temp / *. Zip / *. Exe. При необхідності можете вказати свої шляхи.

Також непогано було б створити правила для інших типів виконуваних файлів, шкідливий код можуть містити файли msi, dll, cmd, bat, com, vbs, js, wsh і т.д, а не тільки EXE.

Переглянути їх список можна в тих же політиків обмеженого використання програм, двічі клікнувши по елементу «Призначені тип файлів» праворуч.

Відео: Тестування захисту Windows 10 Creators Update

Щоб не мучитися, створюючи правило для кожного типу окремо, допустимо просто видалити входження * .exe на всіх дорогах, при цьому буде заборонений запуск всіх файлів, але в деяких випадках це може призвести до помилок.

Окремо варто сказати пару слів про батьківському каталозі% UserProfile%, окопатися віруси можуть і ньому, проте заборона на запуск файлів з нього знову ж таки може привести до помилок і неполадок в роботі програм.

Наприклад, в профілі користувача можуть зберігатися плагіни браузерів або перевіряючі наявність нових версій програм установники.

Щоб ці програми змогли працювати, необхідно створити для них в SRP виключають правила, вказавши повний шлях до виконуваного файлу і вибравши в меню рівня безпеки «Звичайний користувач» або «Необмежений».

Залишилося тільки перевірити, чи дійсно блокування працює. Для цього після зміни налаштувань перезавантажте комп`ютер або поновіть конфігурацію політики командою gpupdаtе / force, а потім спробуйте запустити з папки % AppData% який-небудь виконуваний файл.

Якщо все зроблено правильно, ви отримаєте повідомлення «Ця програма заблокований системним адміністратором ...».

Більш докладні відомості про заблокованих файлах можна буде отримати в розділі «Додатки» журналу Windows.

Там ці події матимуть джерело SoftwareRestrictionPolicies.