Опции политики ограниченного использования программ
В этом разделе обсуждаются различные опции, которые влияют на поведение политики ограниченного использования программ. Эти опции изменяют область применения политики или параметры доверия Authenticode для файлов с цифровой подписью.
Опции принудительного применения
Существуют две опции принудительного применения политики ограниченного использования программ: проверка библиотек DLL (DLL checking) и предотвращение применения политики к локальным администраторам (Skip Administrators).
Проверка библиотек DLL (DLL checking)
Некоторые программы, как например Internet Explorer, состоят из исполняемого файла (iexplore.exe) и множества вспомогательных библиотек динамической компоновки (DLL). По умолчанию правила политики ограниченного использования программ не применяются к библиотекам DLL. Этот вариант рекомендован для большинства пользователей по трем причинам:
- Запрет исполняемого файла предотвращает выполнение программы, поэтому нет необходимости запрещать все сопутствующие библиотеки DLL.
- Проверка библиотек DLL приводит к снижению производительности. Если пользователь запускает 10 программ во время сеанса работы, политика ограниченного использования программ оценивается 10 раз. Если проверка библиотек DLL включена, политика оценивается при загрузке каждой библиотеки DLL в каждой программе. Если каждая программа использует 20 библиотек DLL, это вызывает 10 проверок исполняемых программ плюс 200 проверок библиотек DLL и таким образом политика ограниченного использования программ оценивается 210 раз.
- Если уровнем безопасности по умолчанию является Не разрешено (Disallowed), то в этом случае должна проверяться не только возможность выполнения исполняемого файла программы, но и всех ее составляющих библиотек DLL, что может негативно влиять на производительность системы.
Проверка библиотек DLL предоставляется в качестве опции для окружений, в которых необходимо обеспечить максимальный уровень безопасности при выполнении программ. Хотя в основном компьютерные вирусы нацелены на заражение исполняемых файлов, некоторые из них заражают библиотеки DLL. Чтобы убедиться, что программа не заражена вирусом, Вы можете использовать набор правил для хеша который идентифицирует исполняемый файл и все его необходимые библиотеки DLL.
Для включения проверки библиотек DLL:
- Установите значение переключателя в диалоговом окне Свойства: принудительный (Enforcement Properties), как изображено на Рисунке 2: Применять политики ограниченного использования > Ко всем файлам программ (Apply software restriction policies to the following > All software files)
Рисунок 2 – Установка свойств принудительного режима