Вопрос запуска программ в ОС Windows различными пользователями довольно актуальный. Именно его мы сегодня и рассмотрим. Тема будет полезной как для рядовых пользователей, так и для администрирования групп пользователей в домене.
Скажу сразу, что в ОС уже присутствуют соответствующие инструменты (и не один). Также есть специальные, сторонние приложения для упрощения работы пользователей. И те, и другие имеют свои преимущества и недостатки. Итак, начнем.
Как запретить запуск программы в Windows
ОС Windows имеет три инструмента для настройки запуска программ:
- AppLocker
- Редактор групповых политик (РГП)
- Реестр
Если версия ОС Windows на Вашем компьютере Enterprise или Ultimate, то среди инструментов системы есть и AppLocker. А кроме него, Вам больше ничего и не надо. Конечно, ниже я рассмотрю и другие способы того, как запретить запуск программы, но начну именно с самого оптимального и функционального – AppLocker.
Запрет запуска программ с AppLocker
Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:
AskAdmin — запрет запуска программ и системных утилит Windows
- Настройка как запретов, так и разрешений.
- Настройка хешей и путей.
- Аудит.
- Использование данных издателя (проверка по электронной подписи).
- Импорт и экспорт созданных политик.
Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.
Как открыть AppLocker
Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win+R ), введите gpedit.msc .
Следуя, инструкции на скрине, найдите AppLocker .
Как работать с AppLocker
Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.
Основные расширения примерно выглядят так:
Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *. exe
1. Нажав на ветвь Исполняемые правила , мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.
Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок Program Files , Windows , администратору – запускать все файлы.
2. Для того чтобы запретить запуск определенной программы нужно:
- создать новое правило
- выбрать нужное действие
- выбрать пользователя или группу пользователей, которым будет запрещено действие
- выбрать условия по запрету: тип запрета
Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.
Как запретить запуск игр и программ на компьютере
- теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку
- нажмите Создать . Как видите появился запрет
3. Осталось запустить службу, чтобы AppLocker заработал:
- зайдите в диспетчер задач (CTRL+ALT+DEL )
- перейдите на вкладку службы
- найдите службу Удостоверение приложения (AppIDSvc )
- запустите службу (правой кнопкой мыши – Запустить ).
Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888 poker . exe , он увидит уведомление:
Запрет запуска программ с помощью AppLocker
Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.
Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.
Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника + дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).
Запрет запуска программ с РГП
По сути, ничего сложного здесь нет. Поэтому подробно описывать не буду, смотрите скрины. Нужно выполнить такие действия:
1. Запустить сам РГП. Для этого вызовите окно Выполнить (Win+R) , введите gpedit.msc
2. Вы в Редакторе. Найдите вкладку Система (см. ниже). Кликните на выделенный пункт.
3. Теперь вы в окне запрета. Для начала нужно включить данный инструмент и открыть список запрещенных приложений (где вы и добавите их).
4. В поле Значение введите название программы с расширением. Все примените.
Когда любой другой пользователь попытается запустить данное приложение, появится окно:
Запрет запуска программ с помощью редактора групповых политик.
По тому же принципу можно разрешить запуск только определенных приложений. Это больше подходит для группы компьютеров (например, одного домена).
В РГП выберите пункт «Выполнять только указанные… ». Дальше все также.
ВАЖНО! Тут будьте осторожными, так как будет выполняться только указанные Вами программы. Даже РГП работать не будет. Как минимум внесите его в список.
Запрет запуска программ в Реестре Windows
Тут все работает по тому же принципу: внесение имен программ под запрет. Но его стоит показать (опять же вкратце), так как не у всех есть РГП.
1. Зайдите в реестр с помощью окна Выполнить (Win + R ) .
2. Перейдите в раздел Policies . Выберите Explorer . Вот полный путь:
3. Теперь в соседнем окне создайте новый параметр под название DisallowRun указанного типа со значением 1 .
5. Осталось только указать программы, запуск которых мы хотим запретить. Это делается в созданном разделе (DisallowRun ). Создаются строчные (типа string ) нумерованные переменные. В их значение нужно записать имя исполняемого файла. Для каждой программы одна переменная.
После перезагрузки ПК, программа не будет запускаться.
Запрет запуска программ в Реестре Windows
Мое мнение или проблемы данного способа
Да, вроде бы ничего сложного и довольно удобно. Но все же есть одно НО : запрет то действует на имя исполняемого файла, а его можно с легкостью изменить! И тут ничего не поделаешь.
Можно предположить, что, разрешив запуск только определенных программ, вы решите проблему. Но что мешает назвать программу именем той, которая имеет разрешение на запуск?
Поэтому вывод один: AppLocker очень полезный и незаменимый.
Выводы
Как видите, есть способы запретить запуск программы и в самой ОС Windows. Все они вроде бы разные, но принцип один: использование групповых политик безопасности.
По моему скромному мнению, использовать AppLocker куда удобнее и оптимальнее. К тому же при наличии технологии Active Directory, администрировать доменные группы очень удобно.
Лучше ли вернутся к старой доброй SRP? Это чисто Ваше субъективное мнение. Я скажу, что всегда придерживаюсь правила, которое обязывает идти вперед, изучать новое. И Вам того же советую.
Оценка AppLocker
Наша оценка
AppLocker удобен и функционален. Он является неплохой заменой старой технологии политики ограниченного использования программ.
Оценка пользователей: 5 (4 оценок)
Очень часто возникает проблема, как запретить некоторым пользователям запускать определенные программы. Например, вы хотите, чтобы дети не запускали какую-нибудь жестокую игру, в которую сами играете вечером. Для подобных запретов можно использовать возможности реестра.
Запрещение на запуск программ, кроме указанных в списке.
Windows позволяет ограничить доступ к программам, кроме приложений, разрешенных в специальном списке. Для ограничения запускаемых программ надо открыть раздел HKCUSOFTWAREMicrosoftWindowsCurrentVersonPoliciesExplorer и создать там параметр RestrictRun типа DWORD со значением 1. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список разрешенных к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe.
Запрет запуска программ через реестр Windows
Запускаем редактор локальных Групповых политик, для этого открываем меню Пуск, в строке поиска вводим gpedit.msc и нажимаем Ввод.
В открывшемся окне открываем раздел Конфигурация пользователяАдминистративные шаблоныСистема.
В правой части окна находим два параметра:
1. Не запускать указанные приложения Windows — будут разрешены все приложения, кроме перечисленных.
2. Выполнять только указанные приложения Windows — будут запрещены все приложения, кроме перечисленных.
Предположим, что я хочу выбрать второй пункт Выполнять только указанные приложения Windows — открываю его двойным нажатием мыши.
Устанавливаем радио переключатель в положение Включить, затем в разделе Параметры нажимаем кнопку Показать, для того, чтоб отобразить список разрешенных для запуска программ.
В появившемся диалоговом окне Show Contents можно ввести список программ, с которыми будет разрешено работать пользователям. По завершении нажмите ОК и закройте резактор локальных групповых политик.
Если пользователь попытается запустить программу, которой нет в списке разрешенных программ — система выдаст предупреждение и сделает запись в журнале событий Windows.
Обратите внимание: Если вы оставите список программ, как указан в моем примере, то вы не сможете ничего запустить, кроме браузера Mozilla Firefox, даже редактор групповой политики! Поэтому этот параметр групповой политики применяйте крайне обдумано!
Запрет запуска программ через реестр Windows
Как я уже упоминал в начале статьи, если у вас установлена домашняя версия Windows, то редактор групповых политик вам не будет доступен. В этом случае можно воспользоваться редактором реестра Windows и ограничить запуск программ через него.
Запустите редактор реестра Windows: Откройте меню Пуск (комбинация клавиш WIN + R) и в строке поиска введите regedit.
Найдите следующую ветвь реестра:
| HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer |
Если еще не создан, создайте новый параметр DisallowRun, имеющий тип 32-bit DWORD. Установите его значение в 1.
Затем в левой части редактора реестра, создайте новую ветвь, имеющую такое-же название, как и только что созданный параметр (DisallowRun).
После того, как ветвь создана, создайте внутри нее группу строковых переменных (имеющих тип String), с именем типа 1, 2, 3 и так далее. Значение каждой переменной должно содержать имя исполняемого файла, выполнение которого следует запретить. Например, для того, чтоб запретить запуск firefox, следует создать параметр:
Запрет запуска программ, используя групповые политики Windows очень полезен как для администрирования отдельных компьютеров, так и группы компьютеров, входящих в домен предприятия. В последнем случае настройка групповых политик делается централизованно на контроллере домена.
Дата добавления: 2015-10-13 ; просмотров: 126 | Нарушение авторских прав
| | | следующая страница ==> | |
| Глава 35. | | | ОБМІН БІЛКІВ |
mybiblioteka.su — 2015-2023 год. (0.007 сек.)
Источник: mybiblioteka.su
Как запретить запуск программ Windows
В некоторых случаях это может быть полезно заблокировать загрузку некоторых приложений в системе. Администратор может решить, какие программы не должны использоваться другими пользователями, и автоматически запретить их запуск.
В редакциях Windows 10 Home и Pro нельзя использовать, например, Microsoft AppLocker при этом мы проверили, что даже с самыми последними версиями операционной системы можно использовать удобную функцию Software Restriction Policies (SRP). Он позволяет быстро блокировать выполнение программ и приложений Windows, загруженных из Магазина Microsoft.
Утилита, которая все автоматизирует, называется АскАдмин и можно скачать бесплатно нажав здесь.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
В разделе реестра HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers (см. также статью Regedit и системный реестр: руководство по наиболее полезным аспектам) действительно можно вставлять ссылки на файлы, которые нельзя запускать различными учетными записями пользователя на машине.
Не только. Воздействуя на специальный подраздел под названием Хэши, можно указать хеш файлов, запуск которых запрещен. Таким образом, даже если вы переименуете исполняемый файл, пользователи все равно не смогут запустить программу, какой бы она ни была.
AskAdmin заботится о контроле за созданием правильных записей в реестре, даже если в своем свободном объеме он не позволяет вам добавлять более 10 программ. Кроме того, невозможно выбрать, к каким пользователям будет применяться блокировка.
С помощью простого трюка все еще можно вручную заблокировать выполнение более 10 приложений.
Чтобы предотвратить загрузку программ в Windows или заблокировать целые папки, мы предлагаем:
1) Скачайте и запустите AskAdmin.
2) Нажмите комбинацию клавиш Windows+X, затем выберите Windows PowerShell (администратор) или Командную строку с правами администратора. В первом случае введите cmd и нажмите Enter, когда появится окно с синим фоном.
3) Введите md c:logs, чтобы создать папку журналов на диске C:.
4) Укажите следующую команду: reg add HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v LogFileName /dc:logssrplog.txt
Таким образом, Windows будет отмечать в файле журнала C:logssrplog.txt все программы, которые выполняются или не выполняются в соответствии с установленными правилами.
5) Перетащите исполняемые файлы программ, которые необходимо заблокировать, или папки, содержимое которых также необходимо заблокировать, на экран AskAdmin.
6) При попытке запуска заблокированных программ Windows выдаст предупреждение, подобное показанному на рисунке.
7) Если вы хотите заблокировать более 10 программ или даже приложений Microsoft Store, советуем вернуться к экрану PowerShell или командной строки и ввести следующее:
компакт-диск %userprofile%
reg export HKLMSOFTWAREPoliciesMicrosoftWindowssafecodeidentifiers� srp1.reg
8) На этом этапе на главном экране AskAdmin вам нужно будет выбрать программы, которые вы только что заблокировали, и удалить их из списка, чтобы освободить место для других приложений.
Нажав «Дополнительно», затем «Блокировать Microsoft Store», затем еще раз «Дополнительно», а затем «Блокировать встроенные (UWP) приложения», вы можете запретить использование системных приложений Microsoft Store. Просто выберите те, которые вас интересуют, затем нажмите «Блокировать выбранные элементы».
9) В командной строке или из PowerShell вы можете ввести srp1.reg и нажать Enter, чтобы импортировать ранее созданные правила.
10) Ответьте «Да» на появление сообщения на рисунке и проигнорируйте любое сообщение об ошибке «Невозможно импортировать…».
11) Вернувшись в окно AskAdmin и нажав клавишу F5, вы увидите все установленные правила.
12) В любой момент из интерфейса AskAdmin вы можете разблокировать приложения, удалив их из списка.
Однако мы предлагаем создать резервную копию правил, созданных до сих пор, используя следующую инструкцию из командной строки или из окна PowerShell:
Таким образом, для восстановления правил блокировки в любой момент будет достаточно дважды щелкнуть файл backup_srp.reg и дать согласие на вставку информации в системный реестр Windows.
Файл всегда будет создаваться в папке текущей учетной записи пользователя (нажмите комбинацию клавиш Windows+R, затем введите %userprofile%), а предыдущая резервная копия (с тем же именем) будет автоматически перезаписана.
Стоит отметить, что учетные записи пользователей без прав администратора не смогут модифицировать конфигурацию SRP и не будут иметь права вносить какие-либо изменения.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Источник: okzu.ru