Вопрос запуска программ в ОС Windows различными пользователями довольно актуальный. Именно его мы сегодня и рассмотрим. Тема будет полезной как для рядовых пользователей, так и для администрирования групп пользователей в домене.
Скажу сразу, что в ОС уже присутствуют соответствующие инструменты (и не один). Также есть специальные, сторонние приложения для упрощения работы пользователей. И те, и другие имеют свои преимущества и недостатки. Итак, начнем.
Как запретить запуск программы в Windows
ОС Windows имеет три инструмента для настройки запуска программ:
- AppLocker
- Редактор групповых политик (РГП)
- Реестр
Если версия ОС Windows на Вашем компьютере Enterprise или Ultimate, то среди инструментов системы есть и AppLocker. А кроме него, Вам больше ничего и не надо. Конечно, ниже я рассмотрю и другие способы того, как запретить запуск программы, но начну именно с самого оптимального и функционального – AppLocker.
Запрет запуска программ с AppLocker
Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:
Как запретить пользователям устанавливать ПРОГРАММЫ и приложения в Windows 10 / 8 / 7 вариант 2
- Настройка как запретов, так и разрешений.
- Настройка хешей и путей.
- Аудит.
- Использование данных издателя (проверка по электронной подписи).
- Импорт и экспорт созданных политик.
Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.
Как открыть AppLocker
Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win+R), введите gpedit.msc.
Следуя, инструкции на скрине, найдите AppLocker.
Как работать с AppLocker
Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.
Основные расширения примерно выглядят так:
Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *.exe
1. Нажав на ветвь Исполняемые правила, мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.
Как запретить пользователям устанавливать программы и приложения Windows 10 / 8 / 7
Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок Program Files, Windows, администратору – запускать все файлы.
2. Для того чтобы запретить запуск определенной программы нужно:
- создать новое правило
- выбрать нужное действие
- выбрать пользователя или группу пользователей, которым будет запрещено действие
- выбрать условия по запрету: тип запрета
Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.
- теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку
- нажмите Создать. Как видите появился запрет
3. Осталось запустить службу, чтобы AppLocker заработал:
- запустите службу (правой кнопкой мыши – Запустить).
Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888poker.exe, он увидит уведомление:
Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.
Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.
Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника + дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).
Запрет запуска программ с РГП
По сути, ничего сложного здесь нет. Поэтому подробно описывать не буду, смотрите скрины. Нужно выполнить такие действия:
1. Запустить сам РГП. Для этого вызовите окно Выполнить (Win+R), введите gpedit.msc
2. Вы в Редакторе. Найдите вкладку Система (см. ниже). Кликните на выделенный пункт.
3. Теперь вы в окне запрета. Для начала нужно включить данный инструмент и открыть список запрещенных приложений (где вы и добавите их).
4. В поле Значение введите название программы с расширением. Все примените.
Когда любой другой пользователь попытается запустить данное приложение, появится окно:
По тому же принципу можно разрешить запуск только определенных приложений. Это больше подходит для группы компьютеров (например, одного домена).
В РГП выберите пункт «Выполнять только указанные…». Дальше все также.
ВАЖНО! Тут будьте осторожными, так как будет выполняться только указанные Вами программы. Даже РГП работать не будет. Как минимум внесите его в список.
Запрет запуска программ в Реестре Windows
Тут все работает по тому же принципу: внесение имен программ под запрет. Но его стоит показать (опять же вкратце), так как не у всех есть РГП.
1. Зайдите в реестр с помощью окна Выполнить (Win+R).
2. Перейдите в раздел Policies. Выберите Explorer. Вот полный путь:
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
3. Теперь в соседнем окне создайте новый параметр под название DisallowRun указанного типа со значением 1.
4. Дальше в каталоге, в ветке Explorer, создайте ветку с названием того же параметра.
5. Осталось только указать программы, запуск которых мы хотим запретить. Это делается в созданном разделе (DisallowRun). Создаются строчные (типа string) нумерованные переменные. В их значение нужно записать имя исполняемого файла. Для каждой программы одна переменная.
После перезагрузки ПК, программа не будет запускаться.
Мое мнение или проблемы данного способа
Да, вроде бы ничего сложного и довольно удобно. Но все же есть одно НО: запрет то действует на имя исполняемого файла, а его можно с легкостью изменить! И тут ничего не поделаешь.
Можно предположить, что, разрешив запуск только определенных программ, вы решите проблему. Но что мешает назвать программу именем той, которая имеет разрешение на запуск?
Поэтому вывод один: AppLocker очень полезный и незаменимый.
Выводы
Как видите, есть способы запретить запуск программы и в самой ОС Windows. Все они вроде бы разные, но принцип один: использование групповых политик безопасности.
По моему скромному мнению, использовать AppLocker куда удобнее и оптимальнее. К тому же при наличии технологии Active Directory, администрировать доменные группы очень удобно.
Лучше ли вернутся к старой доброй SRP? Это чисто Ваше субъективное мнение. Я скажу, что всегда придерживаюсь правила, которое обязывает идти вперед, изучать новое. И Вам того же советую.
Источник: spy-soft.net
Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве
Блокировка установки/запуска приложений с помощью AppLocker
2020-12-04 · Posted in Active Directory, Windows – 10, Windows Server 2012, Windows Server 2016/2019
Рассмотрим ситуацию: У Вас есть «терминальный» сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже — Амиго… А они ставятся не в Program Files, а в профиль пользователю…
В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.
Для начала идем в «Панель управления» во вкладку «Администрирование»
Открываем «Службы» и находим службу «Удостоверение приложения»
Открываем свойства данной службы
По «умолчанию» она остановлена и стоит «Запуск — вручную»
Нам необходимо установить «Запуск — автоматически» и нажать кнопку «Запустить»
СЛУЖБА «УДОСТОВЕРЕНИЕ ПРИЛОЖЕНИЯ» НЕ ЗАПУСКАЕТСЯ
Для работы Applocker должна быть запущена служба «Удостоверение приложений» (Application Identity) — режим запуска: автоматически, состояние: запущена. Если сделать этого не получается (Отказано в доступе), необходимо в реестре поменять значение параметра Start на 2
- Откройте редактор реестра (Windows + R >regedit)
- Перейдите к HKLMSYSTEMCurrentControlSetServicesAppIDSvc
- Поменяйте значение Start на 2.
После этого правила Applocker будут отрабатывать корректно
Теперь снова возвращаемся в «Администрирование» и открываем «Локальная политика безопасности»
- В открывшемся окне идем в «Политики управления приложениями -> AppLocker -> Исполняемые правила»
- Запускаем на компьютере gp e dit.msc и переходим в раздел “Политика компьютера” — “ Конфигурация Windows” — “Параметры безопасности” — “Политики управления приложениями” — “AppLocker”. Нажимаем на Настроить применение правил.
У Вас «по умолчанию» там будет пусто
Не забываем во всех разделах AppLocker создать правила по умолчанию!
Справа в свободном месте нажимаем правой кнопкой мыши и выбираем «Создать правило…»
Нас приветствует «Мастер создания новых правил», Нажимаем «Далее»
Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем «Запретить«.
Далее можем оставить по умолчанию «Все», или выбрать конкретную группу или пользователя.
После нажимаем «Далее»
В данном окне есть несколько типов правил, я пользуюсь правилом «Издатель» и нажимаем «Далее»
Тут выбираем файл, установщик которого мы хотим запретить
Для примера я выбрал установщик Яндекс.Браузера
Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше — уменьшать кол-во проверок. Поиграйтесь ползунком — поймете что он ограничивает.
После того, как выбрали подходящий Вам вариант — нажимаем «Далее»
Тут можно добавить исключение. Я им не пользовался.
Ну к примеру вы запретили установку любого ПО от производителя «Яндекс», но хотите чтобы было разрешено «Яндекс.Панель», тогда необходимо добавить его в исключение кнопкой «Добавить…», как все сделали — нажимаем «Далее»
Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку «Создать»
Все! Наше правило готово. Чтобы оно немедленно вступило в силу — предлагаю обновить правила политики для ПК и Пользователя.
Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force
Дожидаемся обновления политик и можем тестировать.
Так как я применял политику только на группу «Пользователи домена», на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:
Значит мы все настроили верно. Вот и все.
Источник: www.it-fm.ru
Ограничение использования приложений в Windows 7
Windows Installer (msiexec.exe), является средством для установки, обслуживания и удаления программного обеспечения системы Windows.
Для того, чтобы установить запрет на установку приложений для всех пользователей, откройте редактор Групповых политик (gpedit.msc) и откройте раздел Конфигурация компьютера (Computer Configuration) – Административные шаблоны (Administrative Tеmplates) – Компоненты Windows (Windows Components) – Установщик Windows (Windows Installer). В правой части окна Настройки (Settings) выберите строку Отключить Windows Installer (Disable Windows Installer) и дважды щелкните по ней. Значение Disable – отключает возможность установки программ, значение Enable включает ее. Тут все просто.
Запретить же установку приложений конкретному пользователю (учетной записи) можно путем создания соответствующей оснастки. Для этого откройте консоль mmc (в меню Пуск – Поиск) и в меню Файл выберите Добавить оснастку. Откроется список всех доступных компонентов системы. Выберите Group Police (Групповые политики), нажмите стрелку вправо для добавления, а затем нажмите кнопку Browse (Обзор). Выберите вкладку Users (Пользователи), нужную учетную запись и нажмите Ок, а потом Finish (Готово).
В меню Файл выберите “Сохранить как” и присвойте пользовательской оснастке свое имя.
После этого повторите действия, описанные мною выше, только теперь запрет на установку программ будет распространяться лишь на выбранного пользователя.
2) Всегда производить установку с повышенными привилегиями.
В редакторе Групповой политики, перейдите к Конфигурация пользователя — Административные шаблоны — Компоненты Windows. Прокрутите ползунок вниз и выберите установщик Windows и Allwaus install with elevated privileges (Всегда производить установку с повышенными привилегиями).
Этот параметр предписывает Windows Installer использовать системные разрешения при установке любой программы в системе.
Эта настройка распространяется на повышенные привилегии для всех программ. Эти привилегии, как правило, зарезервированы для программ, которые были назначены для пользователя (предлагается на рабочем столе), отнесенные к компьютеру (устанавливается автоматически), или доступны в Установка и удаление программ на панели управления. Этот параметр позволяет пользователям устанавливать программы, которые требуют доступа к каталогам, на которые пользователь может не иметь разрешения для просмотра и изменения.
Примечание: если вы отключите эту опцию или не настроите ее, система будет применять разрешения текущего пользователя (или администратора) при установке программ, т.е. с обычными правами. Этот параметр отображается в редакторе Групповых политик как в разделе Конфигурация компьютера, так и в Конфигурация пользователя. Чтобы этот параметр вступил в силу, его необходимо задать в обоих разделах.
3) Не запускать указанные приложения для Windows.
В редакторе Групповой политики перейдите к Конфигурация пользователя — Административные шаблоны – Система.
Здесь, в боковой панели справа, дважды щелкните Не запускать указанные приложения Windows (Do not run specified Windows applications), и в новом окне, которое откроется, выберите Включено. Теперь разделе Параметры выберите команду Показать (Show). Нажмите Add (Добавить) и в новом окне введите путь, который открывает приложение, которое вы хотите запретить, в данном случае: msiexec.exe.
Это позволит запретить работу Windows Installer, который расположен в C:WindowsSystem32msiexec.exe.
Если этот параметр включен, пользователи не могут запускать программы, которые вы добавляете в список запрещенных приложений.
Примечание: если пользователи имеют доступ к командной строке (cmd.exe), этот параметр не мешает им осуществлять запуск программ в окне командной строки.
И раз уж я завел в этой статье речь о Групповых политиках, хочу поделиться некоторыми полезными сведениями, косвенно относящимся к этой оснастке.
Почти каждая настройка в ОС Windows помимо Групповых политик дублируется в редакторе системного реестра. Но не многие знают, что в сети существует он-лайн севис MSDN, в котором содержится структурированная справочная информация о настройке огромного количества функций Windows через системный реестр. Пользоваться им удобно, нужно лишь знать английский язык. Кроме того, есть также аналогичный справочник в формате документа Exel, который вы можете скачать тут.
4) Запрет установки программ с помощью редактора реестра.
Предварительно сделайте бэкап нижеуказанной ветки реестра, или создайте точку восстановления.
Откройте редактор реестра (regedit.exe) и перейдите в следующий раздел:
Создайте в разделе DisallowRun строковой параметр с именем 1 и установите в его значение название EXE-файла программы.
Примечание: если раздел DisallowRun отсутствует, создайте его.
Например, если вы хотите ограничить мsiexec, создайте строковой параметр 1 и установите его значение в msiexec.exe . Если вы хотите ограничить больше программ, то просто создать больше строковых параметров с именами 2, 3 и так далее, и установите их значения в EXE-программы. Перезагрузите компьютер.
5. Запрет запуска программ при помощи Родительского контроля.
В Панели управления откройте апплет Учетные записи пользователей – Управление другой учетной записью. Выберите нужную учетную запись пользователя и установите для нее Родительский контроль:
В следующем окне включите Родительский контроль и Ограничение на запуск программ:
После построения списка, выберите те программы, которые разрешено запускать пользователю. Если в списке нужная программа отсутствует, ее можно добавить вручную, нажав кнопку Обзор.
Примечание: есть некоторые условия для разрешения/запрета запуска приложений при помощи Родительского контроля. Во-первых, учетная запись пользователя, для которого вы вводите ограничения должна быть с Обычными правами. Во-вторых, настройка Родительского контроля должна осуществляться с учетной записи, имеющей права Администратора, что очевидно. И в третьих, учетная запись Администратора должна быть защищена паролем.
Ну вот и все. Желаю успешного применения советов, о которых я рассказал в этой статье.
Источник: volginartem.wordpress.com