Если Вы хотите ограничить запуск программ или игр на своем компьютере под управлением Windows, то лучше воспользоваться специальными программами. Но в данной статье описан способ, который позволит ограничить запуск с помощью стандартных средств Windows, а именно с помощью редактора групповых политик.
Сразу предупреждаю ! Этот способ хорош лишь тем, что о нём мало кто знает и если попытаются убрать ограничения, то скорее всего не получится. Потому что будут искать сторонний софт и попытаться его отключить.
На этом хорошие стороны заканчиваются =)
Нехорошим фактом можно считать то, что Вы будите указывать те программы, игры и приложения, которым РАЗРЕШЕНО запускаться.
Итак, запускаем Редактор групповой политики.
Самый быстрый способ запуска, это используя команду Выполнить (Пуск — Выполнить (Добавляем в меню Пуск службу Выполнить)).
Или же просто воспользовавшись горячими клавишами win + R и ввести gpedit.msc
В открывшемся окне переходим в раздел Конфигурация пользователяАдминистративные шаблоныСистема и в правом окне запускаем параметр Выполнять только разрешенные приложения для Windows (в Windows 7 этот параметр называется Выполнять только указанные приложения Windows):
Applocker — Запрет на запуск программ
А вот тут ВНИМАНИЕ :
После написания данной статьи я только заметил пункт Не запускать указанные приложения Windows который вкорне меняет статью. Точнее если выбрать его, то нужно будет указывать лишь те, которые не должны запускаться. Это значительно упростит задачу по запрету запуска и лучше воспользоваться им, чем тем,что описан в статье и ниже.
Запускаем его двойным кликом мыши и в новом окне ставим переключатель на Включен(Включить).
Далее жмем кнопку Показать. :
И вот здесь начинается самое интересное и важное. Откроется вот такое окно, которое обычно пустое:
Первым важным фактором является то, что в этом окне Вам нужно указывать те программы, которым РАЗРЕШЕНО запускаться. Поэтому хорошо подумайте какие приложения Вы хотите видеть в этом окне.
Вторым фактором является то, что Вам нужно знать имя файла и его расширение чтобы полностью их вписать. Хорошо было бы, если бы там была кнопка Обзор и нужно было указать путь к файлу, но такой нет, поэтому следует это знать.
Узнать имя файла и расширение можно в папке Program Files или в той, куда вы устанавливали приложение. Например Winword.exe — это редактор Word, notepad.exe — это Блокнот и т.д.
Так же нужно знать, что запускаете Вы не только exe файлы, а так же с другими расширениями.
Сделать запрет на запуск программ пользователя домена
В итоге у Вас должно получиться что то вроде такого:
Обратите внимание на выделенную строчку. Узнаете? Да, это наш Редактор групповых политик. Его нужно ОБЯЗАТЕЛЬНО вписать. Если этого не сделать, то Вы не сможете в него попасть в дальнейшем чтобы редактировать.
Разумеется то что выше — это лишь самая малая часть нужных программ. Здесь нужно учесть всё то, что Вам нужно и пригодится в первую очередь. А потом уже добавлять по мере необходимости.
Ну а затем всё сохраняем и закрываем.
Если теперь попытаться запустить программу, которой нет в разрешенном списке, то система выдаст предупреждение о ошибке и сделает запись в журнале событий.
Примечание : В этой статье рассмотрена работа с редактором локальных Групповых политик, которого нет в Windows 7 Домашней.
Источник: vindavoz.ru
Ограничения пользователей компьютера с помощью локальной групповой политики
Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.
↑ Ограничения пользователей компьютера с помощью локальной групповой политики
↑ Групповая политика для всех пользователей компьютера
Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:
• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;
• «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.
Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.
↑ Групповая политика для отдельных учётных записей
Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».
В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».
Теперь – «Обзор».
И добавляем пользователей. Выбираем:
• либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;
• либо конкретного пользователя.
Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».
Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.
Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.
Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.
↑ Ограничения с помощью групповой политики
Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя».
Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.
↑ 1. Запрет запуска отдельных программ
Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:
Административные шаблоны — Система
Выбираем параметр «Не запускать указанные приложения Windows».
Включаем его, жмём «Применить».
Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:
AnyDesk.exe
После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.
По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем.
↑ 2. Ограничение размера профиля
Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:
Административные шаблоны – Система – Профили пользователей
Выбираем параметр «Ограничить размер профиля».
Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.
При достижении указанного лимита система будет выдавать соответствующее сообщение.
↑ 3. Отключение записи на съёмные носители
Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:
Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.
Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем.
↑ 4. Удаление файлов мимо корзины
При частом захламлении диска (C:) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути:
Административные шаблоны – Компоненты Windows – Проводник
Отрываем параметр «Не перемещать удаляемые файлы в корзину».
Включаем, применяем.
↑ 5. Запрет доступа к дискам компьютера
Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Открываем параметр «Запретить доступ к дискам через «Мой компьютер».
Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки.
↑ 6. Запрет доступа к панели управления и приложению «Параметры»
Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера».
Включаем, применяем.
Полезная статья на эту тему: Как запустить редактор локальной групповой политики gpedit.msc в среде Windows Home
Источник: remontcompa.ru
Запрет запуска исполняемых файлов exe через групповую политику Windows
В данной статье мы рассмотрим вопрос дополнительной защиты с использованием групповой политики Windows. Одна из небольшого списка полезных возможностей операционной системы Windows — запрет запуска исполняемых файлов вредоносных и потенциально опасных программ.
Содержание
Как настроить запрет запуска исполняемых файлов из каталога?
Рассмотрим более надежный и удобный вариант запрета запуска исполняемых файлов.
Открываем настройку Групповой политики Windows. Для этого запускаем Run (Пуск-Выполнить). Вводим gpedit.msc и нажимаем ОК.
В открывшемся окне переходим в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования программ — Дополнительные правила.
Если у вас отсутствует папка «Дополнительные правила», то необходимо нажать на Политики ограниченного использования программ правой кнопкой мыши и нажать на «Создать политики ограниченного использования программ». Затем переходите в папку «Дополнительные правила».
В данной папке нажимаем правой кнопкой — «Создание правила для пути».
Нам необходимо создать правило, запрещающее запуск исполняемых файлов с расширением *.ехе из каталога %AppData%.
В поле путь прописываем «%appdata%*.exe», уровень безопасности «Запрещено», описание на ваше усмотрение.
Данным правилом мы запретили запуск *.exe только в папке %appdata%, но в данной папке есть много различных подпапок, в которых тоже необходимо запретить выполнение данных файлов. Поэтому создаем еще одно правило для подпапок. Для этого делаем все тоже самое, но путь указываем «%appdata%**.exe».
Но этого не достаточно для безопасности. Вредоносные программы могут запускаться из других мест. Наиболее популярные места хранения вредоносных программ рассмотрим ниже.
Какие пути можно прописать для запрета запуска исполняемых файлов?
%LocalAppData%*.exe — Запрет запуска файлов из %LocalAppData%.
%LocalAppData%**.exe — Запрет файлов запуска из вложенных каталогов %LocalAppData%.
%LocalAppData%TempRar**.exe — Запрет запуска exe файлов из архивов, открытых с помощью WinRAR.
%LocalAppData%Temp7z**.exe — Запрет запуска exe файлов из архивов, открытых с помощью 7zip.
%LocalAppData%Tempwz**.exe — Запрет запуска exe файлов из архивов, открытых с помощью WinZip.
%LocalAppData%Temp.zip**.exe — Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows.
%Temp%*.exe — Запрет запуска exe файлов из каталога %temp%.
%Temp%**.exe — Запрет запуска exe файлов из вложенных каталогов %temp%.
После создания правил необходимо применить их. Правила начнут действовать после перезагрузки компьютера, либо после выполнения команды «gpupdate /force» в командной строке.
PS: имейте ввиду, что недостаточно заблокировать файлы только с расширением .exe. Вирусы могут быть и с другими расширениями, например, *.bat,*.vbs, *.js, *.wsh и т.п.
И помните, что у вас могут возникнуть проблемы с установкой и обновлением легальных программ, т.к. многие используют заблокированные выше пути для своих файлов с расширением .exe и т.п.
Источник: pogrommist.ru