Как запретить программу на ПК

Е сли к вашему рабочему компьютеру имеют доступ посторонние люди, что в корпоративной среде является не такой уже и редкостью, вполне вероятно, что вы захотите как-то ограничить возможности этих самых пользователей. Например, захотите запретить им установку или запуск программ, изменение ключевых настройки Windows, открытие тех или иных файлов и тому подобное.

Для этих целей вполне сгодится штатный родительский контроль, но, если применять его в отношении взрослых людей вам как-то неудобно, воспользуйтесь встроенной утилитой Software Restriction Policies — излюбленным инструментом системных администраторов, прибегающих к нему в тех случаях, когда нужно ограничить действия пользователей при работе с программами.

Software Restriction Policies или Локальная политика безопасности присутствует в большинстве версий Windows за исключением так называемых домашних редакций типа Home Edition. Запустить её можно из раздела панели управления Администрирование -> Локальная политика безопасности, либо выполнив в окошке Run Win + R команду secpol.msc . Окно утилиты состоит из двух частей: в левой приводится список параметров безопасности, в правой содержатся настройки для каждого конкретного параметра.

Как запретить игре( программе ) выход в интернет?

А теперь представим, что нам нужно запретить запуск программ юзерам, использующим для входа в систему собственные учётные записи. В левой колонке выделите запись «Политики ограниченного использования программ», кликните по ней правой кнопкой мыши и выберите опцию «Создать политику ограниченного использования программ».

Запись развернётся, в правой части окна появится несколько пунктов — типов объекта. Нажмите правой кнопкой мыши по элементу «Применение» и откройте его свойства.

По умолчанию предлагается запретить запускать программы всем пользователям , однако если на вашем компьютере действует разделение на обычных юзеров и локальных администраторов, следует переключить вторую радиокнопку как показано на скриншоте.

Сохранив настройки, вызовите контекстное меню элемента «Назначенные типы файлов» и точно так же откройте его свойства.

Эта настройка позволяет запрещать запуск файлов с определёнными расширениями. Поскольку EXE в список расширений уже включён, здесь можно всё оставить по умолчанию.

П римечание: под локальной записью системного администратора имеется ввиду скрытая учётная запись, активируемая командой net user Администратор /active:yes .

Теперь переключитесь в раздел «Уровни безопасности» и установите уровень «Запрещено», для чего дважды кликните по записи мышкой, в открывшемся диалоговом окошке нажмите кнопку «По умолчанию» и согласитесь на изменение конфигурации.

Отныне запускать программы сможет только локальный системный администратор.

Чтобы вернуть всё обратно, необходимо установить уровень «Неограниченный».

Источник: www.white-windows.ru

Администрирование политик ограниченного использования программ

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

• Определение списка Allow-Deny и инвентаризации приложений для политик ограниченного использования программ
• Работа с правилами политик ограниченного использования программ
• Использование политик ограниченного использования программ для защиты компьютера от вирусов по электронной почте

Открытие окна «Политики ограниченного использования программ»

• Для локального компьютера
• Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.
• Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
• Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Для локального компьютера

1. Откройте окно «Локальные параметры безопасности».
2. В дереве консоли щелкните Политики ограниченного использования программ. Которому?
3. Параметры безопасности/Политики ограниченного использования программ

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

1. Откройте консоль управления (MMC).
2. В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.
3. Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.
4. В окне Выбор объекта групповой политики нажмите кнопку Обзор.
5. В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.
6. Щелкните Закрыть, а затем нажмите кнопку ОК.
7. В дереве консоли щелкните Политики ограниченного использования программ. Которому?
8. Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.
2. В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.
3. Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
4. В дереве консоли щелкните Политики ограниченного использования программ. Которому?
5. Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.
2. В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику. Которому?
3. Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site
4. Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
5. В дереве консоли щелкните Политики ограниченного использования программ. Where
6. Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
• Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
• Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.

Создание новых политик ограниченного использования программ

1. Откройте окно «Политики ограниченного использования программ».
2. В меню Действие щелкните ссылку Создать политику ограниченного использования программ.

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.

• Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
• Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».

Добавление или удаление назначенного типа файлов

1. Откройте окно «Политики ограниченного использования программ».
2. В области сведений дважды щелкните элемент Назначенные типы файлов.
3. Выполните одно из следующих действий.
4. Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
5. Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.

• Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
• Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».

Запрет применения политик ограниченного использования программ к локальным администраторам

1. Откройте окно «Политики ограниченного использования программ».
2. В области сведений дважды щелкните элемент Применение.
3. В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.

• Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать.
• Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

1. Откройте окно «Политики ограниченного использования программ».
2. В области сведений дважды щелкните элемент Уровни безопасности.
3. Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
• Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
• В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
• Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
• Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.

Применение политик ограниченного использования программ к библиотекам DLL

1. Откройте окно «Политики ограниченного использования программ».
2. В области сведений дважды щелкните элемент Применение.
3. В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
• По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.

Источник: learn.microsoft.com

Как запретить запуск программы пользователю windows 7 пользователю

Как запретить запуск программы пользователю windows 7 пользователю

Требования.
Для выполнения указанных в этой статье действий, необходимо на компьютере иметь права локального администратора.
Статья действительная для Windows 7 (Ultimate, Professional и Enterprise). В начальных сборках (Home Premium, Home Basic, Starter) это статья бесполезна, потому что в этих сборках нет консоли управления групповыми политиками.

Информация.
Запрет запуска программ в некоторых случаях может быть весьма полезен, так например вы можете запретить пользователю использовать потенциально опасное, нежелательное или развлекательное ПО. А может быть Вы захотите ограничить своему брату или сестре доступ к играм, ICQ, Skype и другим программам. Запрет запуска программ в Windows 7.
1. Открываем меню «Пуск» и выбираем пункт «Выполнить«;

2. В поле «Открыть» пишем команду gpedit.msc и нажимаем кнопку «ОК»;

3. В левой части открывшегося окна «Редактор локальной групповой политики», раскрываем последовательно списки:
» Конфигурация пользователя » далее » Административные шаблоны » далее » Система « 4. Щелкаем левой кнопкой мыши по пункту «Система» и переходим в правую часть окна;
5. В столбике «Состояние», находим параметр «Не запускать указанные приложения Windows» и щелкаем по нему два раза мышкой;

6. В открывшемся окне ставим параметр «Включить» и при необходимости пишем комментарий (чтобы не забыть для чего это сделали или сообщение для других администраторов системы);

7. В области «Параметры», станет доступной кнопка «Показать. «, долго не думаем и нажимаем эту кнопку;

8. В открывшемся окне «Вывод содержания«, добавляем имена исполняемых файлов программ, которые мы запрещаем запускать;

Как запретить запуск программы в Windows 10, 8.1 и Windows 7

Если у вас возникла необходимость запрета запуска определенных программ в Windows, вы можете сделать это с помощью редактора реестра или редактора локальной групповой политики (последнее доступно только в Профессиональной, Корпоративной и Максимальной редакциях). В этой инструкции подробно о том, как именно заблокировать запуск программы двумя упомянутыми методами. В случае, если цель запрета — ограждение ребенка от использования отдельных приложений, в Windows 10 вы можете использовать родительский контроль. Также существуют следующие методы: Запрет запуска всех программ кроме приложений из Магазина, Режим киоска Windows 10 (разрешение запуска только одного приложения).

Запрет запуска программ в редакторе локальной групповой политики

Первый способ — блокировка запуска определенных программ с использованием редактора локальной групповой политики, доступного в отдельных редакциях Windows 10, 8.1 и Windows 7.

Для установки запрета этим способом, выполните следующие шаги

1. Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter. Откроется редактор локальной групповой политики (при его отсутствии, используйте метод с помощью редактора реестра).
2. В редакторе перейдите к разделу Конфигурация пользователя — Административные шаблоны — Система.
3. Обратите внимание на два параметра в правой части окна редактора: «Не запускать указанные приложения Windows» и «Выполнять только указанные приложения Windows». В зависимости от задачи (запретить отдельные программы или разрешить только выбранные программы) можно использовать каждый из них, но рекомендую использовать первый. Дважды кликните мышью по «Не запускать указанные приложения Windows».
4. Установите «Включено», а затем нажмите по кнопке «Показать» в пункте «Список запрещенных программ».
5. Добавьте в список имена .exe файлов тех программ, которые нужно заблокировать. Если вы не знаете имя .exe файла, можно запустить такую программу, найти её в диспетчере задач Windows и посмотреть его. Полный путь к файлу указывать не нужно, при его указании запрет работать не будет.
6. После добавления всех необходимых программ в список запрещенных, нажмите Ок и закройте редактор локальной групповой политики.

Обычно изменения вступают в силу сразу, без перезагрузки компьютера и запуск программы становится невозможным.

Блокировка запуска программ с помощью редактора реестра

Настроить запрет запуска выбранных программ можно и в редакторе реестра, если gpedit.msc недоступен на вашем компьютере.

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter, откроется редактор реестра.
2. Перейдите к разделу реестра
3. В разделе «Explorer» создайте подраздел с именем DisallowRun (сделать это можно, нажав правой кнопкой мыши по «папке» Explorer и выбрав нужный пункт меню).
4. Выберите подраздел DisallowRun и создайте строковый параметр (правый клик в пустом месте правой панели — создать — строковый параметр) с именем 1.
5. Дважды нажмите по созданному параметру и в качестве значения укажите имя .exe файла программы, которую нужно запретить запускать.
6. Повторите те же действия для блокировки других программ, давая имена строковых параметров по порядку.

На этом весь процесс будет завершен, а запрет вступит в силу без перезагрузки компьютера или выхода из Windows.

В дальнейшем, чтобы отменить запреты, сделанные первым или вторым способом, можно с помощью regedit удалить параметры из указанного раздела реестра, из списка запрещенных программ в редакторе локальной групповой политики или просто отключить (установить «Отключено» или «Не задано») измененную политику в gpedit.

Дополнительная информация

В Windows также доступен запрет запуска программ с помощью Software Restriction Policy, однако настройка политик безопасности SRP выходит за рамки этого руководства. В общем упрощенном виде: вы можете зайти в редактор локальной групповой политики в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности, нажать правой кнопкой мыши по пункту «Политики ограниченного использования программ» и в дальнейшем производить настройку необходимых параметров.

Например, самый простой вариант — создать правило для пути в разделе «Дополнительные правила», запретив запуск всех программ, расположенных в указанной папке, но это лишь очень поверхностное приближение к Software Restriction Policy. А если для настройки использовать редактор реестра, то задача ещё усложняется. Но эту технику используют некоторые сторонние программы, упрощающие процесс, например, можете ознакомиться с инструкцией Блокировка программ и системных элементов в AskAdmin.

Источник: onecomp.ru