Как запретить установку программ на Windows server

Содержание

Для ограничения программ, разрешенных для запуска на Windows Server 2008 R2, используются групповые политики.

Запускаем файл gpedit.msc. Переходим в раздел «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Политики ограниченного использования программ». По умолчанию этот раздел пуст. Долбасим правую кнопу мыши и в меню выбираем «Создать политику ограниченного использования программ».

Политика для ограничения запуска программ создана. Остались детали: ввести список разрешенных программ и нажать кнопку «запретить все».

Редактируем назначенные типы файлов.

Удаляем тип LNK, чтобы можно было запускать ярлычки разрешенных программ. Добавляем типы HTM, HTML, JS. Нечего эти файлы запускать на сервере.

Для настройки «Применение» указываем, что правила должны действовать для всех пользователей, кроме локальных администраторов. В этом случае администратор сможет запустить любую программу, если запустит ее через меню «Запуск от имени администратора».

❓ Как отключить автоматическую установку приложений Windows 10

Переходим к группе «Дополнительные правила». Здесь необходимо ввести список разрешенных для запуска программ. По умолчанию в этом разделе есть две записи, разрешающие запуск служебных программ и программ из Programm Files. Нам нужны жесткие ограничения, поэтому удаляем эти записи и добавляем каждую программу по-отдельности.

При создании нового правила для пути необходимо указать полный путь к разрешенной программе и установить уровень безопасности «Неограниченный».

Необходимо учитывать, для пользователей, работающих с терминальным сервером Windows Server 2008 R2 должны быть доступны для запуска следующие программы:

C:Windowsexplorer.exe
C:WindowsSystem32control.exe
C:WindowsSystem32csrss.exe
C:WindowsSystem32dllhost.exe
C:WindowsSystem32dwm.exe
C:WindowsSystem32logonui.exe
C:WindowsSystem32rdpclip.exe
C:WindowsSystem32rundll32.exe
C:WindowsSystem32taskhost.exe
C:WindowsSystem32TSTheme.exe
C:WindowsSystem32userinit.exe
C:WindowsSystem32taskmgr.exe (диспетчер задач)
C:Windowssplwow64.exe
C:WindowsSystem32conhost.exe
C:WindowsSystem32cmd.exe
C:WindowsSysWOW64cmd.exe
C:WindowsSysWOW64fixmapi.exe (функция «Отправить — Адресат» меню Проводника)

Читайте также:
Как записывать диски на Windows 7 программа

Заключительный шаг: включить запрет на запуск всех программ, кроме разрешенных. В группе «Уровни безопасности» устанавливаем по умолчанию уровень «Запрещено».

После этих изменений администратор не сможет запускать файл gpedit.msc для редактирования групповых политик. Обходной путь: запустить консоль mmc.exe и вручную выбрать на редактирование нужную оснастку.

Настройка политики ограниченного использования программ в Windows Server 2008 R2 : 4 комментария

Чтобы потом не путаться, указываем в поле Описание название программы и ее версию. Отправляемся к тестируемому компьютеру проверять, что получилось. Для применения политик перезагружаем компьютер или выполняем на нем команду

Как запретить установку нежелательных программ в Windows 7

Источник: www.vostokit.com

Как запретить обычным пользователям устанавливать ПО на windows server 2016?

По умолчанию без вопросов ставятся ватсапы, телеграмы, хромы (в пользовательское окружение). Но с ними так же могут ставить и малварь.
Как запретить вообще какие бы то ни было установки?
Неужели нет простого способа в один клик, а не танцы с AppLocker?

  • Вопрос задан более года назад
  • 825 просмотров

Комментировать
Решения вопроса 2

100% хорошего способа нет.
Варианты:
1) Орг.меры, т.е. запретить приказом, за нарушение карать, это в любом случае необходимо иначе все ваши действия имеют сомнительную «легитимность».
2) Можно запретить запуск приложений из профиля пользователя на уровне NTFS
3) Можно сделать белый список приложений разрешенных к запуску пользователем через групповые политики.
4) Можно сделать белый список каталогов из которых разрешено запускать приложения через групповые политики и запретить запись в данный каталог из под пользователя.
5) Мониторить каталоги куда пользователю разрешена запись на предмет создания запускаемых файлов через журнал Windows, при создании такого файла действовать по пункту 1, можно и скрипт повесить на его автоматическое удаление или помещение в карантин.
6) Как еще вариант запретить запуск файлов для которых пользователь является владельцем на уровне NTFS
7) Есть еще момент с монтированием в RDP сессию дисков, с этим не разбирался, вероятно тут решается только через белый список ПО или запретить пробрасывать диски.

Читайте также:
Лучшая программа для записи видео с экрана Windows

Но все технические методы имеют побочные эффекты и могут значительно влиять на удобство использования.

Ответ написан более года назад
Комментировать
Нравится 2 Комментировать

SagePtr

Еда — это святое

Через «Политики ограниченного использования программ» можно настроить белый список директорий, из которых разрешено запускать приложения. Но как при этом поведут себя различные обновляторы, которые любят себя распаковывать во временную папку — не уверен. Можно настроить так, чтобы ограничения не распространялись на администраторов.

Ответ написан более года назад
Комментировать
Нравится 1 Комментировать
Ответы на вопрос 1
системный инженер

Если речь про сервер терминалов, то там это ограничивается локальными и/или групповыми политиками, в том числе Software Restrictions Policy и AppLocker
И не раздавайте административные права всем подряд.

Ответ написан более года назад
Нравится 2 1 комментарий

никому ничего не разрешал. Это дефолт в винде, разрешать ставить пользователю в appdata софт. Что по сути дичь, по крайей мере на серверной версии.

Ваш ответ на вопрос

Войдите, чтобы написать ответ

сети

  • Компьютерные сети
  • +3 ещё

Проброс на удаленный компьютер?

  • 1 подписчик
  • 7 часов назад
  • 93 просмотра

Источник: qna.habr.com

sgww

При попытке установить MSI пакет на сервере удаленных рабочих столов Windows Server 2012 R2 с правами локального пользователя или администратора выдает ошибку: «Данная установка запрещена политикой, заданной системным администратором» если версия системы английская то The system administrator has set policies to prevent this installation.

error

Примечательный факт, что на сервере не настраивались какие-либо ограничения на запуск msi пакетов пользователями, ни через групповые политики (GPO), ни тем более через Локальные политики безопасности.

Похоже что это стандартное поведение системы, либо Windows самостоятельно изменяет настройки Windows Software Restriction Policy в каких-то случаях.

Читайте также:
Программы которые нужны после переустановки Windows

Решить данную проблему, мне помогла статья VMware о выдаче подобное ошибки при установке VMware Tools.

  1. Нажмите Пуск >Выполнить
  2. Введите gpedit.msc и нажмите Enter
  3. Выберите Политика «Локальный компьютер» >Конфигурация компьютера >Административные шаблоны >Компоненты Windows >Установщик Windows
  4. Далее кликните «Отключение установщика Windows» >Включено
  5. В выпадающем списке «Отключить установщик Windows» выберите Никогда
  6. Нажмите Применить и закройте окно.
  7. Далее выберите Конфигурация компьютера >Конфигурация Windows >Параметры безопасности >Политика ограничения использования программ
  8. Кликните правой кнопкой мышки по «Политика ограничения использования программ» и создайте новую политику.
  9. Кликните правой кнопкой мышки по Применение и выберите свойства.
  10. Отметьте пункт «всех пользователей, кроме локальных администраторов»
  11. Нажмите ОК и закройте окно групповых политик.
  12. Откройте командную строку и выполните gpupdate /force

PS . первый пост за два года, можете меня поздравить ))

Источник: sgww.livejournal.com

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru