Как запретить запуск программы в Windows

Windows
Содержание
  1. Запрет запуска программ в Родительском контроле Windows
  2. Планирование создания правил политики
  3. Создание новых политик ограниченного использования программ
  4. Применение политик ограниченного использования программ к библиотекам DLL
  5. Как узнать имя и тип файла для ограничения запуска программы
  6. Доверенные издатели
  7. Активирование политики ограниченного использования программ
  8. Добавление или удаление назначенного типа файлов
  9. Запрет применения политик ограниченного использования программ к локальным администраторам
  10. Запрет запуска программ с помощью сторонних программ
  11. AlacrityPC
  12. JetBoost
  13. ToolWiz GameBoost
  14. Wise Game Booster
  15. GBoost
  16. SmartClose
  17. Открытие окна «Политики ограниченного использования программ»
  18. Для локального компьютера
  19. Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.
  20. Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
  21. Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.
  22. Введение
  23. Как запретить запуск программы через групповые политики
  24. Как отменить ограничение на запуск программы в редакторе локальной групповой политики
  25. Область действия политик ограниченного использования программ и приоритет правил
  26. Правило зоны
  27. Общие параметры настроек политики
  28. Принудительное использование
  29. Изменение уровня безопасности по умолчанию для политик ограниченного использования программ
  30. Правило хеша
  31. Запрет запуска программы после изменений в реестре
  32. Отмена ограничения на запуск программы в редакторе реестра

Запрет запуска программ в Родительском контроле Windows

В операционной системе Windows имеется встроенное приложение родительского контроля. Этот режим ограничивает ребенка и не позволяет ему выходить за рамки заранее установленных правил при использовании компьютера.

Чтобы использовать родительский контроль, вы должны использовать учетную запись Microsoft, которая контролирует вашего ребенка. На ПК создается учетная запись пользователя с ограниченными правами, и дети входят в систему через эту учетную запись.

Помимо других ограничений (посещение сайтов различных категорий, время пребывания за ПК), взрослые могут ограничить запуск определенных игр, программ и мультимедийных файлов. Подробное описание родительского контроля в Windows 10 и Windows 7 описано в статьях на моем сайте.

При необходимости вы можете изменить параметры управления и включить возможность перезапуска отдельных приложений.

Планирование создания правил политики

При планировании внедрения политик ограниченного использования программного обеспечения всегда полезно и настоятельно рекомендуется сначала протестировать их в тестовой среде. Из-за сложности структуры на начальном этапе возможны ошибки, которые, конечно, на работающей системе лучше не исправлять. Если срабатывает правило политики, событие записывается в журнал локального компьютера. Код содержит тип правила, которое его вызвало (865 — уровень безопасности по умолчанию, 866 — правило пути, 867 — правило сертификата, 868 — правило зоны Интернета или правило хеширования).

Если вы создаете политику с уровнем безопасности «Не разрешено», вы должны решить, какой код пользователю разрешено запускать. Как уже упоминалось выше, эта задача может занять довольно много времени. Чтобы упростить хранение приложений, вы можете включить отслеживание приложений с помощью расширенного ведения журнала. Этот метод достаточно прост и эффективен.

На тестовом компьютере включена политика ограничения программного обеспечения и установлен уровень безопасности «Неограниченный». Все дополнительные правила из политики удалены. Дело в том, что, несмотря на отсутствие ограничений, при включении политики вы можете включить расширенную функцию журналирования, которая будет записывать информацию о запущенных программах. Запустив на тестовом компьютере минимальный набор необходимых пользователю программ, а затем проанализировав этот журнал, можно разработать все необходимые правила для политики.

Чтобы включить расширенное ведение журнала на тестовом компьютере, создайте параметр реестра в HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers с именем LogFileName. Значение должно содержать путь к каталогу, в котором должен находиться файл журнала. Содержимое журнала следующее:

winlogon.exe (PID = 452) определил C:WINDOWSsystem32userinit.exe как неограниченный с использованием правила пути, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» следующим образом: родительский процесс winlogon.exe со значением PID 452 запустил C:Windowssystem32userinit.exe; правило, вызвавшее «триггер» — правило для пути к уровню безопасности «Неограниченный» имеет GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой собственный GUID. После применения политики ограничения программного обеспечения конфигурация сохраняется в системном реестре. Список контроля доступа, защищающий ключи реестра, позволяет изменять их только администраторам и учетной записи «SYSTEM». Политика пользователя хранится в разделе HKCUSoftwarePoliciesMicrosoftWindows, а политика компьютера — в разделе HKLMSOFTWAREPoliciesMicrosoftWindows.

Параметры политики в реестре

В случае возникновения ошибки вы можете найти правило по коду GUID и узнать причину ошибки. После отладки всех правил рекомендуется прекратить вход в рабочую систему, удалив параметр LogFileName из реестра, чтобы уменьшить использование дискового пространства и снизить производительность системы. Если политика содержит настройки только для одного компьютера или пользователя, следует отключить неиспользуемые компоненты GPO, чтобы ускорить обработку политики.

Вы также можете использовать инструмент msinfo32.exe, чтобы определить, каким программам необходимо создавать правила разрешений. Для этого запустите все необходимые приложения, затем нажмите кнопку «Пуск», выберите «Выполнить» и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел «Программная среда» и выберите «Выполнение задач.

Создание новых политик ограниченного использования программ

  1. откройте окно «Политики ограничения программного обеспечения».
  2. В меню «Действие» выберите «Создать политику ограничения программного обеспечения.

Предупреждение

  • Для этой процедуры требуются разные административные учетные данные в зависимости от вашей среды.
  • Если вы создаете новые политики ограничения программного обеспечения для локального компьютера: Минимальным требованием для выполнения этой процедуры является членство в локальной группе администраторов или ее эквиваленте.
  • Если для компьютера, присоединенного к домену, созданы новые политики ограничения программного обеспечения, эту процедуру могут выполнить члены группы «Администраторы домена».
  • Если для объекта групповой политики уже созданы политики ограничения использования программного обеспечения, команда «Создать политику ограничения программного обеспечения» не отображается в меню «Действия». Чтобы удалить политики ограничения использования программного обеспечения, примененные к объекту групповой политики, щелкните правой кнопкой мыши узел «Политики ограничения программного обеспечения» в дереве консоли и выберите «Удалить политики ограничения программного обеспечения».
  • При удалении политик ограничения использования программного обеспечения для объекта групповой политики также удаляются все политики ограничения использования программного обеспечения для этого объекта групповой политики. После удаления политик ограничения использования программного обеспечения вы можете создать новые политики ограничения использования программного обеспечения для этого объекта групповой политики.

Применение политик ограниченного использования программ к библиотекам DLL

  1. откройте окно «Политики ограничения программного обеспечения».
  2. Дважды щелкните Приложение на панели сведений.
  3. В разделе «Применить программные ограничения к следующим элементам» выберите параметр «Все программные файлы.

Заметка

  • Для выполнения этой процедуры вы должны быть членом группы «Администраторы» на локальном компьютере или вам делегированы соответствующие полномочия. Если компьютер присоединен к домену, эту процедуру могут выполнить члены группы «Администраторы домена».
  • По умолчанию политики ограничения программного обеспечения не контролируют библиотеки динамической компоновки (DLL). Проверка DLL может снизить производительность системы, поскольку политики ограничения программного обеспечения должны оцениваться каждый раз при загрузке DLL. Однако сканирование DLL можно выполнить, если существует риск заражения вирусом, поражающим библиотеки DLL. Если уровень безопасности по умолчанию установлен на «Запрещено», а контроль DLL включен, необходимо создать политики ограничения программного обеспечения, которые разрешают выполнение каждой DLL.

Читайте также: Пошаговая инструкция отключения OneDrive в Windows 11

Как узнать имя и тип файла для ограничения запуска программы

В этой статье обсуждаются способы, с помощью которых пользователь должен вручную добавить приложение в список, чтобы предотвратить его запуск в Windows. Для этого нам нужно знать имя и тип файла.

Имя — это имя программы в папке на компьютере, а расширение файла — это расширение, в большинстве случаев «.exe», исполняемого файла. Узнать необходимую информацию можно в свойствах ярлыка или в свойствах самого приложения. В некоторых случаях имя приложения может быть сокращено, например FastStone Capture (официальное название) отображается как «FSCapture.exe».

Сначала узнайте название и расширение приложения в свойствах ярлыка приложения:

  1. Щелкните правой кнопкой мыши по ярлыку программы.
  2. В контекстном меню выберите «Свойства».
  3. В окне свойств программы в поле «Объект:» в самом конце пути вы увидите название программы и ее расширение.

свойства ярлыка

Эти данные необходимо ввести, чтобы предотвратить запуск данного приложения на вашем ПК.

Теперь посмотрим на свойства приложения:

  1. Зайдите в меню «Пуск».
  2. Выберите нужное приложение из списка установленных программ.
  3. Кликните правой кнопкой мыши по нужной программе, в контекстном меню выберите сначала «Дополнительно», а затем «Перейти к расположению файла».
  4. В открывшейся папке кликните правой кнопкой мыши по ярлыку программы и выберите «Расположение файла».

В Windows 7 после нажатия на название программы выберите «Расположение файла».

  1. В папке с программой кликните правой кнопкой мыши по файлу типа «Приложение».
  2. В контекстном меню нажмите «Свойства».
  3. В окне свойств программы во вкладке «Общие» вы увидите название программы и ее расширение.

свойства приложения

Доверенные издатели

Эта группа параметров позволяет настроить реакцию политики на элементы управления ActiveX® и другой подписанный контент.

Доверенные издатели

Здесь вы можете указать, кто будет решать, доверять ли подписанному контенту (лучше оставить это право администраторам компании), а также задать параметры проверки сертификатов — проверить, не был ли сертификат отозван, и убедиться, что срок его действия не истек.

Активирование политики ограниченного использования программ

Создайте объект групповой политики или откройте существующий в редакторе. Откройте ветку «Конфигурация компьютера» или «Конфигурация пользователя» (в зависимости от того, к чему вам нужно применить политику). Найдите и выберите «Конфигурация Windows» — «Параметры безопасности» — «Политика ограничения программного обеспечения.

Включение политики ограничения использования программного обеспечения

Если политики еще не определены, в окне редактора вы увидите предупреждение о том, что если вы их назначите, новые правила переопределят настройки политик, унаследованных от других объектов групповой политики. Поскольку это именно то, что мы собираемся сделать, мы выберем «Создать политики ограничения программного обеспечения» в меню «Действие.

Перейдите в раздел «Уровни безопасности». Текущий уровень отмечен галочкой. Уровень по умолчанию — Неограниченный.

Включение политики ограничения использования программного обеспечения

Этот уровень разрешает запуск всех программ, кроме явно запрещенных правилами. Особого смысла в использовании данного уровня безопасности нет, за исключением случаев, когда необходимо запретить использование небольшого количества программ, не представляющих явной угрозы безопасности компьютерной системы (только на примере пасьянса). Чтобы эффективно заблокировать использование нежелательных программ, необходимо использовать уровень безопасности «Не разрешено». Для изменения уровня необходимо дважды щелкнуть по нужному параметру и в открывшемся окне нажать кнопку «Стандартный» или щелкнув правой кнопкой мыши выбрать команду «Стандарт» в контекстном меню.

Включение политики ограничения использования программного обеспечения

Добавление или удаление назначенного типа файлов

  1. откройте окно «Политики ограничения программного обеспечения».
  2. В области сведений дважды щелкните Назначенные типы файлов.
  3. Выполните одно из следующих действий.
  • Чтобы добавить тип файла, введите тип файла в поле Тип файла, затем нажмите «Добавить.
  • Чтобы удалить тип файла, выберите его в окне «Связанные типы файлов» и нажмите «Удалить.
  •  Заметка
  • Для этой процедуры требуются разные административные учетные данные в зависимости от среды, в которой добавляется или удаляется указанное расширение файла.
    • Если указанный тип файла добавляется или удаляется с локального компьютера: Минимальным требованием для выполнения этой процедуры является членство в локальной группе администраторов или ее эквиваленте.
    • Если для компьютера, присоединенного к домену, созданы новые политики ограничения программного обеспечения, эту процедуру могут выполнить члены группы «Администраторы домена».
    • Возможно, вам придется создать новый параметр политики ограничения программного обеспечения для объекта групповой политики, если вы еще этого не сделали.Список назначенных типов файлов для объекта групповой политики является общим для всех правил разделов «Конфигурация компьютера» и «Конфигурация пользователя».

Запрет применения политик ограниченного использования программ к локальным администраторам

  1. откройте окно «Политики ограничения программного обеспечения».
  2. Дважды щелкните Приложение на панели сведений.
  3. В разделе «Применить ограничения программного обеспечения к следующим пользователям» выберите параметр «Все пользователи, кроме локальных администраторов.

Предупреждение

  • Чтобы выполнить эту процедуру, вы должны быть членом локальной группы администраторов или эквивалентной группы.
  • Возможно, вам придется создать новый параметр политики ограничения программного обеспечения для объекта групповой политики, если вы еще этого не сделали.
  • Если пользователи на компьютерах вашей организации часто являются членами локальной группы администраторов, вам не нужно включать этот параметр.
  • Если параметр политики ограничения программного обеспечения определен для локального компьютера, эта процедура предотвращает применение политик ограничения программного обеспечения к локальным администраторам. Если вы определяете параметр политики ограничения использования программного обеспечения для сети, вы фильтруете параметры политики пользователя на основе членства в группах безопасности с помощью групповой политики.

Запрет запуска программ с помощью сторонних программ

Кажется, что каким бы мощным ни был компьютер с точки зрения аппаратного обеспечения, он никогда не будет достаточно быстрым, чтобы сделать все, что вы хотите. Будь то новейшие игры или редактирование/создание/кодирование видео, большинство пользователей захотят выжать максимум производительности, которую они могут получить. Конечно, можно прибегнуть к разгону, но для некоторых пользователей это просто не вариант.

Некоторые приложения требуют значительных системных ресурсов. Фоновые обновления компонентов Windows, выполнение запланированных задач, дефрагментация жесткого диска или другие системные процессы, которые запускаются автоматически, могут помешать бесперебойной работе вашего компьютера. Многие задачи ПК также требуют закрытия всех запущенных в данный момент программ, а при установке большинства программ следует закрыть все остальные приложения, чтобы минимизировать конфликты и избежать перезаписи используемых файлов.

Один из способов предотвратить запуск программ и определенных служб — использовать инструмент, который может делать это автоматически. Теоретически, чем меньше вы работаете в фоновом режиме и потребляете процессорное время, память и жесткий диск, тем быстрее и стабильнее будет работать игра или ресурсоемкое приложение. Вот некоторые из наиболее популярных программ, которые можно использовать для предотвращения автоматической загрузки приложений.

AlacrityPC

AlacrityPC основан на старом инструменте повышения производительности под названием FSAutoStart, который был создан специально для разгона Microsoft Flight Simulator. Теперь он разработан, чтобы помочь вам максимально эффективно использовать возможности вашего ПК для выполнения всех ресурсоемких задач за счет упреждающего отключения ненужных служб и блокировки запуска приложений. AlacrityPC работает с профилями, и вы можете использовать одну из настроек по умолчанию или установить свои собственные, чтобы отключить именно те процессы и службы, которые вам нужны. Перетащите значок профиля на рабочий стол, чтобы запустить его автоматически.Программное обеспечение AlacrityPC для ПК

Есть некоторые дополнительные оптимизации, такие как дефрагментация памяти, отключение оболочки рабочего стола, удаление обоев и выключение/перезагрузка системы после закрытия лаунчера. Автозапуск запустит программу после приложения силы, а затем вернется после закрытия программы.

AlacrityPC не обновлялся с 2008 года, хотя известно, что он работает с Windows 7 и на сайте есть небольшое обновление, но файлы приходится вручную копировать в папку ProgramFiles. Чтобы отключить сообщение об ошибке обновления при запуске, выберите «Инструменты/Параметры». Для приложения требуется .NET Framework 2.0.

JetBoost

Если вы ищете удобное приложение-ускоритель, которое не требует сложной настройки, вам обязательно стоит попробовать JetBoost. Интерфейс приложения прост и понятен – чтобы запустить программу в Windows, достаточно нажать кнопку Boost.ДжетБуст

Стандартный метод повышения производительности не слишком агрессивен и просто отключит некоторые службы, очистит системную память, очистит буфер обмена, изменит профиль питания на высокую производительность и предотвратит запуск автоматических обновлений. Если вы хотите больше контроля, отключив больше функций, нажмите кнопку «Настроить». Здесь вы можете отключить запущенные процессы, сторонние службы и Explorer.exe.

Немного странная, но полезная функция — возможность создать портативную версию из установленного приложения. Для этого нажмите на значок «Дополнительно» в правом верхнем углу окна. JetBoost работает от Windows 2000 до 32- и 64-разрядной версии Windows 10.

ToolWiz GameBoost

ToolWiz GameBoost — еще один простой в использовании инструмент. Это не запутает вас множеством опций, которые потенциально могут вызвать проблемы с системой. Как и в случае с JetBoost, если вы хотите использовать программу без каких-либо настроек, просто загрузите ее и нажмите EnterGameBoostMode — она начнет закрывать и оптимизировать перечисленные компоненты системы.ToolWiz GameBoost

На самом деле у GameBoost не так уж много возможностей для настройки. Здесь всего 2 раздела, которые называются BootOption 1 и BoostOption 2. Вариант 1 имеет единственную опцию по умолчанию, которая не включена: вы можете дефрагментировать файлы и папки, в которых находится игра.

Память и все настройки Option2, такие как отключение запланированных задач, Центр обновления Windows, поддержка принтера, Aeroglass, ввод с планшета, сетевое окружение и т д., включены по умолчанию. Работает от WindowsXP до Windows10.

Wise Game Booster

Wise наиболее известен своими приложениями для очистки и оптимизации диска/реестра. GameBooster — еще один замечательный инструмент, который поможет максимально увеличить количество системных ресурсов, доступных для игр или ресурсоемких приложений. Чтобы быстро оптимизировать вашу систему, просто нажмите кнопку «Оптимизировать все» на вкладке «Мои игры». Вкладка «Мои игры» — это область ярлыков, где вы можете разместить свои любимые приложения, которые запускаются во время использования программы.Мудрый усилитель игры

Помимо ряда системных служб и всяких ненужных процессов, отключаемых при оптимизации системы, можно настроить ок. 20 системных параметров, таких как запуск Explorer в отдельном процессе, оптимизация 5 настроек сети и улучшение скорости реагирования нескольких систем.

К сожалению, в программе нет простой кнопки восстановления для сброса всех пользовательских настроек до значений по умолчанию, и вам придется настраивать каждый раздел отдельно. Работает на Windows XP и более поздних версиях, доступна портативная версия.Процессы в Wise Game Booster

GBoost

Внешне GBoost напоминает приложение для разгона компонентов ПК. Программа необходима для быстрого и простого отключения ненужных служб и процессов, чтобы получить от компьютера последние единицы производительности. Кнопка «Нажмите, чтобы ускорить» отключит компоненты по умолчанию, а чтобы восстановить все обратно, нажмите ту же кнопку еще раз.

Циферблат вокруг кнопки повышения является индикатором того, насколько оптимизирована система GBoost: чем ближе к 100, тем лучше. Нажмите стрелку вниз или поле «Расширенный режим», чтобы получить список всего, что можно отключить. Опытным пользователям могут не понравиться общие названия для параметров отключения, таких как Gamer Utils, Graphic Artist или Music Players и т дGBoost

SmartClose

SmartClose — это инструмент, который в некоторых случаях проще использовать, чем другие подобные программы, и сложнее в других. Принцип работы программы больше похож на программу резервного копирования: она использует образы «До» и «После» для завершения работы процессов и служб, а затем их восстановления. Полезной функцией является мастер установки Windows, который проведет вас через процесс создания образа системы.

На этапе настройки мастера вы можете закрыть все открытые процессы, закрыть окна (Internet) Explorer, отключить заставку, остановить службы и создать файл изображения. Если вы хотите, чтобы SmartClose никогда не останавливал определенный процесс, вы должны настроить его и добавить как защищенную программу.SmartClose

Если вы хотите остановить или защитить выбранные службы, их необходимо настроить в текстовом файле INI с помощью Блокнота. Вы можете сохранить несколько изображений для разных сценариев, а затем восстановить или отредактировать любое из них с помощью мастера. Работает на Windows XP, Vista и 7.

Открытие окна «Политики ограниченного использования программ»

  • Для локального компьютера
  • Для домена, сайта или организационного подразделения, и вы находитесь на рядовом сервере или рабочей станции, подключенной к домену.
  • Для домена или организационной единицы, а также на контроллере домена или рабочей станции с установленными средствами удаленного управления сервером
  • Для веб-сайта и на контроллере домена или рабочей станции с установленными средствами удаленного управления сервером

Для локального компьютера

  1. откройте окно «Локальные настройки безопасности».
  2. В дереве консоли щелкните Политики ограничения программного обеспечения.Где?
    • Настройки безопасности/рекомендации по программному обеспечению

Заметка

Для выполнения этой процедуры вы должны быть членом группы «Администраторы» на локальном компьютере или вам делегированы соответствующие полномочия.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

  1. откройте консоль управления Microsoft (MMC).
  2. В меню «Файл» выберите «Добавить или удалить оснастку», а затем нажмите «Добавить.
  3. Нажмите «Редактор объектов групповой политики», а затем нажмите «Добавить.
  4. В окне «Выбор объекта групповой политики» нажмите «Обзор.
  5. Найдите объект групповой политики, выберите объект групповой политики (GPO) в соответствующем домене, регионе или организационном подразделении или создайте новый объект групповой политики и нажмите «Готово».
  6. Нажмите «Закрыть», а затем «ОК.
  7. В дереве консоли щелкните Политики ограничения программного обеспечения.Где?

    Политика GPO имя_компьютера/конфигурация компьютера или

    Конфигурация пользователя/Параметры Windows/Параметры безопасности/Политики программного обеспечения

Заметка

Для выполнения этой процедуры вы должны быть членом группы «Администраторы домена».

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

  1. откройте консоль управления групповой политикой.
  2. В дереве консоли щелкните правой кнопкой мыши объект групповой политики, который вы хотите открыть. Политики ограничения программного обеспечения.
  3. Нажмите кнопку «Изменить», чтобы открыть объект групповой политики для редактирования. Вы также можете нажать «Создать», чтобы создать новый объект групповой политики, а затем нажать «Изменить.
  4. В дереве консоли щелкните Политики ограничения программного обеспечения.Где?

    Политика GPO имя_компьютера/конфигурация компьютера или

    Конфигурация пользователя/Параметры Windows/Параметры безопасности/Политики программного обеспечения

Заметка

Для выполнения этой процедуры вы должны быть членом группы «Администраторы домена».

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

  1. откройте консоль управления групповой политикой.
  2. В дереве консоли щелкните правой кнопкой мыши веб-сайт, для которого вы хотите настроить групповую политику.Где?
    • Active Directory — сайты и службы имя контроллера домена.имя домена/Сайты/Сайт
    • Щелкните объект в списке «Ссылки на объекты групповой политики», чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите «Изменить». Вы также можете нажать «Создать», чтобы создать новый объект групповой политики, а затем нажать «Изменить.
    • В дереве консоли щелкните Политики ограничения программного обеспечения.Где

      Политика GPO имя_компьютера/конфигурация компьютера или

      Конфигурация пользователя/Параметры Windows/Параметры безопасности/Политики программного обеспечения

Заметка

  • Для выполнения этой процедуры вы должны быть членом группы «Администраторы» на локальном компьютере или вам делегированы соответствующие полномочия. Если компьютер присоединен к домену, эту процедуру могут выполнить члены группы «Администраторы домена».
  • Чтобы установить параметры политики, которые будут применяться к компьютерам независимо от того, кто входит в систему, нажмите «Конфигурация компьютера.
  • Чтобы установить параметры политики, которые будут применяться к пользователям независимо от компьютера, на котором они входят, нажмите «Конфигурация пользователя.

Введение

Политики ограничения программного обеспечения — это функция на основе групповой политики, которая идентифицирует программы, запущенные на компьютерах в домене, и контролирует возможность запуска этих программ. Эти политики позволяют создавать очень ограничительную конфигурацию для компьютеров, на которых разрешен запуск только определенных программ. Политики интегрируются с доменными службами Active Directory и групповой политикой, но их также можно настроить на отдельных компьютерах. Подробную информацию о политиках ограничения программного обеспечения см в разделе Политика ограничения программного обеспечения.

Начиная с Windows Server 2008 R2 и Windows 7, вы можете использовать Windows AppLocker вместо или в сочетании с SRP как часть стратегии управления приложениями.

Содержание раздела

  • политика открытого программного обеспечения
  • Создайте новые политики ограничения использования программного обеспечения
  • Добавить или удалить указанный тип файла
  • Запретить применение политик ограничения использования программного обеспечения к локальным администраторам
  • Изменение уровня безопасности по умолчанию для ограничений программного обеспечения
  • Применить политики ограничения использования программного обеспечения к библиотекам DLL

Сведения о том, как использовать программные ограничения для выполнения определенных задач, см в следующих разделах:

  • Определите белый список и инвентарь для ограничений программного обеспечения
  • Работа с политиками ограниченного использования программного обеспечения
  • Используйте политики ограничения программного обеспечения, чтобы защитить свой компьютер от почтового вируса

Как запретить запуск программы через групповые политики

В более старых версиях Windows есть групповые политики, которые можно изменить, чтобы запретить запуск программ.

Редактор локальной групповой политики работает в операционных системах Windows Professional и Windows Enterprise. Пользователи Windows Home могут использовать другой метод командной строки.

Следуйте этим инструкциям:

  1. Нажмите клавиши «Win» + «R» на клавиатуре».
  2. В диалоговом окне «Выполнить» введите команду: «gpedit.msc» (без кавычек), нажмите клавишу «Enter».
  3. В окне «Редактор локальной групповой политики» откройте «Конфигурация пользователя», перейдите сначала к политике «Административные шаблоны», затем к «Системной политике».
  4. Дважды щелкните параметр «Не запускать указанные приложения Windows».

политический выбор

  1. В окне «Не запускать приложения Windows» установите опцию «Включено», а в опции «Список запрещенных приложений» нажмите кнопку «Показать…».

не запускать указанные приложения

  1. В окне «Выходное содержимое» в опции «Список запрещенных приложений» в поле «Значение» добавьте имя файла с расширением, например «chrome.exe», а затем нажмите кнопку «ОК».

вывод контента

  1. В окне «Не запускать приложения Windows» нажмите кнопку «ОК», чтобы применить настройку.
  2. Закройте редактор локальной групповой политики.

Как отменить ограничение на запуск программы в редакторе локальной групповой политики

После того, как ситуация изменилась, пользователю пришлось снять ограничения на запуск приложений. Вам нужно будет вернуться в настройки групповой политики, чтобы изменить настройки.

  1. откройте редактор локальной групповой политики.
  2. В окне редактора локальной групповой политики перейдите в раздел: Конфигурация пользователя ➜ Административные шаблоны ➜ Система ➜ Не запускать указанные приложения Windows».
  3. В окне «Не запускать указанные приложения Windows» укажите значение параметра «Не указано», нажмите кнопку «ОК».

не указан

Область действия политик ограниченного использования программ и приоритет правил

Политика ограничения программного обеспечения не распространяется на:

  • Программы, работающие под учетной записью SYSTEM
  • Драйверы и другие приложения уровня ядра
  • Макросы в документах Microsoft Office
  • Программы, написанные для среды Common Language Runtime — эти программы используют политику безопасности доступа к коду

Приоритет использования правил выглядит следующим образом (в порядке убывания приоритета):

  • Правило хеширования
  • Правило сертификата
  • Правило отслеживания
  • Правило интернет-зоны
  • Правило по умолчанию

Правило зоны

Во избежание путаницы, сразу оговоримся, что речь идет о зонах, используемых Internet Explorer, а не об учреждениях исправительной системы. Этот тип правил позволяет вам определить зону Интернета и установить для нее правило — разрешить или запретить ее запуск.

Правило зонирования

Основной недостаток, делающий его практически бесполезным, заключается в том, что он применим только к файлам пакета установщика Windows (Windows Installer, расширение *.msi).

Общие параметры настроек политики

Узел «Политики ограничения программного обеспечения» содержит общие параметры, определяющие порядок применения политик.

Общие параметры

Принудительное использование

Первый параметр определяет, следует ли сканировать библиотеки DLL и можно ли применять ограничения политики к администраторам локального компьютера. DLL — это библиотеки динамической компоновки, которые являются частью некоторых исполняемых программ. По умолчанию проверка DLL отключена.

Варианты обеспечения соблюдения

Без особой надобности не обязательно переводить этот параметр в положение проверки всех файлов программы. На это есть несколько причин. Во-первых, при большом количестве «привязанных» к ним исполняемых файлов и библиотек (а в Windows их много) производительность системы сильно снижается — настройки политики будут видны каждый раз, когда программа вызывает DLL. Во-вторых, если выполнение файла запрещено политикой, проверять комплектные библиотеки не потребуется.

Второй параметр позволяет исключить администраторов локальных компьютеров из списка пользователей, к которым должна применяться политика. Он используется только для компьютерных политик. Включено, если вы хотите разрешить локальным администраторам запускать все приложения. Лучший способ обеспечить эту возможность — либо временно переместить учетную запись компьютера в организационное подразделение, не подпадающее под действие этой политики, либо удалить разрешение «Применить групповую политику» в свойствах группы объектов групповой политики, содержащей администраторов.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

  1. откройте окно «Политики ограничения программного обеспечения».
  2. Дважды щелкните «Уровни безопасности» на панели сведений.
  3. Щелкните правой кнопкой мыши уровень безопасности, который вы хотите установить по умолчанию, и выберите «По умолчанию.

Обратите внимание на следующее

В некоторых каталогах установка уровня безопасности «Запрещено» в качестве уровня по умолчанию может отрицательно повлиять на работу операционной системы.

Заметка

  • Для этой процедуры требуются разные учетные данные администратора в зависимости от среды, в которой вы меняете уровень безопасности по умолчанию для ограничений программного обеспечения.
  • Возможно, вам придется создать новый параметр политики ограничения программного обеспечения для этого объекта групповой политики, если вы еще этого не сделали.
  • В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с галочкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, команда по умолчанию не появится в меню.
  • Чтобы указать исключения из уровня безопасности по умолчанию, создаются политики ограничения программного обеспечения. Если уровень безопасности по умолчанию — «Неограниченный», правила могут указывать программное обеспечение, запуск которого запрещен. Если уровень безопасности по умолчанию установлен на «Запрещено», вы можете указать программное обеспечение, запуск которого разрешен, в ваших правилах.
  • Во время установки политики ограничения программного обеспечения устанавливают уровень безопасности по умолчанию «Неограниченный» для всех файлов в системе.

Правило хеша

Пожалуй, самое «полезное» правило. Для идентификации файла используется хэш. Хэш — это цифровой «отпечаток» файла, полученный путем преобразования его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Замечательной особенностью этого преобразования является то, что хэш идентифицирует любой файл, независимо от имени и местоположения. Любое, даже самое незначительное изменение кода файла приводит к изменению хеша. И наоборот, два совершенно идентичных файла имеют одинаковый хэш.

Правило хеширования

Чтобы вычислить хэш файла, укажите его путь, нажав кнопку «Обзор». Если файл находится на другом компьютере, необходимо предоставить доступ к нему с машины, на которой настраивается политика. Например, вы можете сопоставить стандартный общий ресурс, например COMP_NAMEC$, как сетевой диск. После расчета хеша в поле «Файл для хеширования» отобразятся его значение, длина файла и код алгоритма хеширования, разделенные двоеточием.

идентификация файла с использованием хеша является наиболее предпочтительной, поскольку вы можете однозначно идентифицировать файл. Обратной стороной является большой первоначальный объем работы, который необходимо проделать при создании нового набора правил. Этот тип правил применяется по принципу «один файл — одно правило». Кроме того, разные версии одной и той же программы имеют разные значения хеш-функции. Если объем разрешенных к реализации программ достаточно велик, эта задача может напоминать перепись населения. Однако об упрощении процесса сбора информации о запущенных программах мы поговорим ниже.

Запрет запуска программы после изменений в реестре

Используя редактор реестра, пользователь может запретить запуск программ на компьютере.

  1. Запустите редактор реестра, используя один из этих методов.
  2. Следуйте по пути к следующему разделу:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerЕсли в системном реестре нет ключа Explorer, создайте его. Щелкните правой кнопкой мыши «Политики», в контекстном меню выберите «Новый», затем «Раздел». Назовите созданный раздел «Проводник.

  1. В разделе «Проводник» создайте новый раздел «DisallowRun».
  2. Щелкните правой кнопкой мыши свободное место в окне редактора реестра, в открывшемся меню выберите «Новый», а затем «Строковое значение».

создать строковый параметр

  1. Назовите параметр «1». Щелкните правой кнопкой мыши по параметру и выберите «Изменить…».
  2. В окне «Изменить строковый параметр» в поле значения введите «имя_программы.exe», нажмите «ОК».

изменить строковый параметр

  1. Создайте следующие параметры с именами «2», «3», «4» и т д., чтобы запретить запуск других программ на этом компьютере.

создавать параметры

  1. Закройте окно редактора реестра.

Отмена ограничения на запуск программы в редакторе реестра

Чтобы разрешить запуск программы, необходимо повторно войти в редактор реестра.

Следуйте пути в окне редактора реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer Если вам нужно снять ограничения на запуск всех программ, удалите раздел «DisallowRun». Если вам необходимо снять запрет на запуск конкретной программы, перейдите в раздел «DisallowRun» и удалите параметр, соответствующий заблокированной программе (смотрите название программы в поле «Значение»).

Оцените статью
Блог про Samsung