Запрет запуска программ через групповые политики
Если возникла ситуация, требующая запрета использования определенной программы, то у пользователя компьютера есть три способа наложения такого запрета. Каждый из них легко применим и что самое главное, действенен.
статьи
- 1 Способ первый
- 2 Второй способ
- 3 Третий способ
Способ первый
Если необходимо заблокировать использование программы, которая запускается из одного файла, то лучше всего накладывать запрет посредством «Редактора групповой политики».
- Запускаем службу «Редактор групповой политик». Для этого следует одновременно нажать на клавиатуре две клавиши «Win+R» и в появившемся окошке вводим «gpedit.msc». Жмем «Ок».
- В новом окне переходим в подраздел «Конфигурация пользователя», затем «Административные шаблоны» и «Система». Далее, справа ищем иконку «Не запускать указанные приложения Windows». Кликаем по ней пару раз левой кнопкой мышки.
- После в открывшемся окне нужно установить переключатель в режим «Включить».
- Далее, следует указать какую программу необходимо заблокировать. Для этого кликаем по иконке «Показать».
- Откроется окно «Вывод содержания». В нем будет небольшая таблица, где нужно ввести точное название файла, который запускает программу. Название нужно вводить вместе с расширением.
- Если точное имя неизвестно, то его можно узнать, нажав правой кнопкой мышки на иконку или ярлык приложения и выбрать в меню пункт «Расположение файла».
- Расширение можно узнать, нажав в проводнике по иконке «Вид», где в открывшемся меню будет возможность поставить галочку напротив функции «Расширение имен файла». Что означает – отображать или не отображать расширение в названии файла.
- Составив список из нежелательных программ, сохраняем его, нажав «Ок».
- Перезапускаем компьютер и проверяем, запускается ли программа из составленного «черного» списка. Если все сделано правильно, должна появиться иконка «Ограничение».
Важно! В некоторых базовых ОС Windows 8 и 8,1 «Редактора групповой политики» может отсутствовать. Или он не будет запускаться через команду «gpedit.msc», поскольку программа будет находиться в системной папке Windows\SysWOW64, а не в Syatem32
В таком случае приложение нужно запустить вручную.
Если необходимо узнать были ли попытки запуска программ из «черного» списка, то для этого нужно запустить приложение «Администрирование» в окне «Панель управления».И посмотреть статистику в приложении «Просмотр событий».
Второй способ
Этот метод подразумевает блокировку программ посредством возможностей реестра Windows.
- Вначале следует открыть реестр Window, запустив в приложении «Выполнить» команду «RegEdit.exe».
- Далее, нужно перейти к командам, которые расположены по адресу.
- Нажав на папку «Explorer» нужно переместить курсор мыши на пустое пространство справа, и нажать по нему правой кнопкой мышки.
- Где необходимо сгенерировать новый параметр «DisallowRun» выбрав «New\ DWORD (32)».
- Далее, нужно создать подраздел «DisallowRun». Для этого нажимаем на «Explorer» правой кнопкой мыши и выбрав «New\Key».
- В подразделе создаем новую команду с названием «1», типом команды «String» и внутренней переменной содержащей точное название файла, который запускает ненужную программу. Например, для запрета запуска Firefox нужно создать команду «1» с введенной в нее переменной Firefox.exe.
- Перезапускаем компьютер и проверяем результат. В случае успеха должно появиться окошко, где будет указано на невозможность запуска программы из-за ограниченного доступа.
Третий способ
Последний метод блокировки – это заранее подготовленный скрипт.
Вначале нужно создать новый текстовый файл посредством обычного Блокнота. Для этого нажимаем правой кнопкой мышки на свободном пространстве Рабочего стола или Проводника, выбираем «Создать/Текстовый документ»
Название неважно.
Открываем созданный файл и вводим скриптWindows Registry Editor Version 5.00»DisallowRun»=dword:00000001»1″=»software.exe»
«2»=»software2.exe»
Где два последних параметра – это название файлов, которые запускают ненужные программы (черный список).
Меняем расширение созданного текстового файла на «reg». Если включить отображение расширения (первый способ, пятый пункт инструкции), то это будет элементарно
Аналогично простому переименованию файла.
Запускаем созданный скрипт, нажав на него пару раз левой кнопкой мышки.
Этот способ очень удобный, поскольку он создает небольшое приложение (скрипт) которое можно брать с собой куда угодно и менять при желании. Добавляя или удаляя ненужные программы.
Политики ограниченного использования программ
Одной из самых важных в контексте статьи будет группа объектов GPO «Политики
ограниченного использования программ» (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.
По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
«Политики ограниченного использования программ» (в «Конфигурация компьютера» и
«Конфигурация пользователя» есть свои пункты) и выбрать в контекстном меню
«Создать политику ограниченного использования программ» (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
«Неограниченный» (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку «Уровни
безопасности», где находятся пункты активации еще двух политик – «Запрещено» (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика «Обычный пользователь» (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.
В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
«Запрещено» и в появившемся окне нажимаем кнопку «Установить по умолчанию» (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень —
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку «Дополнительные правила».
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в «Неограниченный». То есть после
активации политики «Запрещено» системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.
Если щелкнуть по ярлыку «Политики ограниченного использования программ»,
получим доступ еще к трем настройкам. Выбор политики «Применение» (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.
С помощью политики «Назначенные типы файлов» определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
«Доверенные издатели» задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.
Принудительное использование
Первый параметр определяет, следует ли проверять библиотеки DLL, и возможность применения ограничений, накладываемых политикой на локальных администраторов компьютеров. DLL – это библиотеки динамической компоновки, которые являются частью некоторых исполняемых программ. По умолчанию, проверка DLL отключена.
Опции принудительного применения
Без особой нужды нет необходимости переключать этот параметр в положение проверки всех файлов программ. Причин для этого несколько. Во-первых, при большом количестве исполняемых файлов и «прицепленных» к ним библиотек (а в Windows их предостаточно) резко снижается производительность системы — параметры политики будут просматриваться при каждом вызове программой библиотеки DLL. Во-вторых, если исполнение файла будет запрещено политикой, то не возникнет и необходимости проверки сопутствующих библиотек.
Второй параметр позволяет исключить локальных администраторов компьютеров из списка пользователей, к которым будет применяться политика. Он используется только для политик компьютера. Включается, если необходимо позволить локальным администраторам запускать любые приложения. Более предпочтительный способ предоставить эту возможность – либо временное перемещение учетной записи компьютера в организационную единицу, на которую не распространяются данные политики, либо убрать разрешение Применение групповой политики в свойствах группы GPO, в состав которой входят администраторы.
Как заблокировать установку программ в Windows 10
Параметры
У пользователя есть возможность выбрать, откуда можно будет получать приложения. По сути запрет установки приложений с неизвестных источников является ещё одним средством защиты пользователя и операционной системы. Устанавливая только приложения, предлагаемые в Microsoft Store, Вы сможете защитить свой компьютер и обеспечить его бесперебойную работу.
- Откройте Пуск > Параметры > Приложения > Приложения и возможности.
- В пункте Установка приложений откройте список, и выберите пункт Разрешить использование приложений только из Store.
По умолчанию установлено значение показывать рекомендации приложений. Вместо блокировки возможности установки программ можно выбрать пункт предупреждать перед установкой приложений, не предлагаемых в Store. Такая функция работает по аналогии с фильтром SmartScreen, который также предупреждает пользователей при попытке установить приложение с неизвестного источника.
Редактор локальной групповой политики
Пользователи Профессиональной и Корпоративной редакций операционной системы Windows 10 могут открыть редактор локальных групповых политик для внесения изменений в систему. Владельцы Домашней редакции при попытке открыть редактор групповой политики получают сообщение gpedit.msc не найден Windows 10. Перед внесением изменений в систему рекомендуем создать резервную копию Windows 10.
- Откройте редактор локальной групповой политики выполнив команду gpedit.msc в окне Win+R.
- Перейдите в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows.
- Измените значение параметра Отключение установщика Windows на Включено и выберите в списке пункт Всегда.
- Измените значение параметра Запретить установки пользователям на Включено и выберите в списке пункт Скрыть установки для пользователей.
Включаете параметра Отключение установщика Windows позволяет запретить пользователям устанавливать программы на свои системы или разрешить устанавливать только программы, предложенные системным администратором. Этот параметр политики влияет только на работу установщика Windows. Он не запрещает пользователям использовать другие способы установки и обновления программ.
Активированный параметр политики Запретить установки пользователям и выбор значения скрыть установки для пользователей позволяет установщику игнорирует приложения для пользователей. При этом приложения, установленные для компьютера, будут видны пользователям, даже если эти пользователи имеют зарегистрированную установку этого приложения для пользователя в своем профиле пользователя.
Заключение
Возможность запретить установку программ для новичков действительно является полезной на Windows 10. Так как после отключения установки приложений из неизвестных источников пользователь уже снизил вероятность заражения своего компьютера вредоносными программами или вирусами. А также помимо встроенных средств защиты в операционной системы пользователям рекомендуем выбрать один с лучших бесплатных антивирусов.
Блокировка установки/запуска приложений с помощью AppLocker
2020-12-04 · Posted in Active Directory, Windows – 10, Windows Server 2012, Windows Server 2016/2019
Рассмотрим ситуацию: У Вас есть «терминальный» сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже — Амиго… А они ставятся не в \Program Files, а в профиль пользователю…
В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.
Для начала идем в «Панель управления» во вкладку «Администрирование»
Открываем «Службы» и находим службу «Удостоверение приложения»
Открываем свойства данной службы
По «умолчанию» она остановлена и стоит «Запуск — вручную»
Нам необходимо установить «Запуск — автоматически» и нажать кнопку «Запустить»
СЛУЖБА «УДОСТОВЕРЕНИЕ ПРИЛОЖЕНИЯ» НЕ ЗАПУСКАЕТСЯ
Для работы Applocker должна быть запущена служба «Удостоверение приложений» (Application Identity) — режим запуска: автоматически, состояние: запущена. Если сделать этого не получается (Отказано в доступе), необходимо в реестре поменять значение параметра Start на 2
- Откройте редактор реестра (Windows + R > regedit)
- Перейдите к HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc
- Поменяйте значение Start на 2.
После этого правила Applocker будут отрабатывать корректно
Теперь снова возвращаемся в «Администрирование» и открываем «Локальная политика безопасности»
- В открывшемся окне идем в «Политики управления приложениями -> AppLocker -> Исполняемые правила»
- Запускаем на компьютере gpedit.msc и переходим в раздел “Политика компьютера” — “ Конфигурация Windows” — “Параметры безопасности” — “Политики управления приложениями” — “AppLocker”. Нажимаем на Настроить применение правил.
У Вас «по умолчанию» там будет пусто
Справа в свободном месте нажимаем правой кнопкой мыши и выбираем «Создать правило…»
Нас приветствует «Мастер создания новых правил», Нажимаем «Далее»
Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем «Запретить«.
Далее можем оставить по умолчанию «Все», или выбрать конкретную группу или пользователя.
После нажимаем «Далее»
В данном окне есть несколько типов правил, я пользуюсь правилом «Издатель» и нажимаем «Далее»
Тут выбираем файл, установщик которого мы хотим запретить
Для примера я выбрал установщик Яндекс.Браузера
Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше — уменьшать кол-во проверок. Поиграйтесь ползунком — поймете что он ограничивает.
После того, как выбрали подходящий Вам вариант — нажимаем «Далее»
Тут можно добавить исключение. Я им не пользовался.
Ну к примеру вы запретили установку любого ПО от производителя «Яндекс», но хотите чтобы было разрешено «Яндекс.Панель», тогда необходимо добавить его в исключение кнопкой «Добавить…», как все сделали — нажимаем «Далее»
Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку «Создать»
Все! Наше правило готово. Чтобы оно немедленно вступило в силу — предлагаю обновить правила политики для ПК и Пользователя.
Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force
Дожидаемся обновления политик и можем тестировать.
Так как я применял политику только на группу «Пользователи домена», на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:
Значит мы все настроили верно. Вот и все.
Отключение UAC с целью разблокирования приложения
Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:
Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».
Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».
Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:. Появится окно редактора реестра
Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0»
Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».
После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.
Удаление цифровой подписи как метод разблокирования приложения
Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:
Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».
Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.
После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.
Использование Локальной политики безопасности для блокировки и разблокировки софта
Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:
Жмём «Win+R» и вводим «secpol.msc».
Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».
Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».
Откроется окно Мастера создания новых правил. Жмём «Далее».
Появится еще одно окно. Здесь нам нужно поставить отметку «Разрешить» или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».
В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.
В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.
Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.
Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).
Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.
Операционная система Windows позволяет с легкостью запретить пользователям установку программ сторонних разработчиков. Возможность заблокировать установку приложений работает операционной системе Windows 10 начиная с обновления Creators Update. Выполнив чистую установку достаточно пользователю установить все необходимые приложения, после чего можно и отключить возможность установки ненужных программ.
Данная статья расскажет как запретить установку программ на Windows 10 используя параметры системы или редактор локальных групповых политик. Полезно будет тем пользователям, которые позволяют пользоваться своим рабочим компьютером другим без добавления новых учетных записей. Заблокировать установку программ можно вместе с использованием родительского контроля.
Как удалить обновления
Так как отключить обновление Windows 7 не значит полностью избавиться от навязчивой «десятки», то необходимо еще удалить ее загрузочные файлы с компьютера. Дело в том, что виндовс скачивает их в автоматическом режиме, поэтому после отключения обновлений, все загруженные данные будут занимать место на жестком диске. Чтобы от них избавиться, необходимо:1. открыть панель управления и перейти в меню «программы и компоненты»;2. в списке слева найти «просмотр установленных обновлений»;3. здесь необходимо найти обновление с кодом KB2990214 или KB3014460, а затем удалить его.
Второй способ:1. запустите системную утилиту «очистка диска» (пуск — все программы — стандартные — служебные) и дождитесь пока программа завершит анализ дискового пространства;2. снизу нажмите на кнопку «очистить системные файлы»;3. откроется новое диалоговое окно, где нужно выбрать «временные файлы установки Windows».
После этого компьютер не будет предлагать обновиться до «десятки». Если описанные ваше способы не принесли желаемого результата, что попробуйте полностью отключить автоматические обновления на компьютере. В таком случае, вам придется устанавливать все драйвера и другие системные файлы вручную, через журнал в центре обновлений виндовс.
Существуют и более сложные способы, чтобы отключить автоматическое обновление Windows до «десятки». Например, через командную строку. Описывать их было бы не совсем целесообразно. Поэтому предлагаем вам ознакомиться с видеороликом, где все максимально наглядно.
Дополнительная информация
Возможно, на данный момент читателю не до конца понятно, как описываемая возможность может быть использована (ведь в любой момент можно переключить запрет или дать разрешение на запуск программы).
Тем не менее это может быть полезным:
- Установленные запреты применяются и к другим учетным записям Windows 10 без прав администратора.
- В учетной записи без прав администратора нельзя поменять параметры разрешения запуска приложений.
- Приложение, которое было разрешено администратором, становится разрешенным и в других учетных записях.
- Для того, чтобы запустить приложение, которое не разрешено из обычной учетной записи, потребуется ввести пароль администратора. При этом пароль потребуется для любой программы .exe, а не только для тех, которые просят «Разрешить внести изменения на компьютере» (в отличие от контроля учетных записей UAC).
Т.е. предлагаемая функция позволяет в большей степени контролировать то, что разрешено запускать обычным пользователям Windows 10, повысить безопасность и может пригодиться тем, кто не использует одну единственную учетную запись администратора на компьютере или ноутбуке (порой даже с отключенным UAC).
А вдруг и это будет интересно:
Почему бы не подписаться?
Здравствуйте. Есть ли возможность удалить приложение из белого списка?
Здравствуйте. Хороший вопрос. Попробовал найти в реестре ключи программ, при удалении которых заново запрос появляется — безуспешно. Из рабочих вариантов оказалось полное удаление программы и повторная установка.
Здравствуйте. У меня доступна только строка «Разрешать использование приложений только из Магазина» Как это исправить? И еше вверху написано «some settings are hidden or managed by your organization»
Обычно это (невозможность изменить параметры и сообщение о том, что некоторые из них управляются организацией) происходит, если до этого параметры были изменены в редакторе реестра, редакторе локальной групповой политики, либо с помощью программ-твикеров или «для отключения шпионства Windows 10». Т.е., чтобы исправить, нужно отменить те действия, что были сделаны (возможно, у вас сохранились точки восстановления и они в этом помогут).
А если я не знаю какие действия мне нужно отменить, и если у меня отключены точки восстановления? Что теперь только винду переустанавливать?
у меня нет кнопки разрешить почему?
Здравствуйте. Dmitry, дополните пожалуйста вариантами настройки через реестр у некоторых такого способа который Вы описали не видно. спасибо.
Правило хеша
Пожалуй, самое «полезное» правило. Для идентификации файла используется его хеш. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Замечательное свойство такого преобразования заключается в том, что хеш однозначно идентифицирует любой файл, независимо от его названия и месторасположения. Любое, самое незначительное изменение кода файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла имеют одинаковый хеш.
Правило для хеша
Для вычисления хеша файла укажите путь к нему, нажав кнопку Обзор. Если файл расположен на другом компьютере, необходимо обеспечить к нему доступ с той машины, где настраивается политика. Вы можете, например, подключить как сетевой диск стандартный общий ресурс вида \\COMP_NAME\C$. После расчета хеша в поле Хешируемый файл появятся его значение, длина файла и код алгоритма хеширования, разделенные двоеточием.
Идентификация файла по его хешу является наиболее предпочтительной, позволяя однозначно определять файл. Его недостаток – это большой первоначальный объем работы, который необходимо проделать при создании нового набора правил. Этот тип правил используется по принципу – «один файл, одно правило». Более того, различные версии одной программы имеют различное значение хеша. При достаточно большом объеме разрешенных для исполнения программ эта задача может в чем-то напоминать перепись населения. Впрочем, об упрощении процесса сбора информации о запускаемых программах мы расскажем чуть ниже.
Как запретить запуск программ в Windows 10
Большинство пользователей персональных компьютеров хоть раз в жизни сталкивались с такой проблемой, как запуск нежелательных программ в операционной системе. Большой проблемой это не является, но может вызвать некоторые неудобства во время работы за ПК. Запрет на запуск программ в Windows 10 может быть обусловлен несколькими причинами. Например, пользователь установил несколько программ, которые будут оповещать его о своей работе, используя ресурсы компьютера и оповещать о своей деятельности в области уведомлений (системном трее). В данном случае, ненужные человеку программы можно отключить, удалив их из автозагрузки.
Распространенной причиной запрета на запуск может быть нежелание использовать одни и те же программы несколькими пользователями. Обычно, такое происходит когда компьютер имеет две и более учетных записей, под каждой из которых в систему заходят разные люди, используя разное программное обеспечение. Основному пользователю (системному администратору) целесообразно будет указать, какие программы будут использоваться в системе. В данной статье будут рассмотрены основные способы запрета запуска программ в Windows 10.
Параметры
Существует и более простой способ блокировки неизвестных программ. Правда, если запрет устанавливается для ребенка, то ему не составит труда снять ограничения, поскольку операция выполняется в несколько шагов:
- Щелкните ЛКМ по иконке «Пуск», чтобы открыть соответствующее меню.
- Кликните по значку в виде шестеренки для запуска «Параметров».
- Перейдите в раздел «Приложения», а затем – в «Приложения и возможности».
- Под заголовком «Выбор расположения для получения приложений» установите значение «Только из Microsoft Store».
В дальнейшем владелец учетной записи может изменить заданный параметр на предупреждение об инсталляции непроверенной программы или на полное разрешение подобных действий.
Отмена действующих ограничений и исправление запуска панели управления, других системных элементов и программ в Windows
c http-equiv=»Content-Type» content=»text/html;charset=utf-8″>lass=»remon-after-2nd-h2″ id=»remon-1689126333″>
Прежде чем приступить, учитывайте важный момент, без которого все описанные далее шаги выполнить не получится: вы должны иметь права Администратора на компьютере для внесения необходимых изменений в параметры системы.
В зависимости от редакции системы, для отмены ограничений вы можете использовать редактор локальной групповой политики (доступен только в Windows 10, 8.1 и Windows 7 Профессиональная, Корпоративная и Максимальная) или редактор реестра (присутствует и в Домашней редакции). При наличии возможности я рекомендую использовать первый метод.
Снятие ограничений на запуск в редакторе локальной групповой политики
Используя редактор локальной групповой политики отменить действующие на компьютере ограничения будет быстрее и проще, чем с использованием редактора реестра.
В большинстве случаев достаточно использовать следующий путь:
- Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
- В открывшемся редакторе локальной групповой политики откройте раздел «Конфигурация пользователя» — «Административные шаблоны» — «Все параметры».
- В правой панели редактора нажмите мышью по заголовку столбца «Состояние», так значения в нём будут отсортированы по состоянию различных политик, а вверху окажутся те из них, которые включены (по умолчанию в Windows все они в состоянии «Не задано»), а среди них и — искомые ограничения.
- Обычно, названия политик говорят за себя. Например, у меня на скриншоте видно, что запрещен доступ к панели управления, к запуску указанных приложений Windows, командной строке и редактору реестра. Для отмены ограничений достаточно дважды нажать по каждому из таких параметров и установить «Отключено» или «Не задано», а затем нажать «Ок».
Обычно, изменения политик вступают в силу без перезагрузки компьютера или выхода из системы, но для некоторых из них она может потребоваться.
Отмена ограничений в редакторе реестра
Те же параметры можно изменить и в редакторе реестра. Для начала проверьте, запускается ли он: нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter. Если он запустился, переходите к далее описанным шагам. Если вы увидели сообщение «Редактирование реестра запрещено администратором системы», используйте 2-й или 3-й способ из инструкции Что делать, если редактирование реестра запрещено администратором системы.
В редакторе реестра присутствуют несколько разделов (папки в левой части редактора), в которых могут устанавливаться запреты (за которые отвечают параметры в правой части), вследствие которых вы получаете ошибку «Операция отменена из-за ограничений, действующих на этом компьютере»:
- Запрет запуска панели управления
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Требуется удалить параметр «NoControlPanel» или изменить его значение на 0. Для удаления достаточно нажать правой кнопкой мыши по параметру и выбрать пункт «Удалить». Для изменения — двойной клик мышью и задание нового значения.
- Параметр NoFolderOptions со значением 1 в том же расположении запрещает открытие параметров папок в проводнике. Можно удалить, либо изменить на 0.
- Ограничения запуска программ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\
В этом разделе будет список нумерованных параметров, каждый из которых запрещает запуск какой-либо программы. Удаляем все те, которые требуется разблокировать.
Аналогично, почти все ограничения располагаются именно в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ и его подразделах. По умолчанию, в Windows у него нет подразделов, а параметры либо отсутствуют, либо присутствует единственный пункт «NoDriveTypeAutoRun».
Даже не сумев разобраться, какой параметр за что отвечает и очистив все значения, приведя политики к состоянию как на скриншоте выше (или вообще полностью), максимум, что последует (при условии, что это домашний, а не корпоративный компьютер) — отмена каких-то настроек, которые вы делали раньше с помощью твикеров или материалов на этом и других сайтах.
А вдруг и это будет интересно: