Как создать учетную запись windows чтобы запретить запуск неразрешенных программ

Обновлено: 05.07.2024

Данная задача решается только одним методом, который требует некоторых подготовительных работ.
Итак, самое главное, чего вам нужно добиться - запретить пользователям пользоваться административной учётной записью. Вы должны пользователям выделить ограниченную учётную запись. Её вполне хватает для комфортной работы с приложениями. Но главная задача, которая решается на данном этапе - непозволение пользователям изменять параметры и настройки системы. До тех пор, пока это не будет выполнено ваша задача не будет иметь решения.

по первой ссылке не поленитесь внизу страницы просмотреть ссылки на более подробный материал на TechNet'e

В принципе, ничего космически сложного нету там, но дам несколько рекомендаций:
1) к правилам по умолчанию добавьте необходимые исключения, чтобы пользователи могли запускать ярлыки из меню Start и quicklaunch.
2) добавьте исключения для рабочих программ, которые проинсталлированы в отличные от C:\Windows и C:\Progrm Files папки.

по первой ссылке не поленитесь внизу страницы просмотреть ссылки на более подробный материал на TechNet'e

Всё это уже давно пройденный этап. Эти рекомендации могут остановить только начинающих пользователей. Любая программа во время работы или между сеансами работы что-то пишет на диск. В моём случае только одна программа из полутора десятков установленных, писала свои временные файлы в папку где сама и находится. Соответственно был разрешен запуск программы из этой папки и была разрешена запись файлов в неё.
Куда писать пользователи нашли меньше чем за час. Игрушки победили.
Но если игрушку записанную на диск можно найти и пользователя "пожурить", то как быть со следующей ситуацией. Пользователь запускает браузер, такое действие ему разрешено. Заходит на сайт и играет. Есть и другие варианты этой "технологии".

Наивно верить в могущество Software Restriction Policies.
Также наивно верить в силу администраторского пароля.

Можете ли предложить что-либо ещё?

> Соответственно был разрешен запуск программы из этой папки и была разрешена запись файлов в неё

пользователи всё равно не могут запускать свои .exe файлы даже при возможности записи в папку.

> Пользователь запускает браузер, такое действие ему разрешено. Заходит на сайт и играет.

это уже взаимодействие с сетью. На локальной станции максимум что можно сделать - отключить Java и флеш. Но проксирование в данном случае более выгодно.

> Наивно верить в могущество Software Restriction Policies.

я несколько иного мнения. Пока что обойти данный запрет не так и просто даже профессионалам.

> Также наивно верить в силу администраторского пароля.

а что он? Безусловно, есть только одна лазейка, как обойти его - в оффлайне использовать ERD. Тут поможет разве что пломбирование кейса, запароливание BIOS'а ну и административные меры. В онлайн взломать пароль администратора ну неполучится, извините.

> Можете ли предложить что-либо ещё?

Судя по всему вариант, когда пользователи - это очень грамотные, высококвалифицированные и бессовестные профессионалы даже не рассматривается.

Речь идёт о студентах старших курсов специальности "Программное обеспечение вычислительных систем".

На 3 курсе они изучают клиентские ОС. В том числе изучается парольная защита ОС. А после лабораторной работы "Получение доступа к ОС с неизвестным паролем", получить администраторский пароль может любой. Там же на 3 курсе они начинают знакомиться с политиками безопасности. На 4 курсе изучаются серверные ОС. И студенты учатся управлять доменами и применять эти самые политики.
В начале этого семестра, преподаватель предложил студентам запустить "игрушку" на машинах с включённой политикой ограниченного использования программ. Студентам был обещан лишний балл к зачёту, если смогут это сделать. Через полчаса в папке Program files нашли папку с программой тестирования знаний студентов, а ней папку с разрешением на запись и запустили игру. Ещё через полчаса запустили игрушки в браузере. А через неделю нашли первую настоящую "дыру". Файлы с расширением "chm" запрещены для прямого запуска. Но если его запустить из rar-архива, то файл запускается. Под XP это работает без ограничений, запущенный файл не искажается. Под Вистой файл из архива запускается, но открывается в "Блокноте", в искажённом виде. До конца семестра 3 месяца, что ещё найдут и придумают.

Вот так. Пароли снимаются, политики обходятся. Специфика работы такая.
Призывы к совести не действуют. Штатные средства в описанной ситуации не помогают или помогают временно, дополнительные программы контроля за доступом так же.

Не пробовали только наказывать, пойманных на несанкционированном доступе. Но их пока ещё и не поймали ни одного.

Может быть ещё кто-нибудь что-нибудь предложит?

> получить администраторский пароль может любой.

получить сам пароль - это очень вряд ли, если машина в онлайне. Если в оффлайне, то можно поставить свой пароль. ERD и вперёд. Если у пользователей действительно ограниченные права (только Users и никаких Power Users и прочих), то просьба продемонстрировать. Без выключения компьютера или без повышения их прав свыше Users это будет невозможно. Разве что подбирать пароль. Но это слишком долго и неинтересно. В конце концов passprop решит вопрос с подбором.

> Через полчаса в папке Program files нашли папку с программой тестирования знаний студентов, а ней папку с разрешением на запись и запустили игру.

это не проблема SRP, а проблема неверного конфигурирования политики. Ведь недостаточно только включить политику и всё. Её же ещё и настроить надо. По таким случаям есть чёткие рекомендации:
в случае если программа требует разрешение записи пользователем в каталог с исполняемым файлом, то в политике SRP следует явно запретить правилом эту папку, а исполняемый файл разрешать только по хешу. В таком случае пользователи могут копировать свои .exe файлы, но запустить их не смогут, даже подменив исполняемый файл программы. Хеш не совпадёт.

Опять же, ничто не мешает установить приложение на другой том и там разрешить исполняемый модуль по хешу. Тем самым вы избавляетесь в необходимости перекрёстного правила (когда запрещается вся папка одним правилом и что-то разрешается в ней другим правилом).

Что касается браузера - готовы ли вы продемонстрировать процесс?

Вам достаточно было открыть вторую ссылку в моём посте, чтобы узнать альтернативные методы обхода политики. Но это же нужно делать.

Я попрежнему настаиваю на своей позиции. Вопрос только в том, на сколько у вас есть желание изучить материал и применить его на практике.

Решаемая задача: Запретить запуск программ, кроме явно добавленных, для всех пользователей компьютера, кроме Администраторов.

Для выполнения описанных действий требуется учетная запись Администратора.

В данном случае у нас имеется определенное условие – «никто, кроме…». Зададим правила ограничения на использование программ.

Откройте Редактор локальной групповой политики и пройдите по пути Конфигурация компьютера – Конфигурация Windows – Параметры безопасности. Выберите Политики ограниченного использования программ.

Чтобы включить политики жмем Действие – Создать политику ограниченного использования программ.

В окне появились дополнительные опции. Заходим в раздел Дополнительные правила. Щелкаем правой кнопкой мыши на Дополнительных правилах и выбираем Создать правило для пути… для добавления пути.

После нажатия кнопки обзор, откроется окно проводника, где можно выбрать путь к папкам, из которых разрешен запуск программ. Папка выбрана, выставляем для нее уровень безопасности Неограниченный для полного доступа, и нажимаем ОК.

Повторяем действия, добавляя папки

C:\Program Files
C:\Program Files (x86)
C:\Windows
C:\Scripts
Для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% Ставим значение Запрещено.

Теперь нужно указать, что запрет на запуск программы не распространяется на Администратора компьютера. Снова идем в Политики ограниченного использования программ и открываем Применение. Ставим переключатель в позицию Все пользователи, кроме локальных администраторов и жмем ОК.

Запрет запуска программы для всех, кроме администратора настроен.

Один параметр может оказаться досадной и никак не улучшающей безопасность помехой — по умолчанию, SRP обрабатывает не только исполняемые файлы, но и некоторые другие типы файлов — например, ярлыки (Shortcuts). Выполните двойной щелчок по значению Назначенные типы файлов и удалите расширение LNK из списка. Замечу, сами ярлыки и их целевые файлы обрабатываются политикой отдельно. Таким образом, удаляя LNK из списка обрабатываемых расширений, вы не понижаете уровень безопасности системы — создать ярлык на неразрешённый файл и таким образом запустить его в обход политики всё равно будет невозможным.

Затем идем в Политики ограниченного использования программ, Уровни безопасности, щелкаем по Запрещено и устанавливаем его по-умолчанию.

После этого все программы, кроме тех, что присутствуют в Дополнительных правилах будут запрещены политикой для запуска.

Если у вас возникла необходимость запрета запуска определенных программ в Windows, вы можете сделать это с помощью редактора реестра или редактора локальной групповой политики (последнее доступно только в Профессиональной, Корпоративной и Максимальной редакциях).

В этой инструкции подробно о том, как именно заблокировать запуск программы двумя упомянутыми методами. В случае, если цель запрета — ограждение ребенка от использования отдельных приложений, в Windows 10 вы можете использовать родительский контроль. Также существуют следующие методы: Запрет запуска всех программ кроме приложений из Магазина, Режим киоска Windows 10 (разрешение запуска только одного приложения).

Запрет запуска программ в редакторе локальной групповой политики

Первый способ — блокировка запуска определенных программ с использованием редактора локальной групповой политики, доступного в отдельных редакциях Windows 10, 8.1 и Windows 7.

Для установки запрета этим способом, выполните следующие шаги

Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter. Откроется редактор локальной групповой политики (при его отсутствии, используйте метод с помощью редактора реестра).
В редакторе перейдите к разделу Конфигурация пользователя — Административные шаблоны — Система.
Обратите внимание на два параметра в правой части окна редактора: «Не запускать указанные приложения Windows» и «Выполнять только указанные приложения Windows». В зависимости от задачи (запретить отдельные программы или разрешить только выбранные программы) можно использовать каждый из них, но рекомендую использовать первый. Дважды кликните мышью по «Не запускать указанные приложения Windows».
Установите «Включено», а затем нажмите по кнопке «Показать» в пункте «Список запрещенных программ».
Добавьте в список имена .exe файлов тех программ, которые нужно заблокировать. Если вы не знаете имя .exe файла, можно запустить такую программу, найти её в диспетчере задач Windows и посмотреть его. Полный путь к файлу указывать не нужно, при его указании запрет работать не будет.
После добавления всех необходимых программ в список запрещенных, нажмите Ок и закройте редактор локальной групповой политики.

Обычно изменения вступают в силу сразу, без перезагрузки компьютера и запуск программы становится невозможным.

Блокировка запуска программ с помощью редактора реестра

Настроить запрет запуска выбранных программ можно и в редакторе реестра, если gpedit.msc недоступен на вашем компьютере.

Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter, откроется редактор реестра.
Перейдите к разделу реестра
В разделе «Explorer» создайте подраздел с именем DisallowRun (сделать это можно, нажав правой кнопкой мыши по «папке» Explorer и выбрав нужный пункт меню).
Выберите подраздел DisallowRun и создайте строковый параметр (правый клик в пустом месте правой панели — создать — строковый параметр) с именем 1.
Дважды нажмите по созданному параметру и в качестве значения укажите имя .exe файла программы, которую нужно запретить запускать.
Повторите те же действия для блокировки других программ, давая имена строковых параметров по порядку.

На этом весь процесс будет завершен, а запрет вступит в силу без перезагрузки компьютера или выхода из Windows.

В дальнейшем, чтобы отменить запреты, сделанные первым или вторым способом, можно с помощью regedit удалить параметры из указанного раздела реестра, из списка запрещенных программ в редакторе локальной групповой политики или просто отключить (установить «Отключено» или «Не задано») измененную политику в gpedit.

Дополнительная информация

В Windows также доступен запрет запуска программ с помощью Software Restriction Policy, однако настройка политик безопасности SRP выходит за рамки этого руководства. В общем упрощенном виде: вы можете зайти в редактор локальной групповой политики в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности, нажать правой кнопкой мыши по пункту «Политики ограниченного использования программ» и в дальнейшем производить настройку необходимых параметров.

Например, самый простой вариант — создать правило для пути в разделе «Дополнительные правила», запретив запуск всех программ, расположенных в указанной папке, но это лишь очень поверхностное приближение к Software Restriction Policy. А если для настройки использовать редактор реестра, то задача ещё усложняется. Но эту технику используют некоторые сторонние программы, упрощающие процесс, например, можете ознакомиться с инструкцией Блокировка программ и системных элементов в AskAdmin.

А вдруг и это будет интересно:

01.03.2019 в 22:41

02.03.2019 в 08:40

Строковый параметр, имя 1, значение iexplore.exe

29.11.2019 в 16:17

30.03.2021 в 22:36

05.09.2021 в 20:43

Подскажите пожалуйста по подробней где этот процесс.

03.04.2021 в 18:42

нужно делать уже в

После того, как всё закончили, выделяем HKEY_USERS\kust и выгружаем через меню Файл -> выгрузить куст
Второе. Как отметил выше ROMAN, в

кроме раздела DisallowRun нужно создать еще и параметр DisallowRun (тип DWORD, значение = 1)

19.04.2021 в 07:15

да мощно палучилось что мой дру без учебы

24.09.2021 в 17:04

Я использовал способ с помощью gpedit.msc и не догадался это приложение добавить в список разрешённых, командная строка не запускается, gpedit.msc тоже не запускается, как можно отменить запрет приложений?

24.09.2021 в 19:55

12.10.2021 в 13:42

У меня точно та-же ситуация не работает gpedit, cmd и т.п. и теперь не знаю как отменить эту блокировку, HELP.

12.10.2021 в 16:10

А точек восстановления нет случайно? (через панель управления или через среду восстановления. в среду восстановления можно попасть даже с экрана блокировки: нажимаем по кнопке питания нарисованной справа внизу и, удерживая Shift — перезагрузка).

20.10.2021 в 18:29

К сожалению точек восстановления нет, подскажите есть другой способ? очень не хочется винду сносить!:(

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: \ Windows \ System32 \ .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Читайте также: