Как запретить пользователю установку программ в windows server

Обновлено: 05.07.2024

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

Открытие окна "Политики ограниченного использования программ"

Для локального компьютера

Откройте окно "Локальные параметры безопасности".

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

  • Параметры безопасности/Политики ограниченного использования программ

Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

Откройте консоль управления (MMC).

В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.

Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.

В окне Выбор объекта групповой политики нажмите кнопку Обзор.

В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.

Щелкните Закрыть, а затем нажмите кнопку ОК.

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Откройте консоль управления групповыми политиками.

В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Откройте консоль управления групповыми политиками.

В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.

Которому?

  • Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site

Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.

В дереве консоли щелкните Политики ограниченного использования программ.

Where

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

  • Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
  • Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
  • Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.

Создание новых политик ограниченного использования программ

Откройте окно "Политики ограниченного использования программ".

В меню Действие щелкните ссылку Создать политику ограниченного использования программ.

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.

  • Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
  • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".

Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.

Добавление или удаление назначенного типа файлов

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Назначенные типы файлов.

Выполните одно из следующих действий.

Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.

Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.

  • Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
  • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".

Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.

Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах "Конфигурация компьютера" и "Конфигурация пользователя".

Запрет применения политик ограниченного использования программ к локальным администраторам

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Применение.

В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.

  • Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
  • Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
  • Если на компьютерах организации пользователи часто входят в локальную группу "Администраторы", то этот параметр можно не включать.
  • Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Уровни безопасности.

Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.

  • Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
  • Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
  • В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
  • Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
  • Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.

Применение политик ограниченного использования программ к библиотекам DLL

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Применение.

В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику


Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями


В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows


В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: \ Windows \ System32 \ .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра


Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Рассмотрим ситуацию: У Вас есть "терминальный" сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже - Амиго. А они ставятся не в \Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.

Рассмотрим ситуацию: У Вас есть "терминальный" сервер, на котором сидят люди с тонких клиентов. Мы для них все настроили, в том числе и браузер, и хотим, чтобы они все пользовались 1 браузером. Но они начинают ставить себе Хром, Яндекс, и упаси Боже - Амиго. А они ставятся не в \Program Files, а в профиль пользователю.

В данной статье рассмотрим, как же можно стандартными средствами Windows запретить пользователю устанавливать приложения, которые ставятся в папку с профилем пользователя, такие как Yandex браузер, Амиго, спутник Mail и т.п.


Для начала идем в "Панель управления" во вкладку "Администрирование"

Открываем "Службы" и находим службу "Удостоверение приложения"


Открываем свойства данной службы

По "умолчанию" она остановлена и стоит "Запуск - вручную"

Нам необходимо установить "Запуск - автоматически" и нажать кнопку "Запустить"


Теперь снова возвращаемся в "Администрирование" и открываем "Локальная политика безопасности"


В открывшемся окне идем в "Политики управления приложениями -> AppLocker -> Исполняемые правила"

У Вас "по умолчанию" там будет пусто


Справа в свободном месте нажимаем правой кнопкой мыши и выбираем "Создать правило. "


Нас приветствует "Мастер создания новых правил", Нажимаем "Далее"


Выбираем, что мы хотим сделать, разрешить или запретить. Выбираем "Запретить".

Далее можем оставить по умолчанию "Все", или выбрать конкретную группу или пользователя.

После нажимаем "Далее"


В данном окне есть несколько типов правил, я пользуюсь правилом "Издатель" и нажимаем "Далее"


Тут выбираем файл, установщик которого мы хотим запретить


Для примера я выбрал установщик Яндекс.Браузера

Слева видим ползунок, которым можно ограничивать, выполнять все условия или поднимая выше - уменьшать кол-во проверок. Поиграйтесь ползунком - поймете что он ограничивает.

После того, как выбрали подходящий Вам вариант - нажимаем "Далее"


Тут можно добавить исключение. Я им не пользовался.

Ну к примеру вы запретили установку любого ПО от производителя "Яндекс", но хотите чтобы было разрешено "Яндекс.Панель", тогда необходимо добавить его в исключение кнопкой "Добавить. ", как все сделали - нажимаем "Далее"


Теперь нам осталось только дать имя нашему правилу и его описание (не обязательно). После чего нажимаем кнопку "Создать"


Все! Наше правило готово. Чтобы оно немедленно вступило в силу - предлагаю обновить правила политики для ПК и Пользователя.

Для этого открываем командную строку (пуск -> выполнить -> cmd или PowerShell) и пишем gpupdate /force

Дожидаемся обновления политик и можем тестировать.


Так как я применял политику только на группу "Пользователи домена", на меня она не распространяется, но если запустить установку Яндекс.Браузера от имени обычного пользователя, то мы увидим вот такую ошибку:


Вобщем, есть одноранговая сеть с раб. группами. Всем машины работают под локальным админом. Можно ли как-то запретить установку и удаление програм 1 из учетных записей локальных администраторов?

Да можна через групповую политику безопасности
запусти на машине на которой шочеш ето сделать
пуск ---> выполнить
а там введи C :\WINDOWS\system32\gpedit.msc
Там есть административные шаблоны (снизу)
Там в них покопайся. Не помню точно где можно запретить установку и удаление
программ и еще много чево

Потом завершы сеанс и зайди снова. Должно работать
НО УЧТИ ВСЕ ШО ТЫ ТАМ СДЕЛАЕШ БУДЕТ ПРИМЕНЯТСЯ К Л Ю Б О М У ПОЛЬЗОВАТЕЛЮ
будь ты простой узер или трижды администратор.
Такшо осторожно (там везде есть пояснения. Почитай их)
Еслы есть домен тогда проще раз нв серваке поставил и все

мсье знает толк в извращениях. Стандартные решения: отобрать у юзеров админа (ессно, с настройкой прав для нужных приложений), либо поднятие домена. А с правами админа особо ушлые пользователи из любого ограничения вылезут. От не ушллых можно сломать службу AppMgmt (снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs), решение не универсальное но серебрянной пули все равно не найдешь. Еще можно средствами нтфс запретить создание папок в Programm Files, большинство инсталяторов это озадачит. f_s_b_37, все дело в том, что есть приложения которые в случае перевода на пользователя лезут к защищенным от юзеров веткам реестра. Посему, чтобы не парить мозк было решено нашим не ушлым пользователям оставить права админа, запретив лишь устанавливать и удалять проги. в gpedit есть параметр, котрый запрещает использования для current user-а виндуз инсталлера. Да, это, несомненно, помогает избежать установки некоторых больших комерческих прог (автокад, 3дмакс, лира и т.д.), которые устанавливаются непосредственно через него. Но остается еще часть прог, которые его НЕ используют. В плане, усталавливаются не через WI. А, разве, просто остановка службы AppMgmt дает не тот же эффект, который дает запрет WI через политики? Ето не извравщение
а стандартное решение от компании дяди Била
и появилось оно лет 8 назад для Windows WorkGroup 3.11
называлоcь poledit (оно к стати есть е сейчас и находится там же)
потом перекочевало на NT 4 а потот на 2000 и XP и вот оно как раз
и делает нужные изменения в реестре для ограничения пользователей
как в домене так и для локальных машин
А вот убивать что-то в реестре если ето можно сделать через gpedit
помоему вот ето извращение
А ты ето пробовал ?
снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs)универсальное
Попробуй. Получиш не забываемые впечетления
Особенно при отработке планировщика задач
И еще есть проги Которые запускаются только под права админа
Например "АВК" и другие хоть став ты им права на нужные папки какие хочь
а все по тому что есть такое понятие как "ВЛАДЕЛЕЦ ПАПКИ" и быть им должен администратор
иначе геморой (например с Acad 2000 - 2009)
А насчет домена так там же делается все тоже через групповую политику
только применяетсь ее можно сразу на группу юзеров
Насчет NTFS ето мысль хорошая
Цитата
Анатолий Сидорук пишет:
Ето не извравщение а стандартное решение от компании дяди Била
я про саму задачу без поднятия домена или лишения админских прав.
Цитата
Анатолий Сидорук пишет:
А ты ето пробовал ? снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs)универсальное Попробуй. Получиш не забываемые впечетления
я предлагал снести оттуда только AppMgmt, а не весь параметр. С работой при сломаном планировщике уже сталкивался, действительно, незабываемо .

Не использовать рабочие группы
Все ящики включить в домен

Поднять на Active Directory политику безопасности
она применится на все компютеры домена

Паралельно диск с на NTFS поставить права всем на чтение кроме
SYSTEM и администатор домена и локальный админ
папку TEMP все на изменение чтобы офис шмофис запускался и прочие проги
Ну и папки с нужными прогами если не будут работать нормально
тоже поставить всем на изменение
Папку C:\Documents and Settings всем на полный доступ иначе бубут глюки
с профилями

Переменные среды КАЖДОГО юзера указать не %USERPROFILE%\Local Settings\Temp
а %SYSTEMROOT%\Temp

Читайте также: