Политики ограниченного использования программ windows 10 не применяются

Обновлено: 01.07.2024

Политики ограниченного использования программ
Помогите решить проблему. Создал виртуальную машину win server 2008 и в xp они в домене. Создал.

Политики ограниченного использования программ
Ребят, ситуация следующая, на работе один тип поставил политики ограничения, теперь ничего нельзя.

Политика ограниченного использования программ
Здравствуйте! Возник вопрос: как использовать данную политику только на некоторые глобальные.

Не применяются политики установки программ в XP SP3
Создаю в конфигурации пользователя политику по установки Chrome. После перезагрузки не установился.

sergantik, политику создаете через gpedit.msc или secpol.msc
1. Введите в командной строке secpol.msc
2. В открывшемся окне перейдите "Политика ограничения использования программ"
3. Создайте политику, если она не создана
4. В дополнительных правилах создаете правила для пути и выбираете для этих правил уровень безопасноти - Неограниченный
Я обычно добавляю эти зоны:
%windir%
%ProgramData%
%ProgramFiles%
%ProgramFiles(x86)% - Для 64-битных систем
5. В назначенных типах файлов удаляете LNK
6. В "Уровнях безопасности", ставите - Запрещено

Maks, я сделал так, но здесь очевидная дыра в безопасноти проявляется.Да, кроме рабочего стола, папки windows и папки program files запустить приложение нигде нельзя.Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.Необходимо полный запрет на установку любых приложений и ярлыков на эти приложения с любого места.
Спасибо

Добавлено через 5 минут
для учётной записи с обычными правами

Добавлено через 1 минуту
чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.И в эти системные папки ничего скопировать.В седьмой винде это прекрасно реализовывалось с помощью applocker

в этом разделе описываются распространенные проблемы и их решения при устранении неполадок политик ограниченного использования программ (SRP), начинающихся с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.

Windows не удается открыть программу

Причина: Был создан уровень безопасности по умолчанию (или правило), чтобы программа была настроена как запрещенная, и в результате она не будет запущена.

Измененные политики ограниченного использования программ не вступают в действие.

Причина: Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все параметры политики, настроенные локально. Это может предположить, что существует параметр политики из домена, переопределяющий параметр политики.

Причина: Возможно, групповая политика не обновили параметры политики. Групповая политика периодически применяет изменения параметров политики; Поэтому, скорее всего, изменения политики, внесенные в каталог, еще не обновлены.

Решения

Компьютер, на котором вы изменяете политики ограниченного использования программ для сети, должен иметь возможность связаться с контроллером домена. Убедитесь, что компьютер может связаться с контроллером домена.

Обновите политику, выполнив выход из сети и снова войдя в сеть. Если какая-либо политика применяется через групповая политика, то при входе в систему будут обновлены эти политики.

Вы можете обновить параметры политики с помощью программы командной строки gpupdate или выйти из системы, а затем снова войти на компьютер. Для получения наилучших результатов запустите gpupdate, а затем выполните выход из системы и войдите снова на компьютер. Как правило, параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Параметры также обновляются каждые 16 часов, вне зависимости от наличия изменений. Это настраиваемые параметры, поэтому интервалы обновления могут различаться в каждом домене.

Проверьте, какие политики применяются. Проверьте политики уровня домена без параметров переопределения .

Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все политики, настроенные локально. Используйте программу командной строки Gpresult, чтобы определить, что именно влияет на политику. Это может предположить, что в домене есть политика, переопределяющая локальный параметр.

если параметры SRP и AppLocker находятся в одном объекте групповой политики, параметры AppLocker будут иметь приоритет в Windows 7, Windows Server 2008 R2 и более поздних версиях. Рекомендуется использовать параметры политики SRP и AppLocker в разных объектах групповой политики.

После добавления правила с помощью SRP вы не сможете войти на компьютер

Причина: Компьютер получает доступ ко многим программам и файлам при запуске. Возможно, вы случайно настроили одну из этих программ или файлов для запрещения. Так как компьютер не может получить доступ к программе или файлу, он не может запуститься должным образом.

Решение: запустите компьютер в режиме Сейф, войдите в систему как локальный администратор, а затем измените политики ограниченного использования программ, чтобы разрешить запуск программы или файла.

Новый параметр политики не применяется к конкретному расширению имени файла

Причина: Расширение имени файла отсутствует в списке поддерживаемых типов файлов.

Решение: Добавьте расширение имени файла в список типов файлов, поддерживаемых SRP.

Политики ограниченного использования программ устраняют проблему регулирования неизвестного или ненадежного кода. Политики ограниченного использования программ — это параметры безопасности для обнаружения программного обеспечения и управления его возможностью запуска на локальном компьютере, на сайте, в домене или подразделении и могут быть реализованы через объект групповой политики.

Правило по умолчанию не ограничиваются ожидаемым

Причина: Правила, применяемые в определенном порядке, что может привести к переопределению правил по умолчанию определенными правилами. SRP применяет правила в следующем порядке (наиболее конкретно для общего):

Правила для сертификатов

Правила для путей

Правила зоны Интернета

Правила по умолчанию

Решение: Оцените правила, которые ограничивают приложение, и при необходимости удалите все, кроме правила по умолчанию.

Не удалось определить, какие ограничения применяются

Причина: Не существует очевидной причины непредвиденного поведения, и обновление объекта групповой политики не устранило проблему, поэтому необходимо выполнить дальнейшее исследование.

Решения

Проверьте журнал системных событий и выполните фильтрацию по источнику "политика ограниченного использования программ". В записях явно указывается, какое правило реализуется для каждого приложения.

Политики ограниченного использования программ (SRP)

В этой статье рассмотрим ещё один механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP).

Настройка SRP

Механизм “Software Restriction Policies (SRP)” доступен в локальных политиках безопасности (secpol.msc) и может распространятся глобальными политиками в домене.

Чтобы создать политику, нужно нажать правой кнопкой мышки:

После чего появятся правила связанные с данной технологией:

Правила связанные с SRP

Выше у нас появились три правила:

Дополнительные правила

Если перейти в каталок “Дополнительные правила“, то там вы увидите созданные правила и сможете создать новые. Возможно создать правила для: сертификата, хэша, зоны сети (зоны Internet Explorer), пути.

Создание различных типов правил

Уровни безопасности

Дальше, при создании правила, нужно связать его с определенным уровнем безопасности:

• Запрещено (Disallowed) — программы запускаться не будут, вне зависимости от прав доступа пользователя;
• Обычный пользователь — разрешает выполнение программ, но только без прав администратора;
• Неограниченный (Unrestricted) — доступ к ресурсам определяется правами пользователя.

Эксперимент

4. Попробуйте запустить «Блокнот» (notepad.exe).

Важное уточнение

Если ваш компьютер включен в домен, то локальные групповые политики будут переписаны групповыми, это следует учитывать при работе с Software Restriction Policies.

Ранее в статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм добавления объектов групповой политики для редактирования параметров, которые будут применяться для определенных пользователей.

Содержание

Запрет доступа к редактору реестра и командной строке

Иногда бывает крайне рационально запрет неопытному пользователю доступ к редактору реестра и командной строке. Для этого можно настроить два параметра.

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики (описание можно посмотреть в статье Основы работы с редактором локальной групповой политики в ОС Windows 10).
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютер\Test». В данном примере Test – это учетная запись пользователя с ограниченными правами для которой будет применяться политика.

Рис.1 Окно консоли с добавленными оснастками объектов групповой политики

• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Система в окне Редактора локальной групповой политики.

Рис.2 Редактирование параметров политик узла Система

• Дважды щелкнуть ЛКМ по параметру политики Запретить использование командной строки.
• Выбрать значение Включено.
• Нажать OK.

Рис.3 Редактирование параметра политики Запретить использование командной строки

• Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
• Закрыть консоль
• Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики.

Рис.4 Результат действия запрета при запуске командной строки

Рис.5 Результат действия запрета при запуске редактора реестра

Запрет определенных настроек узла Персонализация

С помощью узла Персонализация оснастки локальной групповой политики можно настроить для определенных пользователей запрет на изменение цветовой схемы, темы, фона рабочего стола. Можно запретить изменять заставку, стиль оформления окон и кнопок и многое другое. Все эти параметры доступны по следующему пути: Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютер\Test».
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.

Рис.6 Редактирование параметров политик узла Персонализация

• Дважды щелкнуть ЛКМ по нужному параметру политики. Например, выбрать Запретить изменение фона рабочего стола.
• Выбрать значение Включено.

Рис.7 Редактирование параметра политики Запрет изменения фона рабочего стола

1. Нажать OK.
2. Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
3. Закрыть консоль
4. Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики

При активировании данной политики, при попытке изменить фон рабочего стола через настройки персонализации, данная опция будет не активна.

Рис.8 Результат действия запрета на изменение фона рабочего стола

Запрет доступа к различным элементам меню Пуск и настройки панели задач

При администрировании рабочих станций рационально для неопытных пользователей запретить изменять параметры панели задач и меню Пуск, удалить не используемые элементы Windows из меню Пуск. Все эти параметры доступны в узле локальной групповой политики Конфигурация пользователя > Административные шаблоны > Меню Пуск и панель задач.

Рис. 9 Редактирование параметров политик узла Меню «Пуск» и панель задач

Ниже представлен лишь не полный перечень политик, который доступен в Меню Пуск и панель задач в операционной системе Windows 10 Pro:

• Очистить уведомления на плитке при входе
• Удалить раздел «Люди» с панели задач.
• Закрепить панель задач
• Макет начального экрана
• Запретить пользователям настраивать начальный экран
• Удалить ссылку Игры из меню Пуск (актуально для Windows Server 2008, Windows 7 и Windows Vista)
• Удалить ссылку Программы по умолчанию из меню Пуск (актуально для Windows Server 2012 R2, Windows 8.1, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista, Windows XP, Windows 2000)
• Удалить значок Музыка из меню Пуск (актуально для Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP)
• Удалить значок Изображения из меню Пуск (актуально для Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP)
• Запретить доступ к контекстному меню для панели задач
• Запретить пользователям удалять приложения из меню Пуск
• Показывать команду «Запуск от имени другого пользователя» при запуске
• Запретить закрепление программ в панели задач
• Запретить все параметры панели задач (в моем примере на рисунке показан неправильный перевод данной политики). В Windows 7 данная политика называлась "Блокировать все параметры панели задач".

• Запретить добавление и удаление панелей инструментов
• Запретить перемещение панелей инструментов
• Запретить изменение размера панели задач

И другие политики.

В данном примере будет рассмотрена политика Запретить изменение размера панели задач.

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютер\Test».
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Меню «Пуск» и панель задач.
• Дважды щелкнуть ЛКМ по параметру политики Запретить изменение размера панели задач.

Рис.11 Редактирование параметра политики Запретить изменение размера панели задач

• Выбрать значение Включено.
• Нажать OK.
• Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
• Закрыть консоль
• Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики. Для этого необходимо открыть Параметры панели задач и убедиться, что настройка Использовать маленькие кнопки панели задач не активна.

Рис.12 Открытие параметров панели задач

Рис.13 Результат действия запрета на редактирование размера панели задач

Скрытие определенных элементов панели управления

При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя определенные элементы панели управления. В статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм отображения только указанных элементов панели управления. В данном примере рассмотрен механизм скрытия определенных элементов из всего перечня апплетов панели управления. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютер\Test».
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики.

Рис.14 Редактирование параметра политики Скрыть указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Скрыть указанные объекты панели управления.
• Выбрать значение Включено.

Рис.15 Редактирование параметра политики Скрыть указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо скрыть в Панели управления, и нажать Enter.

Рис.16 Список запрещенных элементов панели управления

• Нажать OK.
• Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
• Закрыть консоль
• Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики

Рис.17 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.18 Список элементов панели управления после изменения параметра локальной групповой политики

Читайте также:

  
• Автокад что это за программа
  
• Лучшие программы для чтения электронных книг
  
• Подключение кассы к 1с бгу
  
• Как установить 2 версии одной программы на android
  
• Программа для андроид для создания сайта