Windows server 2008 запрет установки программ

Обновлено: 07.07.2024

Для ограничения программ, разрешенных для запуска на Windows Server 2008 R2, используются групповые политики.

Запускаем файл gpedit.msc. Переходим в раздел "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Политики ограниченного использования программ". По умолчанию этот раздел пуст. Долбасим правую кнопу мыши и в меню выбираем "Создать политику ограниченного использования программ".

Политика для ограничения запуска программ создана. Остались детали: ввести список разрешенных программ и нажать кнопку "запретить все".

Редактируем назначенные типы файлов.

Удаляем тип LNK, чтобы можно было запускать ярлычки разрешенных программ. Добавляем типы HTM, HTML, JS. Нечего эти файлы запускать на сервере.

Для настройки "Применение" указываем, что правила должны действовать для всех пользователей, кроме локальных администраторов. В этом случае администратор сможет запустить любую программу, если запустит ее через меню "Запуск от имени администратора".

Переходим к группе "Дополнительные правила". Здесь необходимо ввести список разрешенных для запуска программ. По умолчанию в этом разделе есть две записи, разрешающие запуск служебных программ и программ из Programm Files. Нам нужны жесткие ограничения, поэтому удаляем эти записи и добавляем каждую программу по-отдельности.

При создании нового правила для пути необходимо указать полный путь к разрешенной программе и установить уровень безопасности "Неограниченный".

Заключительный шаг: включить запрет на запуск всех программ, кроме разрешенных. В группе "Уровни безопасности" устанавливаем по умолчанию уровень "Запрещено".

После этих изменений администратор не сможет запускать файл gpedit.msc для редактирования групповых политик. Обходной путь: запустить консоль mmc.exe и вручную выбрать на редактирование нужную оснастку.

Настройка политики ограниченного использования программ в Windows Server 2008 R2 : 4 комментария

Чтобы потом не путаться, указываем в поле Описание название программы и ее версию. Отправляемся к тестируемому компьютеру проверять, что получилось. Для применения политик перезагружаем компьютер или выполняем на нем команду

Зачем ребут для применения? gpupdate /force в командной строке прописали и можно пробовать.

Добрый день
А политика сразу должна работать или после перезагрузки?

Перезагрузка не нужна, если выполнить gpupdate /force, как посоветовал Максим выше.

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

Открытие окна "Политики ограниченного использования программ"

Для локального компьютера

Откройте окно "Локальные параметры безопасности".

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

• Параметры безопасности/Политики ограниченного использования программ

Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

Откройте консоль управления (MMC).

В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.

Щелкните элемент Редактор объектов групповой политики и нажмите кнопку Добавить.

В окне Выбор объекта групповой политики нажмите кнопку Обзор.

В окне поиск групповая политика объектавыберите объект Групповая политика (GPO) в соответствующем домене, сайте или подразделении или создайте новый, а затем нажмите кнопку Готово.

Щелкните Закрыть, а затем нажмите кнопку ОК.

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Откройте консоль управления групповыми политиками.

В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.

В дереве консоли щелкните Политики ограниченного использования программ.

Которому?

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы "Администраторы домена".

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

Откройте консоль управления групповыми политиками.

В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику.

Которому?

• Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site

Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.

В дереве консоли щелкните Политики ограниченного использования программ.

Where

Объект групповой политики [имя_компьютера] Policy/Computer Configuration или

User Configuration/Windows Settings/Security Settings/Software Restriction Policies

• Для выполнения данной процедуры необходимо входить в группу "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена".
• Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
• Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.

Создание новых политик ограниченного использования программ

Откройте окно "Политики ограниченного использования программ".

В меню Действие щелкните ссылку Создать политику ограниченного использования программ.

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.

• Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
• Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".

Если политики ограниченного использования программ уже созданы для объекта групповой политики, то в меню Действие не отображается команда Создать политику ограниченного использования программ. Чтобы удалить политики ограниченного использования программ, применяемые к объекту групповой политики, щелкните правой кнопкой мыши узел Политики ограниченного использования программ в дереве консоли и выберите команду Удалить политики ограниченного использования программ. При удалении политик ограниченного использования программ для объекта групповой политики также удаляются все правила политик ограниченного использования программ для этого объекта групповой политики. После удаления политик ограниченного использования программ можно создать новые политики ограниченного использования программ для этого объекта групповой политики.

Добавление или удаление назначенного типа файлов

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Назначенные типы файлов.

Выполните одно из следующих действий.

Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.

Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.

Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.

• Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
• Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы "Администраторы домена".

Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.

Список назначенных типов файлов для объекта групповой политики является общим для всех правил в разделах "Конфигурация компьютера" и "Конфигурация пользователя".

Запрет применения политик ограниченного использования программ к локальным администраторам

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Применение.

В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.

• Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
• Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
• Если на компьютерах организации пользователи часто входят в локальную группу "Администраторы", то этот параметр можно не включать.
• Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.

Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Уровни безопасности.

Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
• Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
• В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
• Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
• Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.

Применение политик ограниченного использования программ к библиотекам DLL

Откройте окно "Политики ограниченного использования программ".

В области сведений дважды щелкните элемент Применение.

В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.

Убрал пользователя из группы локальных администраторов, сейчас он вообще ни в каких группах не состоит, но это не помогло, я залогинился снова но ничего не изменилось, я все также могу устанавливать программы и изменять системные настройки, реестр и т.п.

Команда whoami /all

Группа Тип SID
Атрибуты
=============================================== ======================= ========
==== =============================================================
Все Хорошо известная группа S-1-1-0
Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Администраторы Псевдоним S-1-5-32
-544 Группа, используемая только для запрета
BUILTIN\Пользователи удаленного рабочего стола Псевдоним S-1-5-32
-555 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи Псевдоним S-1-5-32
-545 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4
Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15
Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0
Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Средний обязательный уровень Метка S-1-16-8
192 Обязательная группа, Включены по умолчанию, Включенная группа

Имя привилегии Описание Область
, край
============================= ========================================== =======
======
SeShutdownPrivilege Завершение работы системы Отключе
н
SeChangeNotifyPrivilege Обход перекрестной проверки включен

SeUndockPrivilege Отключение компьютера от стыковочного узла Отключе
н
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключе
н
SeTimeZonePrivilege Изменение часового пояса Отключе
н

Утверждения пользователя неизвестны.

Поддержка динамического контроля доступа Kerberos на этом устройстве отключена.

Последний раз редактировалось sigmatik, 14-01-2013 в 10:54 . Причина: upd

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: \ Windows \ System32 \ .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Читайте также:

  
• Программа локер для компьютера
  
• Как открыть фото на ноутбуке в формате
  
• Match color в фотошопе как работает
  
• 1с нет выбора сервера
  
• Как удалить total commander если его нет в списке