Попалась на глаза статейка (коих, кстати, на просторах Интернета весьма много бродит):
ЦИТАТА:
Материалы этой статьи, я думаю, очень пригодятся начальникам, которым надо быть твердо уверенным, что их подчиненные на компьютере работают только с нужными программами, а не гоняют в игрушки, когда этого
никто не видит.
Так что НИЗАЧТО не показывайте им ее :). Также она будет весьма интересна многим админам. А если у Вас на компьютере
работает маленький ребенок, который норовит запустить format c:, то эта статья точно для Вас.
Знаете ли Вы, что Windows позволяет запретить запуск всех программ, кроме разрешенных в специальном списке? А это действительно так, и порой эта возможность бывает очень полезна.
Итак, для ограничения запускаемых программ надо открыть раздел
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersonPoliciesExplorer
реестра и создать там ключ RestrictRun типа DWORD со значением
0х00000001. Затем тут же надо создать подраздел с аналогичным именем и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ. Для этого заходим в раздел и создаем для каждой программы
строковый ключ с названием «1» (без кавычек) — для первой разрешенной программы, «2» — для второй и т.д. в качестве значений которых надо указать имена файлов разрешенных к запуску программ. Файлы должны
быть с расширением, путь указывать не обязательно. Например, Word.exe, Excel.exe …
Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра :). Если на компьютере есть несколько пользователей, то это не страшно: можно зайти под другим именем и оттуда изменить
записи реестра, но если пользователь один — это может составить серьезную проблему. Спасти в такой ситуации может только создание файла с расширением REG, в котором будут отменены настройки. Чтобы снять ограничения надо
установить значение ключа RestrictRun в ноль или удалить его. С помощью REG-файла удалить ключ невозможно, а вот установить его в 0 не составит труда. Вот пример такого файла:
REGEDIT4
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]
«RestrictRun»=dword:00000000
Давайте разберем его подробнее. В первой строке должна обязательно присутствовать строка REGEDIT4, после нее должна быть пустая строка, а затем идут записи реестра. В квадратных скобках указывается раздел реестра, а под ним перечисляются
ключи, которые в него входят: имя ключа в кавычках и после знака «=» его значение.
Можно, конечно, воспользоваться и версией редактора реестра под DOS.
Все эти настройки вступают в силу только после перезагрузки компьютера.
Чтобы окончательно заблокировать систему от постороннего вмешательства можно запретить запуск пользователем редактора реестра. Для этого надо в разделе
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersonPoliciesSystem
добавить ключ DisableRegistryTools со значением
0х00000001. Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файлов, как описано выше.
(Конец цитаты)
меня также здорово достали шаловливые ручонки разного рода всезнаек-продавцов, которые всегда и везде «этого не делали», «это не мы», «мы никуда не заходили» — а трафик тем не менее оплачивается
не согласно договору, а с превышением в разы…
Вспомнил хорошо забытое старое и решил, как на Windows_XP, урезать им все по самые… нужные программы
Хочу внести свою лепту в содержание статьи — для тех кто может ошибиться на первых шагах…
1. Сеть с доменной структурой
2. HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersonPoliciesExplorer — на W-7/64 последнего раздела не имел
3. Если на компьютере единственный пользователь — то можно КОГДА через редактирование реестра процесс отката не идет, зайти администратором домена и воспользоваться файлом NT_user.dat в профиле «убитого» пользователя.
а) правая мышь
б) восстановить прежнюю версию
в) выбрать ближайшую из предложенных (обычно не больше недели)
г) принять изменения
зайти «воскресшим мертвецом» и радоваться
а в следующий раз более внимательно играть с реестром, или использовать для таких игрищ вовсе «пустой» системный блок, предназначенный именно для тестирования различных админских штучек.
Администраторы просто обожают редактор локальных групповых политик, используя его для ограничения доступа к различным функциям и приложениям. Например, ваш администратор может отключить возможность запуска всех имеющихся на корпоративном компьютере приложений, кроме тех, которые находятся в белом списке. Если вы попробуете открыть, скажем, командную строку или Regedit, чтобы там чего-то нашаманить, то получите уведомление.
«Операция отменена из-за ограничений, действующих на этом компьютере»
К счастью, многие админы не особо заморачиваются с тем, чтобы сделать эти ограничения по-настоящему эффективными, поэтому их сравнительно легко обойти.
Для этого мы будем использовать лазейки в самой политике «Выполнять только указанные приложения Windows».
Во-первых, обратите внимание, что оная политика запрещает запуск приложений только из процесса Проводника, но не из командной строки.
Во-вторых, речь идет именно об именах программ белого списка, а не о самих исполняемых файлах.
Переименуйте файл программы
Соответственно, если переименовать исполняемый файл программы, не находящейся в списке разрешенного ПО, то ее можно будет запускать.
Правда, здесь есть одно «но».
Для переименования исполняемых файлов приложений в папке Program Files вам понадобятся права администратора, которых у вас может и не быть. Поэтому вам придется скопировать каталог программы из папки Program Files на рабочий стол, а затем переименовать исполняемый файл, присвоив ему название любого приложения из белого списка.
Многие портированные таким образом программы остаются в рабочем состоянии, если не считать потери части настроек, хранящихся в реестре. Со штатными приложениями всё немного сложнее, так как вам придется копировать еще и связанные с их исполняемыми файлами динамические библиотеки.
Исключение составляет командная строка, скопируйте ее файл cmd.exe из каталога System32 на рабочий стол или в отдельную папку, переименуйте и запустите.
Готово, теперь вы можете запускать через консоль другие штатные приложения, например, именно таким образом мы открыли заблокированный графический редактор Microsoft Paint.
Отредактируйте белый список программ из-под LiveCD
Второй способ обхода ограничений на запуск программ более продвинутый, требующий наличия загрузочного диска WinPE 10-8 Sergei Strelec.
С его помощью мы получаем доступ к реестру и редактируем белый список, добавляя в него программу, доступ к которой хотим открыть.
Сделать это с помощью редактора реестра в работающей системе, скорее всего, не получится, так как у вас не будет необходимых прав.
Загрузите компьютер с LiveCD Стрельца, запустите с рабочего стола утилиту Registry Editor PE и разверните в ней ключ:
HKLM_С_user_adminSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun
Заменив «admin» именем локальной учетной записи, из-под которой устанавливались ограничения.
Создайте в правой колонке редактора новый строковый параметр,
с именем добавляемого в белый список приложения и установите в качестве его значения имя исполняемого файла программы.
Всё готово, вы отредактировали локальные групповые политики в обход манипуляций вашего администратора, тем самым разрешив самому себе запускать заблокированную им программу.
Загрузка…
Запрет на запуск приложений
Настройка ОС
29 июля 2015
Просмотров: 2394
Разрешить запуск приложений, кроме указанных в списке
HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersonPoliciesExplorer
DWORD DisallowRun, значение 1 — запрещает запуск приложений указанных в списке:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun
Параметры типа STRING — список запрещенных приложений.
«1» — «amigo.exe»
«2» — «mailagent.exe»
ПРИМЕР:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
«
DisallowRun«=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
DisallowRun]
«1»=»amigo.exe»
«2»=»mailagent.exe»
Внимание
Указывать приложения нужно имено по имени исполняймой программы.
===============================================================================
Запретить запуск приложений, кроме указанных в списке
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersonPoliciesExplorer
DWORD RestrictRun, значение 1 — запрещает запуск всех приложений, кроме системных и приложений указанных в списке:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun
Параметры типа STRING — список разрешенных приложений.
ПРИМЕР:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
«RestrictRun«=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]
«1»=»winword.exe»
«2»=»excel.exe»
«3»=»notepad.exe»
При данной блокировки запрещаеться только все приложения который не указаны в списке однако если изменить имя исполняемого файла на имя разрешеное то он запуститься.
пример
допустим браузер Opera не разрешена если мы переименуем Opera.exe в winword.exe
то мы свободно будем запускать браузер Opera.
не забудь сохранить к себе на стену в соц сети
Постановка задачи: необходимо сделать так, чтоб пользователь в своей учетной записи мог запускать только разрешенный перечень программ.
Варианты исполнения:
-через групповые политики;
-через реестр.
Способ через реестр.
Внимание! Некорректные действия в реестре могут привести к неработоспособности ОС Windows и как следствие ее переустановка.
Входим в реестр Windows:
-нажимаем сочетание клавиш Win+R;
-в строке «Выполнить» вводим: regedit;
-нажимаем ОК или кнопку «Ввод».
В реестре переходим по пути:
КомпьютерHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer (настройки текущего пользователя).
Создаем параметр DWORD (32 бита) правой кнопкой мыши.
Название параметра: RestrictRun (запретить запуск приложений, кроме указанных)
Значение:1 
Теперь укажем, какие приложения можно запускать. Создаем раздел с таким же названием RestrictRun. 
В этом разделе создаем строковые параметры с номерами по порядку.
В значении каждого строкового параметра указываем приложение, которое разрешено запускать.
Начать желательно с regedit.exe, чтоб не заблокировать самого себя.
На этом все. Перезагружаем ПК, чтоб настройки применились.
В итоге этого примера на компьютере оказались разрешенными к запуску только 5 указанных программ: regedit.exe – реестр, calc.exe – калькулятор, mspaint.exe – пэйнт, avpui.exe – антивирус, winword.exe – ворд.
При запуске других программ появляется сообщение – Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору. 
Если необходимо обратное действие — разрешены все программы, кроме указанных в списке, необходимо использовать DWORD с названием DisallowRun и так же создать папку с перечнем запрещенных программ.
Для отмены блокировки необходимо удалить в реестре все созданное ранее и перезагрузить ПК.
Если по случайности заблокировался доступ в реестр, то необходимо выполнить загрузку с установочной флэшки Windows и удалить созданные параметры. Путь к файлам нужно искать в ветке HKEY_USERSимя вашей учетной записи SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Продвинутые пользователи могут догадаться о причине блокировки, зайти в реестр и удалить ее. Чтоб устранить эту проблему нужно ограничить доступ к диску с папкой файлов реестра.
Reg-файл.
Теперь немного автоматизируем процесс.
Создадим reg-файл с параметрами настроек, который можно применять на других ПК и каждый раз не заходить в реестр. Такой метод называется tweak reg (твик реестра).
Создаем текстовый файл с расширением .txt
Меняем расширение на .reg
Чтоб менять расширение файлов в Windows10 нужно на вкладке «Вид» верхней панели папки установить галочку «Расширения имен файлов».
Получился reg-файл в который мы внесем настройки реестра.
Другой способ получить reg-файл – экспортировать настройки из реестра.
Экспортируем в удобное место и называем любым именем.
Открываем экспортированный файл с помощью блокнота Notepad++ (или другого удобного текстового редактора). Если просто кликнуть по файлу 2 раза мышкой, то он внесет изменения в реестр. 
Внутри файла следующее содержание.
|
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] @=«» «RestrictRun»=dword:00000001 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun] «1»=«regedit.exe» «2»=«calc.exe» «3»=«mspaint.exe» «4»=«avpui.exe» «5»=«winword.exe» |
Рассмотрим построчно:
1 строка – версия редактора реестра Windows (ничего не меняем);
2 строка – пустая (обязательно);
3 строка – путь реестра в квадратных скобках;
4 строка – какой-то параметр, который был по умолчанию (можно удалить);
5 строка – параметр DWORD созданный ранее, со значением 1;
6 строка – пустая
7 строка – следующая ветка реестра;
7-12 строки – строковые параметры, с указанием разрешенных к запуску программ.
13 строка пустая (обязательно).
Для удаления значения какого-то параметра нужно использовать ключ – (минус)
Например, нужно деактивировать строку 5 и строки 7-12. Это будет выглядеть так:
|
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] @=«» «RestrictRun»=— [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun] «1»=— «2»=— «3»=— «4»=— «5»=— |
К параметрам можно добавлять комментарий. Для этого вначале строки ставится ; (точка с запятой)
На картинке ниже настройки с комментариями.
Таким способом можно редактировать любую ветку реестра.
Чтоб применить все внесенные настройки сохраняем файл и кликаем по нему 2 раза. В открывшемся предупреждении нажимаем «Да».
Перезагружаем ПК.
На этом описание базового функционала редактора реестра завершается. Более подробно можно прочитать в учебниках и в Интернете.
Теперь, зная все выше описанное, создаем reg-файл с необходимыми настройками реестра и применяем на любом ПК с ОС Windows.
Кроме разрешения запуска программ можно заблокировать доступ к дискам, панели управления и еще много куда. Название ключей для этих действий нужно искать в Интернете.
Для удобства администрирования были созданы два reg-файла: блокиратор и разблокиратор. Блокиратор, как понятно из названия, блокирует все после его применения (нельзя вызвать строку «Выполнить» и запустить редактор реестра). Разблокиратор – все что было заблокировано – разблокирует.
Работоспособность этого метода проверена в Window7 и Windows 10.
Как запретить/разрешить доступ к редактору реестра?
В этой статье я опишу как запретить или разрешить доступ к средствам редактирования реестра.
Запретив доступ к редактированию реестра можно обезопасить компьютер от некоторого вида вирусов, которые лезут в реестр и творят там «тёмные» дела или от посторонних пользователей.
Ну а теперь я перейду к описанию способов запрета или разрешения запуска средств редактора реестра.
Способ 1 — Административные шаблоны
Для того чтобы запретить или разрешить доступ к средствам редактирования реестра через административные шаблоны необходимо:
- Открыть Групповую политику (введя в диалоговое окно Выполнить команду gpedit.msc)
- В разделе Конфигурация пользователя перейти к Административные шаблоны→Система
- В правой части окна найти строку «Сделать недоступными средства редактирования реестра» или «Запретить доступ к средствам редактирования реестра«
4. И нажав правой кнопкой по найденной строке выбрать в контекстном меню Изменить. После чего откроется окно:
Откроется окно в котором Вам нужно будет выбрать один из параметров, Включено — запрещает редактирование реестра, Отключено — разрешает. После того как Вы установили нужный Вам параметр, нажимаете ОК и закрываете все открытые окна. Перезагружаете компьютер. Готово.
С первым способом разобрались теперь переходим ко второму.
Способ 2 — Запрет/разрешение запуска средств редактирования реестра с помощью самого реестра
- Запускаете редактор реестра
- В открывшемся окне переходим к ветке реестра: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
- Создаете параметр типа DWORD и называете его DisableRegistryTools
- Присваиваете ему значение: 1 — запрещает вызов редактора реестра, 0 — разрешает.
Данный способ не запрещает полностью редактирование реестра, а только не дает запустить regedit.exe, другие программы редактирующие реестр игнорируют этот параметр.
Способ 3 — Запрет/разрешение запуска средств редактирования реестра с помощью «reg-файла»
- Создаете reg-файл со следующим содержимым представленным ниже для запрета или запуска редактора реестра:
Запрет запуска
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]
"1"="regedit.exe" Снятие запрета запуска
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"=dword:00000000На этом все! Надеюсь информация оказалась полезной!
Вы здесь: Главная / Статьи о PC / Система / Как разрешить запуск только определенных программ в Windows 10, 8.1, 8, 7
Здравствуйте. И хотя прошлая статья имеет мало практического применения, так как легко обходится элементарным изменением имени файла. Но перейдем в более приятную, для системных администраторов части нашей программы. А точнее, запрет запуска всех программ, кроме списка разрешенных. Этот вариант имеет гораздо больше практического применения. Есть два способа, поэтому вот меню для перехода к нужному способу:
1. Через редактор групповых политик (только издания Professional и выше)
2. Через реестр Windows (универсален)
Открываем редактор групповых политик, для этого зажимаем клавиши Win+R и в открывшееся окно вводим gpedit.msc
Переходим в раздел:
«Конфигурация пользователя«→»Административные шаблоны«→»Система»
Ищем параметр «Выполнять только указанные приложения Windows» и открываем его.
Переключаем точку на «Включено» и ниже жмём по появившейся кнопке «Показать» напротив строки «Список разрешенных приложений»
В открывшемся окошке вводим имена исполняющих файлов программ, которые хотим разрешить (например, word.exe, excel.exe, paint.exe, notepad.exe). Жмём ОК.
Да, это самое узкое место в данной системе, так как указываются только имена, а не полный путь и можно переименовать какую-нибудь программу в одно из этих имён. Но для более серьезного запрета используется другие средства, о которых мы поговорим в другой раз. Для большинства пользователей и эта система защита будет непреодолимой.
Жмём ОК или Применить для сохранения настроек.
2. Разрешаем запуск только определенного списка программ с помощью редактор реестра Windows.
Открываем редактор реестра, для этого зажимаем клавиши Win+R и вводим regedit
В открывшемся окне переходим в раздел:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
Если какого раздела нет в реестре, просто создавайте его.
По правой части окна жмём правой клавишей мыши и выбираем «Создать«→»Параметр DWORD»
Задаём ему имя RestrictRun и кликаем двойным кликом, чтобы открыть настройку параметра. Указываем в качестве значения 1
Теперь создаем раздел и задаем ему тоже имя RestrictRun
В этом новом разделе, создаем строковый параметр с именем 1 и указываем в его значении имя исполняющего файла программы (например word.exe), которую хотим разрешить.
![[SCM]actwin,355,154,749,330;](https://geekteam.pro/wp-content/uploads/2016/07/011-2-500x186.jpg)
Для добавления следующей программы имя строкового параметра нужно указать как следующий порядковый номер (2, 3, 4, 5…).
Результатом наших действий в обоих способах будет следующим:
программы, включенные в список будут без проблем запускать;
при попытке запусти программу, не включенную в список будет выдаваться следующее окно.
Вроде всё. Надеюсь эта статья оказалась вам полезной, нажмите одну из кнопок ниже, чтобы рассказать о ней друзьям. Также подпишитесь на обновления сайта, введя свой e-mail в поле справа или подписавшись на группу во Вконтакте и канал YouTube.
Спасибо за внимание 
Материал сайта geekteam.pro