Как запретить пользователю установку программ в windows server

Ответили на вопрос 3 человека. Оцените лучшие ответы! И подпишитесь на вопрос, чтобы узнавать о появлении новых ответов.

По умолчанию без вопросов ставятся ватсапы, телеграмы, хромы (в пользовательское окружение). Но с ними так же могут ставить и малварь.
Как запретить вообще какие бы то ни было установки?
Неужели нет простого способа в один клик, а не танцы с AppLocker?


  • Вопрос задан

    более года назад

  • 492 просмотра

Через «Политики ограниченного использования программ» можно настроить белый список директорий, из которых разрешено запускать приложения. Но как при этом поведут себя различные обновляторы, которые любят себя распаковывать во временную папку — не уверен. Можно настроить так, чтобы ограничения не распространялись на администраторов.

100% хорошего способа нет.
Варианты:
1) Орг.меры, т.е. запретить приказом, за нарушение карать, это в любом случае необходимо иначе все ваши действия имеют сомнительную «легитимность».
2) Можно запретить запуск приложений из профиля пользователя на уровне NTFS
3) Можно сделать белый список приложений разрешенных к запуску пользователем через групповые политики.
4) Можно сделать белый список каталогов из которых разрешено запускать приложения через групповые политики и запретить запись в данный каталог из под пользователя.
5) Мониторить каталоги куда пользователю разрешена запись на предмет создания запускаемых файлов через журнал Windows, при создании такого файла действовать по пункту 1, можно и скрипт повесить на его автоматическое удаление или помещение в карантин.
6) Как еще вариант запретить запуск файлов для которых пользователь является владельцем на уровне NTFS
7) Есть еще момент с монтированием в RDP сессию дисков, с этим не разбирался, вероятно тут решается только через белый список ПО или запретить пробрасывать диски.

Но все технические методы имеют побочные эффекты и могут значительно влиять на удобство использования.

Пригласить эксперта

Если речь про сервер терминалов, то там это ограничивается локальными и/или групповыми политиками, в том числе Software Restrictions Policy и AppLocker
И не раздавайте административные права всем подряд…


  • Показать ещё
    Загружается…

06 февр. 2023, в 07:47

2000 руб./за проект

06 февр. 2023, в 06:52

5000 руб./за проект

06 февр. 2023, в 06:02

5000 руб./за проект

Минуточку внимания

Ограничение списка запускаемых программ при помощи групповых политик

  • Содержание статьи
    • Как работает применение групповой политики
    • Применение политик ограничения запуска программ
    • Активирование политики ограниченного использования программ
    • Общие параметры настроек политики
    • Типы файлов
    • Доверенные издатели
    • Создание правил политики
    • Правило зоны
    • Правило пути
    • Правило сертификата
    • Правило хеша
    • Область действия политик ограниченного использования программ и приоритет правил
    • Планирование создания правил политики
    • Небольшие примеры использования
    • Добавить комментарий

Одной из отличительных особенностей Active Directory по праву считают механизм групповых политик, обеспечивающий эффективное и централизованное управление многочисленными параметрами операционных систем и приложений. Применение групповых политик позволяет администраторам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Это позволяет достаточно просто и эффективно поддерживать вычислительную среду предприятия в рабочем состоянии.

Безусловно, к числу важнейших задач администрирования можно отнести обеспечение безопасности системы в целом. Не последнюю роль в этом играет процесс контроля программ, выполняемых на компьютерах домена. Наиболее яркий пример необходимости в нем – создание рабочей среды, исключающей возможность запуска вредоносного программного обеспечения. Впрочем, существуют и другие причины, по которым может возникнуть необходимость создания и применения правил, позволяющих или запрещающих исполнение различных программ. Ну, вот, допустим, босса раздражают скучающие сотрудники, раскладывающие пасьянс. Или новая версия используемого ПО вызывает конфликты с другими приложениями.

Решение таких задач с использованием политик ограниченного использования программ предоставляет администратору способ идентификации программ, выполняемых на компьютере домена и создание правил, устанавливающих возможность их выполнения. Использование таких политик возможно на операционных системах Windows Vista, Windows Server 2003 и Windows XP.

Как работает применение групповой политики

Применение групповой политики

Вкратце, собственно сам механизм применения групповой политики выглядит следующим образом. Вначале администратор создает объект групповой политики (GPO), содержащий определенный набор параметров рабочей среды. Этот объект может содержать настройки, применяемые как компьютеру, так и к пользователю. Далее, с помощью связывания (или привязки, linking) этот объект ассоциируется с одним или несколькими элементами дерева Active Directory. При загрузке компьютера, входящего в домен, выполняется запрос списков групповой политики у контроллера домена. Контроллер пересылает необходимые списки в том порядке, в котором они должны применяться на компьютере. Когда пользователь осуществляет вход в систему, выполняется еще один запрос о необходимых объектах групповой политики, которые затем применяются к пользователю, выполнившему вход в систему.

Применение политик ограничения запуска программ

В общем рассмотрении механизм работы политик ограничения запуска программ достаточно прост. Для начала они активируются при создании нового объекта групповой политики или редактировании существующего. Затем выбирается уровень необходимой безопасности. Уровень безопасности – это базовая модель контроля за исполнением программ, или, другими словами – правило по умолчанию. Взглянув на рисунок, вы все поймете:

Уровни безопасности

Затем настраиваются параметры политики – к каким типам файлов будет применяться политика, будет ли она распространяться на локальных администраторов компьютеров, кто сможет определять, что подписанному содержимому можно доверять. После этого создаются сами правила, запрещающие или разрешающие выполнение программ, идентифицированных правилом. Как видим, весь этот механизм очень похож на настройку файервола. Рассмотрим его подробнее.

Активирование политики ограниченного использования программ

Создайте объект групповой политики или откройте в редакторе существующий. Откройте ветвь Конфигурация компьютера или Конфигурация пользователя (в зависимости от того, к чему необходимо будет применить политику). Найдите и выберите раздел Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ.

Активирование политики ограниченного использования программ

Если политики еще не были определены, в окне редактора вы увидите предупреждение, что в случае их назначения новые правила перекроют параметры политик, унаследованных от других объектов GPO. Поскольку именно это мы и собираемся сделать, выбираем в меню Действие команду Создать политики ограниченного использования программ.

Переходим в раздел Уровни безопасности. Действующий уровень отмечен иконкой с галочкой. По умолчанию им является уровень Неограниченный.

Активирование политики ограниченного использования программ

Этот уровень разрешает запуск любых программ, кроме явно запрещенных правилами. Особого смысла в использовании такого уровня безопасности нет, кроме случаев, когда необходимо запретить использование небольшого количества программ, не представляющих явную угрозу безопасности для вычислительной системы (как раз для примера с пасьянсом). Для обеспечения действенного запрета на использование нежелательных программ необходимо использовать уровень безопасности Не разрешено. Для изменения уровня необходимо сделать двойной щелчок мышью на нужном параметре и в открывшемся окне нажать кнопку По умолчанию, или, щелкнув правой кнопкой мыши выбрать в контекстном меню команду По умолчанию.

Активирование политики ограниченного использования программ

Общие параметры настроек политики

В узле Политики ограниченного использования программ расположены общие параметры настроек, определяющих применение политик.

Общие параметры

Принудительное использование

Первый параметр определяет, следует ли проверять библиотеки DLL, и возможность применения ограничений, накладываемых политикой на локальных администраторов компьютеров. DLL – это библиотеки динамической компоновки, которые являются частью некоторых исполняемых программ. По умолчанию, проверка DLL отключена.

Опции принудительного применения

Без особой нужды нет необходимости переключать этот параметр в положение проверки всех файлов программ. Причин для этого несколько. Во-первых, при большом количестве исполняемых файлов и «прицепленных» к ним библиотек (а в Windows их предостаточно) резко снижается производительность системы — параметры политики будут просматриваться при каждом вызове программой библиотеки DLL. Во-вторых, если исполнение файла будет запрещено политикой, то не возникнет и необходимости проверки сопутствующих библиотек.

Второй параметр позволяет исключить локальных администраторов компьютеров из списка пользователей, к которым будет применяться политика. Он используется только для политик компьютера. Включается, если необходимо позволить локальным администраторам запускать любые приложения. Более предпочтительный способ предоставить эту возможность – либо временное перемещение учетной записи компьютера в организационную единицу, на которую не распространяются данные политики, либо убрать разрешение Применение групповой политики в свойствах группы GPO, в состав которой входят администраторы.

Типы файлов

Здесь перечисляются все типы файлов, ассоциированные с их расширением, которые политика будет идентифицировать как исполняемый код.

Типы файлов

Список редактируемый – вы можете исключать из него перечисленные типы, а также добавлять новые.

Доверенные издатели

Эта группа параметров позволяет настраивать реагирование политики на элементы управления ActiveX® и другое подписанное содержимое.

Доверенные издатели

Здесь можно указать, кто будет принимать решение о доверии подписанному содержимому (лучше оставить это право администраторам предприятия), а также задать параметры проверки сертификатов – проверить, не отозван ли сертификат, и удостовериться, что он не просрочен.

Создание правил политики

Правило политики ограниченного использования программ – это и есть тот механизм, с помощью которого программа «опознается». Правило определяет, разрешить или запретить выполнение программы, соответствующей указанным в нем условиям. Для сопоставления программы и условия можно использовать четыре параметра исполняемого файла — или, другими словами, применять один из четырех типов правил:

  • Зона
  • Путь
  • Сертификат
  • Хеш

Создание нового правила

Для создания нового правила необходимо перейти в раздел Дополнительные правила, щелкнув по нему мышью в списке объектов редактора групповой политики, и затем выбрав в меню Действие (или в меню, открываемом правым щелчком мыши) необходимый тип правила.

Правило зоны

Дабы избежать некоторой двусмысленности, сразу оговоримся, что речь пойдет о зонах, используемых Internet Explorer, а не учреждениях пенитенциарной системы. Этот тип правила позволяет задать зону Интернета и установить для нее правило – разрешить запуск или запретить его.

Правило зоны

Главный минус, делающий его практически бесполезным – применяется только к файлам пакетов установщика Windows (Windows Installer, расширение *.msi).

Правило пути

Идентифицирует исполняемое приложение по его местоположению. Может содержать имя каталога или полный путь к исполняемой программе. Используется как локальный путь, так и универсальный путь в формате UNC. Допустимо применение переменных среды и подстановочных знаков «?» для любого единичного символа и «*» для любого количества символов.

Правило пути

Путь можно ввести вручную в соответствующее поле или воспользоваться кнопкой Обзор.

Кроме указания самих путей в явном виде, допускается указание пути в реестре. Такая возможность полезна в том случае, когда у пользователя существует возможность установить приложение в неопределенное заранее место файловой системы компьютера, а программа хранит пути к своим рабочим каталогам в реестре. Правило будет просматривать соответствующую ветвь реестра, и при его совпадении будет производиться заданное в правиле действие – разрешение или запрет на запуск. Путь в реестре должен быть заключен между знаками «%». Он может содержать в окончании пути подстановочные знаки и использовать переменные среды. Не допускается использовать сокращения HKLM и HKCU (должен использоваться полный формат в виде HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «» непосредственно перед закрывающим знаком «%» в правиле. Параметр реестра может быть типа REG_SZ или REG_EXPAND_SZ. По умолчанию, при активировании политик ограниченного использования программ создается четыре разрешающих правила пути в реестре.

Правило пути в реестре

Они позволяют выполнить гарантированный запуск необходимых для работы ОС программ и служб, и при необходимости могут быть отредактированы. Если программа соответствует сразу нескольким определенным правилам пути, высший приоритет будет иметь то из них, которое наиболее точно описывает данную программу.

Очень удобное для использования правило пути имеет один существенный недостаток, значительно ограничивающий его применение. Поскольку оценка программы производится только по ее местоположению, придется постоянно учитывать права доступа пользователя к файловой системе. Если учетная запись пользователя позволяет копировать и переименовывать файлы, он с легкостью может обойти это правило, просто переименовав приложение, а затем переместив его в нужное место файловой системы.

Правило сертификата

Устанавливаются для файлов, имеющих цифровую подпись издателя. Для создания правила нажмите кнопку Обзор и укажите необходимый сертификат.

Правило для сертификата

Способ идентификации программ с помощью сертификатов достаточно надежен, но и у него существуют минусы. Во-первых, он требует применения центров сертификации. Во-вторых, невозможно установить разные значения правил для программ одного издателя. Например, тот же пасьянс из стандартных игр Windows таким правилом запретить не получится, поскольку оно запретит и запуск ключевых компонентов всей операционной системы.

Правило хеша

Пожалуй, самое «полезное» правило. Для идентификации файла используется его хеш. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его содержимого в битовую строку фиксированной длины с помощью специальных криптографических функций. Замечательное свойство такого преобразования заключается в том, что хеш однозначно идентифицирует любой файл, независимо от его названия и месторасположения. Любое, самое незначительное изменение кода файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла имеют одинаковый хеш.

Правило для хеша

Для вычисления хеша файла укажите путь к нему, нажав кнопку Обзор. Если файл расположен на другом компьютере, необходимо обеспечить к нему доступ с той машины, где настраивается политика. Вы можете, например, подключить как сетевой диск стандартный общий ресурс вида COMP_NAMEC$. После расчета хеша в поле Хешируемый файл появятся его значение, длина файла и код алгоритма хеширования, разделенные двоеточием.

Идентификация файла по его хешу является наиболее предпочтительной, позволяя однозначно определять файл. Его недостаток – это большой первоначальный объем работы, который необходимо проделать при создании нового набора правил. Этот тип правил используется по принципу – «один файл, одно правило». Более того, различные версии одной программы имеют различное значение хеша. При достаточно большом объеме разрешенных для исполнения программ эта задача может в чем-то напоминать перепись населения. Впрочем, об упрощении процесса сбора информации о запускаемых программах мы расскажем чуть ниже.

Область действия политик ограниченного использования программ и приоритет правил

Действие политик ограниченного использования программ не распространяется на:

  • Программы, запущенные от имени учетной записи SYSTEM
  • Драйверы и другие приложения уровня ядра
  • Макросы внутри документов Microsoft Office
  • Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy)

Приоритет применения правил выглядит так (по мере убывания приоритета):

  • Правило для хеша
  • Правило для сертификата
  • Правило для пути
  • Правило для зоны Интернета
  • Правило по умолчанию

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:WINDOWSsystem32userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:Windowssystem32userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCUSoftwarePoliciesMicrosoftWindows, политика компьютера хранится в разделе HKLMSOFTWAREPoliciesMicrosoftWindows.

Параметры политик в реестре

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Небольшие примеры использования

Покажем все вышеизложенное на небольшом примере в тестовой среде. Создадим OU (пусть это будет Test Unit), поместим в него учетные записи компьютера и пользователя.

Тестовая OU

Для управления групповой политикой будет использоваться консоль gpmc. Создаем GPO – правой кнопкой мыши щелкаем на Test Unit, выбираем команду Свойства, в открывшемся окне переходим на вкладку Group Policy. Открываем консоль gpmc, еще раз делаем правый щелчок на Test Unit, и выбираем в меню команду Создать и связать GPO здесь… (Create and Link a GPO Here). Указываем имя для создаваемой политики, нажимаем кнопку ОК. Выбираем созданную политику, щелкаем по ней правой кнопкой мыши и указываем команду Редактировать (Edit).

Редактирование GPO

Откроется редактор объектов групповой политики. Сначала создадим политику, применяемую к компьютеру. Мы собираемся запретить всем пользователям на компьютерах группы Test Unit запуск любых программ, кроме Internet Explorer. Переходим в раздел Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Политики ограниченного использования программ. В меню Действие (или с помощью правой кнопки мыши) выбираем команду Новые политики. Переходим в раздел Уровни безопасности, включаем Не разрешено. Учитывая, что автоматически были созданы дополнительные правила, удаляем их. Для обеспечения входа пользователя в систему понадобится установить разрешения для некоторых программ. В моем случае (тестовая система с «чистой» установкой), необходимо, как минимум, разрешить запуск winlogon.exe, userinit.exe (для Vista это будут logonui.exe и userinit.exe) и explorer.exe из системной папки %windir%system32. В другой ситуации, возможно, потребуются дополнительные разрешения — например, может возникнуть необходимость обработки сценариев, расположенных на сервере при входе пользователя в систему. Создаем для них правила пути, параметры которых вы можете увидеть на рисунке:

Созданные правила

Теперь создадим правило, разрешающее запуск Internet Explorer. Чтобы не дать возможности пользователю подмены файла и не зависеть от его расположения в файловой системе, будем использовать правило хеша. Подключаем на сервере, где мы производим настройку групповой политики диск C тестового компьютера. В редакторе объектов групповой политики в меню Действие выбираем команду Создать правило для хеша. Нажимаем кнопку Обзор, переходим в папку Program FilesInternet Explorer расположенную на тестовом компьютере и указываем файл IEXPLORE.EXE.

Правило хеша для IE

Чтобы потом не путаться, указываем в поле Описание название программы и ее версию. Отправляемся к тестируемому компьютеру проверять, что получилось. Для применения политик перезагружаем компьютер или выполняем на нем команду gpupdate /force. Пробуем запустить что-нибудь.

Запрет запуска программы

Отлично, запрет работает. Но самое забавное, что щелчок по ярлыку IE на рабочем столе его тоже не запускает (хотя прямой запуск из Проводника в рабочей папке IE сработает). Отменяем действие политики, чтобы посмотреть журнал ее применения (иначе Блокнот тоже не запустится). Наткнувшись на строчку вида
explorer.exe (PID = 372) identified C:Documents and SettingsадминистраторРабочий столЗапустить обозреватель Internet Explorer.lnk as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

вспоминаем, что ярлыки (то есть файлы с расширением .lnk) также расцениваются как исполняемый код. Поскольку у нас разрешен Проводник, нет особой нужды запрещать запуск ярлыков, тем более, что мы разрешаем запускать лишь определенные программы. Поэтому просто удалим тип LNK из списка назначенных типов файлов.

Напомним, что обновление параметров групповой политики происходит при загрузке компьютера, а обработка параметров, относящихся к пользователю – при его входе в систему. Принудительно обновить параметры групповой политики можно с помощью команды gpupdate /force. Утилита gpupdate.exe также является исполняемым кодом, и это следует учесть в период тестирования. Чтобы не перезагружать компьютер каждый раз после изменения параметров групповой политики для проверки работы правил, добавим gpupdate.exe в список разрешенных приложений. Разрешим еще запуск Блокнота и Калькулятора с помощью правил хеша. Все правила выглядят так:

Добавление правил для запуска Блокнота и Калькулятора

В дополнение к ограничениям, можно заставить какую-либо программу из разрешенных к запуску автоматически стартовать при входе пользователя в систему. Для этого в разделе Административные шаблоны – Система – Вход в систему редактора политики выберите параметр Запускать указанные программы при входе в систему. Переведите переключатель в положение Включен, нажмите кнопку Показать. В открывшемся окне нажмите кнопку Добавить и укажите полный путь к программе (если она расположена в system32, достаточно указать только имя файла).

Запуск программ при входе в систему

Компьютер теперь представляет собой подобие терминала, на котором любой пользователь (включая администраторов) может выполнить только те программы, для которых были созданы правила политики ограниченного использования программ. Даже выбрав в меню разрешенной программы команду Открыть и указав в диалоге исполняемый файл, который не указан в правилах, его запуск будет запрещен.

В следующем примере мы изменим настройки политики, применяя ее лишь к тем пользователям, которые входят в Test Unit. Для этого создаем одноименные параметры в ветви Параметры пользователя, а настройки из ветви Параметры компьютера удаляем. Если вы отключали обработку параметров пользователя для ускорения обработки политики, ее необходимо будет включить (наоборот, теперь, если параметры компьютера не используются, можно отключить их обработку). Перезагрузим компьютер, и попробуем войти с учетными записями пользователей, которые принадлежат OU Test Unit, и которые в него не входят. Ниже показан экран, который увидит пользователь с учетной записью, входящей в Test Unit.

Пользователь с ограничениями

А здесь — пользователь, не входящий в Test Unit, не будет попадать под действие политики ограниченного использования программ.

Пользователь без ограничений

Заключение

Настоятельно рекомендуется не изменять базовую доменную политику безопасности, а создавать новые объекты групповой политики. Это позволит в случае каких-либо непредвиденных ситуаций редактировать вновь созданные GPO, не затрагивая параметры безопасности всего домена. Следует учесть, что политика ограниченного использования программ при входе в систему пользователя, являющегося локальным администратором, в безопасном режиме не обрабатывается. Это дает возможность исправить политику, вызывающую проблемы.

Применение политик возможно и на компьютерах с ОС Windows, не являющихся членами домена. Например, можно создать шаблон безопасности на основе политики, а затем, после его переноса на необходимый компьютер, применить этот шаблон к локальной политике безопасности. В этом случае следует убедиться, что политика позволит произвести запуск утилиты Secedit, с помощью которой можно будет в дальнейшем обновить политику или отменить изменения.

При планировании применения политики ограниченного использования программ приходится учитывать множество аспектов, в том числе не явных. Поэтому еще раз обращаем внимание на то, что их настройку лучше производить в тестовой среде. Это позволит убедиться, что политика обеспечивает запуск необходимых приложений (например, используемые антивирусные программы), и запрещает исполнение нежелательного ПО. Такое использование позволит значительно снизить риск выполнения на компьютере вредоносных программ и упростит его дальнейшее администрирование.

Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей. Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.

При помощи политики возможно:

  • назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
  • определять политики параметров пароля учетных записей, блокировку пользователей;
  • распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
  • выполнять набор настроек безопасности для удаленных машин;
  • ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
  • проводить настройку по распределению прав на доступ к файлам и папкам;
  • настраивать перенаправление определенных папок из профиля пользователя.

Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.

Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.

Управление групповых политик имеется только в профессиональных и серверных версиях Windows.

Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.

Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows. Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:

Требование к версии

Редактирование групповых политик

Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:

Консоль редактирования групповой политики

После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.

В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:

к какой группе относятся какая-либо политика

Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.

политика изменяется в редакторе

Новый объект групповой политики

Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:

установить связь с соответствующим объектом

Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:

настройка по фильтру безопасности

Рекомендации по применению политик

Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.

Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.

В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.

Совместное использование вашего компьютера с Windows всегда сопряжено с риском того, что другие установят на него нежелательное программное обеспечение. Иногда такая свобода также может поставить под угрозу ваш компьютер. Однако вы можете запретить пользователям устанавливать какие-либо приложения или программное обеспечение на ваш ПК с Windows 11. Таким образом, вы можете продолжать делиться своим компьютером с другими, не позволяя им устанавливать приложения или программное обеспечение.

К счастью, Windows 11 предлагает несколько надежных способов усилить защиту вашего компьютера. В этом посте мы расскажем о 3 различных способах запретить пользователям устанавливать новое программное обеспечение на ваш ПК с Windows 11. Итак, без лишних слов, давайте сразу к делу.

1. Измените тип учетной записи на обычного пользователя

В Windows 11 существует два основных типа учетных записей для пользователей — администратор и обычный пользователь. Оба имеют разный набор привилегий — в основном это разрешает или запрещает внесение изменений на уровне системы соответственно. Тем не менее, вы можете запретить определенным пользователям устанавливать новые программы или программное обеспечение, изменив тип их учетной записи на обычный пользователь. Это ограничит пользователя от внесения каких-либо изменений на уровне системы, затрагивающих другие учетные записи пользователей.

Обратите внимание, что только учетные записи с правами администратора могут изменять тип учетной записи на компьютере с Windows. Выполните следующие действия, чтобы изменить тип учетной записи пользователя в Windows 11.

Шаг 1: Щелкните правой кнопкой мыши значок «Пуск» и выберите «Настройки» в меню. Кроме того, вы можете нажать клавишу Windows + I, чтобы добиться того же.

Шаг 2: Используйте левую панель, чтобы перейти на вкладку «Учетные записи». Затем нажмите на опцию «Семья» справа от вас.

Шаг 3: Щелкните учетную запись пользователя, для которой вы хотите изменить тип учетной записи.

Шаг 4: Нажмите «Изменить тип учетной записи».

Шаг 5: Используйте раскрывающееся меню в разделе «Тип учетной записи», чтобы выбрать «Стандартный пользователь», и нажмите «ОК», чтобы сохранить изменения.

Точно так же вы можете повторить описанные выше шаги, чтобы изменить тип учетной записи для других пользователей на вашем ПК и запретить им устанавливать новое программное обеспечение.

2. Изменить групповую политику

Редактор групповой политики в Windows позволяет вносить различные изменения на уровне администратора. Среди нескольких вариантов есть специальная политика для отключения установщика Windows, которая эффективно запрещает пользователям устанавливать новые программы и приложения.

Важно отметить, что редактор групповой политики доступен только в выпусках Windows Pro, Enterprise и Education. Итак, если вы используете домашнюю версию Windows 11, этот метод вам не подойдет.

Шаг 1: Нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить». Введите gpedit.msc в поле Открыть и нажмите Enter.

Шаг 2. В окне редактора локальной групповой политики используйте левую панель, чтобы перейти к следующей папке:

Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsУстановщик Windows

Шаг 3: Найдите и дважды щелкните политику «Отключить установщик Windows» справа от вас.

Шаг 4. Выберите «Включено» и выберите «Всегда» в раскрывающемся меню в разделе «Отключить установщик Windows». Наконец, нажмите «Применить».

Вот об этом. Изменение политики должно вступить в силу после перезагрузки компьютера. Если вы хотите отменить вышеуказанное изменение в любой момент, вы можете выполнить те же шаги, что и выше, и выбрать «Отключено» или «Не настроено» на шаге 4.

Файлы реестра на вашем ПК содержат важные настройки для Windows и ее служб. Как и в случае с групповой политикой, вы также можете вносить изменения в свой компьютер с помощью редактора реестра, чтобы заблокировать установку программного обеспечения в Windows 11.

Слово предостережения. Небрежное изменение или удаление файлов реестра может привести к серьезному повреждению вашего ПК. Следовательно, вы должны использовать этот метод только в том случае, если вам удобно редактировать файлы реестра. Мы рекомендуем вам сделать резервную копию файлов реестра или создать точку восстановления, прежде чем вносить какие-либо изменения.

С учетом этого, вот как вы можете запретить пользователям устанавливать новые программы через редактор реестра.

Шаг 1: Щелкните значок поиска на панели задач или нажмите клавишу Windows + S, чтобы открыть меню поиска. Тип редактор реестра в поле и выберите Запуск от имени администратора.

Шаг 2: Нажмите «Да», когда появится приглашение контроля учетных записей (UAC).

Шаг 3: Вставьте следующий путь в адресную строку вверху и нажмите Enter, чтобы перейти к клавише DefaultIcon.

HKEY_LOCAL_MACHINESoftwareClassesMsi.PackageDefaultIcon

Шаг 4: Дважды щелкните строковое значение по умолчанию справа от вас.

Шаг 5: Вставьте следующее значение в поле «Значение» и нажмите «ОК».

C:WindowsSystem32msiexec.exe,1

После выполнения вышеуказанных действий перезагрузите компьютер, чтобы изменения вступили в силу.

Точно так же, если вы хотите разблокировать установку программы в любой момент, вы можете выполнить те же шаги, что и выше, и ввести следующее значение на шаге 5.

C:WindowsSystem32msiexec.exe,0

Предотвратите тревогу в будущем

Помимо перечисленных выше методов, сторонние инструменты могут помочь вам заблокировать установку программного обеспечения в Windows 11. Однако собственные инструменты лучше всего работают для защиты ваших данных, а также для обеспечения безопасности и стабильности вашего компьютера. Однако, если другой человек действительно хочет попробовать их, лучше всего переключить стандартную учетную запись пользователя на администратора.

Post Views: 771

  • Remove From My Forums

 locked

Как запретить устаналивать программы?

  • Вопрос

  • Здравствуйте.

    Подскажите как на Windows 2008 запретить пользователю устанавливать новые программы, удалять старые и предоставить доступ только к указанным программам?

    • Перемещено

      20 апреля 2012 г. 9:16
      merge forums (От:Windows Server 2008)

Ответы

    • Помечено в качестве ответа
      Sc0undRel
      9 апреля 2012 г. 10:15
    • Снята пометка об ответе
      Sc0undRel
      9 апреля 2012 г. 10:21
    • Помечено в качестве ответа
      Vinokurov Yuriy
      13 апреля 2012 г. 11:00
  • 1. Для установки и удаления программ требуются привилегии Администратора. Если вы выдали пользователю таковые привилегии, он обладает всей полнотой власти над системой, запретить что-либо ему не удастся. Вирусное поражение будет неизбежным.

    2. Некоторые программы не требуют повышенных привилегий для распаковки и запуска (например, та же Opera). Для защиты от подобного рода программ используйте Software Restriction Policies —

    http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/

    В Windows Server 2008 политик AppLocker нет. Советовать нечто, что вы сами лично не применяете, не следует, ув. E.A. С другой стороны, применять SRP можно и нужно на 100% компьютеров с Microsoft Windows.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    • Помечено в качестве ответа
      Vinokurov Yuriy
      13 апреля 2012 г. 11:00

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, – это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Содержание

  1. Отключить или ограничить использование установщика Windows через групповую политику
  2. Всегда устанавливайте с повышенными привилегиями
  3. Не запускайте указанные приложения Windows
  4. Запретить установку программ через редактор реестра

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

 HKEY_CURRENT_USER  Software  Microsoft  Windows  Текущая версия  Policies  Explorer  DisallowRun 

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker – это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.

Для ограничения программ, разрешенных для запуска на Windows Server 2008 R2, используются групповые политики.

Запускаем файл gpedit.msc. Переходим в раздел «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Политики ограниченного использования программ». По умолчанию этот раздел пуст. Долбасим правую кнопу мыши и в меню выбираем «Создать политику ограниченного использования программ».

gpedit создание политики ограниченного запуска программ

Политика для ограничения запуска программ создана. Остались детали: ввести список разрешенных программ и нажать кнопку «запретить все».

Редактируем назначенные типы файлов.
gpedit назначенные типы файлов
Удаляем тип LNK, чтобы можно было запускать ярлычки разрешенных программ. Добавляем типы HTM, HTML, JS. Нечего эти файлы запускать на сервере.

Для настройки «Применение» указываем, что правила должны действовать для всех пользователей, кроме локальных администраторов. В этом случае администратор сможет запустить любую программу, если запустит ее через меню «Запуск от имени администратора».
gpedit применение

Переходим к группе «Дополнительные правила». Здесь необходимо ввести список разрешенных для запуска программ. По умолчанию в этом разделе есть две записи, разрешающие запуск служебных программ и программ из Programm Files. Нам нужны жесткие ограничения, поэтому удаляем эти записи и добавляем каждую программу по-отдельности.
gpedit расположение разрешенных  программ по умолчанию

При создании нового правила для пути необходимо указать полный путь к разрешенной программе и установить уровень безопасности «Неограниченный».
gpedit добавление разрешенной программы

Необходимо учитывать, для пользователей, работающих с терминальным сервером Windows Server 2008 R2 должны быть доступны для запуска следующие программы:

C:Windowsexplorer.exe
C:WindowsSystem32control.exe
C:WindowsSystem32csrss.exe
C:WindowsSystem32dllhost.exe
C:WindowsSystem32dwm.exe
C:WindowsSystem32logonui.exe
C:WindowsSystem32rdpclip.exe
C:WindowsSystem32rundll32.exe
C:WindowsSystem32taskhost.exe
C:WindowsSystem32TSTheme.exe
C:WindowsSystem32userinit.exe
C:WindowsSystem32taskmgr.exe (диспетчер задач)
C:Windowssplwow64.exe
C:WindowsSystem32conhost.exe
C:WindowsSystem32cmd.exe
C:WindowsSysWOW64cmd.exe
C:WindowsSysWOW64fixmapi.exe (функция «Отправить — Адресат» меню Проводника)

Заключительный шаг: включить запрет на запуск всех программ, кроме разрешенных. В группе «Уровни безопасности» устанавливаем по умолчанию уровень «Запрещено».
gpedit уровень безопасности запрещено

После этих изменений администратор не сможет запускать файл gpedit.msc для редактирования групповых политик. Обходной путь: запустить консоль mmc.exe и вручную выбрать на редактирование нужную оснастку.

Like this post? Please share to your friends:
  • Как запретить пользователю удалять файлы windows 10
  • Как запретить пользователю менять пароль windows 10
  • Как запретить пользователю доступ в интернет windows 10
  • Как запретить пользователю выключать компьютер windows 10
  • Как запретить полностью обновления windows 10