Вы здесь: Главная / Статьи о PC / Система / Как разрешить запуск только определенных программ в Windows 10, 8.1, 8, 7
Здравствуйте. И хотя прошлая статья имеет мало практического применения, так как легко обходится элементарным изменением имени файла. Но перейдем в более приятную, для системных администраторов части нашей программы. А точнее, запрет запуска всех программ, кроме списка разрешенных. Этот вариант имеет гораздо больше практического применения. Есть два способа, поэтому вот меню для перехода к нужному способу:
1. Через редактор групповых политик (только издания Professional и выше)
2. Через реестр Windows (универсален)
Открываем редактор групповых политик, для этого зажимаем клавиши Win+R и в открывшееся окно вводим gpedit.msc
Переходим в раздел:
«Конфигурация пользователя«→»Административные шаблоны«→»Система»
Ищем параметр «Выполнять только указанные приложения Windows» и открываем его.
Переключаем точку на «Включено» и ниже жмём по появившейся кнопке «Показать» напротив строки «Список разрешенных приложений»
В открывшемся окошке вводим имена исполняющих файлов программ, которые хотим разрешить (например, word.exe, excel.exe, paint.exe, notepad.exe). Жмём ОК.
Да, это самое узкое место в данной системе, так как указываются только имена, а не полный путь и можно переименовать какую-нибудь программу в одно из этих имён. Но для более серьезного запрета используется другие средства, о которых мы поговорим в другой раз. Для большинства пользователей и эта система защита будет непреодолимой.
Жмём ОК или Применить для сохранения настроек.
2. Разрешаем запуск только определенного списка программ с помощью редактор реестра Windows.
Открываем редактор реестра, для этого зажимаем клавиши Win+R и вводим regedit
В открывшемся окне переходим в раздел:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
Если какого раздела нет в реестре, просто создавайте его.
По правой части окна жмём правой клавишей мыши и выбираем «Создать«→»Параметр DWORD»
Задаём ему имя RestrictRun и кликаем двойным кликом, чтобы открыть настройку параметра. Указываем в качестве значения 1
Теперь создаем раздел и задаем ему тоже имя RestrictRun
В этом новом разделе, создаем строковый параметр с именем 1 и указываем в его значении имя исполняющего файла программы (например word.exe), которую хотим разрешить.
![[SCM]actwin,355,154,749,330;](https://geekteam.pro/wp-content/uploads/2016/07/011-2-500x186.jpg)
Для добавления следующей программы имя строкового параметра нужно указать как следующий порядковый номер (2, 3, 4, 5…).
Результатом наших действий в обоих способах будет следующим:
программы, включенные в список будут без проблем запускать;
при попытке запусти программу, не включенную в список будет выдаваться следующее окно.
Вроде всё. Надеюсь эта статья оказалась вам полезной, нажмите одну из кнопок ниже, чтобы рассказать о ней друзьям. Также подпишитесь на обновления сайта, введя свой e-mail в поле справа или подписавшись на группу во Вконтакте и канал YouTube.
Спасибо за внимание 
Материал сайта geekteam.pro
Администраторы просто обожают редактор локальных групповых политик, используя его для ограничения доступа к различным функциям и приложениям. Например, ваш администратор может отключить возможность запуска всех имеющихся на корпоративном компьютере приложений, кроме тех, которые находятся в белом списке. Если вы попробуете открыть, скажем, командную строку или Regedit, чтобы там чего-то нашаманить, то получите уведомление.
«Операция отменена из-за ограничений, действующих на этом компьютере»
К счастью, многие админы не особо заморачиваются с тем, чтобы сделать эти ограничения по-настоящему эффективными, поэтому их сравнительно легко обойти.
Для этого мы будем использовать лазейки в самой политике «Выполнять только указанные приложения Windows».
Во-первых, обратите внимание, что оная политика запрещает запуск приложений только из процесса Проводника, но не из командной строки.
Во-вторых, речь идет именно об именах программ белого списка, а не о самих исполняемых файлах.
Переименуйте файл программы
Соответственно, если переименовать исполняемый файл программы, не находящейся в списке разрешенного ПО, то ее можно будет запускать.
Правда, здесь есть одно «но».
Для переименования исполняемых файлов приложений в папке Program Files вам понадобятся права администратора, которых у вас может и не быть. Поэтому вам придется скопировать каталог программы из папки Program Files на рабочий стол, а затем переименовать исполняемый файл, присвоив ему название любого приложения из белого списка.
Многие портированные таким образом программы остаются в рабочем состоянии, если не считать потери части настроек, хранящихся в реестре. Со штатными приложениями всё немного сложнее, так как вам придется копировать еще и связанные с их исполняемыми файлами динамические библиотеки.
Исключение составляет командная строка, скопируйте ее файл cmd.exe из каталога System32 на рабочий стол или в отдельную папку, переименуйте и запустите.
Готово, теперь вы можете запускать через консоль другие штатные приложения, например, именно таким образом мы открыли заблокированный графический редактор Microsoft Paint.
Отредактируйте белый список программ из-под LiveCD
Второй способ обхода ограничений на запуск программ более продвинутый, требующий наличия загрузочного диска WinPE 10-8 Sergei Strelec.
С его помощью мы получаем доступ к реестру и редактируем белый список, добавляя в него программу, доступ к которой хотим открыть.
Сделать это с помощью редактора реестра в работающей системе, скорее всего, не получится, так как у вас не будет необходимых прав.
Загрузите компьютер с LiveCD Стрельца, запустите с рабочего стола утилиту Registry Editor PE и разверните в ней ключ:
HKLM_С_user_adminSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun
Заменив «admin» именем локальной учетной записи, из-под которой устанавливались ограничения.
Создайте в правой колонке редактора новый строковый параметр,
с именем добавляемого в белый список приложения и установите в качестве его значения имя исполняемого файла программы.
Всё готово, вы отредактировали локальные групповые политики в обход манипуляций вашего администратора, тем самым разрешив самому себе запускать заблокированную им программу.
Загрузка…
Содержание
- Настройка групповых политик ограниченного использования программ в Windows 7
- Как ограничить круг приложений, доступных для запуска пользователям Windows 7
- Запретить пользователям установку или запуск программ в Windows 10/8/7
- Отключить или ограничить использование установщика Windows через групповую политику
- Всегда устанавливайте с повышенными привилегиями
- Не запускайте указанные приложения Windows
- Запретить установку программ через редактор реестра
- В gpedit.msc разрешил доступ для одной программы и теперь не могу никуда зайти). Что можно сделать?
- Редактор локальной групповой политики Windows для начинающих
- Как запустить редактор локальной групповой политики
- Где и что находится в редакторе
- Примеры использования
- Разрешение и запрет запуска программ
- Изменение параметров контроля учетных записей UAC
- Сценарии загрузки, входа в систему и завершения работы
- В заключение
Настройка групповых политик ограниченного использования программ в Windows 7
Прочитав статью Windows-компьютер без антивирусов, я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.
Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker’a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker’ом отпал.
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.
В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.
Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.
Источник
Как ограничить круг приложений, доступных для запуска пользователям Windows 7
Иногда администратору локальной сети или группы компьютеров бывает необходимо ограничить круг приложений, которые пользователи могут запускать на клиентских машинах. Это могут быть киоски, компьютеры в библиотеках, университетах и других общественных местах — примеров масса, как и способов решения поставленной задачи. Один из вариантов — воспользоваться нативным инструментом Windows 7, который доступен во всех версиях, кроме Windows 7 Home. Речь идет о Редакторе групповой политики (Group Policy Editor) — мощном средстве, обладающем широким спектром функций, включая возможность ограничения запуска приложений.
В этой статье я расскажу, как разрешить пользователям запускать лишь строго определенные приложения, воспользовавшись для этого Редактором групповой политики Windows 7.
Первым делом нужно запустить Редактор групповой политики. В меню этой утилиты, конечно, нет. Вместо этого нужно выполнить в строке поиска меню «Пуск» (Start) команду gpedit.msc. Появится обманчиво простое окно, показанное на рис. A.
Теперь нужно найти раздел, в котором содержатся интересующие нас настройки. Это «Конфигурация пользователя | Административные шаблоны | Система» (User Configuration | Administrative Templates | System). Выделите раздел «Система», чтобы увидеть в правой панели список доступных опций (рис. B).
Дважды щелкните на объекте «Выполнять только указанные приложения Windows», чтобы открыть окно настроек (рис. C). В открывшемся окне выберите опцию «Включить» (Enabled), после чего станет активной кнопка «Показать» (Show).
Теперь нажмите кнопку «Показать», чтобы вызвать окно для составления списка разрешенных к запуску приложений (рис. D). В этом окне введите имена исполняемых файлов разрешенных программ (включая расширение) — по одному на строку.
Составив список, нажмите «OK», чтобы закрыть это окно, а потом снова «OK», чтобы закрыть окно настроек политики. На этом ваша задача успешно выполнена.
Теперь, если пользователь попытается запустить приложение, которое не входит в список разрешенных, он увидит предупреждение: «Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети» (The operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator).
Разумеется, это не идеальное решение, и опытные пользователи с легкостью найдут способ обойти установленные ограничения. Но для среднестатистических пользователей таких настроек будет более чем достаточно. Стоит также учитывать, что этим способом нельзя запретить запуск системных процессов, поэтому опытные пользователи смогут самостоятельно запустить Редактор групповой политики и отредактировать список. Однако в целом это поможет избежать запуска нежелательных программ в большинстве случаев.
Автор: Jack Wallen
Перевод SVET
Оцените статью: Голосов
Источник
Запретить пользователям установку или запуск программ в Windows 10/8/7
В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.
Отключить или ограничить использование установщика Windows через групповую политику
Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.
Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.
Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.
Параметр «Всегда» означает, что установщик Windows отключен.
Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.
Всегда устанавливайте с повышенными привилегиями
Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.
Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.
Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.
Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.
Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.
Не запускайте указанные приложения Windows
В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система
Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.
Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).
Запретить установку программ через редактор реестра
Откройте редактор реестра и перейдите к следующему ключу:
Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.
Возможно, вам придется перезагрузить компьютер.
Также читайте:
Источник
В gpedit.msc разрешил доступ для одной программы и теперь не могу никуда зайти). Что можно сделать?
Вообщем запустил gpedit.msc и дальше «Конфигурация пользователя» «Административные шаблоны» «Система» «Выполнять только указанные приложения Windows» и там для эксперимента разрешил только тотел командер, после этого везде кроме тотел командера появлялась табличка о отмене операции вследствие действующих для компьютера ограничений. Так и оставил и не убирал это ограничение в gpedit.msc, так как думал что потом смогу в него зайти, потому что логично чтобы на него это не распространялось.
Вообщем как теперь это исправить? И интересно что будет после перезагрузки).
Добавлено через 1 час 47 минут
Все исправил. Нашел mms.exe переименовал в TOTALCMD.EXE, потом запустил и открыл с неё gpedit.exe и отключил ограничение.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Gpedit.msc и system32, в папку не зайти без редактора, редактор не поставить без доступа
Всем доброго дня! Что-то бьюсь, бьюсь, никак не сделать. Может в каком-то месте не догоняю.
Можно ли через реестр изменить параметры из gpedit.msc?
Нужно программно через реестр изменить параметры локальной политики, которые изменяются в.
Gpedit.msc забыл вписать в Ограничение программ, что делать?
gpedit.msc забыл вписать в Ограничение программ, что делать? Теперь не могу.
Как определить, что пользователь разрешил доступ к сети
Всем привет! Есть ли какое-то событие на которое можно подписаться, чтобы узнать, что доступ к.
Источник
Редактор локальной групповой политики Windows для начинающих
В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.
Отметим, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки. Вам потребуется версия начиная с Профессиональной.
Как запустить редактор локальной групповой политики
Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.
Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.
Где и что находится в редакторе
Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.
Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).
Каждая из этих частей содержит следующие три раздела:
Примеры использования
Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.
Разрешение и запрет запуска программ
Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:
Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.
В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.
Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».
Изменение параметров контроля учетных записей UAC
В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.
Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).
Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.
Сценарии загрузки, входа в систему и завершения работы
Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.
Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.
Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.
Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».
В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.
В заключение
Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.
Источник
Большинству компаний требуется всего несколько приложений на компьютере. Администратор может ограничить доступ к приложению Windows для сотрудников. Они могут установить политику, разрешающую только определенные приложения и ограничивающую все остальное на компьютере. Это также хорошая идея, когда вы позволяете кому-то другому использовать ваш персональный компьютер для работы. Это ограничивает компьютер только несколькими приложениями и никак иначе. Вы также можете ограничить учетную запись пользователя только для определенных программ. В этой статье вы узнаете, как разрешить пользователям запускать только определенные приложения Windows.
Разрешение запускать только определенные программы в Windows
Примечание. Убедитесь, что вы вносите указанные ниже изменения в стандартную учетную запись пользователя, а не в учетную запись администратора. Если вы вносите изменения в учетную запись администратора, обязательно разрешите такие инструменты администратора, как редактор групповой политики, редактор реестра и т. Д. Это поможет вам отменить любые изменения, которые будут сделаны в этой статье.
Для методов, описанных в этой статье, потребуются имена исполняемых файлов приложений. Это разрешит только те приложения, которые вы перечисляете в приведенных ниже методах. Исполняемые файлы будут иметь расширение .exe, и вы можете легко найти их в папках этих приложений. Однако, если вы хотите добавить расширения .msc в список разрешенных приложений, вам необходимо добавить «mmc.exe» (консоль управления Microsoft). Это потому, что файлы .msc — это просто текстовые файлы, содержащие XML. Всякий раз, когда пользователь открывает файл MSC, Windows выполняет mmc.exe, передавая файл .msc в качестве аргумента.
Метод 1: Использование редактора локальной групповой политики
Редактор локальной групповой политики — это инструмент, который используется для настройки параметров операционной системы. В редакторе групповой политики есть разные параметры политики. Тот, который мы будем использовать в этом методе, находится в категории «Конфигурация пользователя». Существует также еще один параметр, который ограничивает только приложения, которые вы добавляете в список в настройках, а не разрешает только несколько из перечисленных вами.
Пропустите этот метод, если вы используете операционную систему Windows Home. Это связано с тем, что редактор групповой политики недоступен в Windows Home Editions.
- Откройте диалоговое окно «Выполнить», нажав комбинацию клавиш Windows + R на клавиатуре. Затем введите в нем «gpedit.msc» и нажмите клавишу Enter, чтобы открыть редактор локальной групповой политики.
Открытие редактора локальной групповой политики
- В категории «Конфигурация пользователя» групповой политики перейдите по следующему пути: Конфигурация пользователя Административные шаблоны Система
Переход к настройке
- Дважды щелкните параметр «Запускать только указанные приложения Windows», и он откроется в другом окне. Теперь измените параметр переключения на Включено и нажмите кнопку Показать.
Включение настройки
- Теперь добавьте имена исполняемых файлов разрешенных приложений. Имена можно написать так, как показано на скриншоте.
Добавление имен программ, позволяющих пользователю
Примечание. Убедитесь, что вы добавили такие приложения, как Explorer, редактор групповой политики, редактор реестра и так далее. Добавление инструментов администратора (например, GPO) позволит вам отменить этот параметр.
- Нажмите кнопку Применить / ОК для этого параметра, чтобы сохранить изменения. Это отключит все приложения Windows в вашей системе и разрешит только те, которые вы добавили в список.
- Чтобы снова включить все приложения Windows, измените значение переключателя на шаге 3 на «Не настроено» или «Отключено».
Метод 2: использование редактора реестра
Редактор реестра — это инструмент, который позволяет пользователям просматривать и управлять низкоуровневыми настройками операционной системы Windows. Однако, в отличие от метода редактора групповой политики, это потребует от пользователей некоторых технических действий. Вам нужно будет создать недостающие ключи и значения, чтобы настройка работала. Кроме того, на всякий случай вы всегда можете создать резервную копию реестра. Выполните следующие шаги, чтобы разрешить только определенные приложения для стандартного пользователя.
- Нажмите комбинацию клавиш Windows + R, чтобы открыть диалоговое окно «Выполнить», и введите в нем «regedit». Нажмите клавишу Enter, чтобы открыть редактор реестра, и, если будет предложено UAC (контроль учетных записей пользователей), выберите вариант Да.
Открытие редактора реестра
- В кусте текущего пользователя перейдите к следующему ключу: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
- Создайте новое значение в клавише Explorer, щелкнув правой кнопкой мыши и выбрав «Создать»> «Значение DWORD (32-разрядное)». Назовите это вновь созданное значение «RestrictRun».
Создание новой ценности
- Дважды щелкните значение RestrictRun и установите для него значение 1.
Включение значения
- Затем нужно создать еще один ключ под ключом Explorer, щелкнув правой кнопкой мыши по ключу и выбрав опцию New> Key. Это значение должно называться RestrictRun.
Создание нового ключа
- В этом ключе создайте новое значение, щелкнув правой кнопкой мыши на правой панели и выбрав параметр New> String Value. Имя значения может быть в точности исполняемым файлом, как показано на скриншоте:
Создание строкового значения для каждого имени программы
- Откройте значение и добавьте строковое значение в качестве имени исполняемого файла приложения.
Примечание. У некоторых инструментов будет расширение .msc, поэтому добавьте исполняемый файл «mmc.exe» для всех этих инструментов.Добавление имени исполняемого файла программ в качестве данных значения
- После всех настроек вам необходимо перезагрузить компьютер, чтобы изменения вступили в силу.
- Чтобы снова включить все программы в вашей системе, вам необходимо удалить имена исполняемых файлов в данных значений или удалить значения из реестра.
Если у вас возникла необходимость запрета запуска определенных программ в Windows, вы можете сделать это с помощью редактора реестра или редактора локальной групповой политики (последнее доступно только в Профессиональной, Корпоративной и Максимальной редакциях).
В этой инструкции подробно о том, как именно заблокировать запуск программы двумя упомянутыми методами. В случае, если цель запрета — ограждение ребенка от использования отдельных приложений, в Windows 10 вы можете использовать родительский контроль. Также существуют следующие методы: Запрет запуска всех программ кроме приложений из Магазина, Режим киоска Windows 10 (разрешение запуска только одного приложения).
Запрет запуска программ в редакторе локальной групповой политики
Первый способ — блокировка запуска определенных программ с использованием редактора локальной групповой политики, доступного в отдельных редакциях Windows 10, 8.1 и Windows 7.
Для установки запрета этим способом, выполните следующие шаги
- Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter. Откроется редактор локальной групповой политики (при его отсутствии, используйте метод с помощью редактора реестра).
- В редакторе перейдите к разделу Конфигурация пользователя — Административные шаблоны — Система.
- Обратите внимание на два параметра в правой части окна редактора: «Не запускать указанные приложения Windows» и «Выполнять только указанные приложения Windows». В зависимости от задачи (запретить отдельные программы или разрешить только выбранные программы) можно использовать каждый из них, но рекомендую использовать первый. Дважды кликните мышью по «Не запускать указанные приложения Windows».
- Установите «Включено», а затем нажмите по кнопке «Показать» в пункте «Список запрещенных программ».
- Добавьте в список имена .exe файлов тех программ, которые нужно заблокировать. Если вы не знаете имя .exe файла, можно запустить такую программу, найти её в диспетчере задач Windows и посмотреть его. Полный путь к файлу указывать не нужно, при его указании запрет работать не будет.
- После добавления всех необходимых программ в список запрещенных, нажмите Ок и закройте редактор локальной групповой политики.
Обычно изменения вступают в силу сразу, без перезагрузки компьютера и запуск программы становится невозможным.
Блокировка запуска программ с помощью редактора реестра
Настроить запрет запуска выбранных программ можно и в редакторе реестра, если gpedit.msc недоступен на вашем компьютере.
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter, откроется редактор реестра.
- Перейдите к разделу реестра
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
- В разделе «Explorer» создайте подраздел с именем DisallowRun (сделать это можно, нажав правой кнопкой мыши по «папке» Explorer и выбрав нужный пункт меню).
- Выберите подраздел DisallowRun и создайте строковый параметр (правый клик в пустом месте правой панели — создать — строковый параметр) с именем 1.
- Дважды нажмите по созданному параметру и в качестве значения укажите имя .exe файла программы, которую нужно запретить запускать.
- Повторите те же действия для блокировки других программ, давая имена строковых параметров по порядку.
На этом весь процесс будет завершен, а запрет вступит в силу без перезагрузки компьютера или выхода из Windows.
В дальнейшем, чтобы отменить запреты, сделанные первым или вторым способом, можно с помощью regedit удалить параметры из указанного раздела реестра, из списка запрещенных программ в редакторе локальной групповой политики или просто отключить (установить «Отключено» или «Не задано») измененную политику в gpedit.
Дополнительная информация
В Windows также доступен запрет запуска программ с помощью Software Restriction Policy, однако настройка политик безопасности SRP выходит за рамки этого руководства. В общем упрощенном виде: вы можете зайти в редактор локальной групповой политики в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности, нажать правой кнопкой мыши по пункту «Политики ограниченного использования программ» и в дальнейшем производить настройку необходимых параметров.
Например, самый простой вариант — создать правило для пути в разделе «Дополнительные правила», запретив запуск всех программ, расположенных в указанной папке, но это лишь очень поверхностное приближение к Software Restriction Policy. А если для настройки использовать редактор реестра, то задача ещё усложняется. Но эту технику используют некоторые сторонние программы, упрощающие процесс, например, можете ознакомиться с инструкцией Блокировка программ и системных элементов в AskAdmin.
Если в вашем распоряжении имеется компьютер, или сервер, доступ к которому имеет большое количество людей, целесообразно запретить запуск программ, которые не одобрены вами, то-есть администратором. Для этого вам нужно четко указать, какие программы можно запускать, а какие нет и сегодня мы рассмотрим как запретить запуск программы используя локальные Групповые политики Windows, а также через реестр Windows.
Примечание: В данной статье рассмотрена работа с редактором локальных Групповых политик, которого нет в домашних версиях Windows 7, поэтому пользователям домашних версий следует использовать редактор реестра Windows.
Запрет запуска программ через Редактор групповых политик
Запускаем редактор локальных Групповых политик, для этого открываем меню Пуск, в строке поиска вводим gpedit.msc и нажимаем Ввод.
В открывшемся окне открываем раздел Конфигурация пользователяАдминистративные шаблоныСистема.
В правой части окна находим два параметра:
- Не запускать указанные приложения Windows — будут разрешены все приложения, кроме перечисленных.
- Выполнять только указанные приложения Windows — будут запрещены все приложения, кроме перечисленных.
Предположим, что я хочу выбрать второй пункт Выполнять только указанные приложения Windows — открываю его двойным нажатием мыши.
Устанавливаем радио переключатель в положение Включить, затем в разделе Параметры нажимаем кнопку Показать, для того, чтоб отобразить список разрешенных для запуска программ.
В появившемся диалоговом окне Show Contents можно ввести список программ, с которыми будет разрешено работать пользователям. По завершении нажмите ОК и закройте резактор локальных групповых политик.
Если пользователь попытается запустить программу, которой нет в списке разрешенных программ — система выдаст предупреждение и сделает запись в журнале событий Windows.
Обратите внимание: Если вы оставите список программ, как указан в моем примере, то вы не сможете ничего запустить, кроме браузера Mozilla Firefox, даже редактор групповой политики! Поэтому этот параметр групповой политики применяйте крайне обдумано!
Запрет запуска программ через реестр Windows
Как я уже упоминал в начале статьи, если у вас установлена домашняя версия Windows, то редактор групповых политик вам не будет доступен. В этом случае можно воспользоваться редактором реестра Windows и ограничить запуск программ через него.
Запустите редактор реестра Windows: Откройте меню Пуск (комбинация клавиш WIN + R) и в строке поиска введите regedit.
Найдите следующую ветвь реестра:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Если еще не создан, создайте новый параметр DisallowRun, имеющий тип 32-bit DWORD. Установите его значение в 1.
Затем в левой части редактора реестра, создайте новую ветвь, имеющую такое-же название, как и только что созданный параметр (DisallowRun).
После того, как ветвь создана, создайте внутри нее группу строковых переменных (имеющих тип String), с именем типа 1, 2, 3 и так далее. Значение каждой переменной должно содержать имя исполняемого файла, выполнение которого следует запретить. Например, для того, чтоб запретить запуск firefox, следует создать параметр:
Запрет запуска программ, используя групповые политики Windows очень полезен как для администрирования отдельных компьютеров, так и группы компьютеров, входящих в домен предприятия. В последнем случае настройка групповых политик делается централизованно на контроллере домена.