Вопрос запуска программ в ОС Windows различными пользователями довольно актуальный. Именно его мы сегодня и рассмотрим. Тема будет полезной как для рядовых пользователей, так и для администрирования групп пользователей в домене.
Скажу сразу, что в ОС уже присутствуют соответствующие инструменты (и не один). Также есть специальные, сторонние приложения для упрощения работы пользователей. И те, и другие имеют свои преимущества и недостатки. Итак, начнем.
Еще по теме «История запуска программ на компьютере».
Как запретить запуск программы в Windows
ОС Windows имеет три инструмента для настройки запуска программ:
- AppLocker
- Редактор групповых политик (РГП)
- Реестр
Если версия ОС Windows на Вашем компьютере Enterprise или Ultimate, то среди инструментов системы есть и AppLocker. А кроме него, Вам больше ничего и не надо. Конечно, ниже я рассмотрю и другие способы того, как запретить запуск программы, но начну именно с самого оптимального и функционального – AppLocker.
Запрет запуска программ с AppLocker
Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:
- Настройка как запретов, так и разрешений.
- Настройка хешей и путей.
- Аудит.
- Использование данных издателя (проверка по электронной подписи).
- Импорт и экспорт созданных политик.
Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.
Как открыть AppLocker
Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win+R), введите gpedit.msc.
Следуя, инструкции на скрине, найдите AppLocker.
Как работать с AppLocker
Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.
Основные расширения примерно выглядят так:
Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *.exe
1. Нажав на ветвь Исполняемые правила, мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.
Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок Program Files, Windows, администратору – запускать все файлы.
2. Для того чтобы запретить запуск определенной программы нужно:
- создать новое правило
- выбрать нужное действие
- выбрать пользователя или группу пользователей, которым будет запрещено действие
- выбрать условия по запрету: тип запрета
Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.
- теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку
- нажмите Создать. Как видите появился запрет
3. Осталось запустить службу, чтобы AppLocker заработал:
- зайдите в диспетчер задач (CTRL+ALT+DEL)
- перейдите на вкладку службы
- найдите службу Удостоверение приложения (AppIDSvc)
- запустите службу (правой кнопкой мыши – Запустить).
Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888poker.exe, он увидит уведомление:
AppLocker или SRP? Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.
Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.
Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника + дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).
Запрет запуска программ с РГП
По сути, ничего сложного здесь нет. Поэтому подробно описывать не буду, смотрите скрины. Нужно выполнить такие действия:
1. Запустить сам РГП. Для этого вызовите окно Выполнить (Win+R), введите gpedit.msc
2. Вы в Редакторе. Найдите вкладку Система (см. ниже). Кликните на выделенный пункт.
3. Теперь вы в окне запрета. Для начала нужно включить данный инструмент и открыть список запрещенных приложений (где вы и добавите их).
4. В поле Значение введите название программы с расширением. Все примените.
Когда любой другой пользователь попытается запустить данное приложение, появится окно:
По тому же принципу можно разрешить запуск только определенных приложений. Это больше подходит для группы компьютеров (например, одного домена).
В РГП выберите пункт «Выполнять только указанные…». Дальше все также.
ВАЖНО! Тут будьте осторожными, так как будет выполняться только указанные Вами программы. Даже РГП работать не будет. Как минимум внесите его в список.
Запрет запуска программ в Реестре Windows
Тут все работает по тому же принципу: внесение имен программ под запрет. Но его стоит показать (опять же вкратце), так как не у всех есть РГП.
1. Зайдите в реестр с помощью окна Выполнить (Win+R).
2. Перейдите в раздел Policies. Выберите Explorer. Вот полный путь:
1 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
3. Теперь в соседнем окне создайте новый параметр под название DisallowRun указанного типа со значением 1.
4. Дальше в каталоге, в ветке Explorer, создайте ветку с названием того же параметра.
5. Осталось только указать программы, запуск которых мы хотим запретить. Это делается в созданном разделе (DisallowRun). Создаются строчные (типа string) нумерованные переменные. В их значение нужно записать имя исполняемого файла. Для каждой программы одна переменная.
После перезагрузки ПК, программа не будет запускаться.
Мое мнение или проблемы данного способа
Да, вроде бы ничего сложного и довольно удобно. Но все же есть одно НО: запрет то действует на имя исполняемого файла, а его можно с легкостью изменить! И тут ничего не поделаешь.
Можно предположить, что, разрешив запуск только определенных программ, вы решите проблему. Но что мешает назвать программу именем той, которая имеет разрешение на запуск?
Поэтому вывод один: AppLocker очень полезный и незаменимый.
Выводы
Как видите, есть способы запретить запуск программы и в самой ОС Windows. Все они вроде бы разные, но принцип один: использование групповых политик безопасности.
По моему скромному мнению, использовать AppLocker куда удобнее и оптимальнее. К тому же при наличии технологии Active Directory, администрировать доменные группы очень удобно.
Лучше ли вернутся к старой доброй SRP? Это чисто Ваше субъективное мнение. Я скажу, что всегда придерживаюсь правила, которое обязывает идти вперед, изучать новое. И Вам того же советую.
Еще по теме «Запрет интернета для определенных программ».
Как скачать то ?
Через реестр все работает, но если в командной строке написать start yyy.exe, то программа все равно запускается, что делать?