• DevOps
  • Защита информации
  • ИТ-поддержка
    • ИТ-поддержка

    Запрет запуска программ Windows

    Решаемая задача: Запретить запуск программ, кроме явно добавленных, для всех пользователей компьютера, кроме Администраторов.

    Для выполнения описанных действий требуется учетная запись Администратора.

    В данном случае у нас имеется определенное условие – «никто, кроме…». Зададим правила ограничения на использование программ.

    Откройте Редактор локальной групповой политики и пройдите по пути Конфигурация компьютера – Конфигурация Windows – Параметры безопасности. Выберите Политики ограниченного использования программ.

    Редактор локальной групповой политики

    Чтобы включить политики жмем Действие – Создать политику ограниченного использования программ.

    Создать политику ограниченного использования программ

    В окне появились дополнительные опции. Заходим в раздел Дополнительные правила. Щелкаем правой кнопкой мыши на Дополнительных правилах и выбираем Создать правило для пути… для добавления пути.

    Создать правило для пути…

    После нажатия кнопки обзор, откроется окно проводника, где можно выбрать путь к папкам, из которых разрешен запуск программ. Папка выбрана, выставляем для нее уровень безопасности Неограниченный для полного доступа, и нажимаем ОК.

    уровень безопасности для полного доступа

    Повторяем действия, добавляя папки

    • C:\Program Files
    • C:\Program Files (x86)
    • C:\Windows
    • C:\Scripts
    • Для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% Ставим значение Запрещено.

    Теперь нужно указать, что запрет на запуск программы не распространяется на Администратора компьютера. Снова идем в Политики ограниченного использования программ и открываем Применение. Ставим переключатель в позицию Все пользователи, кроме локальных администраторов и жмем ОК.

    указать, что запрет не распространяется на Администратора

    Запрет запуска программы для всех, кроме администратора настроен.

    Запрет запуска для всех, кроме администратора настроен

    Один параметр может оказаться досадной и никак не улучшающей безопасность помехой — по умолчанию, SRP обрабатывает не только исполняемые файлы, но и некоторые другие типы файлов — например, ярлыки (Shortcuts). Выполните двойной щелчок по значению Назначенные типы файлов и удалите расширение LNK из списка. Замечу, сами ярлыки и их целевые файлы обрабатываются политикой отдельно. Таким образом, удаляя LNK из списка обрабатываемых расширений, вы не понижаете уровень безопасности системы — создать ярлык на неразрешённый файл и таким образом запустить его в обход политики всё равно будет невозможным.

    Затем идем в Политики ограниченного использования программ, Уровни безопасности, щелкаем по Запрещено и устанавливаем его по-умолчанию.

    Уровни безопасности

    После этого все программы, кроме тех, что присутствуют в Дополнительных правилах будут запрещены политикой для запуска.

    Не нашли ответа на свой вопрос?
    Смотрите также
    Инструкции:
    • Спасибо, помогло
    Содержание

    Есть вопросы?

    Закажите звонок специалиста!

    Есть вопросы?

    Закажите звонок специалиста!
    *нажимая на кнопку, Вы даете согласие на обработку персональных данных