Решаемая задача: запретить запуск программ, кроме явно добавленных, для всех пользователей компьютера, кроме Администраторов.
Исключим риски недоступности ИТ и 1С систем в рамках услуги “ИТ-аутсорсинг“!
Для выполнения описанных действий требуется учетная запись Администратора.
В данном случае у нас имеется определенное условие – «никто, кроме…». Зададим правила ограничения на использование программ.
Откройте Редактор локальной групповой политики и пройдите по пути Конфигурация компьютера – Конфигурация Windows – Параметры безопасности. Выберите Политики ограниченного использования программ.
Чтобы включить политики жмем Действие – Создать политику ограниченного использования программ.
В окне появились дополнительные опции. Заходим в раздел Дополнительные правила. Щелкаем правой кнопкой мыши на Дополнительных правилах и выбираем Создать правило для пути… для добавления пути.
После нажатия кнопки обзор, откроется окно проводника, где можно выбрать путь к папкам, из которых разрешен запуск программ. Папка выбрана, выставляем для нее уровень безопасности Неограниченный для полного доступа, и нажимаем ОК.
Повторяем действия, добавляя папки
- C:Program Files
- C:Program Files (x86)
- C:Windows
- C:Scripts
- Для пути %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionPrintPrintersDefaultSpoolDirectory% Ставим значение Запрещено.
Теперь нужно указать, что запрет на запуск программы не распространяется на Администратора компьютера. Снова идем в Политики ограниченного использования программ и открываем Применение. Ставим переключатель в позицию Все пользователи, кроме локальных администраторов и жмем ОК.
Запрет запуска программы для всех, кроме администратора настроен.
Один параметр может оказаться досадной и никак не улучшающей безопасность помехой — по умолчанию, SRP обрабатывает не только исполняемые файлы, но и некоторые другие типы файлов — например, ярлыки (Shortcuts). Выполните двойной щелчок по значению Назначенные типы файлов и удалите расширение LNK из списка. Замечу, сами ярлыки и их целевые файлы обрабатываются политикой отдельно. Таким образом, удаляя LNK из списка обрабатываемых расширений, вы не понижаете уровень безопасности системы — создать ярлык на неразрешённый файл и таким образом запустить его в обход политики всё равно будет невозможным.
Затем идем в Политики ограниченного использования программ, Уровни безопасности, щелкаем по Запрещено и устанавливаем его по-умолчанию.
После этого все программы, кроме тех, что присутствуют в Дополнительных правилах будут запрещены политикой для запуска.
здравствуйте, столкнулся с багом в GPO. Политика не работает в Windows 11, rsop вижу что политика применилась, gpresult подтверждает. Win2016,2019,2022,10 работает. Политика на пользователя, прошедшие проверку, пробовал явно указать пользователя, пользователь не группе локальных администраторов. Может подскажите куда смотреть. Спасибо
Начиная с версии w11 22h2 ms отказались от её подержки.
Рекомендуют использовать applocker
Добрый день, есть ли возможность дать права на установкузапускудаление ПО которое требует админ права (не в папку юзера), но не выдавая права локального админа?
Здравствуйте.
В случае, если структура доменная, да, можно делегировать права
Можни ли поставить пароль на груповые политики ?
Добрый день! Нет, нельзя
Групповые политики, как правило ограничены правами. Политики создавать и редактировать должен пользователь с правами Администратора. Политику можно делегировать на обычных пользователей, подробнее можно почитать на сайте Microsoft.
Статья очень помогла, благодарю автора и всех причастных.
После ввода логина и пароля теперь тёмный экран. Судя по-всему видеокартам nvidia для нормальной работы этих настроек недостаточно.
Спасибо, помогло