Запрет запуска программ. Как запретить запуск программ в Windows?

Закручиваем гайки пользователям: часть 1. политика ограниченного использования программ.

Из Windows 9x досталось много мелких плюшек, без которых работа в системе не была-бы такой удобной. Это сейчас они все у нас перед глазами, но стоит только войти в Windows NT 4.0, как ощущаются определённые неудобства.

Перечислю некоторые из нововведений:

– Active Desktop

– Списки наиболее часто используемых ресурсов

– Персональные меню

– Технология AutoComplete при навигации в проводнике

– Расширенные настройки меню «Пуск»

– Папка «Мой компьютер» была упрощена

Панель управления переработали: сетевые настройки собрали в одном апплете, а установка сервисов (таких как DNS, DHCP, WINS) и компонентов переехала в установку и удаление программ. Напомню, что ранее DHCP например, устанавливался из апплета настройки сетевой платы.

Многие из перечисленных улучшений пришли в Windows 2000 из Windows 9x и в следующей заметке я рассмотрю наиболее интересные из них.

Работа с документами

Работа с документами стала удобнее и быстрее. Особенно хорошо стало для администрторов, ведь профили пользователей стали теперь по-настоящему разделены и хранятся в каталоге Documents and Settings. Теперь пользователи никак не видят данные друг друга и значительно упростилось резервное копирование профилей пользователей.

Появилась индексация файлов, что ускорило поиск по содержимому. Для файлов, хранящихся на файловой системе NTFS стали доступны для заполнения дополнительные поля в окне свойств, что так-же облегчит поиск файла в будущем.

Менеджер синхронизации позволяет продолжать работать с документами, расположенными на сетевом диске при потере связи с сервером. Он кэширует выбранные данные локально и обновляет при восстановлении соединения.

Для компьютеров, работающих в составе домена Active Directory, стал доступен поиск общих принтеров по возможностям. Теперь можно, например, найти в сети двусторонние или цветные принтеры.

В контекстном меню проводника появился пункт «Открыть с помощью». Не знаю, как остальные, но я его использую очень часто.

Поддержка оборудования

Огромные изменения в поддержке оборудования можно заметить ещё на стадии установки Windows 2000. Установщик задаёт меньше вопросов по настройке оборудования и настраивает его сам — сказывается работа механизма Plug and Play, прибывшего из Windows 9x.

Из нового хочется отметить поддержку последовательной шины USB, которая тоже пришла из Windows 9x. От туда так-же пришла поддержка сканеров и камер. Система поставляется с предустановленным DirectX 7.0. Если верить Википедии, то он дал нам аппаратную поддержку преобразований, обрезания и освещения.

Поддержка PAE

Существует ограничение в 4 ГБ оперативной памяти. Оно наложено особенностью работы 32-х разрядных процессоров. Для преодоления этого ограничения, процессоры получили поддержку Physical Address Extension (PAE). Она позволяет процессору применять при обращении к памяти 36 разрядов. Что увеличило объём доступной оперативной памяти до 64 Гб. Поддержка PAE появилась в Windows Advanced Server и Windows Server Datacenter.

Обновления дисковой подсистемы

Увидев историю развития Windows можно смело воскликнуть: наконец-то! Наконец-то появилась операционная система, которая поддерживает FAT32 и NTFS одновременно и без костылей.

В серверной редакции появилась служба Remote Storage Service, которая позволяет организовать многоуровневое хранение документов.

Как вишенка на торте, в системе появилась программа дефрагментации.

Динамические диски

Технология программного RAID у Microsoft впервые появилась в Windows NT 3.1. В 2000-х их прозвали мультидисками. Давайте сохраним традицию и вспомним как оно было раньше для лучшего понимания, что изменилось.

Как было раньше.

Раньше, во времена MS-DOS поддерживался следующий формат разбиения диска на раздела: на диске мог быть только один основной раздел и один дополнительный. Внутри дополнительного можно создавать логические разделы. Такого-же мнения о разделах системы семейства Windows 9x/Me — они попросту не видят более одного основного раздела, несмотря на то, что MBR поддерживает создание четырёх основных разделов.

Windows NT позволила создавать на диске 4 основных раздела, предупреждая о недоступности данных из MS-DOS.

Одновременно с этим, появился функционал создания набора томов. Том, входящий в набор, виден пользователем как один том и пользователь работает с данными на нём как и с обычным диском. Набор томов предоставляет следующие возможности:

– Увеличить имеющийся том за счёт добавления к нему дискового пространства с другого диска.

– Создать зеркальный том (RAID 1)

– Создать чередующийся том (RAID 0)

– Создать чередующийся том с контролем чётности (RAID 5)

Мультидиски в WIndows NT 4.0

Конфигурация программного RAID хранилась в реестре и при подключении дисков к другому компьютеру всё это хозяйство определяется не как RAID массив, а просто как куча дисков.

На скриншоте видно, что после подключения массива мультидисков в Windows 2000 часть томов не определилось. Тома определились как отдельные разделы диска и формат большинства из них не определён.

Как стало теперь

В Windows 2000 подсистема программного RAID получила большое обновление. Теперь перед использованием программного RAID требуется изменение формата дисков с базового на динамический. В динамических томах информация о конфигурации массива хранится на всех дисках массива и копируется в реестр при монтировании. Ранее изменения в массиве требовали сохранения, теперь они применяются сразу. Ниже представлен скриншот, отображающий все возможные виды динамических томов. Windows 2000 Professional не поддерживает тома RAID 5.

Дисковые квоты

Windows 2000 впервые представила нам дисковые квоты. Технология несомненно полезная и ожидаемая. Однако стоит понимать, что ожидание и реальность тут говорят на разных языках и друг друга явно не понимают. Вот некоторые их особенности:

– Использование дисковых квот включается на весь логический диск. нельзя настроить квоту на каталог.

– Дисковые квоты применяются на всех пользователей логического диска. Учитывается как локальный, так и сетевой доступ.

– Файл учитывается в квоте того пользователя, что указан владельцем в его дискрипторе безопасности.

– Использование сжатия NTFS не поможет для экономии выделенного пространства. – Учитывается объём несжатых данных.

– Дисковые квоты пересчитываются каждый час.

– Нельзя задать индивидуальный лимит пользователю до того, как будет создана запись квоты (пользователь запишет первый файл).

– В свойствах диска пользователь видит не реально оставшийся объём диска, а остаток лимита по квоте.

Разреженные файлы.

Революционная в каком-то смысле технология. Идея заключается в том, чтобы не записывать на диск последовательности нулевых байтов. Вместо этого вводится понятие дыры. Дыра — это последовательность нулевых байт внутри файла, которая не была записана на диск. Вместо записи самой дыры, в метаданные файловой системы вносится информация о её расположении: смещение относительно начала файла и длина.

:/>  Как поставить видео обои на Андроид - инструкция

Преимущества разреженных файлов:

– Экономия ресурса носителя

– Сокращение времени записи файла

– Экономия дискового пространства: дыра не занимает место на диске.

Недостатки разреженных файлов:

– В случае недостатка свободного пространства на диске, запись в дыры будет невозможна.

– Частая запись в дыры увеличивает фрагментацию.

Технология получила огромное распространение и всё больше приложений её используют незаметно для наших глаз. Например я сейчас в VirtualBox создал файл фиксированного виртуального диска объёмом 10 гб. Создание диска заняло около 20 секунд. Но самое интересное как обычно под капотом. Диспетчер ресурсов наглядно показывает, что в момент записи файла больше информации писалось в журнал, карту свободного места и MFT, чем в сам файл.

Ранее я говорил про экономию дискового пространства при использовании разреженных файлов. Давайте посмотрим размер файла и занимаемое пространство на диске. На скрине хорошо видно, что на диске файл занял 40 кб!

Однако, для использования разреженных файлов требуется поддержка не только со стороны файловой системы, но и со стороны прикладного ПО.

Точки перехода.

Можно встретить название точки монтирования или reparse point — это специальный объект файловой системы, который указывает на необходимость вызова функций расширенной файловой системы в момент их встречи. Производители могут добавлять свои драйверы файловых систем, таким образом масштабируя хранилище. Именно это нововведение станет началом многих решений.

В будущем это будет основой дедупликции, сжатия LZX, WIM Boot и файлов по вызову OneDrive.

На этой технологии построен Remote Storage Service. О нём поговорим позже.

Точки монтирования позволяет обойти ограничение на количество логических дисков, монтируя их как каталоги. Ранее количество монтируемых дисков не могло превышать количество букв английского алфавита.

Шифрованная файловая система EFS

В своё время вопрос «как поставить пароль на папку?» задавался очень часто в своё время. И вот появился первый ответ на вопрос.

Шифрованная файловая система (EFS) представляет из себя систему прозрачного шифрования данных, хранящихся на разделах с файловой системой NTFS. Используется симметричный алгоритм шифрования DESX. Никакой дополнительный пароль при этом не используется — в шифровании используются учетные данные пользователя.

Важной особенностью является то, что если злоумышленник получил вошёл в систему под учётной записью пользователя, то ему доступны все его зашифрованные файлы. Когда пользователь копирует зашифрованный файл на диск с другой файловой системой, файл копируется в расшифрованном виде. При копировании на диск с файловой системой NTFS шифрование сохранятся.

Если не авторизованный пользователь попытается получить доступ к чужим зашифрованным данным, например к папке, он увидит содержимое папки. При попытке просмотреть файлы, будет получена ошибка чтения. Скопировать файлы так-же не получится. Однако переместить их в другой каталог в пределах одной файловой системы вполне можно, как и удалить зашифрованные данные.

Следует понимать, что основой ключа шифрования являются учётные данные пользователя. Это значит, что в случае удаления учётной записи, расшифровка данных будет невозможна. В будущих версия Windows это исправят, но это совсем другая история

Сеть

В поддержке сетей произошло много изменений. Самым главным изменением является включённый по умолчанию клиент DHCP. Замечу, что теперь он принимает настройки DNS, чего ранее в Windows NT не делал. В службе сервера DHCP так-же произошло заметное изменение — появилась авторизация DHCP. Теперь, прежде чем начать выдавать динамические адреса в домене, DHCP сервер должен быть авторизован. Это снижает вероятность появления в сети левых DHCP серверов.

AutoIP

Не менее важным стоит назвать появление AutoIP, то есть создание одноранговой сети в автоматическом режиме без участия DHCP. Работает это так: если при включённом автоматическом получении IP адресов, DHCP не найден, то Windows сама назначит себе IP адрес.

Общий доступ к сети Интернет

Windows 2000 Professional унаследовала от Windows 9x функцию «Общий доступ к Интернет», позволяющую разделить доступ в сеть Интернет с компьютерами локальной сети. Компьютер для её работы должен иметь модем или две сетевые платы.

Windows 2000 Server обрела более зрелый вариант описанного выше функционала в рамках службы Маршрутизация и удалённый доступ.

Active Directory

Поистине огромные изменения произошли в доменной инфраструктуре. На смену NT Domain пришла Active Directory. И вот уже двадцать лет, родимая с нами.

Самым первым изменением, которое лично мне бросилось в глаза была служба DNS. В домене NT DNS не использовался, да и вообще, раньше жили без него. Домену NT строго говоря и WINS не нужен — всё происходит через Broadcast.

В домене NT есть первичные контроллеры домена (PDC) и резервные контроллеры домена (BDC). В один момент времени может существовать только один PDC. Он хранит копию базы данных домена, доступную для чтения и записи, а каждый BDC хранит копию этой базы, но доступную только для чтения. Это обеспечивает избыточность и масштабируемость инфраструктуры. Но как говорится, есть нюансы: если PDC выйдет из строя, внесение изменений в домен будет невозможно, пока не будет подготовлена его замена. Стоит заметить, что пользователи смогут продолжать входить в систему с помощью BDC.

В Active Directory все контроллеры домена хранят копию базы, доступную для записи (напомню, что RODC появятся в Windows Server 2008). Единственное, что может отличать контроллеры друг от друга, это роли мастеров операций (FSMO). Первый контроллер домена (тот на котором домен и создавался) автоматически становится владельцем всех ролей FSMO. Контроллеры домена, добавленные позже, равны между собой. Мы плавно переходим к ролям мастеров операций.

В Windows 2000 появилась возможность просмотра объектов Active Directory прямо из папки Сетевое окружение. При этом администратор домена может вносить некоторые изменения в объекты, например изменить состав группы или описания объектов. Пользователям домена объекты доступны только для чтения.

Обслуживание системы

Windows Update

Windows 2000 получила службу Windows Update, которая перекочевала из Windows 9x и упрощает скачивание и установку обновлений.

Защита системных файлов

Из Windows Me перешла система защиты системных файлов. Она отслеживает несанкционированное изменение файлов Windows и предлагает их восстановить из дистрибутива. Но в отличие от Windows Me, требует вставки диска с дистрибутивом, что люто бесит. Зато появилась утилита командной строки sfc.exe и есть возможность более гибко управлять процессом и инициировать проверку самостоятельно.

:/>  Тормозит ноутбук Windows 10: что делать, причины и 20 способов устранения лагов

Консоль восстановления

Консоль восстановления — это компонент Windows 2000, позволяющий получить доступ к установленной системе, авторизовавшись в ней. Консоль позволяет с некоторыми ограничениями, выполнять операции над файлами, управлять разделами, восстановить загрузчик и проверить диск.

Консоль восстановления можно установить на системный диск и она станет доступна в меню загрузчика.

Запрет запуска программ в реестре windows

Тут все работает по тому же принципу: внесение имен программ под запрет. Но его стоит показать (опять же вкратце), так как не у всех есть РГП.

1.  Зайдите в реестр с помощью окна Выполнить (Win R).

2. Перейдите в раздел Policies. Выберите Explorer. Вот полный путь:

Запрет запуска программ в родительском контроле windows


В операционную систему Windows встроено приложение для осуществление родительского контроля. Этот режим ограничивает ребенка, не разрешает ему выходить за рамки заранее созданных определенных правил при использовании компьютера.

Для использования родительского контроля необходимо использовать учетную запись Майкрософт, при помощи которой осуществляется контроль за ребенком. На ПК создается учетная запись пользователя с ограниченными правами, дети входят в систему через эту учетную запись.

Помимо других ограничений (посещение сайтов различных категорий, время работы на ПК), взрослые могут ограничить запуск определенных игр, программ и мультимедийных файлов. Подробное описание родительского контроля в Windows 10 и Windows 7 описано в статьях на моем сайте.


В случае необходимости, можно изменить параметры контроля, снова включить возможность запуск тех или иных приложений.

Запрет запуска программ с applocker

Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:

  • Настройка как запретов, так и разрешений.
  • Настройка хешей и путей.
  • Аудит.
  • Использование данных издателя (проверка по электронной подписи).
  • Импорт и экспорт созданных политик.

Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.

Запрет запуска программ через редактор групповых политик

Запускаем редактор локальных Групповых политик, для этого открываем меню Пуск, в строке поиска вводим gpedit.msc и нажимаем Ввод.

В открывшемся окне открываем раздел Конфигурация пользователяАдминистративные шаблоныСистема.

В правой части окна находим два параметра:

  1. Не запускать указанные приложения Windows – будут разрешены все приложения, кроме перечисленных.
  2. Выполнять только указанные приложения Windowsбудут запрещены все приложения, кроме перечисленных.

Предположим, что я хочу выбрать второй пункт Выполнять только указанные приложения Windows – открываю его двойным нажатием мыши.

Устанавливаем радио переключатель в положение Включить, затем в разделе Параметры нажимаем кнопку Показать, для того, чтоб отобразить список разрешенных для запуска программ.

В появившемся диалоговом окне Show Contents можно ввести список программ, с которыми будет разрешено работать пользователям. По завершении нажмите ОК и закройте резактор локальных групповых политик.

Если пользователь попытается запустить программу, которой нет в списке разрешенных программ – система выдаст предупреждение и сделает запись в журнале событий Windows.

Обратите внимание: Если вы оставите список программ, как указан в моем примере, то вы не сможете ничего запустить, кроме браузера Mozilla Firefox, даже редактор групповой политики! Поэтому этот параметр групповой политики применяйте крайне обдумано!

Запрет запуска программ через реестр windows

Как я уже упоминал в начале статьи, если у вас установлена домашняя версия Windows, то редактор групповых политик вам не будет доступен. В этом случае можно воспользоваться редактором реестра Windows и ограничить запуск программ через него.

Запустите редактор реестра Windows: Откройте меню Пуск (комбинация клавиш WIN R) и в строке поиска введите regedit.

Найдите следующую ветвь реестра:

Запрет запуска программы после изменений в реестре


При помощи редактора реестра пользователь может запретить запуск программ на компьютере.

  1. Запустите редактор реестра одним из этих способов.
  2. Пройдите по пути к следующему разделу:

Как запретить запуск программы через групповые политики

В старших версиях Windows имеются групповые политики, с помощью изменения которых можно запретить запуск программ.

Редактор локальной групповой политики работает в операционных системах Windows Профессиональная (Windows Professional) и Windows Корпоративная (Windows Enterprise). Пользователи версии Windows Домашняя (Windows Home) могут воспользоваться другим методом с командной строкой.

Выполните следующие действия:

  1. Нажмите на клавиатуре на клавиши «Win» «R».
  2. В диалогом окне «Выполнить» введите команду: «gpedit.msc» (без кавычек), нажмите на клавишу «Enter».
  3. В окне «Редактор локальной групповой политики» откройте «Конфигурация пользователя», перейдите сначала в политику «Административные шаблоны», затем в политику «Система».
  4. Дважды щелкните по опции «Не запускать указанные приложения Windows».

выбор политики

  1. В окне «Не запускать приложения Windows» задайте параметр «Включено», а в параметре «Список запрещенных приложений» нажмите на кнопку «Показать…».

не запускать указанные приложения

  1. В окне «Вывод содержимого», в опции «Список запрещенных приложений», в поле «Значение» добавьте имя файла с расширением, например, «chrome.exe», а затем нажмите на кнопку «ОК».

вывод содержания

  1. В окне «Не запускать приложения Windows» нажмите на кнопку «ОК» для применения настройки.
  2. Закройте редактор локальной групповой политики.

Как отменить ограничение на запуск программы в редакторе локальной групповой политики

После изменения ситуации, пользователю понадобилось снять ограничения на запуск приложений. Необходимо снова войти в настройки групповых политик для изменения параметров.

  1. Откройте редактор локальной групповой политики.
  2. В окне «Редактор локальной групповой политики» пройдите по пути: «Конфигурация пользователя» → «Административные шаблоны» → «Система» → «Не запускать указанные приложения Windows».
  3. В окне «Не запускать указанные приложения Windows» укажите значение параметра «Не задано», нажмите на кнопку «ОК».

не задано

Запрет запуска программы после изменений в реестре

При помощи редактора реестра пользователь может запретить запуск программ на компьютере.

  1. Запустите редактор реестра одним из этих способов.
  2. Пройдите по пути к следующему разделу:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Если в системном реестре нет раздела «Explorer», создайте его. Щелкните правой кнопкой мыши по разделу «Policies», в контекстном меню выберите «Создать, затем «Раздел». Присвойте имя «Explorer» созданному разделу.

  1. В разделе «Explorer» создайте новый раздел «DisallowRun».
  2. Щелкните правой кнопкой мыши по свободному месту в окне редактора реестра, выберите в открывшемся меню «Создать», потом «Строковый параметр».

создать строковый параметр

  1. Присвойте имя параметру «1». Щелкните по параметру правой кнопкой мыши, выберите пункт «Изменить…».
  2. В окне «Изменение строкового параметра» в поле значение введите «имя_программы.exe», нажмите «ОК».

изменение строкового параметра

  1. Создайте следующие параметры с именами «2», «3», «4» и т. д., для запрета запуска других программ на данном компьютере.
:/>  Как убрать ограничение скорости интернета в Windows 10? - блог про компьютеры и их настройку

создание параметров

  1. Закройте окно редактора реестра.

Отмена ограничения на запуск программы в редакторе реестра

Для включения запуска программы, потребуется снова войти в редактор реестра.

В окне «Редактор реестра» пройдите по пути:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Если вам нужно отменить ограничения на запуск всех программ удалите раздел «DisallowRun». Если потребовалось снять запрет с запуска отдельного приложения, войдите в раздел «DisallowRun», удалите параметр, соответствующий заблокированной программе (посмотрите на имя программы в поле «Значение»).

Создание файла реестра для запрета запуска программ

Пользователь имеет возможность для самостоятельного создания файла реестра, который внесет изменения в системный реестр Windows, без запуска редактора реестра.

Для этого, выполните следующие действия:

  1. Запустите на компьютере программу Блокнот.
  2. В окно программы Блокнот добавьте следующий код:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "DisallowRun"=dword:00000001 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun] "1"="software.exe" "2"="software2.exe" "3"="software3.exe"

Вместо «software.exe», «software2.exe» и т. д., введите имена программ, запуск которых нужно заблокировать на компьютере, например, «firefox.exe», «browser.exe». Удалите ненужные имена программ из этого перечня.

  1. Нажмите на меню «Файл», выберите «Сохранить как…».
  2. В поле «Тип файла» выберите «Все файлы».
  3. В поле «Имя файла» введите «DisallowRun.reg» (без кавычек), а затем нажмите на кнопку «Сохранить».

На вашем ПК появится файл «DisallowRun.reg» с помощью которого можно заблокировать запуск определенных программ или одной программы, в зависимости от того, какие параметры вы ввели в этот файл.

Для применения параметров на компьютере, щелкните по файлу «DisallowRun.reg» правой кнопкой мыши, в контекстном меню выберите «Слияние», согласитесь на применение изменений в реестре Windows.

Выводы статьи

При работе на компьютере, может возникнуть необходимость для блокировки запуска отдельных приложений в операционной системе Windows. С помощью встроенных средств системы пользователь может запретить запуск программы при помощи локальной групповой политики или применив изменения в редакторе реестра. Имеется возможность ограничить использование компьютера для ребенка с помощью родительского контроля.

Источник

Как открыть applocker

Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win R), введите gpedit.msc.

Следуя, инструкции на скрине, найдите AppLocker.

Как работать с applocker

Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.

Основные расширения примерно выглядят так:

Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *.exe

1. Нажав на ветвь Исполняемые правила, мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.

Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок ProgramFiles, Windows, администратору – запускать все файлы.

2. Для того чтобы запретить запуск определенной программы нужно:

  • выбрать пользователя или группу пользователей, которым будет запрещено действие
  • выбрать условия по запрету: тип запрета

Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.

  • теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку
  • нажмите Создать. Как видите появился запрет

3. Осталось запустить службу, чтобы AppLocker заработал:

  • зайдите в диспетчер задач (CTRL ALT DEL)
  • перейдите на вкладку службы
  • найдите службу Удостоверение приложения (AppIDSvc)
  • запустите службу (правой кнопкой мыши – Запустить).

Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888poker.exe, он увидит уведомление:

как запретить запуск программы
Запрет запуска программ с помощью AppLocker

AppLocker или SRP?

Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.

Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.

Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).

Мое мнение или проблемы данного способа

Да, вроде бы ничего сложного и довольно удобно. Но все же есть одно НО: запрет то действует на имя исполняемого файла, а его можно с легкостью изменить! И тут ничего не поделаешь.

Можно предположить, что, разрешив запуск только определенных программ, вы решите проблему.  Но что мешает назвать программу именем той, которая имеет разрешение на запуск?

Поэтому вывод один: AppLocker очень полезный и незаменимый.

Отмена ограничения на запуск программы в редакторе реестра

Для включения запуска программы, потребуется снова войти в редактор реестра.


В окне «Редактор реестра» пройдите по пути:

Создание файла реестра для запрета запуска программ

Пользователь имеет возможность для самостоятельного создания файла реестра, который внесет изменения в системный реестр Windows, без запуска редактора реестра.

Для этого, выполните следующие действия:

  1. Запустите на компьютере программу Блокнот.
  2. В окно программы Блокнот добавьте следующий код:

Выводы

Как видите, есть способы запретить запуск программы и в самой ОС Windows. Все они вроде бы разные, но принцип один: использование групповых политик безопасности.

По моему скромному мнению, использовать AppLocker куда удобнее и оптимальнее. К тому же при наличии технологии Active Directory, администрировать доменные группы очень удобно.

Лучше ли вернутся к старой доброй SRP? Это чисто Ваше субъективное мнение. Я скажу, что всегда придерживаюсь правила, которое обязывает идти вперед, изучать новое. И Вам того же советую.

Еще по теме «Запрет интернета для определенных программ».

Выводы статьи

При работе на компьютере, может возникнуть необходимость для блокировки запуска отдельных приложений в операционной системе Windows. С помощью встроенных средств системы пользователь может запретить запуск программы при помощи локальной групповой политики или применив изменения в редакторе реестра. Имеется возможность ограничить использование компьютера для ребенка с помощью родительского контроля.

Источник

Оставьте комментарий

Adblock
detector