Запретить пользователю установку новых программ. Как запретить запуск программ

Вопрос безопасности системы компьютера всегда был наиболее важным для пользователя. Как известно, вирусы, проникающие внутрь гаджета, способны привнести массу дискомфорта его владельцу. Способов, как на 100% уберечь свой десктоп от проникновения вредоносных программ нет, но есть способы, как максимально повысить устойчивость к ним.

Самый доступный – запретить установку программ в windows 7. Добиться этого можно абсолютно бесплатно, причем программка, которая поможет в этом, уже имеется на большинстве версий Windows. Принцип действия до безобразия прост: никакие программы не могут быть скачаны без разрешения пользователя. И тогда вы не столкнетесь с такой проблемой как появление , а также с другими проблемами которые приносят вирусы. Как это сделать? Давайте разбираться.

Как установить ограничение

Для начала необходимо открыть окно «Локальная политика безопасности». Для этого зайдите в «Пуск» – «Панель управления» – «Система и безопасность». Далее пройдите в «Администрирование», и там увидите «Локальная политика безопасности» – «Политика ограниченного использования программ». На этой строчке кликните правой клавишей мыши и создайте новую политику ограниченного использования программ.

Теперь необходимо задать некоторые настройки для новой политики. Для этого кликните по строке «Применение» и поставьте галочке в тех же местах, что и на картинке ниже.

После этого переходите в пункт «Назначенные типы файлов» и смело удаляйте расширение LNK. Затем переходим в дополнительную папку «Уровни безопасности», видим в правой части окна подпункт «Запрещено» и назначаем его по умолчанию (правой мышиной клавишей).

Вот и всё, теперь все пользователи с вашего компьютера смогут запускать только те программы, которые вы установите или же это сделает за вас система. Обычно они находятся в папках Program Files и SystemRoot, но могут быть «раскиданы» и по другим папкам. Если это ваш случай, то советую добавить эти программы в список разрешенных. Для этого, в свою очередь, зайдите в «Дополнительные правила» – «Имя», кликните правой кнопкой по пустому полю. Среди остальных команд выберите «Создать правило для пути», и задайте путь к той папке, где находится необходимая прога.

Как видите, в данных действиях нет абсолютно ничего сложного. На выполнение этих правил уйдет от силы несколько минут, однако задумайтесь о том, насколько вы повысите безопасность своего компьютера. Ради этого не жалко выделить пару минут своего драгоценного времени, вы согласны?

Здравствуйте, друзья! Раздел я решил открыть именно с этой статьи, так как затронутая в ней тема сейчас весьма актуальна. Речь пойдет о Mail.ru и других компаниях, которые ведут нечестную игру в отношении своих пользователей. Ну, и конечно же, о самом AppLocker, как о средстве борьбы с установкой и запуском нежелательных программ.

Про группу компаний Mail.ru уже давно гуляют нелестные отзывы и мнения об их агрессивном и нечестном маркетинге не только по отношению к конкурентам, но и, в первую очередь, по отношению к самим пользователям. А факт, обнародованный в десятых числах марта сего года, просто окончательно убедил меня на написание этой статьи.

Виной всему треклятый Guard и Downloader от Mail.ru /а также браузер Амиго/ . Все дело в том, что эти якобы "полезные" (по заявлениям разработчиков) программки, ведут себя никак иначе, как вредоносные объекты. Расскажу вкратце. Например, решили вы себе установить мэйлру агент. Скачали, инсталлируете, и тут происходит самое интересное – помимо самого агента, на ваш любимый компьютер устанавливается еще куча всяческих приблуд: спутник, тулбар, гуард, амиго и т.п. По заявлениям представителей мэйл.ру, если вы снимете "галочку" с этих программ при установке основной программы, то они и не будут установлены. Но, на деле это далеко не всегда так. Свидетельством тому служит великое множество гневных реплик, отзывов и обзоров по этому поводу.

Но главный "козырь" mail.ru – это GuardMailRu (якобы Защитник). Справедливости ради, стоит отметить, что он, конечно, защищает от несанкционированной смены стартовой страницы браузера, например, или же от несанкционированной смены поисковой машины. Но, в этом-то и вся загвоздка. Он, практически без ведома пользователя, устанавливает стартовую страницу (угадайте какую?), и вот от ее смены и защищает. Также и с поиском по умолчанию. Причем не только защищает, но и удаляет все ранее установленные модули от Яндекса, Рамблера и т.п.

Казалось бы, да и черт с ним, полезная же функция (с одной стороны). Но, дело в том, что при удалении Guard, он магическим образом возвращается снова. И все – ваша стартовая страница навеки Mail.ru =)

Кто хоть немного знаком с информационной безопасностью уже, наверное, увидел зловредную природу всех этих действий, характерную для вирусов и троянов. Например:

• установка без ведома пользователя;
• изменение пользовательских настроек без ведома хозяина;
• удаление приложений сторонних разработчиков;
• отсутствие возможности удаления стандартными средствами операционной системы.

Но даже это еще не все! Самый смак впереди.

Как выяснилось, у mail.ru есть еще одно "приложение" - Downloader (Загрузчик). И вот это уже, на мой взгляд, реальное мошенничество со стороны этой компании. Вот смотрите, гуляет, к примеру, интернет-пользователь по различным ресурсам в сети, ищет необходимую информацию, и тут - бац - выскакивает уведомление, что вам необходимо обновить , мозиллу, хром, интернет эксплорер и т.п., причем выглядит это все вполне официально. НО! Скачивание идет не с официального сайта, а с сайтов-партнеров mail.ru, и скачивается, конечно же, не обновление, а "Браузер Интернет" (ну и название придумали =)) /ныне это Браузер Амиго/ все от той же Mail.ru! Естественно со своим тулбаром и прочей ненужной "гадостью", типа спутника@mail.ru.

В сети уже гуляет множество разных картинок и мемов на этот счет. Наподобие вот такой:

Вы спросите, а почему же антивирусы не блокируют, не ругаются? А вот почему (и это еще больше повергает в шок). Оказывается, все эти псевдообновления подписаны настоящей и легитимной цифровой подписью Mail.Ru! Поэтому антивирусы, видя эту подпись, вполне естественно доверяют скачанному и запущенному приложению.

И теперь скажите, разве это не мошеннические действия? Не обман пользователей? Не введение в заблуждение?

"Не мы первые это начали" (c)

Вот так сотрудник Mail.ru, имеющий непосредственное отношение к разработке downloader`а, ответил на авторитетном интернет портале на многочисленные претензии и реальные факты, основанные на анализе кода и поведения этого "Загрузчика", которые позволяют смело заявить: Downloader от Mail.ru – это ни что иное, как троян!

Компании как-то нужно монетизировать свои проекты. Вот и решили они пойти по пути "партнерских программ" - предлагают различным ресурсам способ заработка, посредством этого самого "загрузчика".

Вот такие пироги, друзья. Более подробно обо всем этом вы можете почитать на различных ресурсах в сети, типа Хабра. Ну, а мы перейдем к практике.

Но прежде, справедливости ради стоит отметить, что подобный агрессивный маркетинг реально придумали не в mail.ru. У Яндекса, к примеру, тоже есть свой "Защитник". Различные сервисы типа AOL, Ask.com, ICQ и т.п. также используют установку своих тулбаров или программ в стороннем софте, причем делают это давно. Но то, на что пошли в Mail.ru, открыто обманывая пользователей ложными обновлениями сторонних программ – это, конечно, нонсенс.

Так давайте с этим бороться с помощью AppLocker!

Большинство пользователей, которые активно используют интернет, прекрасно понимают, что такое UAC (контроль учетных записей), права администратора и т.п., а также знают и понимают, что при установке любого программного обеспечения нельзя слепо жать на кнопку "далее", а нужно внимательно все просматривать, снимать ненужные галочки и т.п. Но, ведь у всех у нас есть друзья, родственники, родители, клиенты, наконец, которые даже не догадываются о таких вещах.

И, чтобы оградить их от подобных напастей, мы воспользуемся локальной политикой безопасности и . Сразу скажу, это работает только на операционках Windows 7 (Максимальная и Корпоративная). Насчет Windows 8 ничего сказать не могу, не тестировал.

Данная методика вряд ли подойдет тем, кто регулярно устанавливает ПО и игры на свои компьютеры, т.к. она достаточно сильно ограничивает действия пользователя. Во многих случаях гораздо комфортней пользоваться , которая отлично справляется со своими задачами и не доставляет никаких неудобств.

Для начала нам нужно будет создать файл XML (если не хотите заморачиваться с его созданием, можете скачать ). Для этого, копируем вот этот код. Код временно удален из-за проблем с отображением. Качайте готовый xml-файл.

Затем открываем стандартный блокнот (но лучше использовать Notepad++) и вставляем в него скопированный код. Далее жмем: Файл - Сохранить как...

Сохранять файл необходимо в кодировке UTF-8, иначе при импорте правил возникнет ошибка. Кодировка (в Блокноте) меняется в выпадающем меню, рядом с кнопкой "Сохранить"

Вводим произвольное имя (напр., blockmailru.xml) и сохраняем в любое удобное для нас место, например, на рабочий стол. Все, файл у нас готов.

Теперь необходимо запустить службу и установить для нее автоматический режим запуска, иначе функция AppLocker работать не будет. Для того, чтобы запустить эту службу, откройте: Панель управления – Администрирование – Службы:

Клацаем мышкой дважды по "Удостоверение приложения", запустится окно свойств данной службы. Теперь нужно запустить эту службу и включить для нее автоматический тип запуска. Жмем запустить:

Не забываем нажать на "ОК" =)

Если служба у вас уже запущена, обязательно включите для нее автоматический тип запуска, как показано на рисунке выше. По умолчанию тип запуска этой службы установлен "Вручную".

Все, со службами на сегодня закончили. Теперь необходимо импортировать созданный ранее список (который мы предварительно назвали blockmailru.xml) в AppLocker. Для этого снова открываем: Панель управления – Администрирование - Локальная политика безопасности. Ищем: Политики управления приложениями - AppLocker:

Жмем правой кнопкой мыши на "AppLocker" и выбираем "Импортировать политику...". После чего, в открывшимся окне нужно указать на созданный файл blockmailru.xml и открыть его. Система выдаст запрос на изменение политики и уведомит, что все предыдущие правила политики будут заменены. Соглашаемся. Все. Основная часть работы проведена. В "Исполняемые правила" вы увидите такую картину:

Такая же картина будет и в пункте "Правила установщика Windows"

Как видно на скриншоте, в правилах есть пункт: Разрешить – Все – D:\Portable Soft\*. Это правило гласит о следующем: разрешен запуск любым пользователем и любой программы из папки Portable Soft, расположенной в корне диска D . Необходимо оно (правило) для запуска портативных программ (т.е. которые запускаются без установки). Или же, например, для разрешения установки тех программ, инсталляторы которых вы поместите в эту папку.

Вам тоже необходимо включить такое правило. Делается это очень просто. Создайте папку, где вам удобнее (хоть на рабочем столе). Назовите ее как-нибудь (по типу "Portable") и поместите в нее все portable-программы и инсталляторы, которым вы доверяете. Далее еще раз открываем (если закрыли): Панель управления – Администрирование - Локальная политика безопасности - Политики управления приложениями – AppLocker. На "Исполняемые правила" жмем правой кнопкой мыши и выбираем "Создать новое правило...". Там все просто: жмем "далее", еще "далее", затем ставим галочку "Путь", снова "далее" и "Обзор папок". Откроется окно, в котором нужно будет указать ту самую папку и снова "далее", "далее", и на конечном этапе "создать". Правило создано. На самом деле все проще простого. К тому же, при создании, или редактировании таких правил можно указать исключения, разрешать или блокировать пути (папки), издателей и т.д.

Тоже самое нужно проделать для таких программ, которые устанавливаются не в Program Files, а например, в C:\Users\имя_пользователя\AppData\Local\Apps\. В общем, если после внесенных настроек у вас не запускается какая-то программа, добавьте в правила ее месторасположение. Аналогично тому, как мы добавляли разрешения для папки "Portable"

Давайте теперь окончательно поймем, чего мы добились всеми этими манипуляциями и, что нам теперь запрещено, а что разрешено:

• блокировка запуска и установки любых программ от таких издателей, как: CNET, AOL, SweetIM, Uniblue, ASK, Mail, Messenger Plus, Hamster, Mediaget, Reg Organaizer. Все эти издатели уличены в недобросовестных действиях (скрытая установка и т.п.). Список можно самостоятельно дополнять и редактировать;
• разрешен запуск всех программ, которые расположены в Program Files, Windows и в той папке (директории), которую мы добавили самостоятельно;
• разрешен запуск любых программ локальным администратором (т.е. учетной записью администратора)
• разрешено выполнение файлов установщика Windows (файлы.msi) с цифровой подписью;
• разрешено выполнение файлов установщика Windows с цифровой подписью, которые расположены в каталоге Installer (в папке Windows);
• разрешен запуск любых файлов установщика Windows локальным администратором (т.е. учетной записью администратора).

Таким образом, никакие Guard`ы, "защитники", левые браузеры от mail.ru, от яндекса, спутники, яндекс-бары и прочий не нужный хлам, больше не появятся на вашем компьютере или на компьютере ваших близких и знакомых. Все программы от указанных издателей больше не проникнут на компьютер, на котором действуют эти правила; они попросту будут заблокированы.

При установке любого софта всегда следите за "галочками" , смотрите внимательно, чтобы не установить сторонний софт.

И помните одно из главных правил – качайте софт ТОЛЬКО с официальных сайтов.

Если у вас возникли вопросы, касаемо этой инструкции, смело задавайте их в комментариях или через .

До скорых встреч!

Разработчики операционной системы Windows создали опцию, которая ограничивает возможности пользователей на компьютере. Данные ограничения устанавливает самостоятельно любой пользователь, который имеет доступ к учетной записи администратора на компьютере .

Инструкция

1. Чтобы установить любой запрет на компьютере требуются права администратора. Чтобы управлять запретами, нужно открыть специальный раздел «Локальные параметры безопасности», для этого используйте сочетание клавиш Win+R и впишите secpol.msc, нажмите клавишу Enter.
2. Откройте раздел «Политика ограниченного использования программ»

   и в группе команд «Тип объекта» выберите команду «Назначенные типы файлов». В окне загрузится список форматов файлов, которые относятся к исполняемому коду.

3. Для запрета использования программ нужно исключить из данного списка соответствующие типы. Например, для запрета использования программы Excel выберите в имеющимся списке соответствующий пункт и выполните команду «Удалить», также удалите ярлык программы, он имеет формат LNK. Сохраните изменения нажатием на кнопку ОК.

   

4. Перейдите в раздел «Принудительный» и в раскрывающемся перечне «Применять политики ограниченного использования» отметьте команду «Для всех, кроме локальных администраторов».
   

   Перейдите в директорию «Уровни безопасности» и выберите раздел «Неограниченный», выберите значение «По умолчанию» и сохраните настройки кнопкой ОК.

5. Откройте категорию «Уровни безопасности» и выберите опцию «Неограниченный». Выберите параметр «По умолчанию» и нажмите ОК.
6. После выполнения всех описанных действий все пользователи, кроме администраторов, смогут использовать только разрешенные приложения. Все программы устанавливаются в директории Program Files или SystemRoot. Если вы самостоятельно устанавливали программы в другие папки, то их нужно внести в разрешенный перечень.
7. Откройте окно «Дополнительные правила» и щелкните в пустом месте раздела «Имя». Нажмите опцию «Создать правило для пути» и обозначьте путь к директории с программами.
8. Для того, чтобы другие пользователи не добавили в указанные папки дополнительный софт, нужно установить дополнительное ограничение. Вызовите для нужной папки контекстное меню и нажмите «Общий доступ и безопасность», на странице «Безопасность» установите разрешение для нужных пользователей.
9. Кликните «Дополнительно» и откройте вкладку «Разрешения». Укажите пользователей и щелкните «Изменить», в загруженном окне отметьте разрешенные действия для этих пользователей.

Видео: Как запретить установку программ в windows 7

Windows 10 очень гибкая операционная система и предоставляет пользователю с должными правами администратора очень много свобод и пространства для различных экспериментов, настроек и персонализации. Вместе с этим Windows умеет сильно ограничивать пользователя, если это надо администратору или владельцу компьютера. К примеру, в Windows 10 Creators Update появилась возможность ограничить установку приложений, которые скачаны не из магазина Windows Store.

Как запретить устанавливать и запускать приложения в Windows

На выбор пользователю предлагается три варианта:

Ограничивая запускаемые приложения подобным образом вам надо учитывать несколько моментов:

• Все приложения, которые были установлены с помощью исполняемых файлов (exe, msi и так далее) до того, как вы внесли ограничения, будут далее запускаться и работать без предупреждения. Это же касается скачанных установочных файлов. Даже после полной блокировки на них не будет распространяться новая политика установки приложений.
• Блокироваться будут только те файлы и приложения, которые были скачаны / установлены после активации ограничения.
• Если пользователь игнорирует предупреждение и дает системе указание выполнить файл или запустить программу, те помещаются в белый список и больше не блокируются. Это сделано с целью избавить владельца компьютера от постоянно появляющихся надоедливых сообщений и необходимости постоянно обходить ограничение.
• Пользователь, у которого учетная запись не обладает правами администратора, не может изменить эти параметры, поскольку внесенные изменения распространяются на все зарегистрированные профили в компьютере. При попытке что-то изменить система попросит ввести пароль администратора.

Зачем ограничивать

Windows сама отвечает на этот вопрос:

Устанавливая только приложения, предлагаемые в Магазине, вы сможете защитить свой компьютер и обеспечить его бесперебойную работу.

Такой механизм отлично подойдет для контроля за учетной записью ребенка, к примеру, чье любопытство может привести к появлению нежелательных или вредоносных приложений на компьютере. В любом случае, вы сами можете решить, для чего в вашем случае может пригодиться ограничение не установку приложений. Наше дело лишь в том, чтобы показать, как это делается и какие нюансы связаны с этим процессом.

Как разрешить установку любых программ в Windows 10

Очень просто. Сделайте все то же, что вы сделали в инструкции выше:

1. Откройте Параметры - Приложения - Приложения и возможности .
2. Выберите пункт Разрешить использовать приложения из любого места .

После этого ограничения будут сняты и вы сможете устанавливать приложения из любых источников.

Доброго времени суток.

Нередко встречаются ситуации, когда за одним компьютером работает сразу несколько пользователей. И часто бывает так, что некоторые из них постоянно устанавливают на устройство самое разное программное обеспечение, не только «открывая двери» для вирусов, но и просто засоряя жесткий диск. В седьмой версии операционной системе от Microsoft предусмотрено сразу несколько инструментов, позволяющих ограничить вышеописанные возможности. В статье я расскажу, как запретить установку программ на Windows 7 для других юзеров. Поверьте, такой ход позволит значительно повысить безопасность.

Редактор групповых политик (к содержанию )

Одним из самых простых способов ограничения движений другим пользователям является использование групповых политик. Для достижения нужного эффекта, выполняем несколько действий:

Заходим в «Пуск », а затем в «Выполнить ». Кроме того, можете просто нажать сочетание «Win+R ».

Затем прописываем «gpedit.msc ».

Откроется нужное нам окно, где нам необходимо перейти на «Административные шаблоны ».

Тут нас интересует «Установщик Windows ».

Под строкой «Состояние » находим «Запретить установщик ». Открываем и выбираем флажок на «Отключить ».

Это позволит полностью запретить установку какого-либо ПО на агрегат. Чтобы вернуть все на свои места, необходимо переключить флажок обратно. Еще одним действенным способом является переустановка операционки с предварительным форматированием главного диска.

Запрет определенной учетной записи (к содержанию )

В Windows x64 также предусмотрена возможность наложения запрета на конкретного пользователя. Для этого необходимо сделать несколько шагов:

Открываем «Выполнить » и прописываем «mmc ».

Затем отправляемся на вкладку «Файл » и выбираем «Добавить оснастку… ».

Появится нужная нам панель.

Выбираем «Групповые политики » и «Добавить ».

Откроется новое окно, где указываем «Обзор ». Нам нужна вкладка «Пользователи ». Затем указываем подходящего юзера. Подтверждаем свои намерения.

Теперь повторяем все пункты, которые указаны в прошлом методе. Но теперь запрет будет распространяться только на конкретного другого пользователя.

Родительский контроль (к содержанию )

Этот способ считается максимально простым и удобным для внедрения. Он позволяет ограничить движения, если юзер устанавливает много ненужного программного обеспечения из Интернета. Нужно выполнить ряд действий:

Отправляемся в «Пуск » и «Панель управления ».

Нас интересует «Учетные записи пользователей ».

Указываем юзера, на которого должен распространяться запрет.

Затем выбираем «Ограничения на запуск программ ».

Появится консоль, где выбираем пункты, которые мы хотим запретить.

Если же подходящего обеспечения нет в списке, отправляемся на «Обзор », где и находим нужное.

Как видите, это дает возможность быстро и просто ограничить возможность инсталляции обычному пользователю.

Редактор реестра (к содержанию )

Не менее действенным способом является использование «Редактора реестра ». Где находится этот инструмент и как его использовать? Все просто:

Нажимаем «Win+R ». В результате запуститься меню «Выполнить ».

Указываем в строке «regedit.exe ».

Появится окно, в левой части которого отправляемся в каталог «HKEY_CURRENT_USER », а затем в «Software ».

После нас интересует «Microsoft » и «Windows ».

В результате нам нужна директория «DisallowRun ».

В правой части окна нажимаем ПКМ и создаем текстовый параметр. Присваиваем ему имя «1 », а внутрь добавляем название приложения, которое необходимо запретить. При этом оно должно совпадать с исполнительным файлом, обладающим расширением *.exe .

Если нужно запретить не одну программу, соответственно создаем дополнительные параметры, которые называем цифрами по порядку, а внутри указываем приложения.

После ни одно ПО, скачиваемое автоматически бесплатно из Интернета, не сможет быть установлено.

Стоит отметить, что этот инструмент позволяет наложить запрет на установку каких-либо приложений без пароля.

При этом важно учитывать, что в зависимости от сборки некоторые пункты могут немного отличаться. Например, версия «Максимальная» и «Домашняя базовая» разняться. Несмотря на это пользователи точно разберутся в последовательности действий.

В связи с тем, что в самой операционке предусмотрена масса инструментов, дополнительное ПО на эту тематику хоть и было разработано, но все же не получило массового одобрения, а потому попросту не пользуется популярностью. Вместе с тем мы и не рассматривали выключение с помощью программы.

Если вдруг после прочтения статьи у вас остались некоторые вопросы, можете посмотреть видео на эту тему.

Надеюсь, вы достигнете желаемых целей. Подписывайтесь и рассказывайте другим.

Как запретить установку программ Windows 7 пользователю

Многие системные администраторы, лаборанты и люди, ответственные за работоспособность компьютеров в компьютерных клубах, классах и даже дома сталкиваются с необходимостью запретить инсталляцию приложений на Windows 7. Сделать это можно при помощи сторонних приложений, к примеру, WinGuard Pro 2016, но мы постараемся реализовать запрет на установку программ средствами «семерки».

Блокируем работу установщика

Дабы запретить установку программ любому юзеру, нужно заблокировать работу установщика Windows при помощи редактора групповых политик.

Вводим «gredit.msc» в поисковой строке или окне «Выполнить» (вызывается посредством «Win+R»).

Следуем по пути: «Локальный компьютер» → «Конфигурация компьютера» и выполняем двойной клик по «Административные шаблоны».

Отметьте флажками приложения, которые разрешено запускать.

При отсутствии какого-либо продукта воспользуйтесь кнопкой «Обзор».

После следующего входа юзера в систему запрет вступит в силу.

Запрет на установку программ — Windows XP

Здравствуйте всем! Решено было в офисе сделать невозможной установку программ всем пользователям из под прочих учетных записей. Перекопал весь интернет, но так и не нашел ничего такого, что удовлетворяло бы всем требованиям.
1) Запрет на установку программ с помощью secpol.msc: если настраивать так, то под влияние политики попадают все учетные записи пользователей, даже «Администратор»;
2) Запрет на установку и запуск программ с помощью редактора реестра (на примере тут): то же самое, из-под учетной записи «Администратор» невозможно установить программы;
3) Обычная ограниченная учетная запись ничего не дает

Как еще можно ограничить пользователя в действиях?

Добавлено через 21 час 51 минуту
ребят,ну серьезно,как ограничить юзера в действиях на установку программ,если ограниченная учетка не ограничивает ничего?

Запрет на установку нового оборудования
Доброго времени суток. Нужен ваш совет. Ситуация следующая: на копе стоят два.

Отмена запрета на установку программ
При установке Visual C++ Redistributable появляется сообщение что установка.

Как отключить установку программ для отдельных пользователей?
У меня проблема — геймеры в семье. Пол ночи играют — пол дня спят. Хорошо.

Запрет запуска некоторых программ
Подскажите пожалуста как запретить одкритее некоторих програм для юзера.

Разрешение и запрет запуска программ
Здравствуйте шеф поставил задачу на компьютерах пользователей сделать так.

Windows XP Home Edition 2002 запрет на запуск программ
Как административать Windows XP Home Edition 2002 на запрет на запуску.

сейчас протестил на виртуальной машине..создал Admin и User (права соответствующие). Под User-ом запускаю установочные программы. Дал права User-у,зашел в групповую политику,конфигурация пользователя, в белый лист поместил несколько программ,изменил тип учетки User-а,захожу под ним,пытаюсь запустить установку от имени Admin-а — борода..и под админом все проги перестали запускаться,но мне нужно только под User-ом

Добавлено через 53 минуты
во вкладке безопасность на группу «Пользователи» на одну папку поставил полный запрет,под админом теперь доступ не могу получить! админа в группе пользователей нет. что за космос пришлось просто добавить пользователя отдельно. но вопрос о запуске программ пользователем без вреда для админа еще открыт

Добавлено через 21 минуту
а нельзя в групповых политиках,конфигурации пользователя сделать белый лист применительно только к user-у?

Добавлено через 19 часов 21 минуту
так. ладно,проблему с запуском программ решил банальным разграничением прав на папки, теперь user не может запускать exe-шники.. как запретить msi,только чтобы admin мог их запустить?

Добавлено через 1 час 55 минут
даже обратя внимание на сообщение в этой теме не понял,где у ПОЛЬЗОВАТЕЛЯ отобрать права на запуск реестра и ком.строки

www.cyberforum.ru

Windows 7 Life

Not a day without incident!

Ограничение использования приложений в Windows 7

1. Отключение или ограничение использования установщика Windows (Windows Installer) с помощью Групповой политики.

Windows Installer (msiexec.exe), является средством для установки, обслуживания и удаления программного обеспечения системы Windows.

Для того, чтобы установить запрет на установку приложений для всех пользователей, откройте редактор Групповых политик (gpedit.msc) и откройте раздел Конфигурация компьютера (Computer Configuration) – Административные шаблоны (Administrative Tеmplates) – Компоненты Windows (Windows Components) – Установщик Windows (Windows Installer). В правой части окна Настройки (Settings) выберите строку Отключить Windows Installer (Disable Windows Installer) и дважды щелкните по ней. Значение Disable – отключает возможность установки программ, значение Enable включает ее. Тут все просто.

Запретить же установку приложений конкретному пользователю (учетной записи) можно путем создания соответствующей оснастки. Для этого откройте консоль mmc (в меню Пуск – Поиск) и в меню Файл выберите Добавить оснастку. Откроется список всех доступных компонентов системы. Выберите Group Police (Групповые политики), нажмите стрелку вправо для добавления, а затем нажмите кнопку Browse (Обзор). Выберите вкладку Users (Пользователи), нужную учетную запись и нажмите Ок, а потом Finish (Готово).

После этого повторите действия, описанные мною выше, только теперь запрет на установку программ будет распространяться лишь на выбранного пользователя.

2) Всегда производить установку с повышенными привилегиями.

В редакторе Групповой политики, перейдите к Конфигурация пользователя - Административные шаблоны - Компоненты Windows. Прокрутите ползунок вниз и выберите установщик Windows и Allwaus install with elevated privileges (Всегда производить установку с повышенными привилегиями).

Этот параметр предписывает Windows Installer использовать системные разрешения при установке любой программы в системе.

Эта настройка распространяется на повышенные привилегии для всех программ. Эти привилегии, как правило, зарезервированы для программ, которые были назначены для пользователя (предлагается на рабочем столе), отнесенные к компьютеру (устанавливается автоматически), или доступны в Установка и удаление программ на панели управления. Этот параметр позволяет пользователям устанавливать программы, которые требуют доступа к каталогам, на которые пользователь может не иметь разрешения для просмотра и изменения.

Примечание: если вы отключите эту опцию или не настроите ее, система будет применять разрешения текущего пользователя (или администратора) при установке программ, т.е. с обычными правами. Этот параметр отображается в редакторе Групповых политик как в разделе Конфигурация компьютера, так и в Конфигурация пользователя. Чтобы этот параметр вступил в силу, его необходимо задать в обоих разделах.

3) Не запускать указанные приложения для Windows.

В редакторе Групповой политики перейдите к Конфигурация пользователя - Административные шаблоны – Система.

Здесь, в боковой панели справа, дважды щелкните Не запускать указанные приложения Windows (Do not run specified Windows applications), и в новом окне, которое откроется, выберите Включено . Теперь разделе Параметры выберите команду Показать (Show). Нажмите Add (Добавить) и в новом окне введите путь, который открывает приложение, которое вы хотите запретить, в данном случае: msiexec.exe .

Это позволит запретить работу Windows Installer, который расположен в C:\Windows\System32\msiexec.exe.

Если этот параметр включен, пользователи не могут запускать программы, которые вы добавляете в список запрещенных приложений.

Примечание: если пользователи имеют доступ к командной строке (cmd.exe) , этот параметр не мешает им осуществлять запуск программ в окне командной строки.

Почти каждая настройка в ОС Windows помимо Групповых политик дублируется в редакторе системного реестра. Но не многие знают, что в сети существует он-лайн севис MSDN, в котором содержится структурированная справочная информация о настройке огромного количества функций Windows через системный реестр. Пользоваться им удобно, нужно лишь знать английский язык. Кроме того, есть также аналогичный справочник в формате документа Exel, который вы можете скачать тут.

Предварительно сделайте бэкап нижеуказанной ветки реестра, или создайте точку восстановления.

Откройте редактор реестра (regedit.exe ) и перейдите в следующий раздел:

Создайте в разделе DisallowRun строковой параметр с именем 1 и установите в его значение название EXE-файла программы.

Примечание: если раздел DisallowRun отсутствует, создайте его.

Например, если вы хотите ограничить мsiexec, создайте строковой параметр 1 и установите его значение в msiexec.exe . Если вы хотите ограничить больше программ, то просто создать больше строковых параметров с именами 2, 3 и так далее, и установите их значения в EXE-программы. Перезагрузите компьютер.

В Панели управления откройте апплет Учетные записи пользователей – Управление другой учетной записью. Выберите нужную учетную запись пользователя и установите для нее Родительский контроль:

В следующем окне включите Родительский контроль и Ограничение на запуск программ:

После построения списка, выберите те программы, которые разрешено запускать пользователю. Если в списке нужная программа отсутствует, ее можно добавить вручную, нажав кнопку Обзор.

Примечание: есть некоторые условия для разрешения/запрета запуска приложений при помощи Родительского контроля. Во-первых, учетная запись пользователя, для которого вы вводите ограничения должна быть с Обычными правами. Во-вторых, настройка Родительского контроля должна осуществляться с учетной записи, имеющей права Администратора , что очевидно. И в третьих, учетная запись Администратора должна быть защищена паролем .

Ну вот и все. Желаю успешного применения советов, о которых я рассказал в этой статье.

volginartem.wordpress.com

Как не допустить установки нежелательных программ в Windows

Раздражает внезапное появление на вашем компьютере ПО, которого вы, собственно, и не устанавливали? Вот несколько универсальных способов предотвратить подобные ситуации.

Для большинства пользователей разнообразные дополнительные мессенджеры, тулбары, менеджеры приложений от Mail.ru, «Яндекса», «Амиго» являются бесполезным и даже нежелательным софтом. Ну кому приятно, когда поиск Google неожиданно заменяется на другой адрес, напичканный рекламой? К сожалению, установку подобных творений не всегда можно отследить. Но можно предотвратить. Рассмотрим основные способы.

Запрет скрытой установки программ

Одним из методов борьбы со скрытой установкой программ (например, когда вместе с игрой устанавливается браузер) является Unchecky. Эта программа снимает все дополнительные, часто незаметные для пользователя галочки с нежелательными предложениями во время установки какой-либо программы. Утилита также способна находить в запущенном файле сторонние скрытые программы и оповещать об этом пользователя.

Unchecky не требует для использования и настройки каких-либо специфических знаний. Пользователю доступна только настройка иконки программы в трее. Почти идеально, но иногда Unchecky всё же пропускает свежие гадости на жёсткий диск.

Можно не устанавливать ничего лишнего и обойтись встроенными в операционную систему средствами. Так, в Windows 7 Ultimate и Professional и Windows 8 и 8.1 есть утилита AppLocker. Она позволяет составить список запрещённых для установки приложений.

Вместо долгих манипуляций по составлению собственного списка можно также скачать готовый файл настроек Locker и установить, для чего потребуется проделать следующее:

перейдите в меню «Панель управления» → «Администрирование» → «Службы»;

переведите службу «Удостоверение приложения» в режим автозапуска и кликните «Запустить»;

перейдите в меню «Панель управления» → «Администрирование» → «Локальная политика безопасности» → «Политики управления приложениями»;

выберите параметр AppLocker, вызовите правой кнопкой мыши меню, выберите пункт «Импортировать политику», откройте файл Locker.xml из архива.

Ограничение доступа к учётной записи

Есть и чуть более простой способ (для ранее указанных версий Windows тоже работает):

перейдите в меню «Панель управления» → «Учётные записи пользователей» → «Управление другой учётной записью» → «Создание (новой) учётной записи»;

выберите имя учётной записи (например, User), установите галочку напротив «Обычный доступ (Пользователи)» и кликните на кнопке «Создание учётной записи»;

перезагрузите компьютер.

При дальнейшей работе можно спокойно использовать новую учётную запись - ни одна зловредная программа не сможет установиться. Правда, учётку придётся настраивать с нуля и очень часто будет появляться окошко с запросом о запуске с правами администратора.

«Песочница» в данном контексте - отдельная выделенная системная область, вариант виртуальной машины. Процессы, запущенные там, могут влиять только на собственное окружение, ограниченное правами доступа. При этом сама операционная система не подвергается какому-либо влиянию. Таким образом, можно работать с любыми файлами. Если приложение окажется безопасным, можно будет его установить. Если какой-то исполняемый файл тянет за собой что-то нежелательное - просто сделать откат и не устанавливать в ОС.

Самый простой способ организации подобного пространства - Sandboxie. Эта программа позволяет запускать в режиме «песочницы» браузер, скачанные файлы, а также работает со ссылками, так что мимо ничего не пройдёт. Если что-то нежелательное и проникнет, можно будет сделать очистку и пользоваться компьютером как ни в чём не бывало. Нечто подобное есть в некоторых антивирусных программах, например в avast! Premier Antivirus или Kaspersky Internet Security.

Что делать, если установка нежелательных программ произошла

В случае, если на ваш компьютер установилась нежелательная программа (не вирус), стоит воспользоваться простой утилитой AdwCleaner.

1. Установите и запустите программу.
2. Нажмите кнопку Scan.
3. Нажмите Clean по окончании проверки на экране с итоговым отчётом.

Конечно, есть и другие не менее простые и удобные способы избежать установки нежелательных и вредоносных программ в Windows. Но не стоит забывать, что лучше всего - внимательность и прямые руки.