Как запретить запуск и установку программ в Windows?
С помощью реестра и редактора групповой политики Windows можно запретить запуск той или иной программы или даже целого пакета программ, за исключением тех, которые состоят в некоем списке. И брандмауэр или вирусы, которые часто становятся кажущейся причиной подобного развития событий, будут здесь совершенно ни причём :). Тоже самое касается и установки программ: если вы не желаете, чтобы на общий с кем-то компьютер устанавливались без вашего ведома программы, то для запрета установки можете использовать те же инструменты. Привожу пример как запретить запуск и установку программ на Windows XP и 7-ке; на других, думаю, также отлично прокатит.
Как запретить запуск и установку программ через реестр и локальные политики?
Для этого отправимся в раздел:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
и в нём создадим раздел Explorer. Там же создадим DWORD параметр с именем DisallowRun и присвоим ему значение 1. Как вы уже поняли, этот параметр реестра просто запретит установщику запуститься:
Главная команда создана, теперь создаём список команд, которые разрешены к “употреблению”. В созданном разделе:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
необходимо создать уже подраздел с известным уже именем DisallowRun (в рисунке выше он попал в “объектив” рисунка). Вот в этом подразделе наш список и будет указан. Работать эта фишка, как можно догадаться по разделу реестра, будет только для конкретного пользователя. Список программ, запрещённых к запуску, создаём простым перечислением параметров с предварительной нумерацией, начиная с 1. А в качестве значений указываем имена исполнительных файлов программ: Opera.exe, Word.exe и т.д., т.е. тех программ, которые запускаться на машине будут (как правильно называется исполнительный файл программы, вы можете узнать в Свойствах его ярлыка, к примеру). Полный путь к этому файлу указывать в значении не обязательно. Если вы хотите попробовать запретить запуск программ полностью, кроме редактора реестра, то результат ваших действий будет будет выглядеть вот так (запретим запуск Chrome браузера):
Если оставить редакцию реестра в таком виде, то после нажатия кнопки ОК и перезагрузки компьютера, ни одна из перечисленных программ работать не будет.
Будьте внимательны. Под запрет могут попасть все команды, в том числе вводимые из под консоли и содержащиеся в системных папках Windows. Единственная из программ, которая будет работать без изменений – внутренний проводник, известный по запускаемому файлу explorer.exe и диспетчер задач. Эти программы обладают высоким уровнем приоритета для системы. В списке работающих процессов вы увидите службы, которые загружаются вместе с системой, однако завершить работающую или запустить новую будет невозможно.
Исправляем ситуацию удалением созданным разделов и подразделов, коррекцией в сторону увеличения списка разрешённых программ или присвоением значения “0” параметру DisallowRun.
Подобная функция имеется в разделе Локальные параметры безопасности, куда можно попасть через Пуск – Панель управления – Администрирование – Локальная политика безопасности – Политики ограниченного использования программ. Здесь также можно найти несколько интересных функций. Но приведённые мной настройки реестра позволяют резко ограничить пользование программами с чётким указанием разрешённых. Вот как запретить установку программ в Windows.
Как отключить или ограничить использование установщика Windows?
Если вы ещё не знали, за установку, поддержку и удаление любой из программ в Windows отвечает Windows Installer. Это специальный движок, который поддерживает программы в системе от момента их появления до полного стирания следов пребывания. Если его редактирование доступно единицам, то настройки запуска и работы – любому админу системы. Так, если отключить соответствующую функцию, ничего на компьютер установить будет нельзя. Взглянем:
- в строке поиска набираем gpedit.msc
- в окне Редактора пройдём по пути Конфигурация компьютера (Щёлкните правой по нему мышкой, выбрав Фильтр) – Административные шаблоны – Компоненты Windows – Установщик Windows
- окно содержит большое количество настроек, в которых можно усилить контроль за установкой программ. Для полного запрета на установку программ щёлкните по Запретить установщик Windows и выставите Включить. Нам также доступна пара опций, с помощью которых мы можем частично разрешить установку, но с повышенными правами, например, Включить пункт Всегда устанавливать с повышенными правами. Это означает, что любая программа при установке будет сопровождаться появлением UAC Windows.
Читайте также по сайту:
Успехов нам всем
Про AppLocker ничего не сказано… С его помощью тоже можно блокировать программы.
Точно. Только тип версий Windows, на которых AppLocker работает, лимитирован. У меня сейчас Windows 10 Профессиональная, Locker вроде бы настраивается, но ничего поделать не может: нужна версия Энтерпрайз. Так что для большинства пользователей описание работы теряет смысл.