Запрет запуска исполняемых файлов exe через групповую политику windows

Отключение UAC с целью разблокирования приложения

Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:

Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».

Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».

Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:. Появится окно редактора реестра

Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0»

Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».

После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.

Удаление цифровой подписи как метод разблокирования приложения

Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:

Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».

Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.

После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.

Использование Локальной политики безопасности для блокировки и разблокировки софта

Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:

Жмём «Win+R» и вводим «secpol.msc».

Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».

Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».

Откроется окно Мастера создания новых правил. Жмём «Далее».

Появится еще одно окно. Здесь нам нужно поставить отметку «Разрешить» или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».

В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.

В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.

Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.

Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).

Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.

Операционная система Windows позволяет с легкостью запретить пользователям установку программ сторонних разработчиков. Возможность заблокировать установку приложений работает операционной системе Windows 10 начиная с обновления Creators Update. Выполнив чистую установку достаточно пользователю установить все необходимые приложения, после чего можно и отключить возможность установки ненужных программ.

Данная статья расскажет как запретить установку программ на Windows 10 используя параметры системы или редактор локальных групповых политик. Полезно будет тем пользователям, которые позволяют пользоваться своим рабочим компьютером другим без добавления новых учетных записей. Заблокировать установку программ можно вместе с использованием родительского контроля.

Параметры

Существует и более простой способ блокировки неизвестных программ. Правда, если запрет устанавливается для ребенка, то ему не составит труда снять ограничения, поскольку операция выполняется в несколько шагов:

• Щелкните ЛКМ по иконке «Пуск», чтобы открыть соответствующее меню.
• Кликните по значку в виде шестеренки для запуска «Параметров».

• Перейдите в раздел «Приложения», а затем – в «Приложения и возможности».
• Под заголовком «Выбор расположения для получения приложений» установите значение «Только из Microsoft Store».

В дальнейшем владелец учетной записи может изменить заданный параметр на предупреждение об инсталляции непроверенной программы или на полное разрешение подобных действий.

Настройки Unchecky

Зайти в настройки программы можно будет после нажатия на кнопку «Настройки». Здесь вы можете выбрать язык интерфейса программы. Утилита Unchecky поддерживает довольно большое количество языков.

В этом окне вы также можете ввести расширенные настройки, нажав кнопку «Дополнительные настройки».

В новом окне «Дополнительные настройки» вы можете изменить некоторые настройки программы. Автор программы не рекомендует менять настройки, особенно если вы не знаете, для чего они предназначены. Изменение настроек сделает Unchecky менее эффективным.

Все настройки вступят в силу после перезапуска службы.

После установки программы Unchecky на ваш компьютер любые дополнительные правила, введенные программой Unchecky, будут записаны в файл «hosts», который находится в папке «Windows». Эти правила используются для блокировки установки нежелательного программного обеспечения на компьютер пользователя.

Блокирование запуска системной службы

Первое что я захотел заблокировать (и заодно протестировать работу политики) — это запуск службы TeamViewer:

• На доменном контролере запускаем оснастку Group Policy Managment
• Создаем или переходим к редактированию групповой политики
• В групповой политике переходим по адресу: Computer Configuration — Windows Settings — Security Settings — System Services
• В списке сервисов находим тот, что нужен и дважды кликаем по нему, у меня это сервис TeamViewer
• Ставим галочку возле «Define this policy setting»
• В блоке «Select service startup mode» выбираем «Disabled»

• Жмем на кнопку «Edit Security…» и выставляем права на чтение «Read» для Administrators и INTERACTIVE, все другие права снимаем. Для SYSTEM права не изменяем.
• Дважды жмем OK
• На локальном компьютере, где политику нужно применить именно сейчас, в командной консоли вводим команду «gpupdate /force» и после ее отработки перезагружаем компьютер.

Как добавить службу в групповую политику

Есть один нюанс: по умолчанию при редактировании групповой политики по адресу «Computer Configuration — Windows Settings — Security Settings — System Services» видны только те службы, который установлены на компьютере, где это редактирование происходит, в нашем случае это контроллер домена.

Чтобы в редакторе групповых политик в «System Services» добавить какую-либо службу, нужно сделать следующее:

• На компьютере, где есть нужная нам служба, запускаем «Консоль Управления (MMC)»: Пуск — Выполнить — MMC
• Выбираем меню «Консоль» — «Добавить или удалить оснастку»
• В появившемся окне жмем кнопку «Добавить»
• В списке доступных изолированных оснасток выбираем «Шаблоны безопасности» и жмем кнопку «Добавить», затем «ОК»
• Разворачиваем в MMC «Шаблоны безопасности» и кликаем по «C:\Windows\Security\Templates»

• В правой области окна кликаем правой кнопкой мышки, выбираем пункт «Создать шаблон» и прописываем имя для нового шаблона — «system services». Созданный шаблон должен появится в левой области окна.
• В MMC переходим по адресу «Шаблоны безопасности — C:\Windows\Security\Templates — system services — «Системные службы»
• Среди списка системных служб находим нужную службу, в моем случае это была TeamViewer и дважды кликаем по ней
• Ставим галочку возле «Определить следующий параметр политики в шаблоне»
• Откроется окно настройки безопасности:
  • для Администраторы и Интерактивные оставляем галочку только возле «Чтение», все остальные галочки снимаем.
  • для SYSTEM оставляем как есть.
  • жмем ОК
• В блоке «Выберите режим запуска службы:» выбираем пункт «Запрещен» и жмем «ОК»
• После этого среди списка шаблонов безопасности (в левой части окна) кликаем правой кнопкой мышки по «system services» и выбираем пункт «сохранить как…» — сохраняем файл и переносим его на доменный контроллер.
• На доменном контроллере при редактировании нужной политики кликаем правой кнопкой мышки по «Computer Configuration — Windows Settings — Security Settings» и выбираем пункт «Import Policy» — импортируем сохраненный файл.
• После этого нужная служба появится в списке «Computer Configuration — Windows Settings — Security Settings — System Services»: убеждаемся в этом и проверяем настройки.

После этих действий служба TeamViewer перестала запускаться, а у локального администратора права позволяющие ее запустить вручную.

Запрет запуска программ в Родительском контроле Windows

В операционную систему Windows встроено приложение для осуществление родительского контроля. Этот режим ограничивает ребенка, не разрешает ему выходить за рамки заранее созданных определенных правил при использовании компьютера.

Для использования родительского контроля необходимо использовать учетную запись Майкрософт, при помощи которой осуществляется контроль за ребенком. На ПК создается учетная запись пользователя с ограниченными правами, дети входят в систему через эту учетную запись.

Помимо других ограничений (посещение сайтов различных категорий, время работы на ПК), взрослые могут ограничить запуск определенных игр, программ и мультимедийных файлов. Подробное описание родительского контроля в Windows 10 и Windows 7 описано в статьях на моем сайте.

Вам также может быть интересно:

• Родительский контроль в Windows 10
• Родительский контроль Windows 7 и Семейная безопасность Windows Live

В случае необходимости, можно изменить параметры контроля, снова включить возможность запуск тех или иных приложений.

Борьба с NAT’ом

С «халявным» интернетом на работе у многих пользователей появляется соблазн
использовать его в своих целях. Конечно, времена, когда к системному блоку
подключался модем и через него выходили в интернет, практически канули в лету
(для некоторых провинциальных городов это все еще актуально), но менеджеры порой
берут работу на дом, а доступ к нужной инфе пытаются получить посредством
диалапа. Если же офис находится в жилом доме, то сотрудники-энтузиасты могут
развернуть WiFi и раздавать соседям трафик. В любом случае халява привлекает
любителей, и остается удивляться, как народ на выдумки горазд. Кроме
сворованного трафика, пользователь ставит под удар безопасность всей сети, ведь
через такой черный ход запросто могут проникнуть вирусы, троянцы и прочая зараза
(+ может быть похищена конфиденциальная информация).

Методов обнаружения работы клиентов из-за NAT предостаточно — контроль TTL,
анализ идентификатора IP-пакета и диапазона TCP/UDP портов и так далее
(подробнее о методах обнаружения NAT читай в статье Криса «Охота
на сетевых партизан» в ][ #111). Мы же разберем практическую реализацию.
Инструментом номер один здесь являетсяWireshark —
мультиплатформенный (Windows, Linux, xBSD, Solaris, Mac OS X и т.д.) снифер и
анализатор в одном флаконе. Возможность использования фильтров и сортировки
делает эту программу весьма удобной для решения многих задач: контроль
определенного типа трафика (аська, сетевые игры, проги для удаленного доступа и
так далее), поиск проблем в сети и анализ безопасности.

Для определения работы из-за NAT нас интересует возможность контроля TTL
(время жизни) IP-пакета. Нужно учитывать, что каждая ОС и версии используют свое
значение TTL, например, все версии Windows — 128, Linux — 64 (максимально 255),
а при прохождении пакета на каждом роутере отнимается единица. То есть, если
получаем пакет с TTL 63 или 127 (или меньше), это может свидетельствовать о
наличии NAT (виртуальные машины также работают из-за NAT). Открываем список
фильтров и в «IP only» устанавливаем значение поля ip.ttl в отлов всех пакетов,
TTL которых меньше 64 или 128. Программа имеет достаточный набор для анализа,
поэтому можно захватить трафик с минимальными ограничениями, а затем
просмотреть, что попалось в сети, и в последующем уточнять настройки фильтров.

Кроме графического интерфейса, возможен запуск Wireshark в командой строке.
Смотрим список сетевых интерфейсов по команде «tshark -D», а затем вылавливаем
значение поля TTL в проходящих пакетах.

Поддерживаются tcpdump-подобные правила, поэтому можно просто считать
значения нужного поля IP (ip < 64, поле TTL находится в 8-м байте
IP-заголовка).

Хорошей альтернативой Wireshark является BWMeter (desksoft.com/BWMeter.htm),
совмещающий в себе функции файрвола и монитора трафика, с возможностью
построения различного рода графиков. Система фильтров позволяет задать любое
правило и затем отслеживать все пакеты, которые под него попадают.

К этому списку можно добавить практически все файрволы, что встретишь в
корпоративной сети: Kerio WinRoute (подробнее о нем читай в статье «Марш-бросок
в большую сеть», опубликованной в сентябрьском номере ][ за 2009 год), ISA Server/Forefront TMG («Форпост
для защиты периметра», ноябрьский ][ за 2009 год) и другие, которые также
имеют все необходимое для анализа и блокировки трафика.

Кроме того, не забываем производить периодическое сканирование сети при
помощи Nmap и сравнивать
результаты с отчетами ранее произведенных сканов. В случае обнаружения изменений
в списке открытых портов производим расследование. Это позволит обнаружить
лазейки, оставленные троянцами, прокси-серверы, некоторые запущенные игры и так
далее.

Автоматическое создание правил по результатам аудита

Пример для автоматического создания правил на основании результатов аудита с помощью PowerShell:

Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User (Имя пользователя) -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge

В данном примере:

• «Get-ApplockerFileinformation -Eventlog -EventType Audited» — получает события типа «Аудит»
• «New-ApplockerPolicy» — создает новые правила
  • «-RuleType Hash, Publisher» — создает новые правила на основании «Hash», если не доступен «Hash», то правило будет создано на основе «Publisher». Если поменять значения местами, то изменится приоритет и первичным будет «Publisher».
  • «User» — В значении «User» необходимо указать SID пользователя или группы.
  • «RuleNamePrefix» — определяет строку, которая будет добавлена к названию создаваемого правила
• «Set-ApplockerPolicy» — применяет правила к системе

  «Merge» — параметр указывающий на то, что правила необходимо добавить к уже существующим, без данного ключа новые правила заменят существующие правила

Для уменьшения количества создаваемых правил можно использовать параметр «Optimize» для командлета «New-ApplockerPolicy», но это может ухудшить наглядное представление правил.

Описание команд AppLocker’а можно посмотреть здесь

Политики ограниченного использования программ

Одной из самых важных в контексте статьи будет группа объектов GPO «Политики
ограниченного использования программ» (Software Restriction Policies, SRP).
Здесь настраиваются ограничения запуска приложений на компьютерах, начиная с
WinXP и выше. Принцип настроек совпадает с настройками правил файрвола:
администратор указывает список приложений, которые разрешено запускать на
системах организации, а для остальных ставит запрет. Или поступает наоборот:
разрешает все, а затем по мере необходимости блокирует, что не нужно. Здесь
каждый админ выбирает, как ему удобнее. Рекомендуется создать отдельный объект
GPO для SRP, чтобы всегда была возможность откатить изменения при необходимости
или возникновении проблем с запуском нужных приложений.

По умолчанию SRP отключены. Чтобы их активировать, следует перейти во вкладку
«Политики ограниченного использования программ» (в «Конфигурация компьютера» и
«Конфигурация пользователя» есть свои пункты) и выбрать в контекстном меню
«Создать политику ограниченного использования программ» (New Software
Restriction Policies). По умолчанию установлен уровень безопасности
«Неограниченный» (Unrestricted), то есть доступ программ к ресурсам определяется
NTFS правами пользователя. Разрешен запуск любых приложений, кроме указанных как
запрещенные. Чтобы изменить уровень, нужно перейти в подпапку «Уровни
безопасности», где находятся пункты активации еще двух политик – «Запрещено» (Disallowed),
при которой возникает отказ в запуске любых приложений, кроме явно разрешенных
админом. Политика «Обычный пользователь» (Basic User), появившаяся в GPO,
начиная с Vista, позволяет задать программы, которые будут обращаться к ресурсам
с правами обычного пользователя, вне зависимости от того, кто их запустил.

В организации с повышенными требованиями информационной безопасности лучше
самому определить список разрешенных программ, поэтому дважды щелкаем по
«Запрещено» и в появившемся окне нажимаем кнопку «Установить по умолчанию» (Set
as Default). Информация в появившемся окне сообщит, что выбранный уровень —
более строгий, и некоторые программы могут не работать после его активации.
Подтверждаем изменения. Теперь переходим в подпапку «Дополнительные правила».
После активации SRP создаются две политики, перекрывающие правила по умолчанию и
описывающие исключения для каталогов %SystemRoot% и %ProgramFilesDir%. Причем по
умолчанию политики для них установлены в «Неограниченный». То есть после
активации политики «Запрещено» системные программы будут запускаться в любом
случае. В контекстном меню для тонкой настройки политик предлагается 4 пункта. С
их помощью можно указать: правило для пути (путь к каталогу, файлу или ветке
реестра), зоны сети (интернет, доверенная сеть и так далее), хеш (указываем
отдельный файл, по которому генерируется хеш, позволяющий определить его
однозначно, вне зависимости от пути) и сертификат издателя (например, Microsoft,
Adobe и т.п.). При этом отдельная политика имеет свой уровень безопасности, и
легко можно запретить выполнение всех файлов из каталога, разрешив запуск только
отдельных. Правила для хеша имеют приоритет перед остальными и наиболее
универсальны. Правда, с учетом того, что хеш некоторых системных приложений
(того же Блокнота) будет отличаться в разных версиях ОС, к процессу
генерирования хеша лучше подойти внимательно.

Если щелкнуть по ярлыку «Политики ограниченного использования программ»,
получим доступ еще к трем настройкам. Выбор политики «Применение» (Enforcement)
откроет диалоговое окно, в котором указываем, применять ли SRP для всех файлов
или исключить DLL (по умолчанию). Учитывая количество DLL’ок в системе,
активация контроля всех файлов потребует дополнительных ресурсов, поэтому
кастомный вариант выбираем, только когда это действительно необходимо. По
умолчанию политики актуальны для всех пользователей без исключения, но в
настройках предлагается снять контроль за деятельностью локальных админов. В
третьем поле активируется поддержка правил сертификатов. Такие политики также
замедляют работу системы и по умолчанию отключены.

С помощью политики «Назначенные типы файлов» определяются типы файлов,
которые считаются исполняемыми. В списке уже есть все популярные расширения, но
если используется что-то свое, добавляем его/их в перечень. И, наконец, в
«Доверенные издатели» задаем тех, кто может (пользователь и/или админ) добавить
подписанное доверенным сертификатом приложение, а также определять подлинность
сертификата. Для максимальной безопасности разреши добавлять приложения только
админам доменного уровня.

Обнаруживаем сниферы

В любой LAN найдется парочка умников, которые захотят знать больше, чем им
положено. Любопытный кекс запускает снифер в надежде поймать пароль, если не
админа, то любого другого пользователя, или почитать инфу, ему не
предназначенную. Для перехвата всех пакетов сетевая карта переводится в
неразборчивый режим (promiscuous mode), обнаружить который можно как локально,
так и удаленно. В первом случае регистрируемся в системе и просматриваем
настройки интерфейсов, во втором — актуальны два способа:

• мониторинг ресурсов на всех хостах сети — при переводе NIC в promiscuous
  mode возрастает нагрузка, так как ядру приходится обрабатывать большее
  количество информации, быстро заполняется место на харде;
• ошибки в реализации — сетевой интерфейс должен «забирать» только свои
  пакеты; так и настроены ОС, но поскольку теперь ядро получает инфу обо всех
  пакетах, можно попробовать послать ARP-пакет с правильным IP или именем, но
  неправильным МАС-адресом.

В последнем случае система может ответить на неправильный пакет. Добавляем
заведомо неверные данные в ARP таблицу и пингуем «подозрительный» хост:

Если ответ получен, значит, с большой долей вероятности можно сказать, что
узел находится в режиме прослушивания. Не забываем удалить неправильную запись
после проверки:

Еще одна прога –
PromiScan — также позволяет задать диапазон IP и провести ряд тестов. Если
будет обнаружен хост, прослушивающий сеть, админ получит визуальное
предупреждение. Предусмотрена возможность выполнения внешней команды.

Кстати, Microsoft также предлагает свой вариант решения проблемы — утилитыPromqry и
PromqryUI, скачать которые можно с офсайта. Первая командная, вторая — с GUI.
Принцип прост: указываем IP-адрес отдельной машины или диапазон и жмем «Start
Query».

Другие рекомендации

Чтобы предотвратить установку нежелательных программ, необходимо всегда проверять, что вы скачиваете. Если это ПО из непроверенных источников, лучше ею не пользоваться.

Подозрение могут вызывать ситуации, когда программы нет ни на одном сайте, кроме какого-то одного. Скорее всего, никакой программы там и нет.

Также бывают ситуации, когда вы хотите скачать какой-то файл, например, текстовый, загружаете его, но вместо открытия начинается какая-то установка. Это ненормально! В общем, включайте мозги, когда работаете в интернете.

Обязательно время от времени проверяйте, что работает в вашей системе на данный момент. Для этого используйте «Диспетчер задач» и вкладку «Процессы» в нем. Если что-то вызывает подозрение, удаляйте эту программу. Но не стоит трогать то ПО, производителем которого является Microsoft (смотрите столбец «Описание»).

Рис. №6. Диспетчер задач и вкладка «Процессы» в нем

Время от времени проводите полную проверку ОС при помощи антивируса. Удаляйте все то, что он обнаружит.

Как запретить программе доступ в интернет

— использовать файервол операционной системы (брандмауэр).

Если Вы используйте сторонний файервол или антивирус со встроенным файерволом, то можете настроить там. Однако если нет подобного программного обеспечения, и Вы не хотите устанавливать и замарачиваться, то можно использовать 3-тий вариант. Поверьте, он не хуже чем первые два варианта, наоборот понятный и эффективный. Итак, начнемс!

Первым делом необходимо отрыть Брандмауэр windows. Для этого едем в Пуск – Панель управления – Брандмауэр Windows.

Откроется окно, где нужно будет войти в Дополнительные параметры.

Здесь нам необходимо создать правило для определенной программы, которой нужно запретить выход в интернет. Чтобы это сделать переходим в Правила исходящего подключения и правой части выбираем Создать правило.

Выбираем пункт Для программы и нажимаем Далее

Далее необходимо указать путь к программе в соответствующей графе, рядом есть кнопка Обзор, с помощью которой можно указать место нахождения нужной программы (файл должен иметь расширение .exe).

Когда программа выбрана нажимаем кнопку Далее. Я вот к примеру выбрал программу Opera.

Тут нужно выбрать Блокировать подключение и вновь жмем кнопку Далее

Здесь пусть будут отмечены все галочки, опять жмем Далее.

Мы практически уже у цели, осталось лишь вбить имя этого правила, и его описание. Имя необходимо написать обязательно (назовите так, как называется сама программа). Описание же можно написать по Вашему желанию, это сделано для удобства. Теперь жмем Готово и наше правило появится в списке Брандмауэра.

После таких манипуляций Opera не сможет теперь передавать какую-либо информацию, однако получать сможет. Чтобы запретить программе доступ к входящему трафику, необходимо повторить вышеописанные действия только для категории правила для входящих подключений. Я думаю, ничего сложного в этом нет. Чтобы снять наш установленный запрет необходимо удалить это правило и в том, и в другом разделах

Спасибо за внимание и до новых встреч!

user-life.com

Как запретить установку программ на Windows 10

Возможность заблокировать установку приложений работает с обновления Creators Update в Windows 10. Можно с лёгкостью запретить пользователям установку программ сторонних разработчиков. Установите необходимые приложения и запретите установку всех остальных.

Эта статья расскажет, как запретить установку программ на Windows 10. Полезно будет тем, кто позволяет пользоваться своим компьютером другим без создания новых учётных записей. Заблокировать установку программ можно вместе с использованием родительского контроля.

Как заблокировать установку программ в Windows 10

Параметры установки приложений

Установка приложений исключительно из Microsoft Store поможет защитить Ваше устройство. Есть возможность выбрать, откуда можно будет получать приложения. Запрет установки приложений с неизвестных источников является ещё одним средством защиты пользователя.

Перейдите в расположение Параметры > Приложения > Приложения и возможности. В пункте Установка приложений откройте список, и выберите пункт Разрешить использование приложений только из Store или Только из Microsoft Store (рекомендуется) .

По умолчанию установлено значение показывать рекомендации приложений. Вместо, блокировки возможности установки программ можно выбрать пункт предупреждать перед установкой приложений, не предлагаемых в Store. В новой версии ОС всё немного изменилось.

Такая функция работает по аналогии с фильтром SmartScreen, который также предупреждает пользователей при попытке установить приложение с неизвестного источника. Это на самом деле полезная возможность, которая обезопасит файловую систему и данные пользователя.

Изменение групповой политики

Могут открыть редактор локальных групповых политик для внесения изменений в систему пользователи Профессиональной и Корпоративной редакций Windows 10. Владельцы Домашней версии получают сообщение gpedit.msc не найден Windows 10.

1. Откройте редактор групповых политик, выполнив команду gpedit.msc в окне Win+R.
2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows.
3. Измените значение политики Отключение установщика Windows на Включено и выберите в списке параметр Всегда.
4. Измените значение параметра Запретить установки пользователям на Включено и выберите в списке пункт Скрыть установки для пользователей.

• Включение параметра Отключение установщика Windows позволяет запретить пользователям устанавливать программы на свои системы или разрешить устанавливать только программы, предложенные системным администратором. Этот параметр политики влияет только на работу установщика Windows. Он не запрещает пользователям использовать другие способы установки и обновления программ.
• Параметр политики Запретить установки пользователям и выбор значения скрыть установки для пользователей позволяет установщику игнорирует приложения для пользователей. При этом приложения, установленные для компьютера, будут видны пользователям, даже если эти пользователи имеют зарегистрированную установку этого приложения для пользователя в своём профиле пользователя.

Блокировка запуска программ Windows 10

В разделе Конфигурация пользователя > Административные шаблоны > Система выберите параметр Не запускать указанные приложения Windows.

Измените его значение на Включено и укажите список запрещённых приложений кнопкой Показать. Вводите точное название программы, например, skype.exe.

Дополнительно можете настроить параметр Выполнить только указанные приложения Windows. Он ограничивает список программ Windows, которые могут быть запущены пользователями на ПК. Можно запускать только те программы, которые добавлены в список.

В редакторе реестра можно аналогично блокировать запуск приложений с проводника. Ещё будет полезно создать резервную копию реестра Windows 10. Это Вас обезопасит в случае допуска ошибки в процессе создания нужных параметров.

Перейдите в расположение: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer. В подразделе DisallowRun создайте строковый параметр с названием 1 и значением skype.exe.

Возможность запретить установку программ для новичков действительно является полезной на Windows 10. Отключение установки приложений с неизвестных источников пользователь уже повышает безопасность ПК. В принципе можно ещё и запретить запуск отдельных выполняемых файлов и программ.

Как заблокировать запуск EXE-файлов с помощью групповой политики

Подобно настройке контролируемого доступа к папкам с помощью групповой политики и PowerShell, при включении которой эта функция может отслеживать исполняемые файлы, сценарии и библиотеки DLL, которые пытаются внести изменения в файлы в защищенных папках, пользователи ПК могут блокировать файлы .exe в уязвимых местах. папки от запуска с политиками ограниченного использования программ в Windows 11/10.

Чтобы заблокировать запуск исполняемых файлов с помощью групповой политики в Windows 11/10, выполните следующие действия:

• Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
• В диалоговом окне «Выполнить» введите gpedit.msc и нажмите Enter, чтобы открыть редактор групповой политики.
• В редакторе локальной групповой политики используйте левую панель, чтобы перейти по указанному ниже пути:

Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики ограниченного использования программ

• В этом месте на левой панели навигации щелкните папку «Политики ограниченного использования программ», чтобы свернуть ее.
• Затем щелкните правой кнопкой мыши узел папки Дополнительные правила.
• Выберите «Новое правило пути…» в контекстном меню.
• Теперь введите путь к папке, из которой вы хотите запретить запуск исполняемых файлов, и обязательно добавьте суффикс *.exe в конце, чтобы вы блокировали только исполняемые файлы.
• Добавьте описание, если хотите.
• Нажмите Применить > ОК, чтобы сохранить изменения.
• Повторите для дополнительных папок.

Вы можете заблокировать (как минимум) следующее:

• C:WindowsTemp*.exe
• C:WindowsTemp**.exe
• %USERPROFILE%AppDataLocal*.exe
• %USERPROFILE%AppDataLocal**.exe
• %USERPROFILE%AppDataRoaming*.exe
• %USERPROFILE%AppDataRoaming**.exe

После этого вы можете выйти из редактора локальной групповой политики. Если вы хотите разрешить некоторые конкретный исполняемые файлы для запуска в этих папках, просто создайте исключение, выбрав параметр Unrestricted в Уровень безопасности падать.

Для пользователей Windows 11/10 Домашняя вы можете добавить функцию редактора локальной групповой политики, а затем выполнить инструкции, как указано выше.

Вот и все о том, как заблокировать запуск exe-файлов с помощью групповой политики в Windows 11/10!

Связанный пост: Блокировка запуска макросов в Microsoft Office с помощью групповой политики

Как отключить .exe из групповой политики?

Чтобы отключить .exe из редактора групповой политики или применить объект групповой политики для блокировки программного обеспечения по имени файла, следуйте этим инструкциям:

• Запустите редактор реестра.
• Расширять Конфигурация пользователя > Политики > Административные шаблоны > Система.
• Дважды щелкните Не включать указанные приложения Windows.
• Щелкните Включить.
• Нажмите кнопку Показать.
• Введите имя файла, который вы хотите заблокировать.

Как заблокировать EXE-файл?

Вы можете заблокировать exe в Windows 11/10 одним из следующих способов:

• Использование правила пути: в зависимости от имени исполняемого файла и расширения его файла блокируются все версии указанного приложения.
• Использование хеш-значения: после обнаружения исполняемого файла на сервере вычисляется хеш-значение исполняемого файла.

Как исправить, что эта программа заблокирована групповой политикой?

Чтобы исправить эту программу, заблокированную ошибкой групповой политики в вашей системе, сделайте следующее:

• Откройте редактор групповой политики.
• Расширять Конфигурация пользователя > Политики > Административные шаблоны > Система.
• Нажмите кнопку Показать.
• Удалите целевую программу или приложение из списка запрещенных.
• Нажмите «ОК».

Как запустить программу, заблокированную администратором?

Чтобы запустить программу, заблокированную администратором, нужно разблокировать файл. Вот как:

• Щелкните правой кнопкой мыши файл, который вы пытаетесь запустить.
• Выберите «Свойства» в контекстном меню.
• Перейдите на вкладку Общие.
• Под Безопасность раздел, установите флажок Разблокировать.
• Нажмите кнопку «Применить» > «ОК».

Надеюсь, вы найдете этот пост полезным!

Связанные чтения:

1. Запретить пользователям установку программ в Windows.
2. Windows Program Blocker — это бесплатное программное обеспечение для блокировки приложений или приложений, которое блокирует запуск программного обеспечения.
3. Как заблокировать установку сторонних приложений в Windows.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)