Фев 11 2012

Ограничение использования приложений в Windows 7

1. Отключение или ограничение использования установщика Windows (Windows Installer) с помощью Групповой политики.

Windows Installer (msiexec.exe), является средством для установки, обслуживания и удаления программного обеспечения системы Windows.

Для того, чтобы установить запрет на установку приложений для всех пользователей, откройте редактор Групповых политик (gpedit.msc) и откройте раздел Конфигурация компьютера (Computer Configuration) – Административные шаблоны (Administrative Tеmplates) – Компоненты Windows (Windows Components) – Установщик Windows (Windows Installer).В правой части окна Настройки (Settings) выберите строку Отключить Windows Installer (Disable Windows Installer) и дважды щелкните по ней. Значение Disable – отключает возможность установки программ, значение Enable включает ее. Тут все просто.

Запретить же установку приложений конкретному пользователю (учетной записи) можно путем создания соответствующей оснастки. Для этого откройте консоль mmc (в меню Пуск – Поиск) и в меню Файл выберите Добавить оснастку. Откроется список всех доступных компонентов системы. Выберите Group Police (Групповые политики), нажмите стрелку вправо для добавления, а затем нажмите кнопку Browse (Обзор). Выберите вкладку Users (Пользователи), нужную учетную запись и нажмите Ок, а потом Finish (Готово).

После этого повторите действия, описанные мною выше, только теперь запрет на установку программ будет распространяться лишь на выбранного пользователя.

2) Всегда производить установку с повышенными привилегиями.

В редакторе Групповой политики, перейдите к Конфигурация пользователя — Административные шаблоны — Компоненты Windows. Прокрутите ползунок вниз и выберите установщик Windows и Allwaus install with elevated privileges (Всегда производить установку с повышенными привилегиями).

Этот параметр предписывает Windows Installer использовать системные разрешения при установке любой программы в системе.

Эта настройка распространяется на повышенные привилегии для всех программ. Эти привилегии, как правило, зарезервированы для программ, которые были назначены для пользователя (предлагается на рабочем столе), отнесенные к компьютеру (устанавливается автоматически), или доступны в Установка и удаление программ на панели управления. Этот параметр позволяет пользователям устанавливать программы, которые требуют доступа к каталогам, на которые пользователь может не иметь разрешения для просмотра и изменения.

Примечание: если вы отключите эту опцию или не настроите ее, система будет применять разрешения текущего пользователя (или администратора) при установке программ, т.е. с обычными правами. Этот параметр отображается в редакторе Групповых политик как в разделе Конфигурация компьютера, так и в Конфигурация пользователя. Чтобы этот параметр вступил в силу, его необходимо задать в обоих разделах.

3) Не запускать указанные приложения для Windows.

В редакторе Групповой политики перейдите к Конфигурация пользователя — Административные шаблоны – Система.

Здесь, в боковой панели справа, дважды щелкните Не запускать указанные приложения Windows (Do not run specified Windows applications), и в новом окне, которое откроется, выберите Включено . Теперь разделе Параметры выберите команду Показать (Show). Нажмите Add (Добавить) и в новом окне введите путь, который открывает приложение, которое вы хотите запретить, в данном случае: msiexec.exe .

Это позволит запретить работу Windows Installer, который расположен в C:\Windows\System32\msiexec.exe.

Если этот параметр включен, пользователи не могут запускать программы, которые вы добавляете в список запрещенных приложений.

Примечание: если пользователи имеют доступ к командной строке (cmd.exe) , этот параметр не мешает им осуществлять запуск программ в окне командной строки.

Почти каждая настройка в ОС Windows помимо Групповых политик дублируется в редакторе системного реестра. Но не многие знают, что в сети существует он-лайн севис MSDN , в котором содержится структурированная справочная информация о настройке огромного количества функций Windows через системный реестр. Пользоваться им удобно, нужно лишь знать английский язык. Кроме того, есть также аналогичный справочник в формате документа Exel, который вы можете скачать .

Предварительно сделайте бэкап нижеуказанной ветки реестра, или создайте точку восстановления.

Откройте редактор реестра (regedit.exe ) и перейдите в следующий раздел:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun

Создайте в разделе DisallowRun строковой параметр с именем 1 и установите в его значение название EXE-файла программы.

Примечание: если раздел DisallowRun отсутствует, создайте его.

Например, если вы хотите ограничить мsiexec, создайте строковой параметр 1 и установите его значение в msiexec.exe . Если вы хотите ограничить больше программ, то просто создать больше строковых параметров с именами 2, 3 и так далее, и установите их значения в EXE-программы. Перезагрузите компьютер.

В Панели управления откройте апплет Учетные записи пользователей – Управление другой учетной записью. Выберите нужную учетную запись пользователя и установите для нее Родительский контроль:

В следующем окне включите Родительский контроль и Ограничение на запуск программ:

После построения списка, выберите те программы, которые разрешено запускать пользователю. Если в списке нужная программа отсутствует, ее можно добавить вручную, нажав кнопку Обзор.

Нажмите Ок.

Примечание: есть некоторые условия для разрешения/запрета запуска приложений при помощи Родительского контроля. Во-первых, учетная запись пользователя, для которого вы вводите ограничения должна быть с Обычными правами. Во-вторых, настройка Родительского контроля должна осуществляться с учетной записи, имеющей права Администратора , что очевидно. И в третьих, учетная запись Администратора должна быть защищена паролем .

Ну вот и все. Желаю успешного применения советов, о которых я рассказал в этой статье.

Существует несколько способов запрета установки программ на Windows 7, которые сейчас будут рассмотрены. Зачем это надо? Например, если вы не один пользуетесь компьютером и посторонние люди постоянно устанавливают ненужный софт или игры. Также этот запрет сможет защитить Windows 7 от навязываемого программного обеспечения, который вам не нужен. Также имеется множество других причин.

Запрет на установку приложений с помощью редактора групповых политик

Для того чтобы сделать запрет установки приложений, требуется открыть редактор групповых настроек – gpedit.msc. Это можно сделать так: открыть меню Пуск – нажать на кнопку «выполнить…» — прописать там gpedit.msc. После этого откроется необходимое нам окно, в этом окне потребуется раздел «Административные шаблоны».

Кликаем по «Компоненты Windows», затем надо проскроллить вниз и найти папку ». Когда она откроется, то под строкой «Состояние» будут команды, нам нужна «Запретить установщик Windows». Необходимо нажать на нее 2 раза, и, когда появится окошко, то выбрать функцию «Отключить», которая соответственно устанавливает запрет на установку программ. Функция «Включить» отменяет этот запрет.

Как запретить установку приложений конкретному пользователю на Windows 7

Запрет установки софта конкретному пользователю на Windows 7 требует создания соответствующий оснастки. Необходимо войти в консоль mmc (меню пуск – «Выполнить…»), затем в консоли нажать на вкладку «Файл» и кликнуть по «Добавить или удалить оснастку…»

Откроется соответствующая панель.

В этой панели выбираем оснастку «Групповые политики», а после нажимаем на стрелку. Появится окно, в нем надо клацнуть кнопку «Обзор» (Browse), выбрать вкладку «Пользователи» (Users), после этого выбрать нужного пользователя, которому вы хотите сделать запрет на установку программ Windows 7. Подтверждаем транзакцию, и, готово.

Затем нужно повторить все действия, которые описываются в выше (см. «Запрет на установку с помощью редактора политик», но запрет на установку софта в Windows 7 теперь будет влиять только на указанного выбранного пользователя.

Запрет на установку программ с помощью родительского контроля (Windows 7)

Этот способ намного проще, судя по количеству транзакций, и он применим в тех случаях, если человек, который сидит за ПК устанавливает слишком много мусора.

Чтобы запретить устанавливать программы с помощью родительского контроля, требуется следующее (работает только на Windows 7):

Зайти в панель управления Windows 7 через меню Пуск, и нажать на вкладку «Управление записи пользователей»

Тыкаем по кнопке «Родительский контроль»

Выбираем пользователя, которому мы хотим запретить установку программ.

Нам необходимо «Ограничения на »

Просто нажимаем на вкладку, после чего перед нами открывается консоль, где ставим галочку:

Windows 7 автоматически находит программы, которые можно запретить. Если же нужное приложение будет не найдено (т.е. его не будет в списке), то можно найти их самостоятельно через кнопку «Обзор» и заблокировать.

Запретить установку программ с помощью реестра (Windows 7)

Здесь нам понадобится через меню Пуск нажать по вкладке «Выполнить…» и ввести следующую команду – regedit.exe. Перед нами откроется окно, в котором будет необходимо точно последовать по данному пути, чтобы добраться до цели:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun

Затем, в пункте «DisallowRun» создаем текстовый параметр под названием 1 и добавляем в него название исполнительного файла приложения, имеющего расширение.exe.

К примеру, если надо блокировать msiexec, то требуется всего-навсего создать текстовый параметр 1 и инициализировать его строкой «msiexec.exe» Если надо запретить больше приложений, то соответственно потребуется сделать дополнительные текстовые параметры с названиями 2, 3, 4 и так далее, а затем присвоить им названия EXE-файлов приложений и готово.

После этого вам понадобиться только перезагрузить компьютер.

Бесплатный софт бывает весьма полезным и функциональным, некоторые программы даже претендуют на то, чтобы заменить собой дорогие платные аналоги. Вместе с тем некоторые разработчики, для оправдания расходов, «зашивают» в свои дистрибутивы различное дополнительное ПО. Оно может быть вполне безобидным, а может оказаться и вредоносным. Каждый из нас попадал в такую ситуацию, когда вместе с программой на компьютер были установлены какие-нибудь ненужные браузеры, тулбары и прочая нечисть. Сегодня поговорим о том, как раз и навсегда запретить их установку к себе в систему.

В большинстве случаев при установке бесплатного софта создатели нас предупреждают о том, что будет установлено еще что-то и предлагают выбор, то есть снять галки возле пунктов со словами «Установить» . Но так бывает не всегда, и некоторые нерадивые разработчики «забывают» вставить такое предложение. С ними-то мы и будем бороться.

Все действия по запрету мы будем выполнять с помощью оснастки , которая присутствует только в редакциях операционных систем Pro и Enterprise ( и ) и в Ultimate (Максимальная). К сожалению, в Starter и Home данная консоль недоступна.

Импорт политики

В «Локальной политике безопасности» имеется раздел с названием «AppLocker» , в котором можно создавать различные правила поведения программ. До него нам и нужно добраться.

На этом этапе нам понадобится файл, в котором прописаны исполняемые правила. Ниже находится ссылка, перейдя по которой можно найти текстовый документ с кодом. Его требуется сохранить в формат XML, в обязательном порядке в редакторе . Для ленивых там же «лежит» готовый файл и описание к нему.

В этом документе прописаны правила для запрета установки программ издателей, которые были замечены в «подсовывании» своих продуктов пользователям. Также в нем указаны исключения, то есть те действия, которые можно выполнять разрешенным приложениям. Чуть позже мы разберемся, как добавлять свои правила (издателей).

Теперь для любых программ от этих издателей допуск к вашему компьютеру закрыт.

Добавление издателей

Список приведенных выше издателей можно самостоятельно дополнить вручную с помощью одной из функций «AppLocker» . Для этого необходимо раздобыть исполняемый файл или установщик той программы, которую разработчик «зашил» в дистрибутив. Иногда сделать это можно, лишь попав в такую ситуацию, когда приложение уже установлено. В других случаях просто ищем через поисковик. Рассмотрим процесс на примере .

1. Кликаем ПКМ по разделу «Исполняемые правила» и выбираем пункт «Создать новое правило» .

   

2. В следующем окне жмем кнопку «Далее» .

   

3. Ставим переключатель в положение «Запретить» и снова «Далее» .

   

4. Здесь оставляем значение «Издатель» . Нажимаем «Далее» .

   

5. Далее нам понадобится файл ссылок, который формируется при считывании данных с установщика. Нажимаем «Обзор» .

   

6. Находим нужный файл и нажимаем «Открыть» .

   

7. Двигая ползунок вверх, добиваемся того, чтобы информация осталась только в поле «Издатель» . На этом настройка завершена, нажимаем кнопку «Создать» .

   

8. В списке появилось новое правило.

   

С помощью этого приема можно запретить установку любых приложений от любых издателей, а также, с помощью ползунка, конкретного продукта и даже его версии.

Удаление правил

Удаление исполняемых правил из списка производится следующим образом: нажимаем ПКМ по одному из них (ненужному) и выбираем пункт «Удалить» .

В «AppLocker» также существует функция полной очистки политики. Для этого кликаем ПКМ по разделу и выбираем «Очистить политику» . В появившемся диалоговом окне нажимаем «Да» .

Экспорт политики

Данная функция помогает перенести политики в виде XML файла на другой компьютер. При этом сохраняются все исполняемые правила и параметры.

С помощью данного документа можно импортировать правила в «AppLocker» на любом компьютере с установленной консолью «Локальная политика безопасности» .

Заключение

Сведения, полученные из этой статьи, помогут вам навсегда избавиться от необходимости удаления со своего компьютера разных ненужных программ и дополнений. Теперь можно спокойно пользоваться бесплатным софтом. Другое применение – запрет на установку программ другим пользователям вашего компьютера, не являющимся администраторами.

Вопрос безопасности системы компьютера всегда был наиболее важным для пользователя. Как известно, вирусы, проникающие внутрь гаджета, способны привнести массу дискомфорта его владельцу. Способов, как на 100% уберечь свой десктоп от проникновения вредоносных программ нет, но есть способы, как максимально повысить устойчивость к ним.

Самый доступный – запретить установку программ в windows 7. Добиться этого можно абсолютно бесплатно, причем программка, которая поможет в этом, уже имеется на большинстве версий Windows. Принцип действия до безобразия прост: никакие программы не могут быть скачаны без разрешения пользователя. И тогда вы не столкнетесь с такой проблемой как появление , а также с другими проблемами которые приносят вирусы. Как это сделать? Давайте разбираться.

Как установить ограничение

Для начала необходимо открыть окно «Локальная политика безопасности». Для этого зайдите в «Пуск» – «Панель управления» – «Система и безопасность». Далее пройдите в «Администрирование», и там увидите «Локальная политика безопасности» – «Политика ограниченного использования программ». На этой строчке кликните правой клавишей мыши и создайте новую политику ограниченного использования программ.

Теперь необходимо задать некоторые настройки для новой политики. Для этого кликните по строке «Применение» и поставьте галочке в тех же местах, что и на картинке ниже.

После этого переходите в пункт «Назначенные типы файлов» и смело удаляйте расширение LNK. Затем переходим в дополнительную папку «Уровни безопасности», видим в правой части окна подпункт «Запрещено» и назначаем его по умолчанию (правой мышиной клавишей).

Вот и всё, теперь все пользователи с вашего компьютера смогут запускать только те программы, которые вы установите или же это сделает за вас система. Обычно они находятся в папках Program Files и SystemRoot, но могут быть «раскиданы» и по другим папкам. Если это ваш случай, то советую добавить эти программы в список разрешенных. Для этого, в свою очередь, зайдите в «Дополнительные правила» – «Имя», кликните правой кнопкой по пустому полю. Среди остальных команд выберите «Создать правило для пути», и задайте путь к той папке, где находится необходимая прога.

Как видите, в данных действиях нет абсолютно ничего сложного. На выполнение этих правил уйдет от силы несколько минут, однако задумайтесь о том, насколько вы повысите безопасность своего компьютера. Ради этого не жалко выделить пару минут своего драгоценного времени, вы согласны?

Повысить безопасность вашего компьютеры вы сможете, если установите . Это станет хорошим дополнением к описанным выше действиям!

Видео в помощь