Как запретить установку любых программ на Windows 7 различными методами?
Нередко встречаются ситуации, когда за одним компьютером работает сразу несколько пользователей. И часто бывает так, что некоторые из них постоянно устанавливают на устройство самое разное программное обеспечение, не только «открывая двери» для вирусов, но и просто засоряя жесткий диск. В седьмой версии операционной системе от Microsoft предусмотрено сразу несколько инструментов, позволяющих ограничить вышеописанные возможности. В статье я расскажу, как запретить установку программ на Windows 7 для других юзеров. Поверьте, такой ход позволит значительно повысить безопасность.
Содержание статьи
Запретить игры
Встала такая проблема. На работе начальство хочет закрыть для всех пользователей возможность играть в любые игры, включая стандартные. Для этого предлагают мне сделать белый список нужных exe-файлов. Все ненужные автоматически вырубать.
Вопросы такие:
1) Какой сущетсвует готовый софт для реализаци этого решения?
2) Какие есть способы запретить запуск игр, помимо того, который предложил мн руководитель?
3) Как вообще вы относитесь к такой задаче? Был ли опыт реализации чего-то подобного?
Заранее благодарна за ответы!
Можно ли как нибудь запретить доступ на сервер игры?
У меня проблема. нужно срочно запретить доступ к серверу игры crossfire. как мне это сделать.
Огромная проблема с компьютером не читает игры, при запуске из игры выбрасывает.
ПРивет всем, у меня проблема с компьютером, когда я загружаю игры на компьютер и начинаю в них.
Как запретить браузерные игры?
Здравствуйте! Меня попросили сделать так, чтобы на компьютере, работающем на Windows 7.
Как запретить кеширование игры?
У меня есть игра, реализованная на php,js,html5. как запретить браузерам её кешировать? Пробовал.
Сообщение от Polina_nsk
Встала такая проблема. На работе начальство хочет закрыть для всех пользователей возможность играть в любые игры, включая стандартные. Для этого предлагают мне сделать белый список нужных exe-файлов. Все ненужные автоматически вырубать.
Сообщение от mik-a-el
Ага, логично. Это тоже проблема.
Но можно же как-то статично задать не только наименования ехе-шников, но и пути к ним? Уж надеюсь, что пользователи не станут заменять уже существующие программы игрушками.
Хотя, блин. сделают резервную копию, заменят, поиграются, и вернут копию на место
Лучше запретите доступ к DirectX и OpenGL. Установку стандартных игр можно запретить через политики.
Добавлено через 7 минут 1 секунду
Q: Как ограничить пользователя определенным перечнем программ разрешенных для запуска.
A: Вариант 1:
Войдите в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ и в реестре в разделе
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer
параметр DisallowRun
значение 1
создать подраздел с таким же именем, в котором нужно создать строковые параметры, свой для каждой программы запрещенной для запуска, именуя их числами по возрастанию.
Например:
Имя параметра: 1
значение: iexplore.exe
Имя параметра: 2
значение: Winword.exe
Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.
Также можно использовать запрет запуска всех приложений кроме указанных. Сделать это можно в том же разделе реестра
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer
только теперь нужно создать параметр RestrictRun и установить его значение 1.
Далее, как и в прошлом примере, создаем подраздел с тем же именем (RestrictRun) и в нем перечисляем приложения разрешенные для запуска.
Например:
Параметр: 1
значение: Regedit.exe
Параметр: 2
значение: Winword.exe
Обратите внимание, что в данном случае достаточно указать имена исполняемых файлов, а полный путь указывать необязательно.
Не забудьте указать файл regedit.exe, иначе вы сами не сможете больше запустить редактор реестра.
Вариант 2:
Пуск -> Выполнить -> Secpol.msc -> Политики ограниченного использования программ -> Дополнительные правила -> Правый клик в правом поле -> Создать правило для хэша -> Обзором задаём требуемый исполняемый файл -> Применить -> Затем снова Политики ограниченного использования программ -> в правом поле вызываем свойства объекта «Принудительный» (выделяем правым кликом), верхний чекбокс на . кроме DLL, нижний на . кроме локальных администраторов.
копайте в сторону комп клубов. там бывает стоят прожки, которые ограничивают доступ к компу(по сути оставляют тока рабочий стол и ярлыки на нем).
А 100% ограничить ИМХО не получится.
Кстати вот альтернативный вариант: делать каждую минуту скрин. Потом можно посмотреть чем человек занимался весь день.
Сообщение от Lurker
там бывает стоят прожки, которые ограничивают доступ к компу(по сути оставляют тока рабочий стол и ярлыки на нем).
Это специально писанные шеллы. Во многих крупных организациях с повышенными требованиями к безопасности стоят подобные.
Сообщение от mik-a-el
Сообщение от Seqular
Сообщение от Polina_nsk
Друзья, всем привет.
Встала такая проблема. На работе начальство хочет закрыть для всех пользователей возможность играть в любые игры, включая стандартные. Для этого предлагают мне сделать белый список нужных exe-файлов. Все ненужные автоматически вырубать.
Вопросы такие:
1) Какой сущетсвует готовый софт для реализаци этого решения?
2) Какие есть способы запретить запуск игр, помимо того, который предложил мн руководитель?
3) Как вообще вы относитесь к такой задаче? Был ли опыт реализации чего-то подобного?
Заранее благодарна за ответы!
Есть прога XPTweker там есть пункт который позволяет блокировать exeэшники, но надо быть аккурантнее так как можно запретить запуск нужных пог. Удачи.
Сообщение от mik-a-el
Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.
Эт конечно так, но есть особо продвинутые юзвери, которым не лень копаться в реестре. Отсюда вывод — это не лучшее решение.
Господа! во первых стандартные игры сносить надо под админом стандартным способом (установка/удаление, потом можно и востановить с помощью диска ХР).
Во вторых: как юзверь установит прогу если у него ограниченая учетная запись?
Просто надо запертить доступ на чтение/запись папки програм файлс, на необходимые каталоги разрешить. Производить постоянные проверки (при большом парке выборочно) на наличие запрещенного софта, и штрафовать пользователей.
У себя в конторе я запретил !все флешки!, отключил все юсб, на машинах с принтерами физически выдернул передние входы юсб.
инета у них нет приводов тоже, флешки не работают. У себя на работе я не знаю что такое вирусня на юзверских станциях !хотя на половине нет антивирусов! все общие файлы храню на машине под убунту (вспоминается опыт прошлого админа когда общая шара с несколькими тысячами доков лежала на вин 2003 и поймали они виру который создовал копию файла с расширением *.exe и прикидывался доком. померла вся сеть, погибло почти все. )
так что добивайтесь от начальства максимального (на уровне приказов!) ограничения прав юзверей.
хм.. А не проще поставить все программы юзеру которыми он должен пользоваться и затем сделать его простым пользователем? А администраторный пароль только у вас. Он входит как простой пользователь и не может без вас установить какую бы то ни было программу. Вроде это проще.
Вложения
| P1SA.zip (1.00 Мб, 316 просмотров) |
1 шаг включить ограничение
на уже установленные программы это не должно повлиять покайне мере которые установлены по адрессу программ и систем файлз..
secpol.msc
ищем ветку ПОЛИТИКИ ОГРАНИЧЕННОГО ИСПОЛЬЗОВАНИЯ ПРОГРАММ
открываем . при первом запуске там будет восклицательный знак с предупреждением в
в самом окне локальная политика безопасности (в его меню)
выбираем СОЗДАТЬ НОВЫЕ ПОЛИТИКИ (разово больше вы такого даже не увидете )
продолжаем
1
В разделе Software Restriction Policies – Designated File Types убрать тип файлов LNK
Рус: ПОЛИТИКИ ОГРАНИЧЕННОГО ИСПОЛЬЗОВАНИЯ ПРОГРАММ — находим значение «назначенные типы файлов» — удаляеем тип файла LNK из списка что это даст . то что ярлычки будут работать а иначен если не удалять из списка даже ярлычки на хороши программы работать не будут (также стоит удалить MDB — это файл баз MS_Access а также другие Access_овские файлы — иначе они не запускаються а у пользователя эти бд могут быть раскинуты по всем компу) .
2 В разделе Software Restriction Policies – Enforcement выставить параметр ‘All users’
Рус: ПОЛИТИКИ ОГРАНИЧЕННОГО ИСПОЛЬЗОВАНИЯ ПРОГРАММ — значение «принудительный » там короче ставим так
1 значению ставим «ко всем файлом кроме dll »
2 ставим для всех пользователей чтобы даже если пользователь являеться одновременно и админом чтобы не мог влиять на софт.
3 В разделе Software Restriction Policies –> Security Level выставить ‘Disallowed’ как параметр по умолчанию.
Рус: открываем под ветку УРОВНИ БКЗОПАСНОСТИ там по умолчанию стоит «неограниченный» открываем не разрешено и жмем кнопку по умолчанию и галка на нем появляться . теперь левй софт нельзя будет поставить даже админу..
для быстрого сняться выбираем теперь «неограниченный» кликаем по умолчанию . теперь снова можно ставить софт кому угодно
==================================
примичания в процессе работы
==================================
если программа которая нужно запустить ссылаеться на сетевой путь то надо указывать не как присоединенные сетевые диски X а как сетевой путь . типа \serverproga
————————
система очень не дружит портативным софтом .. и работает 50 на 50 т.е не удасться запустить портативный софт . т.е если портивные проги установлены на диске H к примеру то можно указать путь как H: и те проги которые замкнуты внутри этого диска они запустяться но например ашампу берн студиа кудато еще ссылаеться . я думал на систем32 но нет и не могу никак дать разрешение . а вот с неро 10 портатив таких проблем нет
2 ограничить доступ к политике безопасности
Ограничим доступ через свойства папки C:WINDOWSsystem32GroupPolicy
Папки являются системными и скрытными
Тонкая настройка NTFS прав для группы Restricted (группа с ограниченным доступом )
1) Создайте Группу пользователя(ей), для которой не должны применяться настройки групповой политики, и добавьте туда требуемые учетные записи
2) Установите политики для Локальной Групповой Политики – Конфигурации Пользователя.
3) Откройте GroupPolicy и зайдите в свойства папки
4) Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения
5) Далее нажмите «Добавить» и выберите или добавьте группу, которую вы хотите исключить из распространения раздела Конфигурация пользователя Локальной Групповой политики.
6) Далее жмем «Изменить» и выставляем права,
Запрещаем:
Обзор/Выполнение
Содержание папки/Чтение данных
Чтение атрибутов
Разрешаем:
Чтение разрешений
Смену разрешений
Данная настройка, позволяет в дальнейшем свободно изменять права, не беря объект во
владение.
7) Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам» Жмем «ОК».
8) Выскочит два предупреждения, на которых жмем «Да»
9) Далее убеждаемся, что права установлены правильно и работают. В качестве проверки, мы можем зайти во вкладку безопасность и там корректно отображаются права пользователей, но при этом через проводник не получаем доступ к файлам.
Права настроены, если всё было сделано правильно, то политики не будут применяться пользователю или пользователям группы Restricted.
Параметры раздела Конфигурация Пользователя вступают в силу со следующей регистрации пользователя в системе, а параметры раздела Конфигурация Компьютера вступают в силу после перезагрузки системы.
Либо возможно их немедленное применение через команду gpupdate командной строки.
Эффект следующий — назначив администратору группу Restricted он не сможет запускать GPEDIT.MSC и SECPOL.MSC а также входить во внутрь папки GroupPolicy но возможно войти в свойства безопасности и произвести редактирование.
даже ты не сможешь открыть политики безопасности для доступа надо будет у администратора за которым загреплена еще группа Restricted на время ее отключить или вариант 2а создать второго парольного админа и не назначать ему эту группу Restricted и заходя от имени второго админа ограничений не будет к работе с локальной политикой безопасности описанной в 1 части.
в этом примере я указал что твой пользователь будет работать от имени 1го админа но с ограничениями ты 2 админ на тебя эти ограничения тоже распространяются но ты их можешь снимать.
есть некоторые бух проги которые от имени пользователя запустятся но при какой либо синхронизации могут повиснуть так как им нужны админские права .. сам с таким столкнулся и потому пользователям назначаю админские права 1го уровня.. с ограничениями.
не забудь снести карты а назад уже без диска они не поставят
поставь кейлогер чтобы отслеживать действия пользователей — сообщи об этом пользователям — чтобы знали что за ними следят
Блокировка запуска программ с помощью редактора реестра
Настроить запрет запуска выбранных программ можно и в редакторе реестра, если gpedit.msc недоступен на вашем компьютере.
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter, откроется редактор реестра.
- Перейдите к разделу реестра
- В разделе «Explorer» создайте подраздел с именем DisallowRun (сделать это можно, нажав правой кнопкой мыши по «папке» Explorer и выбрав нужный пункт меню).
- Выберите подраздел DisallowRun и создайте строковый параметр (правый клик в пустом месте правой панели — создать — строковый параметр) с именем 1.
- Дважды нажмите по созданному параметру и в качестве значения укажите имя .exe файла программы, которую нужно запретить запускать.
- Повторите те же действия для блокировки других программ, давая имена строковых параметров по порядку.
На этом весь процесс будет завершен, а запрет вступит в силу без перезагрузки компьютера или выхода из Windows.
В дальнейшем, чтобы отменить запреты, сделанные первым или вторым способом, можно с помощью regedit удалить параметры из указанного раздела реестра, из списка запрещенных программ в редакторе локальной групповой политики или просто отключить (установить «Отключено» или «Не задано») измененную политику в gpedit.
Как поставить запрет на установку приложений?
Как блокировать установку приложений на Android:
- Открываем Google Play Market.
- Нажимаем на 3 полоски в левой области строки поиска и выбираем «Настройки».
- В разделе «Личные» нажимаем на «Родительский контроль».
- Активируем опцию и вводим PIN-код, который понадобится для установки приложений.
Как запретить пользователю установку программ
Политики секретности Windows позволяют ограничивать в правах пользователей, чьи действия могут нанести вред системе. Например, родители хотят контролировать установку игр детьми, а администратор рабочего компьютера считает, что только он имеет право инсталлировать новые программы.
- Как запретить пользователю установку программ
- Как ограничить доступ к приложению
- Как избежать установки нежелательных программ при загрузке бесплатного программного обеспечения
Для настройки запретов вам потребуются права администратора. Вызывайте командную строку, используя сочетание Win+R, и введите команду secpol.msc. Откроется окно оснастки «Локальные параметры безопасности».
Раскройте «Политики ограниченного использования программ». В разделе «Тип объекта» двойным щелчком разверните пункт «Назначенные типы файлов». В окне свойств перечислены типы файлов, которые будут считаться исполняемым кодом.
Вам нужно убрать из этого списка программы, которые могут быть установлены другими пользователями. Например, если кто-то из них работает с таблицами Excel или базами данных Access, отметьте в списке эти пункты и нажмите «Удалить». Удалите также LNK – «Ярлык». Нажмите ОК для подтверждения.
Двойным щелчком раскройте пункт «Принудительный» и переведите переключатель «Применять политики ограниченного использования…» в положение «Для всех, кроме локальных администраторов». Раскройте папку «Уровни безопасности» и двойным щелчком разверните пункт «Неограниченный». Нажмите «По умолчанию» и ОК для подтверждения.
Раскройте папку «Уровни безопасности» и двойным щелчком разверните пункт «Неограниченный». Нажмите «По умолчанию» и ОК для подтверждения.
Теперь остальные пользователи смогут запускать только установленные вами или системой программы. По умолчанию они находятся в папках Program Files и SystemRoot. Если какие-то программы находятся в других разделах, их нужно добавить в список разрешенных.
Разверните оснастку «Дополнительные правила» и в разделе «Имя» щелкните правой клавишей по свободному месту. Выберите команду «Создать правило для пути» и укажите путь к папке, где лежат разрешенные программы.
Чтобы пользователи не могли скопировать в эти папки запрещенный софт, настройте на них разрешения. Щелкните правой клавишей по ярлыку папки и выбирайте «Общий доступ и безопасность». В закладке «Безопасность» выставьте разрешения для каждой из групп пользователей.
Нажмите «Дополнительно» и перейдите в закладку «Разрешения». Выберите группу пользователей, нажмите кнопку «Изменить» и в новом окне отметьте флажками действия, которые разрешены или запрещены этой группе.
Запретить установку программ с помощью реестра (Windows 7)
Здесь нам понадобится через меню Пуск нажать по вкладке «Выполнить…» и ввести следующую команду – regedit.exe. Перед нами откроется окно, в котором будет необходимо точно последовать по данному пути, чтобы добраться до цели:
Затем, в пункте «DisallowRun» создаем текстовый параметр под названием 1 и добавляем в него название исполнительного файла приложения, имеющего расширение .exe.
К примеру, если надо блокировать msiexec, то требуется всего-навсего создать текстовый параметр 1 и инициализировать его строкой «msiexec.exe» Если надо запретить больше приложений, то соответственно потребуется сделать дополнительные текстовые параметры с названиями 2, 3, 4 и так далее, а затем присвоить им названия EXE-файлов приложений и готово.
После этого вам понадобиться только перезагрузить компьютер.
Стоит упомянуть, что в зависимости от версии Windows: «максимальная», «базовая», «профессиональная», а также от ее сборки, некоторые названия имен могут быть изменены, а последовательно чуть-чуть другая – но не радикально. Но все команды будут функционировать на любой версии, также, как и сделанная работа.
