Ограничение запуска программ в Windows

Как известно, во многих организациях пользователи работают на своих персональных компьютерах под учетной записью администратора и имеют неограниченные полномочия для установки и запуска любых программ, в том числе игрушек. Так же известно, что их начальство очень не любит, когда подчиненные вместо того, чтобы приносить пользу организации предаются игрищам, а многие начинающие начальники IT отделов пытаются бороться с данной проблемой административными мерами, сочиняя различные распоряжения.

Сегодня мы рассмотрим, как можно ограничить запуск программ штатными средствами Windows XP Professional. 

Для этого существует оснастка «Локальная политика безопасности», попасть куда можно, выполнив Пуск -> Настройка -> Панель управления -> Администрирование.

По умолчанию политика не определена, ее необходимо создать, для чего кликнув правой кнопкой мыши по ней выбираем в меню «Действие» пункт «Создать политики ограниченного использования программ».

В результате мы видим две появившиеся вкладки: «Уровень безопасности» и «Дополнительные правила».

В уровне безопасности создались два правила: «Не разрешено» и «Неограниченный», причем по умолчанию установлен уровень «Неограниченный», эти два уровня определяют, что делать с программой в правиле – разрешать или запрещать ее выполнение, данную вкладку мы оставим без изменения.

А вот запрещать запуск программ, не относящихся к служебной деятельности сотрудников мы будем во вкладке «Дополнительные правила». Первый и самый простой способ запретить запуск ПО – это запрет накладываемый на запуск по пути исполняемого файла. Делаем правый клик мыши и выбираем пункт «Создать правило для пути», в открывшемся окне по кнопке «Обзор» выбираем программу, задаем уровень безопасности «Не разрешено» и составляем описание для правила.

Но что делать, если пользователь продвинутый и додумался к примеру принести пасьянс «Косынка»  на флешке и скопировать его в папку «Мои документы» или же просто изменил имя файла ? Тут нам на помощь приходит возможность создавать правила для файлов не по их именам и пути, а по их хешу. Те, кто пользуется торрент-трекерами наверняка знают, что хэш – это своего рода цифровой отпечаток файла, то есть мы можем изменить имя файла или его расширение, но его хеш останется не изменен.

Итак, создадим правило на основе хэш-функции файла, в окне обзор выбираем файл, сразу видно, что вместо пути и имени файла появляется его хэш-код, и информация о файле, теперь зададим необходимый уровень безопасности и описание правила.

В данном примере видно, что если даже пользователь принесет на флешке игру «Сапер», то он ее все равно не сможет запустить.

Немного послесловия. Если у Вас поднят домен, то Вам не понадобится каждый раз устанавливать политики на каждом компьютере пользователя.

Данным способом Вы также можете ограничить запуск вирусов, блуждающих в Вашей локальной сети :)

 

Комментарии  

 
0 #31 paid file sharing 01.05.2014 23:33
Gгeat weblog right here! AԀditionally your site rather a
lot up very fast! What host are you using? Can I am gеtting your associate link in уour host?

I wish my site loaded սp as fast as yours lol
Цитировать
 
 
0 #30 спасибо 18.01.2013 23:56
спасибо
Цитировать
 
 
0 #29 19.01.2011 02:10
Цитирую проф.Алекс:
... помнится притащили однажды игрушку, вот чтобы сотрудники не "заигрались", EXE-шник заблочили по хешу.

О-у, а социальное безумство?
---
Здесь столько людей и животных,
Что я иногда начинаю их путать
---
Эт я о социальных сетях. Да я в шоке - даже у взрослых людей (тех, которых я знаю, и они меня тоже знают) наблюдается раздвоение личности. Пишут одно, а когда дело доходит до реальности они мне "напоминают": "Так это ж мы по компутеру писали. Это не серйозно"
---
А-а-а, блин, ну я же стою перед тобой, мы сейчас разговариваем на улице - это что тоже не серйозно?
---
Я с такими даже в реальном мире стараюсь не общаться. Это прям трындэй к0к0й-т0...
Цитировать
 
 
0 #28 19.01.2011 01:20
Цитирую povierennyy:
Блокировка по хешу мучительное и скучное дело: Это ж скоко нужно файлов заблокировть? И сколько неизвестных останется?

Все блокировать нет необходимости. У нас в одном из отделов помнится притащили однажды игрушку, вот чтобы сотрудники не "заигрались", EXE-шник заблочили по хешу.
Цитирую povierennyy:
Все таки интересно какой смысл в скраытии" дисков по рецепту Микрософта? %))))

Это у Стива Балмера надо спросить
Цитировать
 
 
0 #27 18.01.2011 14:30
Цитирую проф.Алекс:
Можно еще USB раземы выпаять c материнской платы. )))
...
Вообще блокировку по по хешу эффективно использовать в домене при возникновении новых вирусных угроз, а также с целью оградить сотрудников от компьютерных игр. :roll:

Ну про паяльник это уже слишком. Блокировка по хешу мучительное и скучное дело: Это ж скоко нужно файлов заблокировть? И сколько неизвестных останется?
---
Все таки интересно какой смысл в скраытии" дисков по рецепту Микрософта? %))))
Цитировать
 
 
0 #26 18.01.2011 04:18
Цитирую povierennyy:
Ну и еще можна отключить в свойствах системы контроллер юсб. Понятно что юсб вообще не будет работать. Ни принтеры, ни видеокамеры... Также можно отклюсить испольщование USB прям в BIOS - тоже все юсб устройства не будут работать.

Можно еще USB раземы выпаять c материнской платы. )))
Цитирую povierennyy:
И еще: Если вас задалбывают вирусы запускающиеся про втыкании флешки или CD\DVD-диска, то можно отключить автохапуск. Назодится оно где-то возле "Проводник" в политике безоп.

Как отключить автозапуск я уже писал.
http://sariolla.ru/index.php?option=com_content&view=article&id=48:anti-autorun&catid=31:viruslist&Itemid=57

Вообще блокировку по по хешу эффективно использовать в домене при возникновении новых вирусных угроз, а также с целью оградить сотрудников от компьютерных игр.
Цитировать
 
 
0 #25 17.01.2011 22:44
Ну и еще можна отключить в свойствах системы контроллер юсб. Понятно что юсб вообще не будет работать. Ни принтеры, ни видеокамеры... Также можно отклюсить испольщование USB прям в BIOS - тоже все юсб устройства не будут работать.
---
А зачем вам прятать диски? Какая цел ь стоит перед вами?
---
Не совсем помог, но уже кое-что. А-а-а, чуть не забыл - еще можно глянуть в СЛУЖБЫ. Там что то было связаное с подключаемыми устройствами. Если ту службу (сервис не запускать то НАВЕРНОЕ устройства подключатся не будут.
---
И еще: Если вас задалбывают вирусы запускающиеся про втыкании флешки или CD\DVD-диска, то можно отключить автохапуск. Назодится оно где-то возле "Проводник" в политике безоп.
Цитировать
 
 
0 #24 17.01.2011 22:32
Про реестр и добавление дополнительный пуктов можете прочесть в справочной системе виндовс., набрав в строке поиска скрыть диск. Я рисунок прилагаю :) - http://povierennyy.hmarka.net/lou/hidden.jpg , но я не редактировал adm-файлы и реестр именно по поводу скритыя дисков, и не знаю что и как там. Поэтому будьте осторожны.
---
Но я думаю (хотя я не проверял!), что также можно запретить доступ к внешним, используя XPTweaker. Там можно отметить все диски к которым надо запретить доступ. Но к сожаления, наверное такие ограничение касаються только експлоера(?). рис - http://povierennyy.hmarka.net/lou/xptweaker.jpg
--
Но где же я видел или может действительно такой политики несуществует?... хм-м...
Цитировать
 
 
0 #23 17.01.2011 21:58
Администрирован ие. ЛОКАЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ, Локальные политики, Параметры безопасности, Устройства: разрешать форматирование и извлечение съемных носителей
---
Этот параметр безопасности определяет, кому разрешено форматирование и извлечение съемных NTFS-носителей.
---
Хм-м, а что же делать не из NTFS ?
Цитировать
 
 
0 #22 17.01.2011 21:40
Хотелось бы спросить Билла какая разница в ЗАПРЕТИТЬ и СКРЫТЬ диски. И какой смысл, если другие программы позволяют получать доступ к "скрытым" дискам.?
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Полезные ссылки