Як використовувати групові політики Windows для контролю за програмами
Всім доброго часу доби і всього такого іншого-різного.
Частенько мене запитують про те як заблокувати надходження використовувати ті чи інші програми, їх установку, а так само відкривати різні типи файлів (які йому не потрібні і можуть принести шкоду) і все таке інше. В общем-то для початківців енікейщіков, системних адміністраторів та іншого роду I T -шніков, - це досить популярне питання.
І питання це небезпідставний, бо обмеження нерозумного користувача в правах частенько сильно спрощує роботу, підвищує безпеку і все таке інше.
До того ж, корисно це буває не тільки для тих, хто працює в IT -сфери, а й просто для користувачів, які хочуть захистити себе від різних вірусів, надбудов і тп. До слова, цю методику можна ще і використовувати як батьківський контроль.
Загалом, давайте приступимо.
Базове адміністрування політики обмеженого використання програм
Інструмент цей простий і в общем-то, повинен бути відомий приблизно кожному, благо він існує досить давно, а та й застосовується всякими айтішників (і не тільки) багатьма повсюдно.
У деяких версіях систем його немає (типу Home Edition), але в більшості присутній. Перераховувати всі немає великого бажання, благо наявність такої підтримки Ви можете зробити за лічені хвилини, власне, спробувавши відкрити цей інструмент.
Ця радість зветься Software Restriction Policies (SPR), що умовно можна перевести як політики обмеженого використання програм (про що і написано в підзаголовку).
Запустити можна через "Пуск - Виконати (Win + R) - secpol.msc":
Або через Адміністрування, яке живе по дорозі "Пуск - Налаштування - Панель управління - Адміністрування - Локальна політика безпеки - Політики обмеженого використання програм". Виглядає наступним чином:
Тут, для початку, тикаємо правою кнопкою мишки по назві "папки", тобто "Політики обмеженого використання програм" і вибираємо пункт "Створити політику обмеженого використання програм".
Далі необхідно буде визначитися з, для початку, первинними налаштуваннями і зробити їх. Для цього натиснемо правою кнопкою мишки на пункті "Застосування" і вибираємо підпункт "Властивості". Тут (див. скріншот вище) можна залишити все за умовчанням, або включити застосування до всього без виключень (за замовчуванням стоїть ігнорування DLL) і, наприклад, переключити пункт застосування обмеженою політики до всіх крім локальних адміністраторів (при обліку, що у Вас акаунти розмежовані на адміністраторкіе і призначені для користувача) .
Далі, попередньо зберігши зміни, тиснемо правою кнопкою мишки на пункті "Призначені типи файлів" і знову вибираємо підпункт "Властивості". Тут можна керувати дозволами, що визначають поняття виконавчого коду, які ми надалі заборонимо до використання. Можете налаштувати на свій розсуд, в залежності від цілей і завдань, які Ви ставите перед собою, але поки ми залишимо все як є.
Далі розгорнемо "папку" і перейдемо до наступної гілку, тобто в "Рівні безпеки". Тут можна управляти рівнями безпеки, в тому числі задавати такі за замовчуванням, експортувати списки і тд і тп.
Найпростішим, для тесту, рішенням тут буде задати рівень безпеки "Заборонено" за замовчуванням (для чого тиснемо по ньому правою кнопкою мишки і тиснемо відповідну кнопку), після чого, коли Ви погодитеся з повідомленням, обмеження буде активовано.
Тепер при запуску програм, якщо Ви не видалили зі списку розширень EXE, Ви будете бачити повідомлення як на скріншоті вище. Власне, можна видалити розширення як таке, а можна піти більш хитрим шляхом і, наприклад, видалити тільки розширення LNK, тобто ярлик.
Тоді, власне, користувач зможе запускати тільки той софт на який у нього є ярлик на робочому столі. Спосіб звичайно спірне, але в загальному-то цілком собі такий хитрий (навіть якщо користувач вміє редагувати ярлики, хоча і це можна йому заборонити).
Як Ви розумієте, власне, глобальні правила на все в комп'ютері і маніпулювання дозволами тільки ярликами не їсти гуд, тому добре б поставити якісь папки, звідки можна запускати додатки з сторонніх папок (за замовчуванням, в залежності від системи, дозволу можуть бути задані з системних папок, тобто з Windows і ProgramFiles).
Для цього переходимо на вкладку "Додаткові правила" і жамкаем правою кнопкою мишки на порожньому місці, вибираючи пункт "Створити правило для шляху", де задаємо шлях і дозвіл або заборона для користувача.
Таким же чином, як Ви вже, сподіваюся, зрозуміли, регламентується заборона чи приховати по хешу, зонам мереж або сертифікату.
У двох словах, власне, як-то ось так.
до змісту ↑Післямова
Сподіваюся, що комусь буде корисним і хтось дійсно не знав нічого про політиків, які, до слова, дуже важливий інструмент в адмініструванні будь-якого типу.
Як і завжди, якщо є якісь питання, думки доповнення і все таке інше, то ласкаво просимо в коментарі до цього запису.
Ми в соц.сетях: ВК Facebook Twitter Telegram