Блокировка установки нежелательных программ. Изменение уровня контроля учётных записей

Фев 11 2012

Ограничение использования приложений в Windows 7

1. Отключение или ограничение использования установщика Windows (Windows Installer) с помощью Групповой политики.

Windows Installer (msiexec.exe), является средством для установки, обслуживания и удаления программного обеспечения системы Windows.

Для того, чтобы установить запрет на установку приложений для всех пользователей, откройте редактор Групповых политик (gpedit.msc) и откройте раздел Конфигурация компьютера (Computer Configuration) – Административные шаблоны (Administrative Tеmplates) – Компоненты Windows (Windows Components) – Установщик Windows (Windows Installer).В правой части окна Настройки (Settings) выберите строку Отключить Windows Installer (Disable Windows Installer) и дважды щелкните по ней. Значение Disable – отключает возможность установки программ, значение Enable включает ее. Тут все просто.

Запретить же установку приложений конкретному пользователю (учетной записи) можно путем создания соответствующей оснастки. Для этого откройте консоль mmc (в меню Пуск – Поиск) и в меню Файл выберите Добавить оснастку. Откроется список всех доступных компонентов системы. Выберите Group Police (Групповые политики), нажмите стрелку вправо для добавления, а затем нажмите кнопку Browse (Обзор). Выберите вкладку Users (Пользователи), нужную учетную запись и нажмите Ок, а потом Finish (Готово).

После этого повторите действия, описанные мною выше, только теперь запрет на установку программ будет распространяться лишь на выбранного пользователя.

2) Всегда производить установку с повышенными привилегиями.

В редакторе Групповой политики, перейдите к Конфигурация пользователя — Административные шаблоны — Компоненты Windows. Прокрутите ползунок вниз и выберите установщик Windows и Allwaus install with elevated privileges (Всегда производить установку с повышенными привилегиями).

Этот параметр предписывает Windows Installer использовать системные разрешения при установке любой программы в системе.

Эта настройка распространяется на повышенные привилегии для всех программ. Эти привилегии, как правило, зарезервированы для программ, которые были назначены для пользователя (предлагается на рабочем столе), отнесенные к компьютеру (устанавливается автоматически), или доступны в Установка и удаление программ на панели управления. Этот параметр позволяет пользователям устанавливать программы, которые требуют доступа к каталогам, на которые пользователь может не иметь разрешения для просмотра и изменения.

Примечание: если вы отключите эту опцию или не настроите ее, система будет применять разрешения текущего пользователя (или администратора) при установке программ, т.е. с обычными правами. Этот параметр отображается в редакторе Групповых политик как в разделе Конфигурация компьютера, так и в Конфигурация пользователя. Чтобы этот параметр вступил в силу, его необходимо задать в обоих разделах.

3) Не запускать указанные приложения для Windows.

В редакторе Групповой политики перейдите к Конфигурация пользователя — Административные шаблоны – Система.

Здесь, в боковой панели справа, дважды щелкните Не запускать указанные приложения Windows (Do not run specified Windows applications), и в новом окне, которое откроется, выберите Включено . Теперь разделе Параметры выберите команду Показать (Show). Нажмите Add (Добавить) и в новом окне введите путь, который открывает приложение, которое вы хотите запретить, в данном случае: msiexec.exe .

Это позволит запретить работу Windows Installer, который расположен в C:\Windows\System32\msiexec.exe.

Если этот параметр включен, пользователи не могут запускать программы, которые вы добавляете в список запрещенных приложений.

Примечание: если пользователи имеют доступ к командной строке (cmd.exe) , этот параметр не мешает им осуществлять запуск программ в окне командной строки.

Почти каждая настройка в ОС Windows помимо Групповых политик дублируется в редакторе системного реестра. Но не многие знают, что в сети существует он-лайн севис MSDN , в котором содержится структурированная справочная информация о настройке огромного количества функций Windows через системный реестр. Пользоваться им удобно, нужно лишь знать английский язык. Кроме того, есть также аналогичный справочник в формате документа Exel, который вы можете скачать .

Предварительно сделайте бэкап нижеуказанной ветки реестра, или создайте точку восстановления.

Откройте редактор реестра (regedit.exe ) и перейдите в следующий раздел:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun

Создайте в разделе DisallowRun строковой параметр с именем 1 и установите в его значение название EXE-файла программы.

Примечание: если раздел DisallowRun отсутствует, создайте его.

Например, если вы хотите ограничить мsiexec, создайте строковой параметр 1 и установите его значение в msiexec.exe . Если вы хотите ограничить больше программ, то просто создать больше строковых параметров с именами 2, 3 и так далее, и установите их значения в EXE-программы. Перезагрузите компьютер.

В Панели управления откройте апплет Учетные записи пользователей – Управление другой учетной записью. Выберите нужную учетную запись пользователя и установите для нее Родительский контроль:

В следующем окне включите Родительский контроль и Ограничение на запуск программ:

После построения списка, выберите те программы, которые разрешено запускать пользователю. Если в списке нужная программа отсутствует, ее можно добавить вручную, нажав кнопку Обзор.

Нажмите Ок.

Примечание: есть некоторые условия для разрешения/запрета запуска приложений при помощи Родительского контроля. Во-первых, учетная запись пользователя, для которого вы вводите ограничения должна быть с Обычными правами. Во-вторых, настройка Родительского контроля должна осуществляться с учетной записи, имеющей права Администратора , что очевидно. И в третьих, учетная запись Администратора должна быть защищена паролем .

Ну вот и все. Желаю успешного применения советов, о которых я рассказал в этой статье.

Windows 10 поступила в продажу 2015 году, но многие пользователи уже хотят устанавливать и настраивать нужные для работы приложения, несмотря на то, что некоторые из них ещё не обновились для безупречной работы в этой версии операционной системы.

Как узнать, какие программы установлены в Windows 10

Кроме традиционного списка программ, который можно просмотреть, открыв пункт «Программы и компоненты» в «Панели управления», в Windows 10 узнать, какие приложения установлены на компьютер, можно через новый системный интерфейс, которого не было в Windows 7.

Открытие списка программ из основных настроек Windows

В отличие от предыдущих версий Windows, попасть в список имеющихся приложений можно, пройдя путь: «Пуск» - «Параметры» - «Система» - «Приложения и возможности».

Чтобы узнать дополнительную информацию о программе, щёлкните по её названию

Вызов списка программ из поисковой строки

Откройте меню «Пуск» и начните вводить слово «программы», «удаление» или словосочетание «удаление программ». Поисковая строка выдаст два результата поиска.

В последних версиях Windows можно найти программу или компонент по названию

«Установка и удаление программ» - название этого компонента в Windows XP. Начиная с Vista, оно поменялось на «Программы и компоненты». В поздних версиях Windows Microsoft вернули менеджеру программ прежнее название, как и кнопку «Пуск», которую было убрали в некоторых сборках Windows 8.

Запустите «Программы и компоненты», чтобы сразу попасть в менеджер приложений Windows.

Как запустить в Windows 10 несовместимую программу

Приложения для Windows XP/Vista/7 и даже 8, ранее работавшие без проблем, в подавляющем большинстве случаев не работают в Windows 10. Сделайте следующее:

1. Выберите «проблемное» приложение правой кнопкой мыши, кликните «Дополнительно», а затем «Запуск от имени администратора». Есть и более простой запуск - через контекстное меню значка пускового файла приложения, а не только из меню ярлыка программы в главном меню Windows.

   Права администратора дадут возможность применить все настройки работы приложения

2. Если способ помог, сделайте так, чтобы приложение всегда запускалось с правами администратора. Для этого в свойствах во вкладке «Совместимость» поставьте галочку напротив «Выполнять эту программу от имени администратора».

   Поставьте галочку напротив «Выполнять эту программу от имени администратора»

3. Также во вкладке «Совместимость» кликните на «Запустить средство устранения проблем с совместимостью». Откроется мастер устранения неполадок с совместимостью программ Windows. Если же вы знаете, в какой из версий Windows программа запускалась, то в подпункте «Запустить программу в режиме совместимости с» из списка ОС выберите нужную.

   Мастер устранения проблем с запуском старых программы в Windows 10 предлагает дополнительные настройки совместимости

4. Если вашей программы нет в списке, выберите пункт «Нет в списке». Так делают при запуске portable-версий программ, переносимых в Windows обычным копированием в папку Program Files и работающих напрямую без стандартной установки.

   Выберите ваше приложение из списка или оставьте параметр «Нет в списке»

5. Выберите способ диагностики приложения, которое упорно отказывается работать, несмотря на ваши предыдущие попытки запустить его.

   Для ручного указания режима совместимости выберите «Диагностика программы»

6. Если вы выбрали стандартный метод проверки, Windows спросит вас, с какими её версиями программа работала хорошо.

   Информация о версии Windows, в которой запускалась нужная программа, передастся в Microsoft для решения проблемы, связанной с невозможностью открыть её в Windows 10

7. Даже если вы выбрали неутвердительный ответ, Windows 10 проверит информацию о работе с данным приложением в интернете и попытается вновь её запустить. После этого можно закрыть помощник по совместимости программ.

В случае полного провала всех попыток запустить приложение есть смысл его обновить или сменить на аналог - редко, но бывает, что при разработке программы в своё время не была реализована всесторонняя поддержка всех будущих версий Windows. Так, положительным примером служит приложение Beeline GPRS Explorer, выпущенное в 2006 году. Оно работает и с Windows 2000, и с Windows 8. А отрицательным - драйверы для принтера HP LaserJet 1010 и сканера HP ScanJet: данные устройства продавались в 2005 году, когда ни о какой Windows Vista компания Microsoft даже не упоминала.

Также помочь с проблемой совместимости могут:

• декомпиляция или разбор установочного исходника на компоненты с помощью специальных программ (что не всегда может быть законно) и установка/запуск их по отдельности;
• установка дополнительных DLL-библиотек или системных файлов INI и SYS, о нехватке которых система может сообщить;
• переработка частей программного кода исходника или рабочей версии (программа установлена, но не работает), чтобы упрямое приложение всё-таки запустилось на Windows 10. Но это уже задача для разработчиков или хакеров, а не для рядового пользователя.

Видео: работа с мастером совместимости программ в Windows 10

Как назначить приложению в Windows 10 приоритет

Любой программе соответствует определённый процесс (несколько процессов или копии одного процесса, запущенные с разными параметрами). Каждый процесс в Windows разделяется на потоки, а те, в свою очередь, «расслаиваются» далее - на дескрипторы. Не будь процессов, не работали бы ни сама операционная система, ни сторонние программы, которыми вы привыкли пользоваться. Приоритизация определённых процессов позволит ускорить программы на старом «железе», без которых невозможна быстрая и эффективная работа.

Назначить приложению приоритет можно в «Диспетчере задач»:

Не экспериментируйте с низким приоритетом для жизненно важных процессов самой Windows (например, процессы службы Superfetch). Система Windows может начать давать сбои.

Задать приоритет можно и сторонними приложениями, например, с помощью программ CacheMan, Process Explorer и ещё многих аналогичных приложений-менеджеров.

Чтобы оперативно управлять быстродействием программ, нужно разобраться, какой процесс за что отвечает. Благодаря этому вы меньше, чем за минуту, отсортируете наиболее важные процессы по их приоритету и назначите им максимальное значение.

Видео: как назначить приложению наивысший приоритет в Windows 10

Как установить программу в автозагрузку на Windows 10

Самый быстрый способ включить автостарт программы при запуске Windows 10 - через уже знакомый «Диспетчер задач». В предыдущих версиях Windows эта функция в нём отсутствовала.

Автостарт большого количества приложений после начала нового сеанса работы с Windows - расточительство системных ресурсов ПК, которое следует резко ограничить. Остальные способы - редактирование системной папки «Автозагрузка», настройка функции автозапуска в каждом из приложений (если такая настройка имеется) являются классическими, «перекочевавшими» в Windows 10 ещё из Windows 9x/2000.

Видео: включение автостарта приложения через реестр и «Планировщик заданий»

Как запретить установку программ в Windows 10

В прежних версиях Windows, например, на Vista, достаточно было запретить запуск любых новых приложений, включая установочные исходники типа setup.exe. Никуда не делся также родительский контроль, который не позволял запускать программы и игры с дисков (или иных носителей) или скачивать их из интернета.

Установочный исходник - это инсталляционные пакетные файлы.msi, упакованные в один файл.exe. Несмотря на то, что установочные файлы являются неустановленной программой, они всё же остаются исполняемым файлом.

Запрет запуска сторонних программ

В этом случае игнорируется запуск любых сторонних.exe-файлов, включая установочные, кроме получаемых из магазина приложений Microsoft.

Теперь запуск файлов.exe, скачиваемых с любых других сайтов и получаемых через любые накопители и по локальной сети, будет отклоняться вне зависимости от того, готовые ли это программы или инсталляционные исходники.

Видео: как разрешить использование приложений только из «Магазина Windows»

Запрет всех программ через настройку политики безопасности Windows

Чтобы запретить скачивание программ через настройку «Локальной политики безопасности», требуется учётная запись администратора, которую можно включить, введя в «Командную строку» команду «net user Администратор /active:yes».

1. Откройте окно «Выполнить», нажав Win + R, и введите команду «secpol.msc».

   Нажмите «OK», чтобы подтвердить введённое

2. Кликните по «Политики ограниченного использования программ» правой кнопкой мыши и выберите в контекстном меню «Создать политику ограниченного использования программ».

   Выберите пункт «Создать политику ограниченного использования программ», чтобы создать новый параметр

3. Зайдите в созданную запись, кликните правой кнопкой мыши на пункте «Применение» и выберите «Свойства».

   Для настройки прав необходимо зайти в свойства пункта «Применение»

4. Поставьте ограничения для обычных пользователей. Администратор не должен ограничивать эти права, т. к. ему может понадобиться изменение настроек - иначе он не сможет запускать сторонние программы.

   Права администраторов ограничивать не нужно

5. Кликните правой кнопкой мыши по «Назначенные типы файлов» и выберите «Свойства».

   В пункте «Назначенные типы файлов» можно проверить, есть ли запрет на запуск файлов-установочников

6. Удостоверьтесь, на месте ли в списке запретов расширение.exe. Если нет, добавьте его.

   Сохраните, нажав «OK»

7. Перейдите в раздел «Уровни безопасности» и включите запрет, установив уровень «Запрещено».

   Подтвердите запрос на изменение настройки

8. Закройте все незакрытые диалоговые окна, нажав «OK», и перезапустите Windows.

Если всё сделано верно, первый же запуск любого файла.exe будет отклонён.

Исполнение файла-установочника отклонено политикой безопасности, которую вы изменили

Смена места автоматического сохранения скачанных приложений в Windows 10

Когда диск C переполнен, на нём мало места из-за обилия сторонних приложений и личных документов, которые вы ещё не перенесли на другие носители, стоит сменить место автоматического сохранения приложений.

1. Откройте меню «Пуск» и выберите «Настройки».
2. Выберите компонент «Система».

   Выберите «Система»

3. Зайдите в «Хранилище».

   Выберите подраздел «Хранилище»

4. Следуйте вниз, где указываются данные о сохранении местоположений.

   Просмотрите весь список в поисках метки диска для приложений

5. Найдите элемент управления установкой новых приложений и измените диск C на другой.
6. Закройте все окна и перезапустите Windows 10.

Теперь все новые приложения будут создавать папки не на диске C. Старые вы при необходимости сможете перенести, не переустанавливая Windows 10.

Видео: как изменить место сохранения скачанных приложений в Windows 10

Как удалить уже установленные программы в Windows 10

В предыдущих версиях Windows удалять программы можно было, пройдя путь «Пуск» - «Панель управления» - «Установка и удаление программ» или «Программы и компоненты». Этот способ и по сей день является верным, однако наряду с ним существует ещё один - через новый интерфейс Windows 10.

Классическая схема удаления приложений Windows

Воспользуйтесь популярнейшим способом - через «Панель управления» Windows 10:

Часто установщик Windows запрашивает подтверждение на удаление выбранной программы. В иных случаях - это зависит от разработчика стороннего приложения - сообщение-запрос может быть на английском, несмотря на русскоязычный интерфейс версии Windows (или на ином языке, например, китайском, если приложение не имело хотя бы английского интерфейса, например, оригинал программы iTools), или не появляться вообще. В последнем случае удаление приложения произойдёт сразу.

Чтобы удалить программу через новый интерфейс Windows 10 откройте «Пуск», выберите «Параметры», дважды кликните на «Система» и нажмите на «Приложения и возможности». Щёлкните правой кнопкой мыши по ненужной программе и удалите её.

Выберите приложение, кликните по нему правой кнопкой мыши и выберите в контекстном меню «Удалить»

Удаление обычно происходит безопасно и полностью, исключая изменения системных библиотек или драйверов в папке Windows, общих файлов папки Program Files или Program Data. В случае неустранимых неполадок воспользуйтесь установочным носителем Windows 10 или встроенным в Windows мастером «Восстановление системы».

Видео: удаление программ в Windows 10 с помощью стандартных и сторонних утилит

Почему Windows 10 блокирует установку программ

Блокировка установки программ, введённая Microsoft, была создана в ответ на многочисленные жалобы, связанные с предыдущими версиями Windows. Миллионы пользователей помнят SMS-вымогатели в Windows XP, маскировщики под системный процесс explorer.exe в Windows Vista и Windows 7, «кейлоггеры» и прочую гадость, приводящую к зависанию или блокировке «Панели управления» и «Диспетчера задач».

Windows 10 отказывается устанавливать uTorrent, так как не удалось проверить автора или фирму-разработчика

Способы отключения защиты от непроверенных программ

Защиту эту, когда вы уверены в безопасности программы, можно и нужно отключить.

В её основе компонент UAC, следящий за учётными записями и цифровыми подписями устанавливаемых программ. Обезличивание (удаление подписей, сертификатов и лицензий из программы) часто оказывается уголовно наказуемым делом. К счастью, защиту можно временно отключить из настроек самой Windows, не прибегая к опасным действиям.

Изменение уровня контроля учётных записей

Сделайте следующее:

Запуск установки приложений из «Командной строки»

Если запустить установку понравившейся программы по-прежнему не удаётся, воспользуйтесь «Командной строкой»:

Скорее всего, ваша проблема будет решена.

Почему долго устанавливаются программы на Windows 10

Причин много, как и способов решения проблем:

1. Проблемы с совместимостью наиболее старых приложений с ОС. Система Windows 10 появилась всего пару лет назад - не все известные издатели и «мелкие» авторы выпустили версии для неё. Может потребоваться указание более ранних версий Windows в свойствах пускового файла программы (.exe) вне зависимости от того, установочный ли это исходник или уже установленное приложение.
2. Программа представляет собой установщик-загрузчик, скачивающий пакетные файлы с сайта разработчиков, а не полностью готовый к работе оффлайн-инсталлятор. Таковы, например, движок Microsoft.Net Framework, Skype, Adobe Reader последних версий, обновления и исправления Windows. В случае исчерпания скоростного трафика или перегрузки сети в час пик при низкоскоростном тарифе провайдера, выбранном в целях экономии, загрузка инсталляционного пакета может затянуться на часы.
3. Ненадёжное соединение LAN при установке одного приложения на несколько похожих компьютеров в локальной сети с одной и той же сборкой Windows 10.
4. Носитель (диск, флешка, внешний накопитель) изношен, повреждён. Слишком долго читаются файлы. Серьёзнейшая проблема - это незаконченная установка. Недоустановленная программа может не заработать и не удалиться после «зависшей» установки - возможен откат/переустановка Windows 10 с установочной флешки или DVD.

   Одной из причин долгой установки программы может стать повреждённый носитель

5. Файл установщика (архив.rar или.zip) неполный (сообщение «Неожиданный конец архива» при распаковке.exe-установщика перед его запуском) или повреждён. Скачайте версию поновее с другого сайта, какую найдёте.

   Если архив с установщиком повреждён, то установить приложение не получится

6. Ошибки, недочёты разработчика в процессе «кодинга», отладки программы перед её публикацией. Установка стартует, но зависает или продвигается вперёд очень медленно, потребляет много аппаратных ресурсов, задействует лишние процессы Windows.
7. Драйверы или обновления из центра обновления Microsoft требуются для работы программы. Установщик Windows автоматически запускает мастер или консоль загрузки недостающих обновлений в фоновом режиме. Рекомендуется отключить службы и компоненты, осуществляющие поиск и загрузку обновлений с серверов Microsoft.
8. Вирусная активность в системе Windows (любые трояны). «Заражённый» инсталлятор программы, внёсший беспорядок в работу процесса Windows Installer (клоны процесса в «Диспетчере задач», перегружающие процессор и оперативную память ПК) и его одноимённой службы. Не скачивайте программы из непроверенных источников.

   Клоны процессов в «Диспетчере задач» перегружают процессор и «съедают» оперативную память компьютера

9. Неожиданный выход из строя (износ, отказ) внутреннего или внешнего диска (флешки, карты памяти), с которого велась установка приложения. Весьма редкий случай.
10. Ненадёжное соединение USB-порта ПК с любым из накопителей, с которого велась установка, понижение скорости USB до норматива версии USB 1.2, когда система Windows выводит сообщение: «Это устройство может работать быстрее, если его подключить к высокоскоростному порту USB 2.0/3.0». Проверьте работу порта с другими накопителями, подключите ваш накопитель к другому порту USB.

    Подключите ваш накопитель к другому порту USB, чтобы исчезла ошибка «Это устройство может работать быстрее»

11. Программа загружает и устанавливает другие компоненты, которые вы в спешке забыли исключить. Так, приложение Punto Switcher предлагало «Яндекс.Браузер», «Элементы Яндекса» и другое ПО от своего разработчика ООО «Яндекс». Приложение «Mail.Ru Агент» могло загрузить браузер «Амиго.Mail.Ru», информер «Спутник@Mail.Ru», приложение «Мой Мир» и т. д. Подобных примеров много. Каждый раскрученный разработчик стремится навязать людям максимум своих проектов. За установки, переходы они получают деньги, а пользователей - миллионы, вот и вырастают внушительные суммы за инсталляцию приложений.

    В процессе установки программ стоит убирать галочки напротив настроек параметров, предлагающих установить ненужные вам компоненты

12. Игра, которая вам нравится, весит много гигабайт и является одиночной. Хотя производители игр делают их сетевыми (это всегда будет модно, такие игры наиболее востребованы), и сценарии подгружаются по сети, всё ещё есть шанс натолкнуться на произведение, в котором локальных уровней и эпизодов десятки. А графика, звук и оформление занимают много места, следовательно установка такой игры может занять полчаса-час, какова бы ни была версия Windows, какие бы возможности быстродействия она бы в себе ни таила: скорость внутреннего диска - сотни мегабит в секунду - всегда строго ограничена. Таковы, например, Call of Duty 3/4, GTA5 и им подобные.
13. Много приложений запущено как в фоновом режиме, так и с открытыми окнами. Закройте лишние. Почистите список автозапуска программ от ненужных, используя «Диспетчер задач», системную папку «Автозагрузка» или сторонние приложения, созданные для оптимизации быстродействия (например, CCleaner, Auslogics Boost Speed). Удалите неиспользуемые программы (см. инструкции выше). Приложения, которые вы всё же не хотите удалить, можно настроить (каждое из них), чтобы они не стартовали сами по себе - у каждой программы есть свои дополнительные настройки.

    Программа CCleaner поможет удалить все ненужные программы из «Автозагрузки»

14. Система Windows без переустановки работает уже давно. На диске C скопилось много системного мусора и ненужных личных файлов, не представляющих ценности. Выполните проверку диска, очистку диска и реестра Windows от ненужного хлама от уже удалённых программ. Если используете классические жёсткие диски, то сделайте дефрагментацию их разделов. Избавьтесь от ненужных файлов, которыми может быть переполнен ваш диск. В общем, наведите порядок в системе и на диске.

    Чтобы избавиться от системного мусора, выполните проверку и очистку диска

Управлять программами в Windows 10 не сложнее, чем в предыдущих версиях Windows. Если не считать новых меню и оформления окон, всё делается почти так же, как и раньше.

Если стационарным компьютером или ноутбуком в силу необходимости пользуется не один, а несколько пользователей, совершенно естественно, что каждый из них может устанавливать в систему программы, которые ему нужны для повседневной работы или развлечений. Это может приводить к непредсказуемым последствиям, которые касаются возможного нарушения функциональности операционной системы.

Запретить установку программ в Windows XP и в системах рангом выше одному или нескольким юзерам на общем уровне можно довольно просто. Однако самое логичное решение, состоящее в исключении пользователей из администраторской группы или повышении уровня контроля UAC, в седьмой версии Windows и более поздних модификациях системы эффекта не дает, поскольку в них все равно можно использовать старт инсталлятора как раз от имени администратора. Несмотря на это, несколько вариантов установки запрета применить все же можно.

Для его нужен запрет на инсталляцию программного обеспечения?

Для начала давайте кратко остановимся на том, почему и для чего нужно вводить такие запреты со стороны администратора.

Тут проблема даже не в том, что пользователь может установить совершенно ненужное программное обеспечение, а скорее в том, что в процессе инсталляции некоторых приложений очень часто может устанавливаться и огромное количество так называемого партнерского ПО (что многими пользователями в силу своей невнимательности часто игнорируется). Кроме того, такие под такие апплеты весьма успешно маскируются и некоторые вирусы (например, рекламного характера).

И вообще, инсталляция ненужных программных продуктов приводит к захламлению жесткого диска и к снижению быстродействия компьютера в случае, когда инсталлированные программы прописывают собственные настройки в автозагрузке системы и в системном реестре. А без специальных знаний и навыков произвести максимально полное удаление установленных приложений бывает чрезвычайно трудно, и на средства Windows лучше всего не рассчитывать.

Как запретить установку программ на Windows 7 в параметрах групповых политик?

Поскольку речь далее пойдет именно о седьмой модификации системы, отталкиваться будем от ее основных настроек и параметров. Но приводимые решения аналогично можно будет применять и в более поздних версиях ОС. Итак, как запретить установку программ на Windows 7 для всех пользователей на общем уровне, включая возможную инсталляцию, инициируемую самими приложениями, например, при обновлении? Сделать это можно через групповые политики. Доступ к редактору осуществляется командой gpedit.msc, которая прописывается в меню «Выполнить» (на пункте запуска задачи с правами администратора обязательно нужно поставить галочку).

В редакторе следует использовать разделы административных шаблонов и компонентов Windows, после чего выбрать в списке пункта запрета установщика. После этого через двойной клик следует войти в редактирование данного параметра, выставить его на включенное состояние и применить изменения.

Действия с оснасткой

В Windows 7 доступ к установке запретов на любые действия, выполняемые потенциальным пользователем системы, можно получить и через так называемую консоль управления оснасткой (mmc).

Здесь сначала через файловое меню нужно выбрать добавление новой оснастки, затем в списке доступных инструментов выделить групповые политики и кнопкой добавления внести ее в список окошка справа. В новом открывшемся окне кнопкой обзора следует вызвать еще одно окно, перейти на вкладку «Пользователи» и отметить того юзера, для которого должен действовать устанавливаемый запрет.

Кода оснастка будет добавлена через меню «Файл», ее нужно сохранить, используя для этого стандартную методику с присвоением в качестве названия зарегистрированного имени админа. После этого нужно повторить вышеописанные действия в но в этом случае установка программ в Windows 7 будет запрещена только для выбранного пользователя.

Примечание: при необходимости можно создать несколько оснасток или выставить запреты для всех зарегистрированных юзеров.

Как запретить установку программ Windows 7 пользователю с помощью параметров родительского контроля?

Для выставления запретов можно воспользоваться еще одним методом, который, по свидетельству большинства специалистов, является наиболее простым и не требует особых знаний системного инструментария. Как запретить установку программ на Windows 7 и системах выше с помощью этого инструмента? Для этого в «Панели управления» нужно использовать раздел управления учетными записями с выбором пункта установки родительского контроля.

Далее просто отмечается пользователь, для которого будет выставлен запрет, и активируется соответствующий параметр ограничения запуска программ. Система автоматически создаст список приложений, которые можно заблокировать, но, если программа найдена не будет, через кнопку обзора путь к ней можно указать самостоятельно.

Но, судя по советам специалистов, нужно четко понимать, что недостаток этой методики состоит в том, что можно всего лишь ограничить старт установленных приложений, а не тех, которые пользователь собирается инсталлировать, хотя при желании можно добавить в список и установщики Windows.

Установка запрета в реестре

Говоря о том, как запретить установку программ на Windows 7 касательно ограничения запуска самих приложений или инсталлятора системы, можно применить и не менее действенный способ, состоящий в изменении специально отвечающего за это ключа в реестре (regedit).

Раздел имеет название DisallowRun и расположен по пути, показанному на изображении выше. Для установки запрета нужно всего лишь создать новый параметр и указать путь к исполняемому EXE-файлу, после чего произвести перезагрузку компьютерного устройства.

Примечание: для каждого приложения параметр создается отдельно, при необходимости можно устанавливать дополнительные значения ключа (2, 3, 4), но сам запрет будет касаться всех пользователей, не имеющих в системе администраторских привилегий.

Краткие итоги

Если подводить итоги всему вышесказанному, по всей видимости, многие уже поняли, что выставление ограничений на запуск установленных приложений является самым простым, но далеко не лучшим решением. Если по каким-либо причинам требуется установить запрет именно на инсталляцию программ, лучше всего воспользоваться групповыми политиками или консолью управления оснастками, что подтверждается большинством специалистов по компьютерной безопасности.

Но действия с этими редакторами в любом случае должны производиться исключительно при входе в администраторскую учетную запись или с использованием надлежащих прав на изменение системной конфигурации. В качестве стороннего средства можно применить утилиту App Locker, но действия с ней почти в точности повторяют управление политиками и оснастками (только параметры импортируются, а не устанавливаются вручную), поэтому она не рассматривалась.

Доброго времени суток.

Нередко встречаются ситуации, когда за одним компьютером работает сразу несколько пользователей. И часто бывает так, что некоторые из них постоянно устанавливают на устройство самое разное программное обеспечение, не только «открывая двери» для вирусов, но и просто засоряя жесткий диск. В седьмой версии операционной системе от Microsoft предусмотрено сразу несколько инструментов, позволяющих ограничить вышеописанные возможности. В статье я расскажу, как запретить установку программ на Windows 7 для других юзеров. Поверьте, такой ход позволит значительно повысить безопасность.

Одним из самых простых способов ограничения движений другим пользователям является использование групповых политик. Для достижения нужного эффекта, выполняем несколько действий:

Это позволит полностью запретить установку какого-либо ПО на агрегат. Чтобы вернуть все на свои места, необходимо переключить флажок обратно. Еще одним действенным способом является переустановка операционки с предварительным форматированием главного диска.

Запрет определенной учетной записи ( )

В Windows x64 также предусмотрена возможность наложения запрета на конкретного пользователя. Для этого необходимо сделать несколько шагов:

Родительский контроль ( )

Как видите, это дает возможность быстро и просто ограничить возможность инсталляции обычному пользователю.

Редактор реестра ( )

Не менее действенным способом является использование «Редактора реестра ». Где находится этот инструмент и как его использовать? Все просто:

После ни одно ПО, скачиваемое автоматически бесплатно из Интернета, не сможет быть установлено.

Стоит отметить, что этот инструмент позволяет наложить запрет на установку каких-либо приложений без пароля.

При этом важно учитывать, что в зависимости от сборки некоторые пункты могут немного отличаться. Например, версия «Максимальная» и «Домашняя базовая» разняться. Несмотря на это пользователи точно разберутся в последовательности действий.

В связи с тем, что в самой операционке предусмотрена масса инструментов, дополнительное ПО на эту тематику хоть и было разработано, но все же не получило массового одобрения, а потому попросту не пользуется популярностью. Вместе с тем мы и не рассматривали выключение с помощью программы.

В этом посте речь пойдёт о наболевшем, и многим людям эта проблема будет очень знакома. Устанавливая какую-нибудь игрушку, или мейл агента вместе с этим ставится ещё куча софта, который вы и не планировали установить. Речь пойдет, в первую очередь о Mail.ru, и о других компаниях, которые ведут себя нагло по отношению к своим пользователям.

Про группу компаний Mail.ru уже давненько гуляют нелестные отзывы и мнения, об их агрессивном и нечестном (зачастую незаконном) маркетинге не только по отношению к конкурентам, но и, в первую очередь, по отношению к пользователям. В очередной раз мне принесли ноутбук на чистку от этого дерьма, и я понял что хватит терпеть это беззаконие, в виде скрытой установки говнософта.

Виной всему треклятый Guard и Downloader от Mail.ru (туда же можно дописать и Спутник от Mail.ru ). Все дело в том, что эти якобы «полезные» (по заявлениям разработчиков) программки, ведут себя никак иначе, как вредоносное ПО. Если вкратце: Вы решили себе установить мэйлру агент, скачали, инсталлируете, и тут происходит самое интересное - помимо самого агента, на Ваш любимый компьютер устанавливается еще куча ненужных какашек: спутник, тулбар, гвард и т.д. и т.п. По заявлениям представителей Mail.RU , если Вы снимете «галочку» с этих программ при установке основной программы, то они и не будут установлены. ЧУШЬ!!! По факту это далеко не всегда так. Свидетельством тому служит великое множество гневных реплик, отзывов и обзоров по этому поводу. (Читайте хабрахабр)

Но главный козырь mail.ru - это Guard@MailRu (типа Защитник). Справедливости ради, стоит отметить, что он, конечно, защищает: от несанкционированной смены стартовой страницы браузера, например, или же от несанкционированной смены поисковой машины. Но в этом-то и вся загвоздка, он практически без ведома пользователя устанавливает стартовую страницу (угадайте какую?), и вот от ее смены и защищает (даже если это делает сам пользователь специально). Также с поиском по умолчанию. Причем не только защищает, но и удаляет все ранее установленные модули от Яндекса , Рамблера и т.п. И вспоминаем, что этот софт мы не соглашались ставить. Вот такая деструктивная деятельность в результате от замечательной компании Mail.RU. Казалось бы, да и черт с ним, полезная же функция с одной стороны. Но дело в том, что при удаление Guard , он магическим образом возвращается снова. И все - Ваша стартовая страница опять Mail.ru .

Кто хоть немного знаком с информационной безопасностью уже, наверное увидел зловредную природу всех этих действий, характерную для вирусов и троянов, например:

• установка без ведома пользователя;
• изменение пользовательских настроек без ведома хозяина;
• удаление приложений сторонних разработчиков;
• отсутствие возможности удаления стандартными средствами операционной системы.

Но даже это еще не все! Самая жесть впереди.

Как выяснилось, у Mail.RU, есть еще одно приложение — [email protected] (Загрузчик). И вот это уже, на мой взгляд, реальное вредоносное ПО (статья 273 уголовного кодекса Российской Федерации) со стороны этой компании. Все дело в том, что гуляет, к примеру, интернет-пользователь по различным ресурсам в сети, ищет необходимую информацию, и тут бац - выскакивает уведомление, что Вам необходимо обновить скайп, оперу, мозиллу, хром, интернет эксплорер и т.п., причем выглядит это все вполне официально. НО! Скачивание идет не с официального сайта, а с сайтов-партнеров mail.ru, и скачивается, конечно же, не обновление, а «Браузер Интернет » (видимо в Мейлах умер последний креативщик) все от той же Mail.RU ! Естественно со своим тулбаром и прочим говнософтом из вышеназванного, типа Спутник@Mail.RU .

Знакомая ситуация? Мне да!

Вы спросите, а почему же антивирусы не блокируют, не ругаются? А вот почему: все эти псевдо обновления подписаны настоящей и легитимной цифровой подписью Mail.Ru! Поэтому антивирусы, анализируя эту подпись, вполне естественно доверяют скачанному и запущенному приложению.

И теперь скажите, разве это не мошеннические действия? Не обман пользователей? Не введение в заблуждение? Но это лирика.

Не мы это начали

Вот так сотрудник Mail.RU, имеющий непосредственное отношение к разработке downloader’а, ответил на авторитетном интернет портале на многочисленные претензии и реальные факты, основанные на анализе кода и поведения этого «Загрузчика», которые позволяют смело заявить: Downloader от Mail.ru - это ни что иное, как троян!

Как известно, Mail.RU за последние годы значительно потеряли свою долю на рынке рунета. Их, наверное, спасают только Одноклассники. Ведь мало кто сейчас пользуется их поиском (между прочим, на данный момент у них нет своего поискового механизма, как у Яндекса, они используют технологии Гугл), аська тоже уходит в прошлое, их почта в основном используется для всяческих подписок, спама и прочей фигни, «Знакомства» и «Мой мир» поглотили более успешные соц.сети, и т.д. И компании как-то нужно монетизировать свои проекты. Вот и решили они пойти по пути «партнерских программ» — предлагают различным ресурсам способ заработка, посредством этого самого «загрузчика».

Простой пример: есть такой торрент-трекер «фри-торрентс» (адрес писать не буду в свете принятия закона о блокировании сайтов по ФЗ 187), и если кто обратил внимание, при скачивании торрента, у них есть такая фишка «скачать быстро». И, если воспользоваться этой фишкой, то скачивается не торрент-файл, а файл с расширением.exe (причем ярлычок у файла, uTorrent’овский, а это уже, как минимум использование чужого товарного знака, т.е. это незаконно. И вот, неискушенный пользователь, без тени сомнения скачает этот файл, и на его компе загрузиться этот загрузчик, вкупе с Guard (который «защитит» и не даст удалить себя) и «Браузером Интернет». А торрент-трекер за каждое такое скачивание получает денюжку. И таких сайтов-партнеров, вводящих людей в заблуждение, не мало. И антивирус на этот файл ругаться не будет, ведь он подписан законной подписью Mail.RU .

А теперь представьте, что на каком-то сайте, через этот загрузчик Вы скачаете не «браузер интернет «, а реальный троян или руткит, который подписан легитимной цифровой подписью? А представьте масштабы всего этого… Ведь не каждый «партнер» Mail.RU честный и ничего своего не впихнет в этот загрузчик. И я более чем уверен, что этим уже воспользовалось не малое количество кибермошенников.

Вот такие пироги, друзья. Более подробно обо всем этом Вы можете почитать на различных ресурсах в сети, типа Хабра. Ну, а мы, перейдем к практике, то есть защиты от какашек Мейловых.

Но прежде, стоит отметить, что подобный агрессивный маркетинг реально придумали не в Mail.RU (думаю ума им не хватило бы для этого). У Яндекса, к примеру, тоже есть свой «Защитник», но в защиту Яндекса могу сказать что они не так агресивно действуют, и ни разу не было такого, чтобы сняв галочки установились их приблуды, в отличие от мейлов. Различные сервисы типа AOL, Ask.com, ICQ и т.п. также используют установку своих тулбаров или софта в стороннем софте, причем делают это давно. Но то, на что пошел Mail.RU , открыто обманывая пользователей ложными обновлениями стороннего софта - это, конечно нонсенс.

Так давайте с этим бороться!

Вот мы и перешли, наконец, к практике. Конечно же, большинство пользователей, которые активно используют интернет, и тем более, имеющих свои блоги, прекрасно понимают, что такое UAC (контроль учетных записей), права администратора и т.п., а также знают и понимают, что при установке любого программного обеспечения нельзя слепо жать на кнопку «далее», а нужно внимательно все просматривать, снимать ненужные галочки и т.п. Но ведь у всех у нас есть матери, сестры, друзья, клиенты наконец, которые даже не догадываются о таких вещах.

Так вот, чтоб оградить их от подобных напастей, мы воспользуемся следующими возможностями: групповая политика и функция AppLocker . Сразу скажу, это работает только на операционках Windows 7 Максимальная и Корпоративная (в конце статьи подробнее напишу как повысить свою версию windows). Насчет Windows 8 — у меня на ноутбуке так же есть данный раздел конфигурации, так что тоже должно работать (ниже будут скрины как раз с 8ки). Данные политики так же есть и в Windows XP, однако там, на сколько мне известно, нет возможности блокировки софта по цифровой подписи.

Для начала, нам нужно будет файл XML и наполнить его правилами.

Теперь, нам необходимо запустить службу «Удостоверение приложения «, и установить для нее автоматический режим запуска, иначе функция AppLocker работать не будет. Для того, чтобы запустить эту службу, откройте: Панель управления - Администрирование - Службы.

Кликаем мышкой дважды по «Удостоверение приложения», запустится окно свойств данной службы. Теперь нам необходимо запустить эту службу, и включить для нее автоматический тип запуска:

Готово, жмём на «ОК» . Если служба у Вас уже запущена, обязательно включите для нее автоматический тип запуска, как показано на рисунке выше. По умолчанию тип запуска этой службы установлен «Вручную».

Все, со службами мы закончили. Теперь нам необходимо импортировать созданный ранее список (который мы предварительно назвали blockmailru.xml) в AppLocker . Для этого снова открываем:

Панель управления - Администрирование — Локальная политика безопасности.

Ищем: Политики управления приложениями — AppLocker .

Жмем правой кнопкой мыши на AppLocker и выбираем «Импортировать политику… «. После чего, в открывшимся окне нужно указать на созданный нами файл blockmailru.xml и открыть его. Система выдаст запрос на изменение политики и уведомит, что все предыдущие правила политики будут заменены. Соглашаемся. Все. Основная часть работы проведена. В «Исполняемые правила» Вы увидите такую картину:

Такая же картина будет и в пункте «Правила установщика Windows»

Важный момент! На скриншоте этого правила нет, но в правилах есть пункт: Разрешить - Все - D:Portable Soft*. У вас его изначально не будет. Это правило гласит о следующем: разрешен запуск любым пользователем и любой программы из папки Portable Soft, расположенной в корне диска D . Для чего это нужно? Как следует из названия папки, в первую очередь это правило необходимо, для запуска портативных программ (т.е. которые запускаются без установки). Или же, например, для разрешения установки тех программ, инсталляторы которых, Вы поместите в эту папку (например, я сыну своей сестры закинул в эту папку все игры с диска Alawar, чтобы их установка не блокировалась, и он мог их самостоятельно устанавливать, без ввода административного пароля).

Вам тоже необходимо включить такое правило. Делается это очень просто. Создайте папку, где Вам удобнее (хоть на рабочем столе), назовите ее как-нибудь (по типу «Portable»), и поместите в нее все portable-программы и инсталляторы, которым Вы доверяете. Далее, еще раз открываем (если закрыли): Панель управления - Администрирование — Локальная политика безопасности — Политики управления приложениями - AppLocker . На «Исполняемые правила» жмем правой кнопкой мыши и выбираем «Создать новое правило…». Там все просто: жмем «далее», еще «далее», затем ставим галочку «Путь», снова «далее» и «Обзор папок». Откроется окно, в котором нужно будет указать ту самую папку и снова «далее», «далее», и на конечном этапе «создать». Правило создано. На самом деле все проще простого. К тому же, при создании, или редактировании таких правил можно указать исключения, разрешать или блокировать пути (папки), издателей и т.д.

Тоже самое нужно проделать для таких программ, которые устанавливаются не в Program Files, а например, в C:Usersимя_пользователяAppDataLocalApps. В общем, если после внесенных настроек у Вас не запускается какая-то программа, добавьте в правила ее месторасположение. Аналогично тому, как мы добавляли разрешения для папки «Portable»

Давайте теперь окончательно поймем, чего мы добились всеми этими манипуляциями, и, что нам теперь запрещено, а что разрешено:

• блокировка запуска и установки любых программ от таких издателей, как: CNET, Yandex, AOL, SweetIM, Uniblue, ASK, Mail, Messenger Plus, Hamster, Mediaget, Reg Organaizer. Все эти издатели уличены в недобросовестных действиях (скрытая установка и т.п.). Список можно самостоятельно дополнять и редактировать. Об этом я напишу в следующей статье, в которой также объясню, как добавить исключения;
• разрешен запуск всех программ, которые расположены в Program Files, Windows и в той папке (директории), которую мы добавили самостоятельно;
• разрешен запуск любых программ локальным администратором (т.е. учетной записью администратора)
• разрешено выполнение файлов установщика Windows с цифровой подписью (файлы.msi с цифровой подписью);
• разрешено выполнение файлов установщика Windows с цифровой подписью (файлы.msi с цифровой подписью), которые расположены в каталоге Installer (в папке Windows);
• разрешен запуск любых файлов установщика Windows локальным администратором (т.е. учетной записью администратора).

Таким образом, никакие Guard;ы, Ззащитники, левые браузеры от Mail.RU , от Яндекса, Спутники, Яндекс-бары, и прочий не нужный хлам не появятся больше на Вашем компьютере, или на компьютере Ваших близких и знакомых. Все программы, от указанных издателей больше не проникнут на компьютер, на котором действуют эти правила; они попросту будут заблокированы.

И напоследок хочу сказать - никогда не ведитесь на рекламные уловки, не качайте всякие сборки «Яндекс Браузер» или «Браузер Интернет «, ведь все это — самый обычный Google Chrome (если быть точнее, это всё браузеры на основе Chromium).

При установке любого софта всегда следите за «галочками», смотрите внимательно, чтобы не установить сторонний софт.

И одно из главных правил - качайте софт ТОЛЬКО с официальных сайтов.

Повышаем версию своей Windows 7 до Ultimate.

Если вы не находите в разделе Панель Управления — Администрирование пункта Локальные политики безопасности , значит у вас версия винды не дотягивает до соответствующей (подходят, как уже писал выше только ультимейт и корпоративная). Есть простой способ проапгрейдиться например с home basic, home premium до ultimate.

Тут нам необходимо просто принять соглашение, после чего перед вами будет окно обновления, просто нажмём обновить и ждём (от 10 до 20 минут в среднем).

Всё, теперь ждём некоторое время, наш комьютер перезагрузиться и мы можем проверить результат:

Всё, теперь мы обладатели Windows 7 Ultimate и можем использовать AppLocker.