- Как работает применение групповой политики
- Применение политик ограничения запуска программ
- Активирование политики ограниченного использования программ
- Общие параметры настроек политики
- Принудительное использование
- Типы файлов
- Доверенные издатели
- Создание правил политики
- Правило зоны
- Правило пути
- Правило сертификата
- Правило хеша
- Область действия политик ограниченного использования программ и приоритет правил
- Планирование создания правил политики
- Небольшие примеры использования
- Как заблокировать запуск процесса в Windows 10
- Как запретить пользователям использовать программное обеспечение в Windows 10?
- Вариант первый: заблокировать доступ к программам, отредактировав Реестр
- Вариант второй: заблокировать доступ к программам через редактор групповой политики
- Как запретить другим пользователям использовать программы на моем компьютере с Windows?
- Запрет запуска программ через редактор групповых политик
- Запрет запуска программ через реестр Windows
- Запрет запуска программ с помощью сторонних программ
- AlacrityPC
- JetBoost
- ToolWiz GameBoost
- Wise Game Booster
- GBoost
- SmartClose
- Game Booster
- Отмена ограничения на запуск программы в редакторе реестра
- Создание файла реестра для запрета запуска программ
Как работает применение групповой политики
Использование групповой политики
Вкратце, фактический механизм применения групповой политики выглядит следующим образом. Сначала администратор создает объект групповой политики (GPO), который содержит определенный набор параметров рабочей области. Этот объект может содержать параметры, применимые как к компьютеру, так и к пользователю. Кроме того, с помощью ссылки (или привязки, ссылки) этот объект связывается с одним или несколькими элементами в дереве Active Directory.
Когда компьютер, являющийся членом домена, запускается, он запрашивает списки групповой политики у контроллера домена. Контроллер отправляет необходимые списки в том порядке, в котором они будут использоваться на компьютере. Когда пользователь входит в систему, создается новый запрос на необходимые объекты групповой политики, которые затем применяются к вошедшему в систему пользователю.
Применение политик ограничения запуска программ
В целом механизм работы политики ограничения запуска приложений достаточно прост. Во-первых, они активируются, когда вы создаете новый объект групповой политики или редактируете существующий. Затем выбирается необходимый уровень безопасности. Уровень безопасности — это базовая модель управления выполнением программы, или, другими словами, стандартное правило. Когда вы посмотрите на картинку, вы все поймете:
Уровни безопасности
Далее настраиваются параметры политики — к каким типам файлов будет применяться политика, будет ли она применяться к локальным администраторам компьютеров, которые могут определять, что подписанному контенту можно доверять. После этого создаются сами правила, запрещающие или разрешающие выполнение определенных правилом программ. Как видите, весь этот механизм очень похож на настройку брандмауэра. Рассмотрим его более подробно.
Активирование политики ограниченного использования программ
Создайте объект групповой политики или откройте существующий в редакторе. Откройте ветку «Конфигурация компьютера» или «Конфигурация пользователя» (в зависимости от того, где вы хотите применить политику). Найдите и выберите Конфигурация Windows — Параметры безопасности — Политика ограниченного использования программ.
Включить политику ограниченного использования программ
Если политики еще не были определены, в окне редактора вы увидите предупреждение о том, что, если они назначены, новые правила переопределяют параметры политики, унаследованные от других объектов групповой политики. Поскольку это то, что мы собираемся сделать, в меню «Действие» выберите «Создать политики ограниченного использования программ.
Перейдите в раздел «Уровни безопасности». Активный уровень отмечен значком галочки. Уровень по умолчанию — Неограниченный.
Включить политику ограниченного использования программ
На этом уровне разрешен запуск всех программ, кроме явно запрещенных правилами. Особого смысла в использовании этого уровня безопасности нет, за исключением случаев, когда необходимо запретить использование небольшого количества программ, не представляющих явной угрозы безопасности компьютерной системы (только для примера клики). Чтобы эффективно блокировать использование нежелательных программ, необходимо использовать уровень безопасности «Не разрешено». Чтобы изменить уровень, дважды щелкните нужный параметр и нажмите кнопку Стандарт в открывшемся окне или щелкните правой кнопкой мыши и выберите команду Стандарт из контекстного меню.
Включить политику ограниченного использования программ
Общие параметры настроек политики
Узел «Политики ограниченного использования программ» содержит общие параметры, определяющие применение политик.
Общие параметры
Принудительное использование
Первый параметр определяет, следует ли проверять библиотеки DLL и можно ли применять ограничения политики к локальным администраторам компьютеров. Библиотеки DLL — это библиотеки динамической компоновки, которые являются частью некоторых исполняемых программ. По умолчанию проверка DLL отключена.
Варианты исполнения
Если нет особой необходимости, нет необходимости изменять этот параметр для проверки всех программных файлов. На это есть несколько причин. Во-первых, при большом количестве «подцепленных» к ним исполняемых файлов и библиотек (а их в Windows много) производительность системы резко падает — настройки политики будут видны каждый раз, когда программа вызывает DLL. Во-вторых, если выполнение файла запрещено политикой, не нужно будет проверять связанные библиотеки.
Второй вариант позволяет исключить администраторов локальных компьютеров из списка пользователей, к которым применяется политика. Он используется только для компьютерных политик. Включено, если вы хотите разрешить локальным администраторам запускать все приложения. Предпочтительный способ предоставить эту возможность — либо временно переместить учетную запись компьютера в подразделение, на которое не распространяется эта политика, либо удалить разрешение «Применить групповую политику» из свойств группы GPO, в которую входят «Администраторы.
Типы файлов
Здесь перечислены все типы файлов, связанные с их расширением файла, которые политика идентифицирует как исполняемый код.
Типы файлов
Список доступен для редактирования — вы можете исключить из него перечисленные типы, а также добавить новые.
Доверенные издатели
Эта группа параметров позволяет настроить реакцию политики на элементы управления ActiveX® и другое подписанное содержимое.
Надежные издатели
Здесь можно указать, кто будет решать, доверять ли подписанному контенту (это право лучше оставить администраторам компании), а также задать параметры проверки сертификата — проверить, не отозван ли сертификат и не просрочен ли срок его действия.
Создание правил политики
Правило ограничения программного обеспечения — это механизм, с помощью которого программное обеспечение «распознается». Правило определяет, разрешить или запретить выполнение программы, удовлетворяющей заданным в нем условиям. Вы можете использовать четыре параметра исполняемого файла для сопоставления программы и условия, или, другими словами, использовать один из четырех типов правил:
- Зона
- Путь
- Сертификат
- Хэш
Создать новое правило
Чтобы создать новое правило, перейдите в раздел Дополнительные правила, щелкнув его в списке объектов в Редакторе групповой политики, а затем выберите нужный тип правила в меню «Действие» (или контекстном меню.
Правило зоны
Во избежание некоторой двусмысленности сразу оговоримся, что речь пойдет о зонах, используемых Internet Explorer, а не учреждениях исправительной службы. Этот тип правила позволяет указать зону Интернета и установить для нее правило — разрешать запуск или запрещать его.
Правило зонирования
Главный недостаток, который делает его практически бесполезным, заключается в том, что он применим только к файлам пакета установщика Windows (Windows Installer, расширение *.msi).
Правило пути
Идентифицирует исполняемое приложение по расположению. Может содержать имя каталога или полный путь к исполняемой программе. Используются как локальный путь, так и универсальный путь UNC. Вы можете использовать переменные среды и подстановочные знаки «?» для одного символа и «*» для любого количества символов.
Правило пути
Вы можете ввести путь вручную в соответствующее поле или воспользоваться кнопкой Обзор.
Помимо явного указания самих путей, допускается указывать путь в реестре. Эта функция полезна, когда у пользователя есть возможность установить приложение в неопределенное место в файловой системе компьютера, а программа сохраняет пути рабочих каталогов в реестре. Правило посмотрит соответствующую ветку реестра, и при совпадении будет выполнено указанное в правиле действие — разрешить или запретить запуск. Путь в реестре должен быть заключен между символами «%».
Он может содержать подстановочные знаки в конце пути и использовать переменные среды. Сокращения HKLM и HKCU не допускаются (должен использоваться полный формат HKEY_LOCAL_MACHINE), путь не должен заканчиваться символом «» непосредственно перед завершающим символом «%» в правиле. Параметр реестра может иметь тип REG_SZ или REG_EXPAND_SZ. По умолчанию, когда политики ограниченного использования программ включены, в реестре создаются четыре правила пути разрешений.
Зарегистрировать правило пути
Они позволяют выполнять гарантированный запуск программ и служб, необходимых для работы операционной системы, и при необходимости могут быть отредактированы. Если программа соответствует нескольким определенным правилам пути одновременно, то то, которое лучше всего описывает программу, будет иметь наивысший приоритет.
Правило пути, которым очень легко пользоваться, имеет существенный недостаток, сильно ограничивающий его применение. Поскольку программа оценивается только по ее расположению, всегда необходимо учитывать права доступа пользователя к файловой системе. Если учетная запись пользователя разрешает копирование и переименование файлов, он может легко обойти это правило, просто переименовав приложение, а затем переместив его в нужное место в файловой системе.
Читайте также: Как в VirtualBox установить Windows 11, 10, 8, 7, XP
Правило сертификата
Набор для файлов с цифровой подписью издателя. Чтобы создать правило, нажмите кнопку Обзор и укажите нужный сертификат.
Правило сертификата
Метод идентификации программ с помощью сертификатов достаточно надежен, но имеет и недостатки. Во-первых, это требует использования центров сертификации. Во-вторых, нельзя устанавливать разные значения правил для программ одного и того же издателя. Например, тот же пасьянс из стандартных игр Windows не может быть запрещен таким правилом, так как это также запретит запуск ключевых компонентов всей операционной системы.
Правило хеша
Пожалуй, самое «полезное» правило. Хэш используется для идентификации файла. Хэш — это цифровой «отпечаток» файла, полученный путем преобразования его содержимого в битовую строку фиксированной длины с использованием специальных криптографических функций. Примечательным свойством такого преобразования является то, что хэш однозначно идентифицирует любой файл, независимо от имени и местоположения. Любое, даже самое незначительное изменение кода файла приводит к изменению хэша. И наоборот, два совершенно одинаковых файла имеют одинаковый хэш.
Хэш-правило
Чтобы вычислить хэш файла, укажите его путь, нажав кнопку Обзор. Если файл находится на другом компьютере, убедитесь, что он доступен с компьютера, на котором настроена политика. Например, вы можете подключить стандартный общий ресурс, такой как \COMP_NAMEC$, в качестве сетевого диска. После вычисления хэша значение этого хеш-файла, длина файла и код хэш-алгоритма появятся в поле Хешированный файл, разделенные двоеточием.
Идентификация файла с помощью хэша является предпочтительным методом, так как файл может быть однозначно идентифицирован. Недостатком является большой первоначальный объем работы, который необходимо выполнить при создании нового набора правил. Этот тип правил используется по принципу — «один файл, одно правило». Кроме того, разные версии одной и той же программы имеют разные значения хеш-функции. При достаточно большом объеме разрешенных к исполнению программ эта задача может напоминать перепись. Однако об упрощении процесса сбора информации о запущенных программах мы поговорим чуть ниже.
Область действия политик ограниченного использования программ и приоритет правил
Политика ограниченного использования программного обеспечения не распространяется на:
- Программы, которые запускаются под учетной записью SYSTEM
- Драйверы и другие приложения уровня ядра
- Макросы в документах Microsoft Office
- Программы, написанные для Common Language Runtime — эти программы используют политику безопасности доступа для кода
Приоритет использования правил выглядит так (по мере уменьшения приоритета):
- Хэш-правило
- Правило сертификата
- Правило для пути
- Правило интернет-зоны
- Правило по умолчанию
Планирование создания правил политики
При планировании использования политик ограниченного использования программ рекомендуется заранее протестировать их в тестовой среде. Из-за сложности структуры на начальном этапе возможны ошибки, которые, конечно, лучше исправлять не на работающей системе. Если правило политики «активировано», событие регистрируется в локальном журнале компьютера. Код содержит тип вызвавшего его правила (865 — уровень безопасности по умолчанию, 866 — правило пути, 867 — правило сертификата, 868 — зона Интернета или хеш-правило).
Если вы создаете политику с уровнем безопасности «Не разрешено», вы должны решить, какой код может быть разрешен для запуска пользователем. Как упоминалось выше, эта задача может быть довольно трудоемкой. Чтобы упростить процесс инвентаризации приложений, вы можете включить отслеживание приложений с помощью расширенного ведения журнала. Этот метод достаточно прост и эффективен.
На тестовом компьютере включена политика ограниченного использования программ и установлен уровень безопасности «Без ограничений». Все дополнительные правила удаляются из политики. Дело в том, что, несмотря на отсутствие ограничений, при включении политики можно включить расширенную функцию логирования, которая будет фиксировать информацию о запущенных программах. Запустив на тестовом компьютере минимальный набор необходимых пользователю программ, а затем проанализировав этот журнал, можно разработать все необходимые правила для политики.
Чтобы включить расширенное ведение журнала на тестовом компьютере, создайте запись реестра в ветке HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers с именем LogFileName. Значение должно содержать путь к каталогу, в котором должен находиться файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) идентифицировал C:WINDOWSsystem32userinit.exe как неограниченный с использованием правила пути, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}
Эта запись «переводится» следующим образом: родительский процесс winlogon.exe с идентификационным значением (PID) 452 запущен C:Windowssystem32userinit.exe; правило, запустившее «пожар», — это правило для пути с уровнем безопасности Unlimited, который имеет GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой собственный GUID. После применения политики ограниченного использования программ конфигурация сохраняется в системном реестре. Список управления доступом, защищающий разделы реестра, позволяет изменять его только администраторам и системной учетной записи. Политика пользователя хранится в HKCUSoftwarePoliciesMicrosoftWindows, политика компьютера хранится в HKLMSOFTWAREPoliciesMicrosoftWindows.
Параметры политики в реестре
В случае ошибки вы можете найти правило по GUID и узнать причину ошибки. После отладки всех правил желательно прекратить логирование работающей системы, удалив параметр LogFileName из реестра, чтобы уменьшить использование дискового пространства и снизить производительность системы. Если политика содержит параметры только для одного компьютера или одного пользователя, отключите неиспользуемые компоненты GPO, чтобы ускорить обработку политики.
Вы также можете использовать инструмент msinfo32.exe, чтобы определить, какие программы должны создавать правила разрешений. Для этого запустите все необходимые приложения, затем нажмите кнопку «Пуск», выберите «Выполнить» и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Software Environment и выберите Run Tasks.
Небольшие примеры использования
Покажем все вышеописанное на небольшом примере в тестовой среде. Создадим OU (пусть это будет тестовый блок), поместим в него компьютер и учетные записи пользователей.
Тестовое подразделение
Консоль gpmc будет использоваться для управления групповой политикой. Создайте объект групповой политики — щелкните правой кнопкой мыши на Test Unit, выберите команду «Свойства», в открывшемся окне перейдите на вкладку «Групповая политика». Откройте консоль gpmc, снова щелкните правой кнопкой мыши тестовое устройство и выберите в меню команду Create and Link a GPO Here. Введите имя созданной политики, нажмите ОК. Выберите созданную политику, щелкните по ней правой кнопкой мыши и выберите команду «Редактировать).
Изменить объект групповой политики
Откроется редактор объектов групповой политики. Во-первых, давайте создадим политику, применимую к компьютеру. Мы запретим всем пользователям компьютеров в группе Test Unit запускать программы, отличные от Internet Explorer. Перейдите в «Конфигурация компьютера» — «Параметры Windows» — «Параметры безопасности» — «Политика ограниченного использования программ». В меню «Действие» (или щелкните правой кнопкой мыши) выберите «Новая политика». Перейдите в раздел «Уровни безопасности», включите «Не разрешено
. Учитывая, что дополнительные правила были созданы автоматически, мы их удаляем. Чтобы гарантировать вход пользователя в систему, необходимо установить разрешения для некоторых программ. В моем случае (тестовая система с «чистой» установкой) как минимум необходимо разрешить запуск winlogon.exe, userinit.exe (для Vista это будут logonui.exe и userinit.exe) и проводника exe из системной папки %windir%system32. В другой ситуации вам могут потребоваться дополнительные разрешения — например, вам может потребоваться обработка сценариев, которые находятся на сервере, когда пользователь входит в систему. Создаем для них правила пути, параметры вы видите на рисунке:
Сделано правила
Теперь давайте создадим правило, разрешающее запуск Internet Explorer. Чтобы пользователь не мог изменить файл и не зависел от его расположения в файловой системе, мы используем хеш-правило. Подключаемся к серверу, где на тестовом компьютере настраиваем групповую политику диска С. В редакторе объектов групповой политики в меню «Действие» выберите «Создать хэш-правило». Нажмите кнопку Обзор, перейдите в папку Program FilesInternet Explorer, расположенную на тестовом компьютере, и укажите файл IEXPLORE.EXE.
Хэш-правило для IE
Чтобы потом не запутаться, укажите название программы и версию в поле Описание. Идем к тестируемому компьютеру, чтобы проверить, что произошло. Чтобы применить политику, перезагрузите компьютер или выполните на нем команду gpupdate /force. Давайте попробуем что-нибудь проехать.
Запрет на запуск программы
Отлично, запрет работает. Но самое смешное, что щелчок по ярлыку IE на рабочем столе тоже не запускает его (хотя прямой запуск из проводника в рабочей папке IE будет работать). Отменяем действие политики, чтобы посмотреть лог для приложения (иначе Блокнот тоже не запустится). Наткнувшись на линию, которая
explorer.exe (PID = 372) определил C:Documents and SettingsadministratorDesktopStart Internet Explorer.lnk как запрещенный правилом по умолчанию, Guid = {11015445-d282-4f86-96a2-9e485f593302}
помните, что ярлыки (то есть файлы с расширением .lnk) также считаются исполняемым кодом. Поскольку у нас включен проводник, нет особой необходимости отключать ярлыки, тем более что мы разрешаем запуск только определенных программ. Поэтому мы просто удаляем тип LNK из списка назначенных типов файлов.
Помните, что параметры групповой политики обновляются при запуске компьютера, а пользовательские параметры обрабатываются при входе пользователя в систему. Вы можете принудительно обновить параметры групповой политики с помощью команды gpupdate /force. Утилита gpupdate.exe также является исполняемым кодом и это следует учитывать при тестировании. Чтобы не перезагружать компьютер каждый раз после изменения параметров групповой политики для проверки работы правил, добавьте gpupdate.exe в список разрешенных приложений. Давайте также запустим Блокнот и Калькулятор, используя хеш-правила. Все правила выглядят так:
Добавьте правила для запуска Блокнота и Калькулятора
Помимо ограничений, вы можете заставить все программы, запуск которых разрешен, запускаться автоматически при входе пользователя в систему. Для этого в редакторе политик в разделе Административные шаблоны — Система — Вход в систему выберите параметр Запускать указанные программы при входе в систему. Переведите переключатель в положение «Вкл.», нажмите кнопку «Просмотр». В открывшемся окне нажмите кнопку Добавить и укажите полный путь к программе (если она находится в system32, нужно указать только имя файла).
Запускать программы при входе в систему
Компьютер теперь является своего рода терминалом, где все пользователи (включая администраторов) могут запускать только те программы, для которых созданы политики ограниченного использования программ. Даже если в меню разрешенной программы выбрать команду Открыть и указать в диалоговом окне исполняемый файл, не указанный в правилах, его запуск будет запрещен.
В следующем примере мы изменим параметры политики, чтобы они применялись только к пользователям, вошедшим в систему на тестовом устройстве. Для этого в ветке Настройки пользователя создаем одноименные настройки, а в ветке Настройки компьютера удаляем настройки. Если вы отключили обработку пользовательских настроек для ускорения обработки политики, вам необходимо ее включить (наоборот, теперь, если вы не используете настройки компьютера, вы можете отключить их обработку). Перезагрузим компьютер и попробуем войти под учетными записями пользователей, принадлежащих OU Test Unit и не входящих в него. Ниже приведен экран, который увидит пользователь с учетной записью, являющейся частью тестового модуля.
Пользователь с ограничениями
А здесь — на пользователя, не входящего в тестовый блок, не будет распространяться политика ограниченного использования ПО.
Пользователь без ограничений
Как заблокировать запуск процесса в Windows 10
Шаг 1 Нажмите Win+R и введите regedit, чтобы открыть редактор реестра. В редакторе реестра пройдите по пути:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
- Щелкните правой кнопкой мыши папку Police и выберите «Создать»> «Раздел» и назовите его «Exporer.
Шаг 2. Теперь щелкните правой кнопкой мыши по пустому полю и выберите «Создать» > «Значение DWORD (32 бита)». Дайте новому параметру DisallowRun имя, затем дважды щелкните его и установите для него значение 1.
Шаг 3. Затем щелкните правой кнопкой мыши папку «Проводник» и выберите «Создать» > «Раздел». Назовите новый раздел DisallowRun.
Шаг 4. Слева щелкните один раз папку DisallowRun, а справа щелкните правой кнопкой мыши пустое поле и выберите «Создать» > «Строковое значение». Дайте новому параметру имя. Я хочу позвонить в яндекс, так как хочу заблокировать яндекс браузер.
Шаг 5. Дважды щелкните по только что созданному параметру, в моем случае yandex, и введите значение. В данном случае значением является процесс исполняемого файла программы. В браузере Яндекс есть процесс browser.exe. Затем вы перезагружаете компьютер, и программа не запускается.
Как запретить пользователям использовать программное обеспечение в Windows 10?
Есть несколько способов запретить пользователям использовать программное обеспечение в Windows 10.
Вариант первый: заблокировать доступ к программам, отредактировав Реестр
Важно: Прежде чем приступить к этому методу, рекомендуется настроить точку восстановления системы, к которой вы сможете вернуться, если позже захотите отменить изменения. После того, как вы настроили точку восстановления, вы можете выполнить следующие шаги:
- Используйте комбинацию Win + R, чтобы запустить Run.
- В текстовом поле программы введите «regedit» и нажмите «ОК».
- откройте следующий путь реестра: HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Policies.
- Вы должны увидеть ключ проводника под рекомендациями. В противном случае щелкните правой кнопкой мыши Политики и выберите Создать > Ключ. Вам будет предложено ввести имя ключа: введите «Проводник».
- Нажмите на новый ключ проводника. Затем щелкните правой кнопкой мыши пустое место в правой части редактора реестра и выберите «Создать» > «DWORD (32-разрядная версия).
- Теперь введите следующий заголовок для нового DWORD: «DisallowRun».
- Дважды щелкните вновь созданный DisallowRun DWORD и откройте окно редактора.
- Введите 1 в поле «Значение» и нажмите «ОК».
- Щелкните правой кнопкой мыши раздел проводника, выберите «Создать» > «Ключ» и введите DisallowRun в качестве имени нового подраздела.
- Затем щелкните правой кнопкой мыши новый подраздел. В контекстном меню выберите «Создать» > «Строковое значение».
- Введите «1» в качестве заголовка строкового значения.
- теперь откройте окно редактора строк, дважды щелкнув значение строки 1.
- В поле «Значение» под полем «Имя значения» введите имя программы, которую вы не хотите запускать, и нажмите «ОК».
- Наконец, закройте окно редактора реестра.
Теперь, если кто-то попытается запустить указанную программу на вашем компьютере, он получит сообщение об ошибке: «Эта операция была отменена из-за ограничений на этом компьютере. Обратитесь к системному администратору.»
Если вы хотите запретить запуск других программ на вашем ПК с Windows 10, введите имена этих программ в виде строковых значений в разделе DisallowRun. Имена строковых значений должны быть соответствующим образом изменены: введите «2» в качестве имени значения для второй программы, которую вы хотите заблокировать, введите «3» для третьей программы, которую вы хотите заблокировать, и так далее.
Вариант второй: заблокировать доступ к программам через редактор групповой политики
Если вы используете Windows 10 Pro или Enterprise, у вас есть возможность запретить запуск программного обеспечения с помощью редактора групповой политики, поэтому вам не нужно редактировать реестр. С помощью редактора групповой политики вы можете использовать параметр «Запускать только указанные приложения Windows». Вот как это сделать:
- откройте «Выполнить», введите в текстовое поле «gpedit.msc» и нажмите «ОК».
- Перейдите в «Конфигурация пользователя» > «Административные шаблоны» > «Шаблоны.
- Дважды щелкните Запускать только указанные приложения Windows.
- В окне Запускать только указанные приложения Windows выберите параметр Включено.
- Нажмите кнопку «Просмотр», чтобы открыть окно «Просмотр содержимого».
- В окне «Показать содержимое» введите имя программы, которую хотите заблокировать. Обязательно введите точное имя exe-файла — для этого вы можете открыть папку с программным обеспечением, чтобы убедиться, что у вас правильное имя.
- Нажмите кнопку ОК.
- Затем нажмите «Применить» и «ОК» в окне «Выполнять только указанные приложения Windows.
Обратите внимание, что приведенные выше шаги остановят запуск выбранных программ для всех пользователей. Если вы хотите заблокировать доступ к определенным программам для определенных пользователей, вам необходимо выполнить несколько дополнительных шагов.
Как запретить другим пользователям использовать программы на моем компьютере с Windows?
Чтобы заблокировать доступ к определенным программам для определенных пользователей, необходимо добавить оснастку «Редактор объектов групповой политики» в консоль управления Microsoft. Действуйте следующим образом:
- Используйте сочетание клавиш Win + Q, чтобы вызвать Cortana.
- В поле поиска введите «mmc.exe» и откройте его.
- Нажмите «Да» в приглашении UAC.
- Выберите «Файл» > «Добавить/удалить оснастку.
- В новом окне выберите «Редактор объектов групповой политики» и нажмите «Добавить.
- В окне «Выбор объекта групповой политики» нажмите «Обзор».
- В окне «Обзор объектов групповой политики» выберите вкладку «Пользователи».
- Теперь выберите учетную запись, к которой вы хотите применить ограничение.
- Нажмите «ОК», а затем «Готово.
- Нажмите «ОК» в окне «Добавить или удалить оснастки.
- Выберите «Файл» > «Сохранить как.
- В окне «Сохранить как» введите имя нового файла и нажмите «Сохранить».
- Дважды щелкните файл MSC, который вы только что сохранили, чтобы применить ограничения к выбранной учетной записи или учетным записям.
- Откроется окно редактора групповой политики, и вам нужно будет выбрать программу или программы, которые вы хотите заблокировать, выполнив описанные выше шаги.
Вот и все: вот как вы можете запретить пользователям использовать определенное программное обеспечение в Windows 10. Однако, как упоминалось выше, мы настоятельно рекомендуем вам установить точку восстановления перед внесением этих изменений, чтобы вы всегда могли вернуться.
Чтобы обеспечить бесперебойную работу вашей системы, мы рекомендуем вам установить надежную антивирусную программу. Auslogics Anti-Malware специально разработан для регулярного сканирования вашей системы и ее защиты даже от самых редких угроз компьютерной безопасности.
Вы предпочитаете устанавливать ограничения доступа для программ в Windows или использовать для этой цели стороннее приложение? Поделитесь в комментариях ниже.
Запрет запуска программ через редактор групповых политик
Первое решение эффективно в большинстве случаев, поэтому начинать следует с него. Выполните следующие действия, чтобы запретить запуск приложений через редактор групповой политики:
- Удерживая нажатой клавишу Windows, нажмите «R», чтобы открыть диалоговое окно «Выполнить в Windows.
- Введите «gpedit.msc» и нажмите «Ввод». Откроется редактор групповой политики.
- Разверните Конфигурация пользователя/Административные шаблоны/Система.
- В правой части окна откройте политику «Не запускать указанные приложения Windows».
- Установите для политики значение «Включено», затем выберите «Показать…».
- Добавьте программы, которые вы хотите заблокировать от автоматического запуска, в список заблокированных приложений. Используйте имя файла запуска программы, например «itunes.exe», «bittorent.exe» и т д
Прозрачный! Теперь запуск указанных приложений запрещен на системном уровне локальной политики. Перезагрузите компьютер и убедитесь, что изменения вступили в силу. В противном случае перейдите к следующему решению.
Запрет запуска программ через реестр Windows
Параметр, запрещающий запуск программ в Windows при запуске, также находится в реестре. В этом случае запретить запуск определенных программ при старте Windows можно только в том случае, если вы сделаете это через реестр на своем компьютере.
ВАЖНЫЙ. Содержит инструкции по редактированию реестра. Любые ошибки при редактировании реестра могут привести к сбою или прекращению запуска Windows, что потребует переустановки Windows. Редактируйте реестр на свой страх и риск. Всегда делайте резервную копию реестра, прежде чем вносить какие-либо изменения. Если вам неудобно редактировать реестр, не пытайтесь выполнить эти инструкции. Вместо этого обратитесь за помощью к поставщику компьютерной поддержки.
Чтобы удалить запись запуска из реестра:
- Нажмите Win-R. В поле «Открыть:» введите regedit и нажмите Enter.
- Чтобы сохранить резервную копию реестра, в меню «Файл» выберите «Экспорт ….
- Не забудьте указать место назначения файла; по умолчанию он будет сохранен на рабочем столе.
- Дайте файлу значимое имя, например, реестр или regback, чтобы вы помнили, что этот файл является резервной копией реестра.
- Убедитесь, что в поле «Область экспорта» выбрано «Все», и нажмите «Сохранить». Это позволит сохранить трудовую книжку.
- Чтобы развернуть HKEY LOCAL MACHINE, нажмите + (плюс) слева.
- Разверните дерево программного обеспечения, затем Microsoft, затем Windows, затем CurrentVersion.
- Выделите папку «Выполнить». В правой части экрана вы увидите программы, настроенные на запуск при запуске, которых может не быть в папке автозагрузки. Некоторые из них могут быть важными, например, антивирусные программы или брандмауэры. Также могут быть нежелательные или ненужные программы, такие как шпионское и рекламное ПО. Вы должны выяснить, что необходимо, а что нет.
- Выделите все программы, автоматический запуск которых вы хотите запретить, затем нажмите клавишу Del. Помните, что удаление программ здесь не удаляет их с вашего компьютера; это просто останавливает их автоматический запуск.
Изменения реестра вносятся немедленно, поэтому их не нужно сохранять. На этом этапе вы можете просто закрыть редактор реестра.
Еще вариант ограничения запуска программ в Windows через реестр:
- откройте реестр Windows и перейдите в каталог: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer
- Щелкните правой кнопкой мыши пустую область справа и добавьте новое «значение DWORD (32-разрядное)» с именем «DisallowRun».
- откройте «DisallowRun» и присвойте ему значение «1».
- Щелкните правой кнопкой мыши и добавьте новый «Ключ», также называемый «DisallowRun». Будет создана новая папка.
- Выберите папку «DisallowRun» на левой панели.
- Щелкните правой кнопкой мыши пустую область справа и добавьте новое «значение DWORD (32-разрядное)» с именем «1».
- откройте «1» и в поле значения введите название программы, которую хотите заблокировать, например «itunes.exe».
- Повторите вышеуказанные шаги со всеми приложениями, которые необходимо заблокировать, просто каждый раз увеличивайте число, используемое в «значении DWORD (32-бит)» (2, 3, 4, 5 и т д)
После этого, даже при попытке принудительного запуска программы, вы увидите сообщение «Эта операция отменена из-за ограничений на этом компьютере. Обратитесь к системному администратору».
Запрет запуска программ с помощью сторонних программ
Кажется, что независимо от того, насколько мощным является компьютер с точки зрения аппаратного обеспечения, он никогда не будет достаточно быстрым, чтобы делать все, что вы хотите. Будь то новейшие игры или редактирование/производство/кодирование видео, большинство пользователей захотят выжать максимум из возможной производительности. Конечно, можно прибегнуть к разгону, но для некоторых пользователей это просто не вариант.
Некоторые приложения требуют значительных системных ресурсов. Фоновые обновления компонентов Windows, выполнение запланированных задач, дефрагментация жесткого диска или другие автоматически запускаемые системные процессы могут помешать бесперебойной работе вашего компьютера. Многие задачи ПК также требуют, чтобы вы закрыли все запущенные в данный момент программы, а установка большинства программ требует, чтобы вы закрыли все другие программы, чтобы свести к минимуму конфликты и избежать перезаписи используемых файлов.
Один из способов предотвратить запуск программ и определенных служб — использовать инструмент, который может делать это автоматически. Теоретически, чем меньше вы работаете в фоне, занимаете процессорное время, память и используете жесткий диск, тем быстрее и стабильнее будет работать игра или ресурсоемкое приложение. Вот некоторые из самых популярных программ, которые можно использовать для предотвращения автоматического запуска приложений.
AlacrityPC
AlacrityPC основан на старом инструменте повышения производительности под названием FSAutoStart, который был создан специально для разгона Microsoft Flight Simulator. Теперь он разработан, чтобы помочь вам получить максимальную отдачу от вашего компьютера для любой ресурсоемкой задачи, заблаговременно отключая ненужные службы и блокируя запуск приложений. AlacrityPC работает с профилями, и вы можете использовать одну из настроек по умолчанию или установить свои собственные настройки, чтобы отключить именно те процессы и службы, которые вам нужны. Перетащите значок профиля на рабочий стол, чтобы запустить его автоматически.
Есть некоторые дополнительные оптимизации, такие как дефрагментация памяти, выход из оболочки рабочего стола, удаление обоев и выключение/перезагрузка системы после закрытия программы автозапуска. Автозапуск запустит программу после подачи питания, а затем вернется после закрытия программы.
AlacrityPC не обновлялся с 2008 года, хотя известно, что он работает с Windows 7 и на сайте есть небольшое обновление, но приходится вручную копировать файлы в папку ProgramFiles. Чтобы отключить сообщение об ошибке обновления при запуске, выберите Инструменты/Параметры. Приложение требует .NET Framework 2.0.
JetBoost
Если вы ищете простое в использовании приложение-бустер, не требующее большой настройки, вам обязательно стоит попробовать JetBoost. Интерфейс приложения прост и понятен — для запуска программы в Windows достаточно нажать кнопку Boost.
Стандартный метод повышения производительности не слишком агрессивен и просто отключит некоторые службы, очистит системную память, очистит буфер обмена, изменит профиль питания на высокую производительность и предотвратит запуск автоматических обновлений. Если вы хотите получить больше контроля, отключив дополнительные функции, нажмите кнопку «Настроить». Здесь вы можете отключить запущенные процессы, сторонние службы и Explorer.exe.
Немного странная, но полезная функция — возможность создать портативную версию из установленного приложения. Для этого нажмите на значок «Еще» в правом верхнем углу окна. JetBoost работает от Windows 2000 до Windows 10 32-бит и 64-бит.
ToolWiz GameBoost
ToolWiz GameBoost — еще один простой в использовании инструмент. Это не смутит вас множеством опций, которые потенциально могут вызвать системные проблемы. Как и в случае с JetBoost, если вы хотите использовать программу без каких-либо настроек, просто загрузите ее и нажмите EnterGameBoostMode — она начнет закрытие и оптимизацию перечисленных системных компонентов.
На самом деле в GameBoost не так много вариантов настройки. Здесь всего 2 раздела, которые называются BootOption 1 и BoostOption 2. Вариант 1 имеет единственную опцию по умолчанию, которая не включена: вы можете дефрагментировать файлы и папки, в которых находится игра.
Память и все параметры Option2, такие как «Отключить запланированные задачи», «Центр обновления Windows», «Поддержка принтера», «Aeroglass», «Ввод с планшета», «Сетевое окружение» и т д., включены по умолчанию. Работает от WindowsXP до Windows10.
Wise Game Booster
Wise наиболее известен своими очистителями диска/реестра и приложениями для оптимизации. GameBooster — еще один отличный инструмент, который может помочь максимально использовать системные ресурсы, доступные для игр или ресурсоемких приложений. Чтобы быстро оптимизировать систему, просто нажмите кнопку «Оптимизировать все» на вкладке «Мои игры». Вкладка «Мои игры» — это область быстрого доступа, куда вы можете поместить свои любимые приложения, запущенные во время использования программы.
Помимо ряда системных служб и всяких ненужных процессов, которые деактивируются при оптимизации системы, есть еще ок. 20 настраиваемых системных параметров, таких как запуск проводника в отдельном процессе, оптимизация 5 сетевых параметров и повышение скорости отклика нескольких систем.
К сожалению, в программе нет простой кнопки сброса для сброса всех пользовательских настроек на значения по умолчанию, и приходится настраивать каждый раздел отдельно. Работает в Windows XP и более поздних версиях, доступна портативная версия.
GBoost
Внешне GBoost выглядит как программа для разгона компонентов ПК. Программа необходима для быстрого и удобного отключения ненужных служб и процессов, чтобы получить новейшую производительность агрегатов вашего компьютера. Кнопка «Нажмите, чтобы ускорить» отключит компоненты по умолчанию, а чтобы восстановить все обратно, нажмите эту же кнопку еще раз.
Циферблат вокруг кнопки ускорения показывает, насколько оптимизирована система, по мнению GBoost: чем ближе к 100, тем лучше. Щелкните стрелку вниз или поле «Расширенный режим», чтобы увидеть список всего, что можно отключить. Продвинутым пользователям могут не понравиться общие названия для отключенных опций, таких как Gamer Utils, Graphic Artist или Music Players и т д
SmartClose
SmartClose — это инструмент, который в одних случаях проще в использовании, чем другие подобные программы, а в других — сложнее. То, как работает программа, больше похоже на программное обеспечение для резервного копирования, которое использует изображения до и после для отключения процессов и служб, а затем снова восстанавливает их. Полезной функцией является мастер установки Windows, который проведет вас через процесс создания образа системы.
На этапе установки мастера вы можете закрыть все открытые процессы, закрыть окна (Интернет) проводника, отключить экран приветствия, остановить службы и создать файл изображения. Если вы хотите, чтобы SmartClose никогда не останавливал определенный процесс, его необходимо настроить и добавить как защищенную программу.
Если вы хотите остановить или защитить выбранные службы, их необходимо настроить в текстовом файле INI с помощью Блокнота. Вы можете сохранить несколько изображений для разных сценариев, а затем восстановить или отредактировать любое из них с помощью мастера. Работает на Windows XP, Vista и 7.
Game Booster
IObits Game Booster, пожалуй, самый совершенный и продвинутый бесплатный инструмент для повышения производительности системы, если вы серьезный геймер и хотите выжать из своей системы каждый последний кадр в секунду. Он работает как и большинство других инструментов, временно отключая фоновые процессы, останавливая службы, очищая оперативную память, очищая буфер обмена и отключая Центр обновления Windows. Если вы хотите попробовать и посмотреть, как это работает без особой настройки, просто нажмите большую кнопку Start Boost.
Вы можете перейти к самостоятельной настройке процесса, сервиса и других общих настроек с помощью кнопки «Настроить» и добавить игры в «Песочницу», которая представляет собой скорее окно быстрого запуска и ускорения. Game Booster идет еще дальше, предоставляя возможность проверять наличие обновлений драйверов, дефрагментировать файлы для каждой отдельной игры Game Box и применять несколько общих системных настроек. В нижней части окна есть датчик температуры.
Другими полезными дополнительными инструментами для геймеров являются возможность сохранить скриншот или даже видео своего сеанса и поставить счетчик FPS на игровой экран. Они управляются с помощью настраиваемых горячих клавиш.
В последней версии Game Booster компания IObit сотрудничает с производителем периферийных устройств для ПК Razer, и теперь вам необходимо создать учетную запись в Razer, чтобы использовать эту программу. Многие давние пользователи Game Booster рекомендуют предыдущую бета-версию 3.4 или 3.5, поскольку они не требуют регистрации, вдвое меньше, но имеют аналогичные функции.
Очевидно, что эффективность этих инструментов зависит от нескольких факторов, и результат будет варьироваться от компьютера к компьютеру. Если ваша система находится в хорошем состоянии и вы жестко контролируете, какие службы включены, какие программы работают в области уведомлений и т д., производительность, вероятно, слишком минимальна, чтобы ее можно было заметить. Но если у вас есть несколько задач, работающих в фоновом режиме, или ваша система не очень мощная, отключение всего может обеспечить достаточное повышение производительности для заметного увеличения скорости.
Отмена ограничения на запуск программы в редакторе реестра
Чтобы активировать запуск программы, нужно снова войти в редактор реестра.
В окне «Редактор реестра» перейдите по пути:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer Если вам нужно отключить ограничения на запуск всех программ, удалите раздел DisallowRun. Если вам нужно снять запрет на запуск отдельного приложения, войдите в раздел «DisallowRun», удалите параметр, соответствующий заблокированной программе (смотрите название программы в поле «Значение»).
Создание файла реестра для запрета запуска программ
У пользователя есть возможность самостоятельно создать файл реестра, который будет вносить изменения в системный реестр Windows, не запуская редактирование реестра.
Для этого выполните следующие действия:
- Запустите Блокнот на своем компьютере.
- Добавьте следующий код в окно Блокнота:
Редактор реестра Windows версии 5.00 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer «DisallowRun»=dword:00000001 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion»Disallow=»softwareExplorer .exe» » 2 «=»software2.exe» «3»=»software3.exe» Вместо «software.exe», «software2.exe» и т д введите имена программ, запуск которых вы хотите запретить на своем компьютере, например «firefox.exe», «browser.exe» Удалите ненужные имена программ из этого списка.
- Нажмите на меню «Файл», выберите «Сохранить как…».
- В поле Тип файла выберите Все файлы».
- В поле «Имя файла» введите «DisallowRun.reg» (без кавычек), затем нажмите кнопку «Сохранить».
На вашем ПК появится файл «DisallowRun.reg», с помощью которого вы сможете заблокировать запуск определенных программ или одной программы в зависимости от параметров, которые вы установили в этом файле.
Чтобы применить настройки на своем компьютере, щелкните правой кнопкой мыши файл «DisallowRun.reg», в контекстном меню выберите «Объединить», согласитесь на применение изменений в реестре Windows.