Часто мене запитують про те як заборонити користувачу використовувати ті чи інші програми, їх встановлення, а так само відкривати різні типи файлів (які йому не потрібні і можуть принести шкоду) і все таке інше. Загалом для початківців эникейщиков, системних адміністраторів та іншого роду IT-шників, — це досить популярний питання.

І питання це небезпідставний, бо обмеження нерозумного користувача в правах часто сильно спрощує роботу, підвищує безпеку і все таке інше.

До того ж, це буває корисно не тільки для тих, хто працює в IT-сфері, але і просто для користувачів, які хочуть захистити себе від різних вірусів, надбудов і тп. До речі, цю методику можна використовувати як батьківський контроль.

Загалом, давайте приступимо.

Базове адміністрування політики обмеженого використання програм

Цей інструмент простий і в общем-то, повинен бути відомий приблизно кожному, благо він існує досить давно, а так і застосовується всякими айтішниками (і не тільки) багатьма повсюдно.

В деяких версіях систем його немає (типу Home Edition), але у більшості присутній. Перераховувати все немає великого бажання, благо наявність такої підтримки Ви можете зробити за лічені хвилини, власне, спробувавши відкрити цей інструмент.

Ця радість зветься Software Restriction Policies (SPR), що умовно можна перевести як політики обмеженого використання програм (про що і написано в підзаголовку).

Запустити можна через «Пуск — Виконати (Win+R) — secpol.msc» :

Або через Адміністрування, яке живе по шляху «Пуск — Настройка — Панель управління — Адміністрування — Локальна політика безпеки — Політики обмеженого використання програм» . Виглядає наступним чином:

Тут, для початку, тикаємо правою кнопкою мишки по назві «папки», тобто «Політики обмеженого використання програм» і вибираємо пункт «Створити політика обмеженого використання програм«.

Создать политику ограниченного использования программСоздать политику ограниченного использования программ

Далі необхідно буде визначитися, для початку, первинними параметрами і зробити їх. Для цього натискаємо правою кнопкою миші на пункті «Застосування» і вибираємо підпункт «Властивості«. Тут (див.скріншот вище) можна залишити за замовчуванням, або включити застосування до всього без винятків (за замовчуванням стоїть ігнорування DLL) і, наприклад, перемикати пункт застосування обмеженою політики до всіх крім локальних адміністраторів (при умові, що у Вас акаунти розмежовані на администраторкие і користувальницькі).

Назначенные типы файловНазначенные типы файлов

Далі, попередньо зберігши зміни, тиснемо правою кнопкою мишки на пункті «Призначені типи файлів» і знову вибираємо підпункт «Властивості«. Тут можна керувати дозволами, визначальними поняття виконавчого коду, які ми надалі заборонимо до використання. Можете налаштувати на свій розсуд, в залежності від цілей і завдань, які Ви ставите перед собою, але поки ми залишимо все як є.

Уровни безопасностиУровни безопасности 

Далі розгорнемо «папку» і перейдемо в наступну гілку, тобто в «Рівні безпеки«. Тут можна керувати рівнями безпеки, в тому числі задавати такі за замовчуванням, експортувати списки і тд і тп.

Найпростішим, для тіста, рішенням тут буде задати рівень безпеки «Заборонено» за умовчанням (для чого тиснемо по ньому правою кнопкою мишки і натискаємо відповідну кнопку), після чого, коли Ви погодитеся з повідомленням, обмеження буде активовано.

Тепер при запуску програм, якщо Ви не видалили зі списку розширень EXE, Ви будете бачити повідомлення як на скріншоті вище. Власне, можна видалити розширення як таке, а можна піти більш хитрим шляхом і, наприклад, видалити тільки розширення LNK, т. е ярлик.

LNKLNK 

Тоді, власне, користувач зможе запускати тільки той софт на який у нього є ярлик на робочому столі. Спосіб звичайно спірне, але в загальному-то цілком собі такий хитрий (навіть якщо користувач вміє редагувати ярлики, хоча і це можна йому заборонити).

Як Ви розумієте, власне, глобальні правила на все в комп’ютері і маніпулювання дозволами ярликами не є гуд, тому добре б поставити якісь папки, звідки можна запускати програми з сторонніх папок (за замовчуванням, в залежності від системи, дозволи можуть бути задані з системних папок, тобто з Windows і ProgramFiles).

Windows и ProgramFilesWindows и ProgramFiles 

Для цього переходимо на вкладку «Додаткові правила» і жамкаем правою кнопкою мишки на порожньому місці, вибираючи пункт «Створити правило для шляху» , де задаємо шлях і дозвіл або заборону для користувача.

Создать правило для путиСоздать правило для пути 

Таким же чином, як Ви вже, сподіваюся, зрозуміли, регламентується заборона або дозволу доступу по хешу, зон мереж або сертифікату.