Запрет запуска программ в Windows – обзор встроенных и сторонних средств

Диспетчер задач

Программы автозагрузки — то, что запускается при входе в систему. Это может быть все что угодно, но обычно — это антивирусы, различные мессенджеры и сервисы, которые отображаются в области уведомления мелкими значками. Для запрета запуска нежелательных программ можно обратиться к диспетчеру задач. Для этого снизу на панели задач кликаем правой кнопкой мыши и в меню выбираем Диспетчер задач.

В открывшемся окне переходим на вкладку Автозагрузка. В нем вы увидите список программ которые запускаются автоматически в месте с Windows. Для того чтобы запретить запуск программы нужно кликнуть на нужной прогремме правой кнопкой и выбрать пункт Выключить.

Отключение UAC с целью разблокирования приложения

Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:

Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».

Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».

Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:. Появится окно редактора реестра

Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0»

Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».

После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.

Удаление цифровой подписи как метод разблокирования приложения

Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:

Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».

Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.

После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.

Использование Локальной политики безопасности для блокировки и разблокировки софта

Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:

Жмём «Win+R» и вводим «secpol.msc».

Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».

Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».

Откроется окно Мастера создания новых правил. Жмём «Далее».

Появится еще одно окно. Здесь нам нужно поставить отметку «Разрешить» или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».

В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.

В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.

Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.

Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).

Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.

Операционная система Windows позволяет с легкостью запретить пользователям установку программ сторонних разработчиков. Возможность заблокировать установку приложений работает операционной системе Windows 10 начиная с обновления Creators Update. Выполнив чистую установку достаточно пользователю установить все необходимые приложения, после чего можно и отключить возможность установки ненужных программ.

Данная статья расскажет как запретить установку программ на Windows 10 используя параметры системы или редактор локальных групповых политик. Полезно будет тем пользователям, которые позволяют пользоваться своим рабочим компьютером другим без добавления новых учетных записей. Заблокировать установку программ можно вместе с использованием родительского контроля.

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 – уровень безопасности по умолчанию, 866 – правило для пути, 867 – правило для сертификата, 868 – правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» – правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.

Параметры политик в реестре

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Редактор групповой политики

Одним из самых распространенных способов запрета нежелательных программ — это манипуляции в редакторе локальной групповой политики. Для этого в программе «Выполнить», нужно прописать: gpedit.msc.

В открывшемся окне, пользователь должен идти таким путем: «Конфигурация пользователя», далее «Административные шаблоны», потом «Система».Далее, справа будет пункт «Не запускать указанные приложения Windows» .

В нем нужно выбрать «Включить». Затем ниже нажать на «Показать».

Откроется список запрещенных программ, в котором и нужно написать полное, с расширением, название нежелательного приложения, например: «Skype.exe». После этого следует перезагрузить компьютер и запрещенная программа не запустится.

В некоторых базовых сборках Windows 10 редактор групповой политики может не запускать через команду «gpedit.msc». В данном случае приложение нужно запускать вручную.

«Это приложение заблокировано в целях защиты» — что это за сообщение системы

Если ОС Windows 10, это приложение заблокировано в целях защиты, как отключить? Существует несколько способов, как решить проблему. Но прежде пользователю необходимо ознакомиться с основными причинами активации встроенной защиты Виндовс.

Уведомление о блокировке запускаемого стороннего приложения ОС Windows 10

Одна из причин, когда у сторонней программы или приложения, которое пытается установить пользователь на ПК, повредилась или истекла цифровая подпись. Если, конечно, речь идет на 100 % безопасных программных обеспечениях, где вероятность «подхватить» вирусы отсутствует.

Цифровая подпись – это сертификат, выдаваемый корпорацией Microsoft. Наличие сертификата указывает на полную безопасность использования ПО. Разработчики различных программ и игр постоянно отправляют заявки в Майкрософт для получения этого сертификата. После одобрения разработчики обязаны регулярно обновлять его по истечении срока давности и при серьезных обновлениях.

Обратите внимание! Отключать встроенную защиту можно лишь в том случае, если пользователь уверен, что установочный файл полностью безопасен. Также Windows 10 не дает запустить программу, если само стороннее приложение представляет собой потенциальную угрозу операционной системе

В таких ситуациях цифровые подписи поддельные и алгоритмы встроенной защиты способны это заподозрить. Также подпись может  отсутствовать вообще или быть запрещенной ОС

Также Windows 10 не дает запустить программу, если само стороннее приложение представляет собой потенциальную угрозу операционной системе. В таких ситуациях цифровые подписи поддельные и алгоритмы встроенной защиты способны это заподозрить. Также подпись может  отсутствовать вообще или быть запрещенной ОС.

Настройка групповых политик ограниченного использования программ в Windows 7

Прочитав статью Windows-компьютер без антивирусов, я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker’a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker’ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows

Заходим в настройки: gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же? Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато. Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво. Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла. Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Отмена действующих ограничений и исправление запуска панели управления, других системных элементов и программ в Windows

c http-equiv=»Content-Type» content=»text/html;charset=utf-8″>lass=»remon-after-2nd-h2″ id=»remon-1689126333″>

Прежде чем приступить, учитывайте важный момент, без которого все описанные далее шаги выполнить не получится: вы должны иметь права Администратора на компьютере для внесения необходимых изменений в параметры системы.

В зависимости от редакции системы, для отмены ограничений вы можете использовать редактор локальной групповой политики (доступен только в Windows 10, 8.1 и Windows 7 Профессиональная, Корпоративная и Максимальная) или редактор реестра (присутствует и в Домашней редакции). При наличии возможности я рекомендую использовать первый метод.

Снятие ограничений на запуск в редакторе локальной групповой политики

Используя редактор локальной групповой политики отменить действующие на компьютере ограничения будет быстрее и проще, чем с использованием редактора реестра.

В большинстве случаев достаточно использовать следующий путь:

1. Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
2. В открывшемся редакторе локальной групповой политики откройте раздел «Конфигурация пользователя» — «Административные шаблоны» — «Все параметры».
3. В правой панели редактора нажмите мышью по заголовку столбца «Состояние», так значения в нём будут отсортированы по состоянию различных политик, а вверху окажутся те из них, которые включены (по умолчанию в Windows все они в состоянии «Не задано»), а среди них и — искомые ограничения. 
4. Обычно, названия политик говорят за себя. Например, у меня на скриншоте видно, что запрещен доступ к панели управления, к запуску указанных приложений Windows, командной строке и редактору реестра. Для отмены ограничений достаточно дважды нажать по каждому из таких параметров и установить «Отключено» или «Не задано», а затем нажать «Ок». 

Обычно, изменения политик вступают в силу без перезагрузки компьютера или выхода из системы, но для некоторых из них она может потребоваться.

Отмена ограничений в редакторе реестра

Те же параметры можно изменить и в редакторе реестра. Для начала проверьте, запускается ли он: нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter. Если он запустился, переходите к далее описанным шагам. Если вы увидели сообщение «Редактирование реестра запрещено администратором системы», используйте 2-й или 3-й способ из инструкции Что делать, если редактирование реестра запрещено администратором системы.

В редакторе реестра присутствуют несколько разделов (папки в левой части редактора), в которых могут устанавливаться запреты (за которые отвечают параметры в правой части), вследствие которых вы получаете ошибку «Операция отменена из-за ограничений, действующих на этом компьютере»:

1. Запрет запуска панели управления

   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\

   Требуется удалить параметр «NoControlPanel» или изменить его значение на 0. Для удаления достаточно нажать правой кнопкой мыши по параметру и выбрать пункт «Удалить». Для изменения — двойной клик мышью и задание нового значения. 

2. Параметр NoFolderOptions со значением 1 в том же расположении запрещает открытие параметров папок в проводнике. Можно удалить, либо изменить на 0.
3. Ограничения запуска программ

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\

   В этом разделе будет список нумерованных параметров, каждый из которых запрещает запуск какой-либо программы. Удаляем все те, которые требуется разблокировать. 

Аналогично, почти все ограничения располагаются именно в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ и его подразделах. По умолчанию, в Windows у него нет подразделов, а параметры либо отсутствуют, либо присутствует единственный пункт «NoDriveTypeAutoRun».

Даже не сумев разобраться, какой параметр за что отвечает и очистив все значения, приведя политики к состоянию как на скриншоте выше (или вообще полностью), максимум, что последует (при условии, что это домашний, а не корпоративный компьютер) — отмена каких-то настроек, которые вы делали раньше с помощью твикеров или материалов на этом и других сайтах.

А вдруг и это будет интересно:

Как удалить обновления

Так как отключить обновление Windows 7 не значит полностью избавиться от навязчивой «десятки», то необходимо еще удалить ее загрузочные файлы с компьютера. Дело в том, что виндовс скачивает их в автоматическом режиме, поэтому после отключения обновлений, все загруженные данные будут занимать место на жестком диске. Чтобы от них избавиться, необходимо:1.    открыть панель управления и перейти в меню «программы и компоненты»;2.    в списке слева найти «просмотр установленных обновлений»;3.    здесь необходимо найти обновление с кодом KB2990214 или KB3014460, а затем удалить его.

Второй способ:1.    запустите системную утилиту «очистка диска» (пуск — все программы — стандартные — служебные) и дождитесь пока программа завершит анализ дискового пространства;2.    снизу нажмите на кнопку «очистить системные файлы»;3.    откроется новое диалоговое окно, где нужно выбрать «временные файлы установки Windows».

После этого компьютер не будет предлагать обновиться до «десятки». Если описанные ваше способы не принесли желаемого результата, что попробуйте полностью отключить автоматические обновления на компьютере. В таком случае, вам придется устанавливать все драйвера и другие системные файлы вручную, через журнал в центре обновлений виндовс.

Существуют и более сложные способы, чтобы отключить автоматическое обновление Windows до «десятки». Например, через командную строку. Описывать их было бы не совсем целесообразно. Поэтому предлагаем вам ознакомиться с видеороликом, где все максимально наглядно. 

Comodo Firewall

Помимо встроенных системных утилит Windows, вы можете воспользоваться и сторонними решениями, одно из них — Comodo Firewall, доступный в том числе и в бесплатной версии на официальном сайте https://personalfirewall.comodo.com/ (если у вас есть сторонний антивирус, будьте осторожны, он может конфликтовать с продуктом от Comodo, лучше воспользуйтесь уже имеющимися возможностями).

После установки файрвола, выполните следующие шаги для блокировки программе доступа к сети:

1. Зайдите в настройки и откройте пункт Фаервол — Правила для приложений. Нажмите кнопку «Добавить». 
2. Нажмите «Обзор» и укажите файл программы или группу файлов (например, все приложения Metro/UWP, все браузеры) для которых нужно создать правило.
3. Выберите пункт «Использовать набор правил», а затем — «Заблокированное приложение». 

Примените настройки, после этого выбранная программа будет заблокирована. При необходимости разблокировать доступ, нажмите кнопку «Разблокировать приложение» в главном окне Comodo Firewall, отметьте программу и нажмите «Разблокировать».

В завершение ещё два нюанса:

• Если вы блокируете программе доступ к сети с целью отключения обновлений или каких-то функций, учитывайте, что у некоторого ПО для этих целей служит не основной исполняемый файл, который вы запускаете, а вспомогательные .exe файлы или отдельные службы. Часть для них уже есть правила в брандмауэре Windows и их достаточно найти и изменить.
• Если вы устанавливаете запреты в целях родительского контроля, возможно, лучше будет использовать иные средства, см. Родительский контроль Windows 10.

Во время работы на ПК с Windows 10 можно заметить, как страницы медленно грузятся или система подвисает. Открыв Диспетчер задач, можно определить, что трафик потребляет программа, работающая в фоновом режиме. Для того, чтобы сэкономить трафик и запретить софту доступ в сеть стоит выполнить несколько несложных действий.

Читайте на SoftikBox:Приложению заблокирован доступ к графическому оборудованию Windows 10: решение

Первый способ, как заблокировать программе доступ в интернет с Windows 10 и не только, это использовать возможности брандмауэра (Он должен быть включен). Для создания нового правила пользователю необходимо выполнить следующее:

Нажимаем правой кнопкой мыши на меню «Пуск» и выбираем «Панель управления».

Откроется новое окно. Выбираем «Брандмауэр Windows».

В самом Брандмауэре, в меню слева, выбираем «Дополнительные параметры».

В окне справа нажимаем «Создать правило».

Выбираем правило для программ.

Указываем путь к файлу программы и жмём «Далее».

Выставляет отметку «Блокировать подключение».

Выбираем все три профиля подключения.

Указываем имя программы для правила. Жмём «Готово».

Этим способом без установки сторонних программ на Виндовс 10 можно заблокировать доступ к сети различным приложениям.

Ранее мы писали о файле Hosts. Одной из его особенностей является то, что он не только позволяет получить доступ софта к определенным ресурсам, но и блокируем его. Поэтому, рассмотрим способ, как блокировать программе доступ в интернет посредством файла Hosts.

• Устанавливаем на свой ПК программу Fiddler 2 в соответствии с разрядностью операционной системы.
• Запускаем программу, которая, по вашему мнению, чрезмерно потребляем трафик.
• Открываем Fiddler 2 и смотрим адрес, к которому обращается данная программа.

• В нашем случае, Skype часто обращается по адресу rad.msn.com для отображения рекламы.
• Открываем файл Hosts через Блокнот и вводим «0.0.1 rad.msn.com».

Сохраняем файл и перезагружаем систему. Сам файл будет запрещать программе выходить в сеть.

Чтобы заблокировать изменение файлов с помощью интернета, необходимо выставить на них режим «Чтения». Для этого нужно нажать правой кнопкой мыши на файле (если их несколько, то действия проделываем с каждым отдельно) и выбираем «Свойства».

Далее выбираем «Атрибуты» и выставляем «Только чтение».

Такая манипуляция позволит заблокировать программе доступ в сеть и ей обновление, так как файлы будут защищены от записи.

• https://windd.ru/kak-zapretit-prilozheniyu-dostup-v-internet-windows-10/
• https://remontka.pro/block-program-internet-access/
• https://softikbox.com/sposobyi-kak-zablokirovat-programme-dostup-v-internet-s-windows-10-25465.html