Блокировка запуска приложений в windows 10

Prevent programs from running at all or restrict users’ access to them

by Matthew Adams

Matthew is a freelancer who has produced a variety of articles on various topics related to technology. His main focus is the Windows OS and all the things… read more

Updated on October 4, 2023

Network administrators might need to block user access to certain Windows 10 programs for various reasons.

There are a few ways that network administrators, and anybody else, can block users from running certain software on their desktops or laptops.

Users can apply locks to folders or add passwords to programs with third-party software. However, users can also block access to programs in Windows 10 without any third-party software as follows.

How can I restrict access to only certain programs for users on Windows 10?

1. Block Software from running by editing the Registry

Users can stop certain programs from running by editing the registry. It might be worth setting up a system restore point before editing the registry so you can undo the changes if required. Then, follow the guidelines below.

1. First, press the Windows key + R hotkey.
2. Enter regedit in Run’s Open text box, and select the OK option.
3. Next, open this registry path: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.
4. If there isn’t an Explorer key under Policies, right-click the Policies key on the left of the window to select New > Key. Enter ‘Explorer’ as the key name.
   
5. Select the new Explorer key. Then right-click an empty space on the right of the Registry Editor window and select New > DWORD (32-bit).
6. Enter ‘DisallowRun’ as the title for the new DWORD.
   
7. Double-click the new DisallowRun DWORD to open its Edit DWORD window.
8. Enter ‘1’ in the Value data box as shown directly below, and click the OK button.
   
9. Next, right-click the Explorer key to select New > Key.
10. Then input ‘DisallowRun’ as the title for the new subkey.
    
11. Right-click the new DisallowRun subkey to select the New and String Value context menu options.
12. Now enter ‘1’ as the string value name.
    
13. Double-click the 1-string value to open the Edit String window.
    Then enter the exact name of the software’s executable file that you need to stop running in the Value data box as shown directly below.
    
14. Click the OK button to close the Edit String window.
15. Close the Registry Editor window.
16. Now, the blocked program will display the error message shown below when users try to launch it.

Some users might not need to set up an Explorer key if there’s already one there under the Policies subkey. If so, users can skip the step for setting up a new Explorer key.

Open the Computer HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer path in the Registry Editor. Then, add the DisallowRun subkey to the existing Explorer key instead.

To set up blocks for more software, users will need to enter different names for string values within the DisallowRun key. For example, the string value names within the DisallowRun key for the second and third program blocks will need to be 2 and 3 as shown below.

If you’re establishing a seventh program block, enter 7 as the string value title.

2. Block user access to programs in Windows 10 via Group Policy Editor

Windows 10 Pro and Enterprise include the Group Policy Editor tool, with which users can stop programs running without editing the registry.

Users can adjust a Run only specified Windows applications setting with the Group Policy Editor. Moreover, you can configure access to some software to only be restricted for all or only certain users.

1. Press the Win + R keys at the same time on your keyboard to open the Run dialog.

2. Enter gpedit.msc in the text box, and then click the OK button to open the Group Policy Editor.

3. Navigate to User Configuration > Administrative Templates > Templates on the left of the Group Policy Editor window.

4. Double-click on Run only specified Windows applications to open that setting’s window.

5. Select the Enabled option on the Run only specified Windows applications window.

6. Press the Show button to open a Show Contents window.

7. Then click a line on the Show Contents window to enter the executable file name of the program to block. Some users might need to open the software’s folder to check what exe file name they need to enter.

8. Press the OK button.

9. Click the Apply and OK buttons on the Run only specified Windows applications window. These guidelines will block the program for all users on a device.

10. To block the software for a specific user, you’ll need to add the Group Policy Object Editor snap-in to the Microsoft Management Console. Then you can configure policies to apply to specific users as follows.

11. First, press the Win key + Q keyboard shortcut.

12. Enter mmc.exe in the search box, and select to open mmc.exe.

13. Click Yes on the UAC prompt window that might open.

14. Then click File > Add/Remove Snap-in to open the window shown directly below.

15. Select Group Policy Object Editor on the left of the window.

16. Press the Add button.

17. Click Browse on the Select Group Policy Object window that opens.

18. Select the Users tab.

19. Then select an account to apply the policies to.

20. Press the OK button.

21. Click the Finish option.

22. Select the OK option on the Add or Remove Snap-ins window.

23. Click File >Save As on the console window.

24. Enter a file title in the Save As window, and click the Save button.

25. Thereafter, double-click the saved MSC file to apply the block program policies to the selected account group.

That will launch the Group Policy Editor window from which you can select to block a program as outlined above.

Read more about this topic

• How to Use Steam Deck’s Keyboard in Desktop Mode
• How to Format an NVMe SSD on Windows 11
• How to Download & Install New Microsoft Office Fonts
• Offline Files on Windows 11: How to Enable or Disable
• How to Crop an Image on Windows 10 [5 Ways]

That’s how users can block access to programs in Windows 10. You can unblock the software by erasing the new string values in the registry or disabling the Run only specified Windows applications setting.

However, to ensure that you can always undo registry changes, set up system restore points before establishing program blocks. Then, you can reverse changes made even to admin accounts by rolling Windows back to the restore point.

We hope you found this article helpful and managed to restrict user access to programs you don’t want them to open. Besides, you can block Internet access for specific apps in Windows to enjoy seamless network connectivity.

Let us know in the comments section below if you have any questions.

Как надежно запретить запуск приложений в Windows 10

Добрый день, друзья. Как заблокировать программу в Windows 10? Довольно часто бывает, вы желаете заблокировать запуск определённой программы, но точно не знаете, как это сделать? В этом случае, можно попробовать сделать блокировку программы при помощи реестра, или групповых политик.

Итак, давайте рассмотрим, как не дать запуститься определённым программам? Если вы не желаете разрешить запускаться программе, чтобы оградить ребёнка от опасности, существует программа родительский контроль, я уже о не писал. Кроме этого, можно запретить запускаться всем приложениям из магазина, или только одной программе.

Создайте черный список в редакторе реестра

Сначала убедитесь, что вы вошли в учетную запись Windows, в которой хотите заблокировать приложения. Затем нажмите Win + R и введите regedit в поле «Выполнить», чтобы открыть редактор реестра.

В редакторе реестра перейдите к:

Читайте также:  Как сделать и открыть боковую панель для ОС Windows 10, 4 простых способа

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies

Здесь, на панели слева, щелкните правой кнопкой мыши Policies, затем выберите Создать → Раздел и назовите новый ключ Explorer.

Выберите только что созданную папку/ключ Explorer, затем на панели справа щелкните правой кнопкой мыши пустое место и выберите Создать → Параметр DWORD (32 бита) и назовите его «DisallowRun» (без кавычек).

Дважды щелкните «DisallowRun» и измените в поле «Значение» «0» на «1».

Наконец, щелкните правой кнопкой мыши папку Explorer, которую вы создали, на панели слева, выберите Создать → Раздел и назовите DisallowRun.

Вы создали чёрный список. Далее просто добавляйте в папку DisallowRun те приложения, которые хотите заблокировать.

Запрет запуска программ через редактор групповых политик

Первое решение оказывается эффективным в большинстве случаев, поэтому начинать нужно именно с него. Чтобы запретить запуск приложений через редактор групповых политик, выполните следующие действия:

• Удерживая нажатой клавишу Windows, нажмите «R», чтобы запустить диалоговое окно «Выполнить» в Windows.

Введите «gpedit.msc», затем нажмите «Enter». Откроется редактор групповой политики.

Разверните Конфигурация пользователя/Административные шаблоны/Система.

В правой части окна откройте политику «Не запускать указанные приложения Windows».

Установите политику «Включено», затем выберите «Показать…».

Добавьте программы, автозагрузку которых необходимо запретить, в Список запрещённых приложений. Используйте имя файла запуска приложения, например, «itunes.exe», «bittorent.exe» и т. д.

Читайте также:  Как удалить папки «Windows.old», «$Windows.~BT» и «$Windows.~WS»

Готово! Теперь запуск указанных приложений запрещён на уровне системы локальной политики. Перезагрузите ПК и убедитесь, что изменения вступили в силу. В противном случае переходите к следующему решению.

Добавить приложения в черный список

Вам необходимо добавить каждую программу, которую вы хотите заблокировать, в раздел DisallowRun.

Чтобы добавить первую запись, щелкните правой кнопкой мыши пустое место на панели справа (с выбранным DisallowRun слева), выберите Создать → Строковый параметр и назовите его «1».

Затем дважды щелкните созданную вами строку и в поле «Значение» введите имя исполняемого файла программы, которую вы хотите заблокировать. Мы заблокируем Steam, потому что нет ничего более отвлекающего от работы, чем знать, что вам нужно пройти 200 игр.

После того, как вы создали свой ключ, перезагрузите компьютер (необязательно), и блокировка начнёт работать.

Чтобы добавить другие приложения в черный список, повторите все те же шаги, но назовите каждое новое строковое значение, которое вы создаете, следующим числом в ряду, например, 2, затем 3, затем 4 и так далее.

Когда вы попытаетесь открыть одно из этих приложений, вы должны увидеть сообщение об отмене операции или вовсе не увидите никакой реакции, если будете использовать ярлык.

Программы для блокировки приложений Windows

Gilsoft EXE Замок

Для начала поговорим о коммерческом решении такого типа, которое имеет цена 29.95 евро, но он представляет пробную версию. Это приложение, которое вы можете скачать с этой ссылке и это представляет явный недостаток в отношении других предложений, которые мы увидим, и это то, что они оплачены. Однако следует отметить, что он обладает очень привлекательным и интуитивно понятным интерфейсом.

В то же время стоит знать, что для облегчения его использования нам просто нужно перетащить исполняемые файлы для блокировки прямо в интерфейс программы. Там они будут видны, так что мы также сможем быстро разблокировать их, когда захотим, нажав кнопку.

AskAdmin

Напротив, в этом случае мы находим бесплатное предложение, которое мы можем загрузить с этой ссылке , Это одна из самых известных альтернатив в этом отношении, которая поможет нам заблокировать приложения по нашему выбору. Для этого просто добавьте исполняемые файлы непосредственно к интерфейсу программы.

При этом программа отвечает за автоматическую блокировку каждой попытки их выполнения. Еще один аргумент в пользу этого предложения заключается в том, что у него есть собственная функция экспорта списка установленных приложений на случай, если у нас есть несколько похожих компьютеров, например, в одной локальной сети.

Читайте также:  Какой интернет лучше подключить для частного дома в деревне

Кака ExeLock-Password Protect

Это еще одна альтернатива этого типа, которая, как и в предыдущем случае, также является бесплатной, что позволяет нам не тратить евро для этих задач. Для начала мы скажем вам скачать его с этой ссылке .

Если нам нужно выделить что-то об этом приложении, о котором мы говорим, то это то, что, поскольку оно позволяет нам увидеть его имя, мы можем использовать пароль доступа. Это дополнительный метод защиты для предотвращения запуска приложений, которые мы ранее заблокировали. Более того, мы говорим вам, что программа запускает алгоритм это изменяет исполняемый файл так, что он становится функциональным только после использования соответствующего указанного пароля.

Простой Run Blocker

Следуя той же тенденции, теперь мы поговорим о другой альтернативе, аналогичной уже выявленной, которая представляет нам преимущество быть одинаково свободным. Мы можем скачать его с этой ссылке и при запуске на экране мы увидим интуитивно понятный пользовательский интерфейс.

В отличие от других программ, которые мы находим в этих же строках, Simple Run Blocker позволяет нам создавать, с одной стороны, белый список приложений, а с другой — черный список. Оба будут полезны для нас при определении того, какие программы мы хотим, чтобы остальные пользователи управляли ими, а кто нет. Сказать, что еще одно из преимуществ, которые представляет нам это предложение и которые мы можем выделить, заключается в том, что оно позволяет нам блокировать жесткие диски во всей их полноте. Это будет очень полезно для защиты наших данных, в дополнение к приложениям, установленным в Windows.

Целевая Blocker

Это одна из самых простых альтернатив, которую мы найдем в этом списке. Мы можем скачать его отсюда , а также предоставляет нам интерфейс, через который у нас есть возможность добавлять приложения для блокировки в Windows.

Конечно, если мы ищем отличительную черту здесь, и это может быть очень интересно в определенных случаях, это то, что Целевая Blocker показывает количество попыток выполнить каждую из заблокированных записей.

Бесплатная блокировка EXE

И мы собираемся закончить с этим выбором программ для блокировки приложений в Windows, с помощью Free EXE Lock. Это также бесплатное решение, с помощью которого мы можем сделать это из этой ссылке что, как мы видели в случае с Kaka ExeLock-Password Protect, у нас также есть возможность использовать пароль доступа , Это послужит запорным краном для возможности выполнения ранее заблокированных программ.

Конечно, несмотря на то, что вы свободны, вы должны быть очень осторожны в процессе установки, так как он также устанавливает другие нежелательные программы, такие как Web Companion или Avast антивирус , Кроме того, этот тип практики уверен, что большинству не понравится, что оставляет желать лучшего с точки зрения имиджа и надежности данной конкретной программы. На этом этапе многие предпочтут попробовать другие блокировщики приложений, подобные рассмотренным выше.

Как разрешить только определенные приложения

Противоположный вариант того, что мы описали выше, – разрешить открытие в учетной записи только определенных приложений или, другими словами, заблокировать все, кроме указанных вами приложений.

Процесс точно такой же как для блокировки программ, за исключением того, что каждый раз, когда вы используете термин «DisallowRun» (как DWORD в папке Explorer и как подключ/подраздел в папке Explorer), используйте вместо этого термин «RestrictRun».

Вы можете одновременно использовать DisallowRun и RestrictRun, но не включайте их одновременно, так как это может вызвать конфликты.

Примечание. Очень важно, чтобы первое приложение, которое вы добавляете в папку «RestrictRun», было «regedit.exe», иначе вы заблокируете редактор реестра и не сможете вносить изменения в будущем. (В этом случае вам потребуется отредактировать реестр этой учетной записи из другой учетной записи администратора.)

В чём причина блокировки запуска

Данная шибка запуска имеет простое объяснение: у программы, которую пользователь пытается установить, истекла или повредилась цифровая подпись (если речь идёт, конечно же, о безопасном приложении, в коде которого отсутствуют вирусы).

Цифровая подпись представляет собой сертификат, который выдаётся корпорацией «Майкрософт». Он даёт гарантию, что приложение безопасно. Разработчики нового софта подают постоянно заявки на получение этого сертификата. Производители ПО также обязаны регулярно его обновлять при апдейте своего ПО или по истечении срока подписи.

Возможен такой вариант: юзер загрузил старую версию программы с официального сайта или с компакт-диска, которому уже много лет. Конечно, в этом случае «десятка» заподозрит файл в наличии вируса, так как подпись уже просрочена.

Сообщение о блокировке запуска в версии Creators Update появляется в красно-сером окне

Возможно также, что сама утилита содержит в себе угрозу безопасности ПК (вредоносное ПО). В этой ситуации цифровая подпись может быть поддельной — это ваша «десятка» и заподозрит, поставив блок на запуск. Подпись может вообще отсутствовать или быть запрещённой в настройках «Виндовс» 10 (то есть быть в перечне сертификатов, которым нельзя доверять).

Таким образом, блокировка запуска со стороны администратора не всегда означает, что файл (приложение) несёт какую-то угрозу. Ошибку можно обойти, но только в том случае, если вы полностью уверены в безопасности утилиты.

Если у вас версия «десятки» ниже Creators Update, вы увидете сообщение в окне старого образца белого цвета

Зачем ограничивать

Windows сама отвечает на этот вопрос:

Устанавливая только приложения, предлагаемые в Магазине, вы сможете защитить свой компьютер и обеспечить его бесперебойную работу.

Такой механизм отлично подойдет для контроля за учетной записью ребенка, к примеру, чье любопытство может привести к появлению нежелательных или вредоносных приложений на компьютере. В любом случае, вы сами можете решить, для чего в вашем случае может пригодиться ограничение не установку приложений. Наше дело лишь в том, чтобы показать, как это делается и какие нюансы связаны с этим процессом.

Реестр операционной системы

Убрать программы из автозапуска можно посредством системного реестра. Для вызова редактора реестра, в приложении «Выполнить», прописывается: RegEdit.exe. В появившемся окне нужно перейти по такому адресу: HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.

Читайте также:  Как объединить текст в Excel из нескольких ячеек в одну

В правой стороне появится список программ которые запускается при входе в Windows системным администратором. Список легко редактируется^ пользователь может удалять программы и добавлять другие, создавая новый параметр.

Что добавить программу нужно кликнуть правой кнопкой мыши по пустому месту в окне со списком и создать строковый параметр, задавая ему любое имя. После появления нового параметра, нужно кликнуть по нему для того, чтобы указать расположение исполняемого файла.

В статье было рассмотрено три основных метода повлиять на запуск программ средствами Windows. Помимо этого, существует большое количество стороннего программного обеспечения для регулировки автозапуска, которое можно найти на просторах сети. Например, программа Autoruns отлично справляется с своей задачей. Управление автозагрузкой, есть в известном чистильщике программной среды от мусора — Ccleaner и других программах подобного рода.

Источник

Вывод – контроль запуска приложений

Вот и всё. Теперь у вас есть собственный черный список в редакторе реестра, что позволяет вам точно контролировать, к каким приложениям можно получить доступ для определенных учетных записей.

Однако, не относитесь к этому легкомысленно. Реестр функционирует на глубоком уровне вашего ПК, и неправильные действия здесь могут вызвать проблемы. Не забудьте создать резервную копию реестра, создать точки восстановления и быть внимательными при внесении изменений.

Для тех, кто не читал первую часть статьи, скажу, что в данной статье под OEMщиком подразумевается специалист, который занимается подготовкой Windows к тиражированию на множество устройств.

В этой части мы рассмотрим, как повысить безопасность и отказоустойчивость системы с помощью стандартных средств Windows: AppLocker, фильтр записи, блокировка устройств. Плюс к этому рассмотрим особенности запечатывания системы в режиме приветствия (OOBE) с некоторыми специфичными настройками системы.

Из первой части Вы узнали, как быстро создать и развернуть образ системы, в этой части этот навык пригодится больше всего, ведь мы будем экспериментировать с настройками повышения безопасности. При их неправильной настройке система может не загрузиться или при включении настройки в системе поменяется столько параметров, что проще будет развернуть ранее сохраненный образ системы, чем ее перенастраивать.

Во второй части статьи, мы рассмотрели базовые настройки устройства фиксированного назначения. В данной части мы будем рассматривать настройки безопасности в контексте ранее выполненных настроек. Поэтому, для успешного проведения экспериментов по описанию в статье, возьмите образ системы, который у Вас получился после второй части или настройте систему так, чтобы она соответствовала следующим требованиям:

• С помощью скрипта настройки питания «PowerSettings» включена схема питания «HORM»
• Система в режиме аудита
• В системе есть две созданные учетные записи, одна только в группе «Администраторы», вторая только в группе «Пользователи»
• С помощью «Shell Launcher V1» настроен запуск приложения для группы «Пользователи»

Напомню, что все настройки мы выполняем на Windows 10 IoT Enterprise версии 1809. Убедитесь, что у Вас именно эта версия системы, выполнив команду «winver».

Если у Вас нет дистрибутива этой системы, то Вы можете скачать пробную версию.

И еще один нюанс, скрипты для настройки рассматриваемых возможностей в этой части находятся только в полном наборе скриптов. Полный набор скриптов Вам будет доступен при приобретении операционных систем линейки Windows 10 IoT в компании «Кварта Технологии». Или вы можете попробовать настроить систему вручную, как описано в нашей вики.

Чтобы узнать о выходе новых версий скриптов с исправлениями и дополнениями, Вы можете подписаться на нашу рассылку или присоединиться к нашим группам в соцсетях.

Блокировка запуска приложений

Блокировка запуска приложений будет выполняться с помощью AppLocker’а. Учтите, что правила AppLocker’а не работают в режиме мультикиоска, т.к. в режиме мультикиоска по умолчанию запрещен запуск всех приложений, которые не разрешены. Чтобы правила мультикиоска и AppLocker’а не конфликтовали, в режиме мультикиоска AppLocker не работает.

Блокировка запуска приложений не только усилит защиту от вредоносного ПО, а еще и не даст пользователю попасть куда не нужно, например, в настройки.

Появляется вопрос, как же так, во второй части статьи мы все пользователю блокировали, блокировали, да не заблокировали? На самом деле все дело в нюансах, запуск какого приложения мы настроили и при каких обстоятельствах оно будет работать.

Вот вполне реальный пример. Есть информационный киоск с сенсорным экраном. На киоске настроен режим киоска «Shell Launcher V1», который запускает IE. IE настроен на запуск в полноэкранном режиме, кнопки управления окном скрыты, отключен вызов контекстного меню. IE отображает интернет-страницу.

И казалось, ничего не предвещало беды… но судьба распорядилась по-другому.

Попробуйте отключить интернет на таком решении, IE Вам сообщит, что устройство не подключено к сети и предложит исправить проблемы с подключением. А из этой настройки пользователь сможет получить доступ к файловой системе и немного пошалить…

Из этой ситуации можно сделать вывод, что при нештатной работе устройства существует вероятность запуска приложений, непредназначенных для пользователя. И самый простой выход из этой ситуации – это настройка блокировки запуска приложений по белому списку, как в режиме мультикиоска.

Для проверки работоспособности блокировки приложений можно временно отключить фильтр клавиатуры, чтобы пользователь мог вызвать диспетчер задач по «Ctrl + Shift + Esc» и окно залипания клавиш по пятикратному нажатию «Shift».

Для начала рассмотрим особенности настройки AppLocker’а в целом – теоретическая часть. А потом рассмотрим, как настроить правила запуска приложений по белому списку – практическая часть.

Теоретическая часть

Перед включением AppLocker’а нужно создать минимально необходимый набор правил для нормальной работы системы. Правила AppLocker’а находятся в локальной групповой политике, по пути «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики управления приложениями\AppLocker».

Для AppLocker’а необходимо создать правила по умолчанию для разделов «Исполняемые правила» и «Правила упакованных приложений». Создать правила можно в контекстном меню раздела.

После создания правил по умолчанию можно включить AppLocker, для включения AppLocker’а необходимо запустить службу «AppIDSvc» и перевести ее в автоматический режим запуска. Но AppLocker начнет работать не сразу, а после применения политики AppLocker’а к системе. О том, что правила AppLocker’а применены к системе, можно узнать из журнала AppLocker’а «Управление компьютером\Служебные программы\Просмотр событий\Журналы приложений и служб\Microsoft\Windows\AppLocker\EXE и DLL». После применения правил в журнале появится запись с кодом события 8001, в событии будет уведомление о том, что политика AppLocker’а применена к системе.

Ветка лога «Журналы приложений и служб» открывается не сразу, ее открытие может занять некоторое время. Если открыть журнал до появления записи в журнале, то для обновления отображения состояния журнала необходимо нажимать «F5».

Для создания новых правил исполняемых приложений можно выбрать пункт контекстного меню «Создать новое правило…», после чего откроется помощник создания правил.

Для правил AppLocker’а можно настроить политику применения правил.

Если флажки не установлены, то правила находятся в ненастроенном состоянии — «Not configured», это значит, что правила будут применяться, если нет конфликтующих правил более высокого уровня.

Если флажки установлены, то есть возможность выбрать один из вариантов настройки. «Принудительное применение правил» — к системе будут применены текущие правила. «Только аудит» — можно запускать запрещенные приложения, но при запуске запрещенного приложения в журнал AppLocker’а будет добавлена соответствующая запись, в которой будет указано, что данное приложение было бы запрещено.

На основании записей результатов аудита можно создать правила для AppLocker’а, причем это можно сделать автоматически с помощью консольных команд управления AppLocker’ом.

Настройка в редакторе локальной групповой политики больше подходит для настройки по черному списку, т.е. будет разрешен запуск всех приложений, кроме тех, которые явно незапрещены.

Практическая часть

Для настройки по белому списку будем использовать скрипт «AppLocker», который находится в наборе скриптов.

Включите AppLocker, выбрав соответствующий пункт меню. Скрипт проверит, есть ли минимально необходимые правила для AppLocker’а, если их нет, то он предложит их создать. При подтверждении скрипт создаст правила, где разрешен запуск всех программ только для группы «Администраторы», а для группы «Пользователи» правила не прописаны, т.е. запрещен запуск всех программ. После создания правил скрипт запустит службу «AppIDSvc» и настроит ее автоматический запуск.

Если Вы согласны с предложением скрипта создать правила, просто нажмите «Enter».

Чтобы узнать, что AppLocker начал работать, просто обновите информацию об AppLocker’е, выбрав соответствующий пункт меню.

Когда AppLocker начнет работать, выберите пункт изменения политики правил и включите режим аудита.

Важно учесть, что при настройке правил для пользователя по белому списку необходимо делать все так же, как это будет делать пользователь. Если Вы планируете настроить автоматический вход в учетную запись пользователя при загрузке системы, то именно так и нужно войти в учетную запись в режиме аудита. Поэтому выполните команду «netplwiz» и отключите требование ввода учетных данных для пользователя. После включения автоматического входа перезагрузите систему.

Когда система загрузится, выполнит вход в учетную запись пользователя и запустит назначенное приложение вместо оболочки системы, перейдите в учетную запись администратора, запустите скрипт настройки AppLocker’а, выберите пункт выбора группы для создания правил AppLocker’а. В пункте выбора группы выберите группу «Пользователи» (Users).

После создания правил вернитесь в главное меню скрипта и выберите пункт отображения правил AppLocker’а. У меня для пользователя был настроен запуск «Tools\TestRunAs.bat», который находится в наборе скриптов, я получил вот такой набор правил.

Первые два правила для группы «Administrators» создал скрипт перед запуском AppLocker’а. Остальные правила, с приставкой «AuditBased», скрипт создал на основании результатов аудита. При желании Вы можете изменить приставку, которая добавляется к создаваемым правилам, для этого нужно просто поменять в скрипте «AppLocker.ps1» значение параметра «-RuleNamePrefix». Этот параметр легко найти с помощью поиска «Ctrl + F».

Теперь посмотрим, что у нас получилось. Измените политику применения правил на принудительное применение правил и перезагрузите систему. Когда система загрузится, и запустится назначенное приложение вместо оболочки системы, попробуйте вызвать диспетчер задач с помощью «Ctrl + Shift + Esc» или открыть окно настройки залипания клавиш с помощью пятикратного нажатия «Shift».

Учтите, что при создании правил на основании результатов аудита создаваемые правила добавляются к уже существующим правилам. Поэтому перед следующей настройкой очистите журнал AppLocker’а, иначе новые правила будут созданы с учетом старых данных журнала. Для очистки журнала AppLocker’а есть соответствующий пункт скрипта.

Правила AppLocker’а можно сохранить в отдельный файл и применить их к другой системе. Обратите внимание, что можно добавить правила к уже существующим правилам или заменить существующие правила новыми. При замене правил, помимо самих правил, будут установлены и политики применения правил, которые были указаны в сохраненном файле.

После настройки AppLocker’а отключите автоматический вход пользователя в систему.

Если захотите запечатать систему в режиме аудита с включенным AppLocker’ом, когда правила настроены по белому списку, то учтите, что после загрузки системы панель задач будет работать только во встроенной учетной записи «Administrator», в которую система загрузится автоматически. Для восстановления работы панели задач в других учетных записях, просто отключите, а затем снова включите AppLocker с помощью скрипта.

Запечатываем систему в режиме приветствия — OOBE

Если Вы хотите сохранить текущие настройки системы, то перед дальнейшими действиями сохраните образ системы в режиме аудита, как это было описано в первой части статьи.

В обычном режиме работы системы мы посмотрим на те настройки, которые не работают в режиме аудита. А именно:

• Блокировка устройств
• Отключение отображения процесса загрузки системы
• Фильтр записи

Небольшое уточнение, фильтр записи будет работать в режиме аудита, но в режиме аудита не выполняются задачи, которые прописаны в планировщике заданий, а такая задача очень пригодится при работе фильтра записи. В режиме аудита можно добавить компонент фильтра записи и настроить его, но включать его не нужно.

Теперь запечатывать систему обязательно нужно с помощью скрипта для запечатывания. В первой части статьи я написал часть того, что делает скрипт при запечатывании в разделе «Для чего нужен скрипт для запечатывания», а сейчас немного дополню.

Сейчас система настроена для комфортного обслуживания. Для дополнительных настроек учетной записи пользователя достаточно учетную запись пользователя перевести из группы «Пользователи» в группу «Администраторы», и с учетной записи пользователя будут сняты все ограничения:

• Вместо назначенного приложения будет запущена оболочка системы
• Не будет ограничений фильтра клавиатуры
• AppLocker разрешит запускать любые приложения.

Для этого мы и настраивали все ограничения именно для группы. Но всякое решение плодит новые проблемы…

Мюллер шел по улице. Вдруг ему на голову упал кирпич.
«Вот тебе раз,» — подумал Мюллер.
«Вот тебе два,» — подумал Штирлиц, бросая второй кирпич.

При тиражировании системы ее обязательно нужно запечатать для сброса уникальных SID’ов системы и обязательно в режиме приветствия, не использовать же систему в режиме аудита. Но если настроен режим киоска «Shell Launcher V1» с указанием запуска приложения именно для группы «Пользователи», то система не сможет загрузиться в режиме приветствия.

Если правила AppLocker’а настроены по белому списку, и в правилах для пользователя нет разрешения на запуск приложений, которые запускаются при прохождении OOBE, то система не загрузится в режиме приветствия.

Перед запечатыванием системы в режиме «OOBE» скрипт проверяет настройки Shell Launcher’а и AppLocker’а. Если настройки будут препятствовать загрузке системы в режиме приветствия, то скрипт предложит временное отключение этих настроек. Настройки AppLocker’а и Shell Launcher’а будут проверены отдельно друг от друга, и для каждой настройки отдельно будет предложено временное отключение. При подтверждении отключения настроек скрипт отключит их и создаст задачу на их включение, задача будет выполнена после входа в учетную запись при первой загрузке после запечатывания, после включения настроек система будет перезагружена еще раз.

Чтобы не отвечать на вопросы системы при загрузке в режиме приветствия, используйте файл ответов для запечатывания «OOBEAuto.xml», который есть в наборе скриптов.

После запечатывания системы в режиме приветствия сохраните образ системы, у нас еще будут настройки, при которых что-то может пойти не так.

Ограничение установки драйверов

Если у устройства есть общедоступные USB порты, которые нельзя отключить в BIOS’е, то появляется потенциальная угроза безопасности, ведь кто угодно может подключить любое USB устройство и его использовать. Для минимизации подобных рисков можно воспользоваться возможностью ограничения установки драйверов. Данную возможность можно использовать и для запрета автоматического обновления драйвера, если новый драйвер приводит к некорректной работе системы.

Данная возможность не работает в режиме аудита.

Группа настроек, отвечающих за ограничение установки и использования драйверов, находится в локальной групповой политике в разделе «Ограничение на установку устройств». С помощью данной группы настроек можно запретить установку новых драйверов или запретить работу уже установленных драйверов, поэтому название «Ограничение установки драйверов» лучше отражает суть данной возможности.

Для лучшего понимания возможностей данных настроек сначала рассмотрим их в локальной групповой политике, а затем рассмотрим настройку с помощью скрипта «DriverRestrictions», который находится в наборе скриптов.

Настройка в локальной групповой политике

Настройка ограничения установки устройств находится в локальной групповой политике. «Конфигурация компьютера\Административные шаблоны\Система\Установка устройства\Ограничение на установку устройств»

Можно запретить установку устройства по ID устройства или по GUID’у класса оборудования. После запрета установки устройств нельзя будет установить драйвер, который соответствует указанному GUID’у класса или указанному ID оборудования. При этом ранее установленный драйвер будет работать.

ID устройства можно указывать не полностью, сопоставление ID в правилах с ID в системе будет производиться по частичному совпадению с начала строки. Правило запрещения устройства с ID «PCI\VEN_8086&DEV_9D23» будет запрещать все устройства по маске «PCI\VEN_8086&DEV_9D23*», т.е. устройство с ID «PCI\VEN_8086&DEV_9D23&SUBSYS_8079103C&REV_21\3&11583659&0&FC» будет запрещено.

Если в системе настроен запрет на установку новых драйверов, и будет подключено новое устройство, для которого уже есть драйвер в системе, то подключенное устройство будет работать.

При необходимости запретить работу уже установленного драйвера, нужно установить флажок «Также применить для соответствующих устройств, которые уже были установлены». Данная настройка будет распространяться на весь перечень указанных устройств. Эту возможность можно настроить отдельно для списка запрещенных ID и GUID’ов классов. Будьте внимательны при установке запретов на работу уже установленных драйверов по GUID’у класса. Например, GUID класса флэшки может совпадать с GUID’ом класса SSD, на котором установлена система, при установке запрета на работу уже установленного драйвера с таким GUID’ом система не сможет загрузиться.

Установленные запреты распространяются на всех пользователей, в том числе и на администраторов. Чтобы снять все ограничения для администратора, можно включить настройку «Разрешить администраторам заменять политики ограничения установки устройств». Если эта настройка нужна для обхода запрета использования установленного драйвера, то для возобновления работы устройства нужно просто выполнить автоматический поиск драйвера. Учтите, что после возобновления работы устройства оно будет доступно для всех пользователей, поэтому после обслуживания устройства нужно отключить разрешение для администраторов заменять политики ограничений.

Добавление ID и GUID’ов классов в перечень запрещенных – это настройка по черному списку, для настройки правил по белому списку нужно включить настройку «Запретить установку устройств, не описанных другими параметрами политики». После включения данной настройки будет запрещена установка новых драйверов, для которых не настроено явного разрешения. Работа установленных драйверов будет разрешена. При необходимости устанавливать драйверы на некоторые устройства, их можно добавить в разрешенные по ID и GUID’ов классов.

Настройка с помощью скрипта

Если Вы хотите поэкспериментировать с отключением устройств, для наглядности откройте диспетчер устройств и расположите окна так, чтобы перечень устройств был виден, когда окно скрипта находится поверх диспетчера устройств.

При выборе пунктов разрешения или запрета установки драйверов по ID или по GUID’у класса, скрипт покажет таблицу с перечнем текущих устройств, которые еще не добавлены в правила выбранного параметра. При составлении таблицы с перечнем ID, после получения перечня всех устройств скрипт исключает ID, которые начинаются с: «PRINTENUM», «ROOT», «SW», «ACPIAPIC», «MONITOR». При необходимости, перечень исключаемых ID можно изменить в функции «Add-Devices». У оставшихся ID будут отброшены окончания: «&SUBSYS», «&REV», «&CC» вместе со всеми символами после этих окончаний.

С помощью фильтра можно найти устройство по частичному совпадению, поиск которого будет по всем столбцам таблицы. В таблице можно выбрать более одного устройства. Для добавления выбранных устройств в правило нужно нажать «OK».

При выборе пункта отображения и удаления текущих правил скрипт покажет таблицу с текущими правилами. В этой таблице будут отображены правила всех параметров. В столбце «Param» значение указывает на тип правила, разрешающее или запрещающее и на основании чего настроено правило по ID устройства или GUID’у класса. В столбце «Value» отображается ID устройства или GUID класса, по которому настроено правило. Для удаления правил нужно выбрать одно или множество правил, которые необходимо удалить и нажать «OK».

После удаления правил скрипт будет автоматически включать отключенные устройства. Но при включении разрешения замены правил для администраторов нужно будет вручную обновлять драйверы отключенных устройств.

Запретить работу уже установленных драйверов можно с помощью пунктов включения / отключения запрета к установленным драйверам.

С помощью пунктов отключения разрешения или запрещения по ID или GUID можно удалить все правила, которые относятся к конкретной настройке, а с помощью пункта сброса настроек можно сбросить все настроенные правила для устройств.

Фильтр записи

С помощью фильтра записи можно защитить данные от изменения на определенных томах несъемных дисков. На защищенных томах можно настроить места исключения, где данные не будут защищены.

Важно!!!

1. Включать фильтр записи необходимо непосредственно на конечном устройстве после активации системы.
2. При включении фильтра записи изменяются некоторые настройки системы, но при выключении фильтра записи измененные настройки не возвращаются в исходное состояние.
3. Нельзя запечатывать систему с включенным фильтром записи.

По ряду причин Вам может потребоваться защита данных на жестком диске, например, пользователи сбивают настройки специализированного ПО и не могут их восстановить без посторонней помощи. Или из специализированного ПО можно получить доступ к файловой системе, где можно удалить данные. Фильтр записи позволяет вернуть данные в исходное состояние с помощью простой перезагрузки системы.

А вот непридуманная ситуация. Некоторые работники каждое утро тратят 30 – 40 минут на то, чтобы открыть все необходимые окна в специализированном ПО, сделать их определенного размера и расставить их в определенном порядке. Эту проблему можно решить с помощью функции HORM, которая есть в фильтре записи.

Данный раздел тоже разделим на теоретическую и практическую части. В теоретической части рассмотрим работу фильтра записи в целом, и какие у него есть настройки, а в практической части рассмотрим, как его настроить, естественно для настройки будем использовать скрипт.

Теоретическая часть

Фильтр записи необходим для сохранения данных в исходном состоянии. Можно выделить две основные функции:

1. Защита данных от изменений на несъемных носителях
2. Загрузка системы в определенное состояние из файла гибернации – режим HORM
   Сначала рассмотрим работу фильтра записи с настройками по умолчанию, а затем рассмотрим, какие еще есть варианты настройки и для чего они нужны.

Если включить фильтр записи с защитой всех томов несъемных дисков, то получится следующая схема.

Все операции чтения / записи будут осуществляться между системой и оверлеем. Оверлей – буфер временного хранения данных, который будет очищен после перезагрузки. По мере записи данных в оверлей он будет заполняться, нельзя допускать полного заполнения оверлея, иначе система перестанет нормально работать. По умолчанию размер оверлея 1024 MB.

Если данные записать, а потом удалить, то оверлей будет очищен частично, для полной очистки оверлея требуется перезагрузка системы. При заполненном оверлее система не сможет выполнить программную перезагрузку, т.к. попадет в цикл «записать сведения о перезагрузке, если запись не удалась, вернуться на предыдущий шаг». Поэтому перезагружать систему нужно до заполнения оверлея.

На защищаемых томах можно настроить места исключения из защиты, в таких местах будут сохраняться изменения данных. При записи данных в места исключения операции чтения / записи все равно будут проходить через оверлей, поэтому оверлей будет заполняться.

У фильтра записи есть уведомления об уровнях заполненности оверлея, это порог предупреждения – по умолчанию 512 MB и критический порог – по умолчанию 1024 MB. При достижении определенного порога в журнал системы будут внесены определенные записи. «Журналы Windows > Система».

Чтобы избежать заполнения оверлея, можно создать задачу на перезагрузку системы, которая будет выполнена при появлении записи в журнале о достижении определенного порога.

В настройках фильтра записи можно изменить размер оверлея и уровень порогов. При изменении размера оверлея учтите, что под оверлей сразу выделяется объем памяти равный объему оверлея, который будет недоступен системе. Не забывайте оставлять минимально необходимый объем памяти для работы самой системы.

Оверлей может быть в оперативной памяти или на жестком диске. Если оверлей на жестком диске, то помимо обычного режима работы оверлея, который мы рассмотрели, будет доступен режим сквозной записи, который будет включен по умолчанию при переключении оверлея на жесткий диск.

В режиме сквозной записи все данные будут записываться в свободное место на жестком диске, а в оверлей будет записываться служебная информация системы и сведения о данных, записанных в свободное место на жестком диске. Если данные записать, а потом удалить, то место на жестком диске будет освобождено, а место в оверлее почти не будет использоваться. Таким образом можно существенно сократить количество необходимых перезагрузок. При перезагрузке все изменения будут удалены, включая данные, записанные в свободное место на жестком диске.

И еще одна особенность оверлея на HDD – режим постоянного оверлея. Данный режим подразумевает сохранение данных в оверлее после перезагрузки системы. А для очистки оверлея перед перезагрузкой необходимо выполнить команду, которая сообщит фильтру записи о необходимости очистить оверлей.

Появляется вопрос, если вся система защищена, то как установить обновления, если они нужны? У фильтра записи для этого есть сервисный режим. Для перевода в сервисный режим необходимо выполнить команду «uwfmgr servicing enable» и перезагрузить систему. В сервисном режиме система сама загрузит и установит обновления, а затем перезагрузится в нормальном режиме работы.

Есть еще некоторые особенности обслуживания устройств с включенным фильтром записи.

HORM

HORM — Hibernate Once/Resume Many (HORM). Принцип работы HORM’а понять очень просто. Все наверно знают, как работает режим гибернации. При переводе системы в режим гибернации все данные из оперативной памяти записываются на жесткий диск в файл «hiberfil.sys», а при включении ПК все данные из файла «hiberfil.sys» записываются в оперативную память. HORM работает точно так же, только есть одно маленькое но, Вы вводите систему в режим гибернации один раз, а в дальнейшем при каждой загрузке система всегда записывает данные из «hiberfil.sys» в оперативную память. При этом не важно, как была завершена работа системы выключением или перезагрузкой. Только учтите, что фильтр записи не защищает файл гибернации, поэтому нужно отключить все способы перевода системы в режим гибернации кроме консольного.

С настройками по умолчанию после пробуждения системы необходимо вводить учетные данные пользователя. При необходимости можно отключить запрос учетных данных при выходе из режима гибернации. В плане питания «HORM», который можно установить с помощью скрипта «PowerSettings», запрос учетных данных при выходе из режима гибернации отключен.

Для работы режима HORM есть ряд требований:

1. Все тома несъемных носителей должны быть защищены
2. Не должно быть никаких исключений из защиты в реестре и файловой системе
3. Оверлей должен быть в оперативной памяти.

Настраиваем фильтр записи

Перед настройкой фильтра записи необходимо добавить компонент фильтра записи. Вся настройка фильтра записи производится в командной строке с помощью утилиты «uwfmgr.exe». Базовые возможности фильтра записи можно настроить с помощью скрипта «UnifiedWriteFilter», который находится в наборе скриптов.

Для отображения текущего состояния фильтра записи добавьте компонент фильтра записи и перезагрузите систему. Если Вам недостаточно параметров настроек, которые отображает скрипт, можно отобразить текущие настройки, выбрав соответствующий пункт меню скрипта, тогда будут показаны настройки, которые отображаются при выполнении команды «uwfmgr get-config».

С помощью пункта установки размера оверлея можно переключать размер оверлея между размером по умолчанию и максимально возможным размером. Это возможность скрипта, такой возможности нет в стандартных настройках. Максимально возможный размер вычисляется следующим образом. Скрипт получает объем оперативной памяти и вычитает минимально необходимый объем для данной системы. 1 ГБ для x32 и 2ГБ для x64. При изменении объема оверлея будут автоматически изменены пороги предупреждения.

С помощью пункта изменения уровня порогов можно изменять уровень порогов межу стандартным и рекомендуемым. Это возможность скрипта, такой возможности нет в стандартных настройках. Стандартные уровни порогов: 50% от объема оверлея – порог предупреждения, 100% от объема оверлея – критический порог. Рекомендуемые пороги предупреждения отличаются для реального и виртуального ПК. Для реального ПК: 80% от объема оверлея – порог предупреждения, 90% от текущего объема оверлея – критический порог. Для виртуального ПК: 10% от объема оверлея – порог предупреждения, 20% от текущего объема оверлея – критический порог. При необходимости Вы можете сами изменить в скрипте % уровня порогов от оверлея, за них отвечают переменные «WarningThresholdGlobal» и «CriticalThresholdGlobal».

В верхней части информации о настройках фильтра записи отображается наличие задачи на перезагрузку системы при достижении критического порога и наличие задачи на включение фильтра записи после активации системы. Наличие этих задач будет отображаться, если они установлены с помощью соответствующих пунктов скрипта. Это возможность скрипта, такой возможности нет в стандартных настройках.

Некоторые настройки фильтра записи вступают в силу только в следующей сессии. Под следующей сессией подразумевается следующая загрузка системы с включенным фильтром записи. В перечне защищенных томов все тома указываются в квадратных скобках, пустые квадратные скобки обозначают том без буквы.

Пункт планирования гибернации нужен для перевода системы в режим гибернации через заданное время, данная возможность нужна при настройке режима HORM. Как я и говорил ранее, чтобы файл гибернации не был перезаписан, необходимо оставить только одну возможность перевода системы в спящий режим, с помощью консольной команды. Но при выполнении команды перехода в режим гибернации система сразу перейдет в режим гибернации, даже не дав закрыть консольное окно. Чтобы было время на то, чтобы привести систему в желаемое состояние, можно запланировать выполнение команды на гибернацию в определенное время. Это возможность скрипта, такой возможности нет в стандартных настройках.

Периодически бывают вопросы, как посмотреть содержимое оверлея, для этого в скрипт добавлен пункт отображения оверлея системного диска. Он добавлен как пример и реализован с помощью Unified Write Filter WMI т.к. содержимое оверлея нельзя посмотреть с помощью утилиты «uwfmgr».

А теперь ближе к практике

После добавления компонента фильтра записи добавьте задачу на перезагрузку с помощью соответствующего пункта меню скрипта. Измените уровни порогов на оптимальный. И защитите все тома несъемных дисков. Перезагрузите систему, чтобы настройки вступили в силу.

Для наглядной демонстрации работы фильтра записи, в наборе скриптов, рядом со скриптом настройки фильтра записи находится утилита «VirusEmulator.exe». Утилита размещает на рабочем столе указанное количество своих ярлыков. Если фильтр записи включен и защищает системный диск, то после перезагрузки все ярлыки исчезнут.

Для проверки работы автоматической перезагрузки скопируйте на диск файл, который больше уровня критического порога и система перезагрузится автоматически. Можно попробовать скопировать файл объемом больше оверлея, но медленные системы не всегда успевают перезагрузить систему до заполнения оверлея, тогда система покажет экран с надписью «Перезагрузка» и не сможет перезагрузиться. Такой системе потребуется жесткая перезагрузка.

Чтобы посмотреть на поведение системы в режиме HORM, включите режим HORM, выбрав соответствующий пункт меню скрипта. После успешного включения режима HORM, выберите пункт планирования гибернации, а затем введите через сколько минут нужно перевести систему в режим гибернации. После того, как будет запланирован переход в режим гибернации, приведите систему в то состояние, в котором ее необходимо загружать каждый раз.

Если Вы захотите выключить фильтр записи, когда у вас включен режим HORM, то сначала необходимо выполнить команду на отключение режима HORM, а затем выполнить команду на отключение фильтра записи. Но если Вы будете отключать фильтр записи с помощью скрипта, то скрипт автоматически отключит HORM перед выключением фильтра записи.

Послесловие

При настройке устройств фиксированного назначения на Windows 10 IoT Enterprise необходимо знать о ее специальных возможностях. Не исключено, что использование специальных возможностей позволит сэкономить на дополнительном ПО, которое может являться аналогом возможностей, которые уже есть в системе. Не исключено, что у дополнительного ПО могут быть преимущества перед стандартными средствами Windows, но, когда Вы что-то покупаете, необходимо понимать, за что именно Вы платите деньги. С помощью набора скриптов можно довольно быстро настроить специальные возможности Windows и сравнить их со сторонним ПО, чтобы принять взвешенное решение.

Но в некоторых случаях встроенных возможностей системы явно недостаточно, например, когда требуется специальная защита с централизованным управлением этой защиты. Или требуется централизованно отслеживать состояние тысяч или десятков тысяч устройств. Но это уже совсем другая история…

Если у вас остались вопросы относительно настройки и лицензирования Windows 10 IoT Enterprise, обращайтесь по адресу mse@quarta.ru или на сайт quarta-embedded.ru.

Ответы на некоторые вопросы Вы можете найти в нашей вики или на нашем YouTube-канале

Автор статьи: Борисенков Владимир, технический эксперт компании Кварта Технологии.