Запрет запуска исполняемых файлов

Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

Запрет запуска исполняемых файлов

WinITPro.ru  /  Групповые политики  /  Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

21.10.2016 itpro Групповые политики комментариев 49

Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде.

В предыдущих частях мы рассмотрели  настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки.

Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей.

Помимо антивируса, еще одним барьером для предотвращения запуска вредоносного ПО на компьютерах пользователей могут быть политики ограниченного использования программ. В среде Windows это могут быть технология Software Restriction Policies  или AppLocker. Мы рассмотрим пример использования Software Restriction Policies   для защиты от вирусов.

Software Restriction Policies (SRP) предоставляют возможность разрешать или запрещать запуск исполняемых файлов с помощью локальной или доменной групповой политики.

 Метод защиты от вирусов и шифровальщиков с помощью SRP предполагает запрет запуска файлов из определенных каталогов в пользовательском окружении, в которые, как правило, попадают файлы или архивы с вирусом.

В подавляющем большинстве случаев файлы с вирусом, полученные из интернета или из электронный почты оказываются внутри каталога %APPDATA% профиля пользователя (в нем же находится папки %Temp% и Temporary Internet Files). В этом же каталоге хранятся распакованные временные копии архивов, когда пользователь не глядя открывает архив полученный по почте или скачанный с интернета.

При настройке SRP могут быть использованы две стратегии:

  • Разрешить запуск исполняемых файлов на компьютере только из определенных папок (как правило, это каталоги %Windir% и Program Files / Program Files x86) – это самый надежный метод, но требует длительного периода отладки и выявления нужного ПО, которое не работает в такой конфигурации
  • Запрет запуска исполняемых файлов из пользовательских каталогов, в которых в принципе не должно быть исполняемых файлов. Именно в этих каталогах в большинстве случаев оказываются файлы вируса при появлении на компьютере. Кроме того, у пользователя, не обладающего правами администратора, просто отсутствуют права на запись в каталоги системы кроме своих собственных. Поэтому вирус просто не сможет поместить свое тело куда-либо кроме директорий в профиле пользователя.

Мы рассмотрим создание SRP по второму варианту, как достаточно надежному и менее трудоемкому во внедрении.  Итак, создадим политику, блокирующую запуск файлов по определенным путям.

На локальном компьютере это можно сделать с помощью консоли gpedit.msc, если политика должна использоваться в домене, нужно в консоли Group Policy Management  (gpmc.

msc) создать новую политику и назначить ее на OU с компьютерами пользователей.

В консоли редактора GPO перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings . Щелкните ПКМ по Software Restriction Policies и выберите New Software Restriction Policies.

Выберите раздел Additional Rules, и создайте новое правило New Path Rule.

Создадим правило, запрещающее запуск исполняемых файлов с расширением *.exe из каталога %AppData%. Укажите следующие параметры правила:

  • Path: %AppData%\*.exe
  • Security Level: Disallowed
  • Description: Блокировка запуска exe файлов из папки %AppData%

Аналогичным образом нужно создать запрещающие правила для путей, перечисленных в таблице. Т.к.

переменные окружения и пути  в Windows 2003/XP и Windows Vista/выше отличаются, в таблице указаны значения для соответствующих версий ОС.

Если у вас в домене еще остались Windows 2003/XP, для них лучше создать отдельную политики и назначить ее на OU с компьютерами с использованием WMI фильтра GPO по типу ОС.

ОписаниеWindows XP и 2003Windows Vista/7/8/10, Windows Server 2008/2012
Запрет запуска файлов из %LocalAppData%%UserProfile%Local Settings*.exe%LocalAppData%\*.exe
Запрет запуска файлов из вложенных каталогов %AppData%:%AppData%\*\*.exe%AppData%\*\*.exe
Запрет запуска файлов из вложенных каталогов %LocalAppData%%UserProfile%\Local Settings\*\*.exe%LocalAppData%\*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinRAR %UserProfile%\Local Settings\Temp\Rar*\*.exe%LocalAppData%\Temp\Rar*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью 7zip %UserProfile%\Local Settings\Temp\7z*\*.exe%LocalAppData%\Temp\7z*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью WinZip %UserProfile%\Local Settings\Temp\wz*\*.exe%LocalAppData%\Temp\wz*\*.exe
Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows%UserProfile%\Local Settings\Temp\*.zip\*.exe%LocalAppData%\Temp\*.zip\*.exe
Запрет запуска exe файлов из каталога  %temp%%Temp%\*.exe%Temp%\*.exe
Запрет запуска exe  файлов из вложенных каталогов  %temp%%Temp%\*\*.exe%Temp%\*\*.exe
Опционально. Запрет запуска exe фалов из любых каталогов в профиле пользователя .Важно. с эти правилом нужно быть внимательным, т.к. некоторое ПО, например плагины браузеров, установщики – хранят свои исполняемые файлы в профиле. Для таких программ нужно будет сделать правило исключения SRP%UserProfile%\*\*.exeUserProfile%\*\*.exe

Вы можете добавить собственные каталоги. В нашем примере получился примерно такой список запрещающих правил SRP.

Как правило, также следует запретить запуск других расширений потенциально опасных файлов (*.bat,*.vbs, *.js, *.wsh  и т.п.), ведь вредоносный код может находиться не только в *.exe файлах. Для этого нужно изменить пути в правилах SPR , удалив вхождения *.exe.

Таким образом, будет запрещен запуск всех исполняемых файлов и файлов сценариев в указанных каталогах. Список «опасных» расширений файлов задается в параметрах политики SRP в разделе Designated File Types.

Как вы видите, в нем уже есть предустановленный список расширений исполняемых файлов и скриптов. Можете добавить или удалить определенные расширения.

Осталось проверить действие политики Software Restriction Policies на клиентском компьютере. Для этого обновите политики командой gpupdate /force и попробуйте запустить исполняемый *.exe файл из любого из указанных каталогов. Должно появиться сообщение об ошибке:

Your system administrator has blocked this program. For more info, contact your system administrator.

Попытки запуска исполняемых файлов из защищенных каталогов, которые были блокированы политиками SRP можно отслеживать с помощью журнала событий Windows.  Интересующие нас события находятся в разделе Application, и имеют Event ID 866, с источником SoftwareRestrictionPolicies и примерно таким текстом:

Access to C:\Users\root\AppData\Local\Temp\71E88B1F-3073-436E-A3D8-D577E72DA049\dismhost.exe has been restricted by your Administrator by location with policy rule {31f4dcb9-d39b-4df3-b682-1b83892c6db4} placed on path C:\Users\root\AppData\Local\Temp\*\*.exe.

Итак, мы показали общий пример техники использования политики ограниченного использования программ (SRP или Applocker) для блокировки вирусов, шифровальщиков и троянов на  компьютерах пользователей. Рассматриваемая методик позволяет существенно усилить степень защиты систем от запуска вредоносного кода пользователями.

Предыдущая статья Следующая статья

Источник: https://winitpro.ru/index.php/2016/10/21/blokirovka-virusov-i-shifrovalshhikov-s-pomoshhyu-software-restriction-policies/

Разрешить (запретить) запуск определенных программ в Windows

Запрет запуска исполняемых файлов

Если вам нужно ограничить запускаемые программы на компьютере – тогда данная статья для вас. В сегодняшней статье мы рассмотрим как с помощью групповых политик или в редакторе реестра разрешить (запретить) запуск определенных программ.

Данный способ не является категоричным, и если вы разрешите запуск только определенных программ – продвинутый пользователь сможет разрешить запуск всего, но все же ему придется поискать как это сделать.

Запретить (разрешить) запуск определенных программ с помощью групповых политик

Групповые политики есть только в Windows Pro, Enterprise или Education, если у вас домашняя версия Windows – переходите ко второму способу. Если вы хотите запретить (разрешить) запуск определенных программ другим пользователям этого компьютера – сначала выполните всё по инструкции “Как настроить групповые политики для конкретных пользователей“.

1. В строке поиска или в меню “Выполнить” (выполнить вызывается клавишами Win+R) введите gpedit.msc и нажмите клавишу Enter.

2.

Зайдите в “Конфигурация пользователя” => Административные шаблоны => “Система” => Если вы хотите запретить запуск определенных программ – откройте параметр “Не запускать указанные приложения Windows”, если вы хотите разрешить запуск определенных программ, а остальные чтобы были под запретом – откройте “Выполнять только указанные приложения Windows”

Поставьте точку в поле “Включено” и нажмите на “Показать”.

 ВАЖНО: в некоторых версиях Windows данные действия запрещают сами групповые политики, также перестает открываться диспетчер задач и редактор реестра, что в свою очередь не дает вернуть все как было и приходится все исправлять в дополнительных параметрах загрузки системы.

Чтобы такого не произошло – добавляйте в список разрешенных gpedit.msc и regedit.exe. Или создайте пользователя, которому вы хотите ограничить открытие программ и делайте данные разрешения для него, оставив себе право все изменить.

В этом окошке нужно ввести приложения, которые разрешено (запрещено) запускать. Вводите название файла для запуска, если вы не знаете его – нажмите на ярлык нужной программы правой клавишей мыши, зайдите в свойства и посмотрите.

Нажмите два раза на “ОК”и перезагрузите компьютер.

Теперь те приложения, которые вы ввели в списке -будут открываться без проблем, а при открытии программ отсутствующих в списке – появится окно “…Обратитесь к системному администратору” (это если вы разрешили запуск только определенных программ, если вы запретили запуск определенных программ – то программы из списка не будут открываться, а все остальные будут работать).

В любой момент вы сможете зайти в групповые политики и отключить данный параметр, или добавить в список другие разрешенные программы.

Запретить (разрешить) запуск определенных программ в редакторе реестра

1. В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду regedit и нажмите клавишу Enter.

2.

Перейдите по пути HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ => в разделе Policies откройте раздел Explorer, если его нет – нажмите на раздел Policies правой клавишей, выберите “Создать” => “Раздел” => назовите его Explorer => нажмите на раздел Explorer правой клавишей мыши, выберите “Создать” => “Параметр DWORD (32 Бита) => если вы хотите запретить определенные программы – назовите новый параметр DisallowRun , если вы хотите чтобы запускались только определенные программы, а остальные были под запретом – назовите новый параметр RestrictRun

3. Откройте параметр RestrictRun или DisallowRun => в поле “Значение” введите 1 и нажмите клавишу Enter.

4. Нажмите на раздел Explorer правой клавишей мыши, выберите “Создать” => “Раздел” => если вы хотите запретить определенные программы – назовите новый раздел DisallowRun , если вы хотите разрешить запуск определенных программ – назовите новый раздел RestrictRun

5. Нажмите на раздел RestrictRun или DisallowRun правой клавишей мыши, выберите “Создать” => “Строковый параметр” => назовите новый параметр 1

6. Важно: в некоторых версиях Windows данные действия запрещают сами групповые политики, также перестает открываться диспетчер задач и редактор реестра, что в свою очередь не дает вернуть все как было и приходится все исправлять в дополнительных параметрах загрузки системы. Чтобы такого не произошло – добавляйте в список разрешенных gpedit.msc и regedit.exe

Откройте созданный параметр => в поле “Значение” введите имя исполняемого файла программы, которую вы хотите запретить (разрешить). В нашем примере мы запрещаем (разрешаем) программу “Блокнот”, имя исполняемого файла notepad.exe => в поле “Значение вводим notepad.exe и нажимаем на “ОК”.

7. Повторите 5 и 6 пункт с инструкции столько раз, сколько нужно программ вам запретить или разрешить. Следующие создаваемые параметры называйте цифрами по порядку ( 2, 3, 4 …).

Источник: https://vynesimozg.com/razreshit-zapusk-tolko-opredelennyx-programm-v-windows/

Как запретить запуск программы в Windows

Запрет запуска исполняемых файлов

Сейчас мы разберемся с тем, как запретить запуск программы на компьютере в операционной системе Windows. В некоторых ситуациях, пользователю может понадобиться заблокировать запуск программы на ПК, например, в целях безопасности или для предотвращения несанкционированного доступа.

В случае блокировки запуска приложения, нельзя будет запустить программу в Windows, потому что система отменит эту операцию. Невозможно будет воспользоваться, например, определенными компьютерные играми и программами.

Существуют сторонние приложения для ограничения запуска программ, установленных на компьютере. В этом руководстве вы найдете инструкции, в которых мы решим проблему системными средствами, без использования стороннего программного обеспечения.

В операционной системе Windows запретить запуск программ можно несколькими способами:

  • с помощью выполнения изменений в системном реестре;
  • применением параметров в локальной групповой политике;
  • используя родительский контроль.

Во всех случаях можно запретить запуск программы пользователю, в зависимости от конкретной ситуации: ограждение ребенка от нежелательной информации, невозможность запуска отдельных программ другими лицами и т. д. На экране появится окно «Ограничения» с сообщением об ограничении использования программы: «Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору».

Сейчас посмотрим, как запретить запуск программы в Windows 10, Windows 8.1, Windows 8, Windows 7. Описанные в статье способы одинаково работают в этих версиях Windows.

Запрет запуска программ в Родительском контроле Windows

В операционную систему Windows встроено приложение для осуществление родительского контроля. Этот режим ограничивает ребенка, не разрешает ему выходить за рамки заранее созданных определенных правил при использовании компьютера.

Для использования родительского контроля необходимо использовать учетную запись Майкрософт, при помощи которой осуществляется контроль за ребенком. На ПК создается учетная запись пользователя с ограниченными правами, дети входят в систему через эту учетную запись.

Помимо других ограничений (посещение сайтов различных категорий, время работы на ПК), взрослые могут ограничить запуск определенных игр, программ и мультимедийных файлов. Подробное описание родительского контроля в Windows 10 и Windows 7 описано в статьях на моем сайте.

В случае необходимости, можно изменить параметры контроля, снова включить возможность запуск тех или иных приложений.

Как узнать имя и тип файла для ограничения запуска программы

В этой статье рассмотрены способы, при которых пользователь должен самостоятельно добавить приложение в список для запрета запуска в Windows. Для этого, нам потребуется узнать название и тип файла.

Название — название приложения в папке на компьютере, а тип файла — расширение файла, большинстве случаев «.exe», исполняемый файл. Узнать необходимую информацию можно в свойствах ярлыка или в свойствах самого приложения. В некоторых случаях, название приложения может быть сокращено, например, программа FastStone Capture (официальное название) отображена, как «FSCapture.exe».

Сначала узнаем имя и расширение приложения в свойствах ярлыка программы:

  1. Кликните правой кнопкой мыши по ярлыку программы.
  2. В контекстном меню выберите пункт «Свойства».
  3. В окне свойств программы, в поле «Объект:» в самом конце пути вы увидите название программы и ее расширение.

Эти данные нужно будет вводить для запрещения запуска на ПК этого конкретного приложения.

Теперь посмотрим свойства приложения:

  1. Войдите в меню «Пуск».
  2. В списке установленных программ выберите нужное приложение.
  3. Щелкните по нужной программе правой кнопкой мыши, в контекстном меню сначала выберите «Дополнительно», а затем «Перейти к расположению файла».
  4. В открывшейся папке кликните правой кнопкой мыши по ярлыку программы, выберите «Расположение файла».
  1. В папке с программой кликните правой кнопкой мыши по файлу, имеющему тип «Приложение».
  2. В контекстном меню нажмите на «Свойства».
  3. В окне свойств приложения, во вкладке «Общие» вы увидите название программы и ее расширение.

Как запретить запуск программы через групповые политики

В старших версиях Windows имеются групповые политики, с помощью изменения которых можно запретить запуск программ.

Выполните следующие действия:

  1. Нажмите на клавиатуре на клавиши «Win» + «R».
  2. В диалогом окне «Выполнить» введите команду: «gpedit.msc» (без кавычек), нажмите на клавишу «Enter».
  3. В окне «Редактор локальной групповой политики» откройте «Конфигурация пользователя», перейдите сначала в политику «Административные шаблоны», затем в политику «Система».
  4. Дважды щелкните по опции «Не запускать указанные приложения Windows».
  1. В окне «Не запускать приложения Windows» задайте параметр «Включено», а в параметре «Список запрещенных приложений» нажмите на кнопку «Показать…».
  1. В окне «Вывод содержимого», в опции «Список запрещенных приложений», в поле «Значение» добавьте имя файла с расширением, например, «chrome.exe», а затем нажмите на кнопку «ОК».
  1. В окне «Не запускать приложения Windows» нажмите на кнопку «ОК» для применения настройки.
  2. Закройте редактор локальной групповой политики.

Как отменить ограничение на запуск программы в редакторе локальной групповой политики

После изменения ситуации, пользователю понадобилось снять ограничения на запуск приложений. Необходимо снова войти в настройки групповых политик для изменения параметров.

  1. Откройте редактор локальной групповой политики.
  2. В окне «Редактор локальной групповой политики» пройдите по пути: «Конфигурация пользователя» → «Административные шаблоны» → «Система» → «Не запускать указанные приложения Windows».
  3. В окне «Не запускать указанные приложения Windows» укажите значение параметра «Не задано», нажмите на кнопку «ОК».

Запрет запуска программы после изменений в реестре

При помощи редактора реестра пользователь может запретить запуск программ на компьютере.

  1. Запустите редактор реестра одним из этих способов.
  2. Пройдите по пути к следующему разделу:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  1. В разделе «Explorer» создайте новый раздел «DisallowRun».
  2. Щелкните правой кнопкой мыши по свободному месту в окне редактора реестра, выберите в открывшемся меню «Создать», потом «Строковый параметр».
  1. Присвойте имя параметру «1». Щелкните по параметру правой кнопкой мыши, выберите пункт «Изменить…».
  2. В окне «Изменение строкового параметра» в поле значение введите «имя_программы.exe», нажмите «ОК».
  1. Создайте следующие параметры с именами «2», «3», «4» и т. д., для запрета запуска других программ на данном компьютере.
  1. Закройте окно редактора реестра.

Отмена ограничения на запуск программы в редакторе реестра

Для включения запуска программы, потребуется снова войти в редактор реестра.

В окне «Редактор реестра» пройдите по пути:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Создание файла реестра для запрета запуска программ

Пользователь имеет возможность для самостоятельного создания файла реестра, который внесет изменения в системный реестр Windows, без запуска редактора реестра.

Для этого, выполните следующие действия:

  1. Запустите на компьютере программу Блокнот.
  2. В окно программы Блокнот добавьте следующий код:

Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]”DisallowRun”=dword:00000001[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]”1″=”software.exe””2″=”software2.exe””3″=”software3.exe”

  1. Нажмите на меню «Файл», выберите «Сохранить как…».
  2. В поле «Тип файла» выберите «Все файлы».
  3. В поле «Имя файла» введите «DisallowRun.reg» (без кавычек), а затем нажмите на кнопку «Сохранить».

На вашем ПК появится файл «DisallowRun.reg» с помощью которого можно заблокировать запуск определенных программ или одной программы, в зависимости от того, какие параметры вы ввели в этот файл.

Для применения параметров на компьютере, щелкните по файлу «DisallowRun.reg» правой кнопкой мыши, в контекстном меню выберите «Слияние», согласитесь на применение изменений в реестре Windows.

Выводы статьи

При работе на компьютере, может возникнуть необходимость для блокировки запуска отдельных приложений в операционной системе Windows.

С помощью встроенных средств системы пользователь может запретить запуск программы при помощи локальной групповой политики или применив изменения в редакторе реестра.

Имеется возможность ограничить использование компьютера для ребенка с помощью родительского контроля.

https://vellisa.ru/prevent-launch-programs-run-windowsКак запретить запуск программы в Windowshttps://vellisa.ru/wp-content/uploads/2019/06/0-7.pnghttps://vellisa.ru/wp-content/uploads/2019/06/0-7-300×278.png2020-11-08T23:09:28+03:00ВасилийWindowsСейчас мы разберемся с тем, как запретить запуск программы на компьютере в операционной системе Windows. В некоторых ситуациях, пользователю может понадобиться заблокировать запуск программы на ПК, например, в целях безопасности или для предотвращения несанкционированного доступа. В случае блокировки запуска приложения, нельзя будет запустить программу в Windows, потому что система отменит…ВасилийВасилий vas468@gmail.comAdministratorАвтор 700+ статей на сайте Vellisa.ru. Опытный пользователь ПК и ИнтернетИнтернет и программы для всех

Источник: https://vellisa.ru/prevent-launch-programs-run-windows

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.