Настройка групповых политик ограниченного использования программ в Windows 7

Так как у меня стоит Windows 7 Professional, I-ой идеей выяснилось применение APPLOCKER'a, хотя с большой скоростью оказалось, что вести работу в моей редакции винды он не желает, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с APPLOCKER'ом отпал.
Следующей попыткой стала настройка групповых политический деятель ограниченного эксплуатации программ. Так как APPLOCKER является "прокачанной" версией данного механизма, логично попробовать именно политики, тем паче они бесплатны для пользователей Windows :)
Заходим в настройки:gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Характеристики безопасности -> Политики ограниченного эксплуатации программ


В случае, если руководил нет, система даст сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (каждый путь). В итоге мы желаем получить возможность запуска программ лишь из защищенных системных папок. И что же?Да, это мы и получим, однако вот лишь маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще возможно забить, а без ярлыков жить плоховато.Если разрешить запуск файлов по маске *.lnk - мы получим возможность сделать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Плохо. Запрос в гугл приводит к подобным решениям: или разрешить запуск ярлыков из пользовательской папки, или пользовать сторонние бары с ярлычками. По-другому никак. Лично мне подобный вариант не нравится.
В результате мы сталкиваемся с ситуацией, что *.lnk является с позиции винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, однако что ж поделать... Очень хочется, чтоб винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
И вот я нечаянно наткнулся на настройки списка расширений, являщихся исполняемыми с позиции винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Характеристики безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем целиком рабочие ярлычки и проверку на местонахождение исполняемого файла. Было сомненье, будет ли возможность передавать ч/з ярлыки характеристики - возможно, так что все ок.


В итоге мы получили реализацию идеи, описанной в статье "Windows-компьютер без антивирусов" без каких или неудобств для пользователя.
Тоже для любителей стрелять себе в ногу, возможно сделать папку в Program Files и бросить ярлык для нее на рабочий стол, назвав, к примеру "Песочницей". Это даст возможность запускать оттуда утилиты без отключения политический деятель, пользуясь защищенным хранилищем (защита ч/з UAC).
Надеюсь описанный способ окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не увидел.

Windows 7   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Настройка групповых политик ограниченного использования программ в Windows 7, в разделе Windows 7 вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Hi-Fi и винил: рецепт от Yamaha - 23.01.2019: STFW.Ru: У меломанов рано или поздно возникает желание проапгрейдить звучание


•  Официально: Японцы представят серийный электромобиль Honda Urban EV на Женевском автосалоне, производство и продажи стартуют до конца текущего года - 23.01.2019: STFW.Ru: Японский автопроизводитель Honda впервые показал публике концепт


•  Samsung анонсировала высокоскоростные NVMe-накопители 970 EVO Plus на 96-слойной флэш-памяти 3D V-NAND TLC - 23.01.2019: STFW.Ru: Компания Samsung представила обновленную серию потребительских NVMe-накопителей


•  Google запустила тест, чтобы определить, насколько хорошо пользователи могут отличать реальные письма от фишинговых - 23.01.2019: STFW.Ru: Подразделение Google Jigsaw опубликовало тест, в котором проверяется способность


•  Surface Type Cover получит поддержку тактильной обратной связи - 23.01.2019: STFW.Ru: На текущий момент информация - это лишь обнаруженный недавно в сети патент


•  ФСБ раскрыла сеть по изготовлению боеприпасов, действовавшую в 32 регионах - 23.01.2019: STFW.Ru:   Силовики пресекли деятельность 86 человек, причастных к изготовлению и