Настройка групповых политик ограниченного использования программ в Windows 7

Так как у меня стоит Windows 7 Professional, I-ой идеей выяснилось применение APPLOCKER'a, хотя с большой скоростью оказалось, что вести работу в моей редакции винды он не желает, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с APPLOCKER'ом отпал.
Следующей попыткой стала настройка групповых политический деятель ограниченного эксплуатации программ. Так как APPLOCKER является "прокачанной" версией данного механизма, логично попробовать именно политики, тем паче они бесплатны для пользователей Windows :)
Заходим в настройки:gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Характеристики безопасности -> Политики ограниченного эксплуатации программ


В случае, если руководил нет, система даст сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (каждый путь). В итоге мы желаем получить возможность запуска программ лишь из защищенных системных папок. И что же?Да, это мы и получим, однако вот лишь маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще возможно забить, а без ярлыков жить плоховато.Если разрешить запуск файлов по маске *.lnk - мы получим возможность сделать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Плохо. Запрос в гугл приводит к подобным решениям: или разрешить запуск ярлыков из пользовательской папки, или пользовать сторонние бары с ярлычками. По-другому никак. Лично мне подобный вариант не нравится.
В результате мы сталкиваемся с ситуацией, что *.lnk является с позиции винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, однако что ж поделать... Очень хочется, чтоб винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
И вот я нечаянно наткнулся на настройки списка расширений, являщихся исполняемыми с позиции винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Характеристики безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем целиком рабочие ярлычки и проверку на местонахождение исполняемого файла. Было сомненье, будет ли возможность передавать ч/з ярлыки характеристики - возможно, так что все ок.


В итоге мы получили реализацию идеи, описанной в статье "Windows-компьютер без антивирусов" без каких или неудобств для пользователя.
Тоже для любителей стрелять себе в ногу, возможно сделать папку в Program Files и бросить ярлык для нее на рабочий стол, назвав, к примеру "Песочницей". Это даст возможность запускать оттуда утилиты без отключения политический деятель, пользуясь защищенным хранилищем (защита ч/з UAC).
Надеюсь описанный способ окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не увидел.

Windows 7   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Настройка групповых политик ограниченного использования программ в Windows 7, в разделе Windows 7 вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Смартфон Motorola P30 представлен официально - 15.08.2018: STFW.Ru: Как и ожидалось, сегодня компания Motorola на специальном мероприятии в Китае


•  Представлен смартфон OPPO F9: 6,3-дюймовый дисплей с каплеобразным вырезом, 25-Мп фронтальная камера и градиентная окраска - 15.08.2018: STFW.Ru: Компания OPPO официально представила свой новый смартфон среднего уровня OPPO


•  Первые тесты производительности SoC Snapdragon 850 для мобильных ПК Always Connected PC с ОС Windows 10 не выглядят впечатляющими - 15.08.2018: STFW.Ru: База данных тестового ПО Geekbench пополнилась результатами неизвестного


•  Опять двадцать пять: Intel рассказала о новых уязвимостях в процессорах - 15.08.2018: STFW.Ru: Компания Intel раскрыла информацию об очередном наборе уязвимостей в


•  В Киеве открыли систему общественного велопроката Nextbike. Пока доступно 100 велосипедов, в следующем году их количество обещают довести до 2000 штук - 15.08.2018: STFW.Ru: Мэр Киева Виталий Кличко принял участие в презентации и лично протестировал


•  lifecell развернул первую в Украине виртуализированную мобильную сеть NFV, которая позволит оператору быстро мигрировать на стандарт 5G - 15.08.2018: STFW.Ru: Оператор мобильной связи lifecell объявил о развертывании первой в Украине