Настройка групповых политик ограниченного использования программ в Windows 7
🕛 18.08.2010, 04:47
Так как у меня стоит Windows 7 Professional, I-ой идеей выяснилось применение APPLOCKER'a, хотя с большой скоростью оказалось, что вести работу в моей редакции винды он не желает, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с APPLOCKER'ом отпал.Следующей попыткой стала настройка групповых политический деятель ограниченного эксплуатации программ. Так как APPLOCKER является "прокачанной" версией данного механизма, логично попробовать именно политики, тем паче они бесплатны для пользователей Windows :)
Заходим в настройки:gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Характеристики безопасности -> Политики ограниченного эксплуатации программ
В случае, если руководил нет, система даст сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (каждый путь). В итоге мы желаем получить возможность запуска программ лишь из защищенных системных папок. И что же?Да, это мы и получим, однако вот лишь маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще возможно забить, а без ярлыков жить плоховато.Если разрешить запуск файлов по маске *.lnk - мы получим возможность сделать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Плохо. Запрос в гугл приводит к подобным решениям: или разрешить запуск ярлыков из пользовательской папки, или пользовать сторонние бары с ярлычками. По-другому никак. Лично мне подобный вариант не нравится.
В результате мы сталкиваемся с ситуацией, что *.lnk является с позиции винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, однако что ж поделать... Очень хочется, чтоб винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.
И вот я нечаянно наткнулся на настройки списка расширений, являщихся исполняемыми с позиции винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Характеристики безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем целиком рабочие ярлычки и проверку на местонахождение исполняемого файла. Было сомненье, будет ли возможность передавать ч/з ярлыки характеристики - возможно, так что все ок.
В итоге мы получили реализацию идеи, описанной в статье "Windows-компьютер без антивирусов" без каких или неудобств для пользователя.
Тоже для любителей стрелять себе в ногу, возможно сделать папку в Program Files и бросить ярлык для нее на рабочий стол, назвав, к примеру "Песочницей". Это даст возможность запускать оттуда утилиты без отключения политический деятель, пользуясь защищенным хранилищем (защита ч/з UAC).
Надеюсь описанный способ окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не увидел.