Статья рассказывает о том, как ограничить список доступного для запуска программного обеспечения приложениями, расположенными в системных папках c:\ProgramFiles, c:\ProgramFiles (x86) и C:\Windows
- создаем объект групповой политики «Настройка политики ограниченного использования программ» и отключаем параметры пользователя
- создаем группу безопасности «Компьютеры с ограниченным запуском ПО», добавляем в нее нужные компьютеры, указываем созданную группу в фильтре групповой политики и привязываем ее к нужному подразделению/домену/сайту
- в редакторе объектов групповой политики щелкаем правой кнопкой по узлу «Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Политики ограниченного использования программ» и выбираем пункт "Создать политику..."
- настраиваем параметры политики:
- «Доверенные издатели» – оставляем данный параметр выключенным
- «Назначенный типы файлов» – из списка назначенных типов файлов удаляем LNK, иначе при щелчке по ярлыку будет появляться сообщение о том, что запуск данного файла запрещен политикой (даже если ярлык ссылается не на исполняемый файл, а, например, на файл формата DOC)
- «Применение» – включаем следующие параметры:
- «ко всем файлам программ, кроме библиотек» (в противном случае, согласно документации, пришлось бы создавать разрешающие правила для всех библиотек, хотя не понятно зачем, т.к. библиотеки большинства программ находятся в тех же расположениях, из которых запускаются сами приложения (C:\Windows, C:\ProgramFiles и т.п.))
- «всех пользователей, кроме локальных администраторов»
- «игнорировать правила сертификатов»
- «Дополнительные правила» - добавляем следующие правила путей:
- «%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%» - «неограниченный»
- Замечание: данный путь добавляем потому, что соответствующий параметр реестра содержит путь к папке «ProgramFiles (x86)», а по умолчанию создаются только правила для путей «c\:Program Files» и «C:\Windows» (также через ключи реестра)
- «C:\Program Files\» - «неограниченный»
- «C:\Program Files (x86)\» - «неограниченный»
- «C:\Windows\» - «неограниченный»
- Замечание: последние три правила добавляем по причине того, что при их отсутствии в файловых менеджерах «FreeCommander XE» и «Unreal Commander» могут не открываться файлы некоторых типов (docx, xlsx, dwg, pdf). При этом на экран выводится сообщение о том, что запуск программы заблокирован групповой политикой, а в журнал будет добавляться событие 865 с текстом (на примере попытки открытия DWG-файла): "Доступ к C:\Program Files\AutoCAD 2010\acad.exe ограничен администратором с помощью уровня по умолчанию для политики ограниченного использования программ"
- «Уровни безопасности» - выбираем в качестве уровня безопасности по умолчанию уровень «Запрещено». Таким образом, пользователям будет разрешен запуск приложений только из указанных на предыдущем шаге расположений