Запрет запуска исполняемых файлов exe через групповую политику windows

Отключение UAC с целью разблокирования приложения

Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:

Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».

Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».

Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:

Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».

После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.

Удаление цифровой подписи как метод разблокирования приложения

Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:

Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».

Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.

После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.

Использование Локальной политики безопасности для блокировки и разблокировки софта

Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:

Жмём «Win+R» и вводим «secpol.msc».

Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».

Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».

Откроется окно Мастера создания новых правил. Жмём «Далее».

Появится еще одно окно. Здесь нам нужно поставить о или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».

В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.

В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.

Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.

Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).

Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.

Post Views: 16

Способ №4 — упрощаем запуск для избранных приложений при помощи планировщика заданий (запрос UAC не отображается)

Важно! Этот способ работает только для учетных записей, входящих в группу Администраторы. У обычных пользователей он не сработает, потому что их потолком являются ограниченные права

Переходим к самому интересному способу. Если есть приложение, которое Вы постоянно запускаете, и оно получено от надёжного производителя ПО, например, это приложение Windows — можно упростить запуск. Создание ярлыка для нужной программы не занимает более 2-х минут и это позволит избавиться от лишних действий в дальнейшем. Запускаем планировщик заданий (Пуск —> Все программы —> Стандартные —> Служебные —> Планировщик заданий) и нажимаем «Создать задачу»:

Указываем Имя для новой задачи и ставим флажок «Выполнять с наивысшими правами»:

Переходим на вкладку Действия, нажимаем «Создать», в следующем окне нажимаем «Обзор»:

Указываем путь к нужному приложению и нажимаем «Открыть»:

Нажимаем «ОК»:

И ещё раз «ОК»:

Закрываем планировщик и переходим к созданию ярлыка.

Чтобы создать ярлык на рабочем столе, щёлкаем правой клавишей мыши, выбираем «Создать» —> «Ярлык»:

В поле Расположение объекта вводим:

schtasks /run /tn cmd_admin

где cmd_admin — имя созданной нами задачи. Если имя содержит пробелы, его необходимо указывать в кавычках.

Задаём название ярлыка:

Ярлык создан и готов к использованию.

Чтобы сменить значок — нажмите правой клавишей мыши по ярлыку, выберите «Свойства»:

Перейдите на вкладку «Ярлык» и нажмите «Сменить значок»:

«Обзор…»

Указываем путь к программе:

Выбираем нужный значок и закрываем оба окна кнопкой «ОК»:

Теперь запуск нужного приложения от имени администратора выполняется двойным щелчком по созданному ярлыку, при этом запрос UAC не отображается и безопасность остаётся в сохранности.

Утилита для автоматизации «Способа №4»

В случае, если требуется создать ярлыки для большого количества программ, удобно воспользоваться утилитой Elevated Shortcut.

Работа с утилитой сводится к двум простым шагам:

• Установка
• Перетаскивание исполняемого файла (*.exe, *.bat, *.cmd) на ярлык утилиты:

Выражаю благодарность автору программы — hb860.

Автоперевод фокуса на запущенную программу

Специфика запуска приложений из планировщика состоит в том, что фокус на окно не переводится и, например чтобы набрать команду в командной строке приходится дополнительно щёлкать по окну. Такое поведение может помочь в автоматизации рутинных операций по расписанию, но для «Способа №4» это не всегда удобно.

Для «обхода» существует несколько методов. Работают они немного по-разному, так что выбирайте наиболее подходящий. Первый более удобен для запуска программ, а второй для запуска скриптов.

Добавляем при создании задачи:

Использование команды start

Программа или сценарий:

cmd.exe

Аргументы:

/c start /d "путь_к_программе" имя_файла.exe

Пример:

/c start /d "C:\Windows\System32\" cmd.exe

Использование утилиты NirCmd

Программа или сценарий:

путь_к_nircmd\nircmd.exe

Аргументы:

exec show "путь_к_программе\имя_файла.exe"

Пример:

exec show "C:\Windows\System32\cmd.exe"

Запуск диалога «Выполнить» от имени администратора

По аналогии с запуском командной строки можно настроить запуск диалогового окна «Выполнить», и введённые в него команды также будут запущены от имени администратора. Удобство этого подхода заключается в том, что список ранее использованных команд сохраняется, и можно выбрать нужную из списка.

При создании задачи в планировщике, в окне «Создание действия» укажите:

в поле «Программа или сценарий»:

rundll32

в поле «Добавить аргументы»:

shell32.dll,#61

В справочнике по командам Windows вы найдете множество команд, которые можно запускать из командной строки или окна «Выполнить».

Быстрое создание задания в планировщике из командной строки

Все вышеперечисленное делается за 30 секунд. В качестве примера используется задание, запускающие окно «Выполнить». В командной строке, запущенной с правами администратора, выполните:

Теперь остается создать ярлык, прописав в нем команду:

Все!

Запрет запуска программ в AskAdmin

Утилита AskAdmin имеет понятный интерфейс на русском языке. Если при первом запуске русский язык не включился автоматически, в главном меню программы откройте «Options» — «Languages» и выберите его. Процесс блокировки различных элементов выглядит следующим образом:

1. Для блокировки какой-то отдельной программы (EXE-файла), нажмите по кнопке со значком «Плюс» и укажите путь к этому файлу. 
2. Для удаления запуска программ из определенной папки, используйте тем же способом кнопку с изображением папки и плюса. 
3. Блокировка встроенных приложений Windows 10 доступна в пункте меню «Дополнительно» — «Заблокировать встроенные приложения». В списке можно выбирать несколько приложений, удерживая Ctrl при клике мышью. 
4. Также в пункте «Дополнительно» доступно отключение магазина Windows 10, запрет настроек (отключается панель управления и «Параметры» Windows 10»), скрытие сетевого окружения. А в разделе «Отключить компоненты Windows» можно выключить диспетчер задач, редактор реестра и Microsoft Edge. 

Большинство изменений вступают в силу без перезагрузки компьютера или выхода из системы. Однако, если этого не произошло, вы можете инициировать перезапуск проводника прямо в программе в разделе «Опции».

Если в дальнейшем вам потребуется снять блокировку, то для пунктов в меню «Дополнительно» достаточно снять отметку. Для программ и папок можно снять отметку с программы в списке, использовать правый клик мышью по элементу в списке в главном окне программы и выбор пункта «Разблокировать» или «Удалить» в контекстном меню (удаление из списка также выполняет разблокировку элемента) или просто нажать по кнопке со значком «Минус» для удаления выбранного пункта.

Среди дополнительных возможностей программы:

• Установка пароля на доступ к интерфейсу AskAdmin (только после приобретения лицензии).
• Запуск заблокированной программы из AskAdmin без разблокировки.
• Экспорт и импорт заблокированных элементов.
• Блокировка папок и программ путем переноса на окно утилиты.
• Встраивание команд AskAdmin в контекстное меню папок и файлов.
• Скрытие вкладки «Безопасность» из свойств файлов (для устранения возможности изменения владельца в интерфейсе Windows).

Как итог, я доволен AskAdmin, программа выглядит и работает именно так, как должна работать системная утилита: всё понятно, ничего лишнего, а большинство важных функций доступны бесплатно.

Зачем обычному приложению могут понадобится права администратора

Права администратора могут потребоваться программе для модификации неких файлов (логи, конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp). По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора. Чтобы решить эту проблему, нужно под администратором на уровне NTFS вручную назначить на папку с программой право на изменение/запись для пользователя (или группы Users).

Примечание. На самом деле практика хранения изменяющихся данных приложения в собственном каталоге в C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это вопрос уже о лени и некомпетентности разработчиков.

Запрет запуска программ через реестр Windows

Как я уже упоминал в начале статьи, если у вас установлена домашняя версия Windows, то редактор групповых политик вам не будет доступен. В этом случае можно воспользоваться редактором реестра Windows и ограничить запуск программ через него.

Запустите редактор реестра Windows: Откройте меню Пуск (комбинация клавиш WIN + R) и в строке поиска введите regedit.

Найдите следующую ветвь реестра:

Если еще не создан, создайте новый параметр DisallowRun, имеющий тип 32-bit DWORD. Установите его значение в 1.

Затем в левой части редактора реестра, создайте новую ветвь, имеющую такое-же название, как и только что созданный параметр (DisallowRun).

После того, как ветвь создана, создайте внутри нее группу строковых переменных (имеющих тип String), с именем типа 1, 2, 3 и так далее. Значение каждой переменной должно содержать имя исполняемого файла, выполнение которого следует запретить. Например, для того, чтоб запретить запуск firefox, следует создать параметр:

Использование файла реестра для снятия запрета на редактирование реестра

Ещё один метод, на случай, если .bat файлы и командная строка не работают — создать .reg файл реестра с параметрами, которые разблокируют редактирование, и добавление этих параметров в реестр. Шаги будут следующими:

1. Запустите Блокнот (находится в стандартных программах, также можно использовать поиск на панели задач).
2. В блокнот вставьте код, который будет указан далее.
3. В меню выберите Файл — Сохранить, в поле «Тип файла» укажите «Все файлы», а затем укажите любое имя файла с обязательным расширением .reg 
4. «Запустите» этот файл и подтвердите добавление сведений в реестр.

Код .reg файла для использования:

Windows Registry Editor Version 5.00


"DisableRegistryTools"=dword:00000000

Обычно, для того, чтобы изменения начали действовать, перезагрузка компьютера не требуется.

Ключ реестра DisableMSI

Если вы используете операционную систему Windows редакции Home, то редактор локальной групповой политики в ней не будет доступен. Внести все необходимые изменения можно через реестр. Для этого:

1. Откройте редактор реестра (regedit.exe)
2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies \Microsoft\Windows\Installer» найдите и удалите параметры DisableMSI и DisablePatch (при наличии, или измените на 0).
   Совет. Чтобы не перемещаться в редакторе реестра «вручную», скопируйте и вставьте конечный адрес из статьи в соответствующую панель, расположенную сверху.
3. Здесь же перейдите к разделу HKEY_CLASSES_ROOT\Installer\Products. Отобразится список доступных ключей. Каждый из них ссылается на установку конкретной программы. Проверить, принадлежит ли выбранный ключ нужному продукту можно в правой части экрана. Для этого проверьте значение в строке «Product Name».
4. Попытайтесь найти раздел реестра, который относится к проблемной программе (при установке которого возникает ошибка) и полностью удалите его ветку. Найдите нужный ключ в меню «Products» (тот, при установке которого возникает ошибка «Данная установка запрещена политикой, выбранной системным администратором») и полностью удалите папку. Перед этим обязательно сделайте резервную копию.

После проделанных действий обязательно перезагрузите компьютер и запустите установку нужной программы. Ошибка больше не будет появляться.

Если решить проблему не получилось, попробуйте создать новую папку внутри Program Files или Windows, скопировать в нее дистрибутив и запустите его с правами администратора.

Встроенная утилита SC.exe (Service controller)

Стандартный, встроенный в Windows способ управления правами на службы системы предусматривает использование утилиты sc.exe (Service Controller).

Примечание. Пример использования sc.exe для ручного удаления службы в Windows.

Главная, проблема – зубодробительный синтаксис формата предоставления прав на сервис (формат SDDL).

Получить текущие права на службу можно так:

Что значат все эти символы?

S: — System Access Control List (SACL)D: — Discretionary ACL (DACL)

Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).

Следующая пачка символов – назначаемые права.

CC — SERVICE_QUERY_CONFIG (запрос настроек служы)LC — SERVICE_QUERY_STATUS (опрос состояния служы)SW — SERVICE_ENUMERATE_DEPENDENTS (опрос зависимостей)LO — SERVICE_INTERROGATECR — SERVICE_USER_DEFINED_CONTROLRC — READ_CONTROLRP — SERVICE_START (запуск службы)WP — SERVICE_STOP  (остановка службы)DT — SERVICE_PAUSE_CONTINUE (приостановка, продолжение службы)

Последние 2 буквы, объекты (группа пользователей или SID), котором предоставляются права. Есть список предустановленных групп.

AU Authenticated Users

AO Account operatorsRU Alias to allow previous Windows 2000AN Anonymous logonAU Authenticated usersBA Built-in administratorsBG Built-in guestsBO Backup operatorsBU Built-in usersCA Certificate server administratorsCG Creator groupCO Creator ownerDA Domain administratorsDC Domain computersDD Domain controllersDG Domain guestsDU Domain usersEA Enterprise administratorsED Enterprise domain controllersWD EveryonePA Group Policy administratorsIU Interactively logged-on userLA Local administratorLG Local guestLS Local service accountSY Local systemNU Network logon userNO Network configuration operatorsNS Network service accountPO Printer operatorsPS Personal selfPU Power usersRS RAS servers groupRD Terminal server usersRE ReplicatorRC Restricted codeSA Schema administratorsSO Server operatorsSU Service logon user

Можно вместо предустановленной группы явно указать пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:

или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:

К примеру, права пользователю на службу spooler могут быть предоставлены следующей командой:

sc sdset Spooler "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-2133228432-2794320136-1823075350-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Способы убрать «Это приложение заблокировано в целях защиты» и исправить запуск программы

c http-equiv=»Content-Type» content=»text/html;charset=UTF-8″>lass=»remon-after-2nd-h2″ id=»remon-385637252″>

Есть несколько способов запустить программу, для которой вы видите сообщение о том, что «Администратор заблокировал выполнение этого приложения».

Использование командной строки

Самый безопасный из способов (не открывающий «дыр» на будущее) — запуск проблемной программы из командной строки, запущенной от имени администратора. Порядок действий будет следующим:

1. Запустите командную строку от имени администратора. Для этого вы можете начать вводить «Командная строка» в поиске на панели задач Windows 10, потом нажать правой кнопкой мыши по найденному результату и выбрать пункт «Запустить от имени администратора». 
2. В командной строке введите путь к файлу .exe для которого сообщается, что приложение было заблокировано в целях защиты. 
3. Как правило сразу после этого приложение будет запущено (не закрывайте командную строку до прекращения работы с программой или завершения ее установки, если не работал установщик).

Использование встроенной учетной записи администратора Windows 10

Этот способ исправить проблему подойдет только для установщика с запуском которого происходят проблемы (поскольку каждый раз включать и выключать встроенную учетную запись администратора — не удобно, а держать ее постоянно включенной и переключаться для запуска программы — не лучший вариант).

Суть действий: включаем встроенную учетную запись Администратора Windows 10, входим под этой учетной записью, устанавливаем программу («для всех пользователей»), отключаем встроенную учетную запись администратора и работаем с программой в своей обычной учетной записи (как правило, уже установленная программа будет запускаться без проблем).

Отключение блокировки приложений в редакторе локальной групповой политики

Этот способ потенциально опасен, поскольку позволяет не доверенным приложениям с «испорченными» цифровыми подписями запускаться без каких-либо сообщений от контроля учетных записей от имени администратора.

Выполнить описанные действия можно только в редакциях Windows 10 Профессиональная и Корпоративная (для Домашней редакции — см. способ с редактором реестра далее).

1. Нажмите клавиши Win+R на клавиатуре и введите gpedit.msc
2. Перейдите в раздел «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности». Дважды нажмите по параметру справа: «Контроль учетных записей: все администраторы работают в режиме одобрения администратором». 
3. Установите значение «Отключен» и нажмите «Ок». 
4. Перезагрузите компьютер.

После этого программа должна будет запуститься. Если вам требовался однократный запуск данного приложения, настоятельно рекомендую вернуть параметры локальной политики безопасности в исходное состояние тем же самым образом.

С помощью редактора реестра

Это — вариант предыдущего способа, но для Windows 10 Домашняя, где не предусмотрен редактор локальной групповой политики.

1. Нажмите клавиши Win+R на клавиатуре и введите regedit
2. В редакторе реестра перейдите к разделу HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ System 
3. Дважды нажмите по параметру EnableLUA в правой части редактора реестра и задайте для него значение 0 (ноль). 
4. Нажмите Ок, закройте редактор реестра и перезагрузите компьютер.

Готово, после этого приложение, вероятнее всего запустится. Однако, ваш компьютер будет под угрозой, и я настоятельно рекомендую вернуть значение EnableLUA в 1, как было до изменений.

Удаление цифровой подписи приложения

Поскольку появление сообщения об ошибке Приложение заблокировано в целях защиты имеет своей причиной проблемы с цифровой подписи исполняемого файла программы, одно из возможных решений — удаление цифровой подписи (не выполняйте этого для системных файлов Windows 10, в случае, если проблема происходит с ними, выполните проверку целостности системных файлов).

Сделать это можно с помощью небольшого бесплатного приложения File Unsigner:

На этом цифровая подпись приложения будет удалена, и оно запустится без сообщений о блокировке администратором (но, иногда, с предупреждением от SmartScreen).

А вдруг и это будет интересно:

Дополнительная информация

y http-equiv=»Content-Type» content=»text/html;charset=UTF-8″>le=»text-align: justify;»>Возможно, на данный момент читателю не до конца понятно, как описываемая возможность может быть использована (ведь в любой момент можно переключить запрет или дать разрешение на запуск программы).

Тем не менее это может быть полезным:

• Установленные запреты применяются и к другим учетным записям Windows 10 без прав администратора.
• В учетной записи без прав администратора нельзя поменять параметры разрешения запуска приложений.
• Приложение, которое было разрешено администратором, становится разрешенным и в других учетных записях.
• Для того, чтобы запустить приложение, которое не разрешено из обычной учетной записи, потребуется ввести пароль администратора. При этом пароль потребуется для любой программы .exe, а не только для тех, которые просят «Разрешить внести изменения на компьютере» (в отличие от контроля учетных записей UAC).

Т.е. предлагаемая функция позволяет в большей степени контролировать то, что разрешено запускать обычным пользователям Windows 10, повысить безопасность и может пригодиться тем, кто не использует одну единственную учетную запись администратора на компьютере или ноутбуке (порой даже с отключенным UAC).

А вдруг и это будет интересно:

Запрет запуска программ с AppLocker

Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:

• Настройка как запретов, так и разрешений.
• Настройка хешей и путей.
• Аудит.
• Использование данных издателя (проверка по электронной подписи).
• Импорт и экспорт созданных политик.

Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.

Как открыть AppLocker

Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win+R), введите gpedit.msc.

Следуя, инструкции на скрине, найдите AppLocker.

Как работать с AppLocker

Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.

Основные расширения примерно выглядят так:

Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *.exe

1. Нажав на ветвь Исполняемые правила, мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.

Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок Program Files, Windows, администратору – запускать все файлы.

2. Для того чтобы запретить запуск определенной программы нужно:

создать новое правило

выбрать нужное действие

выбрать пользователя или группу пользователей, которым будет запрещено действие

выбрать условия по запрету: тип запрета

Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.

теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку

нажмите Создать. Как видите появился запрет

3. Осталось запустить службу, чтобы AppLocker заработал:

• зайдите в диспетчер задач (CTRL+ALT+DEL)
• перейдите на вкладку службы
• найдите службу Удостоверение приложения (AppIDSvc)

запустите службу (правой кнопкой мыши – Запустить).

Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888poker.exe, он увидит уведомление:

Запрет запуска программ с помощью AppLocker

Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.

Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.

Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника + дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).

Защита от сетевых атак протокола TCP/IP

• «EnableICMPRedirect» — значение «4,0»
• «EnableSecurityFilters» — значение «4,1»
• «KeepAliveTime» — значение «4,30000»
• «SynAttackProtect» — значение «4,2»
• «TcpMaxConnectResponseRetransmiissions» — значение «4,2»
• «TcpMaxConnectRetransmiissions» — значение «4,3»
• «TcpMaxDataRetransmiissions» — значение «4,3»
• «TcpMaxPortsExhausted» — значение «4,3»
• «DisableIPSourceRouting» — значение «4,2»

1. Для защиты от атак протокола IPv6 параметру «TcpMaxConnectRetransmiissions» устанавливается значение «4,3», а параметру «DisableIPSourceRouting» значение «4,2» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters. 
2. Для защиты от атаки изменения маршрута отключается ICMP Router Discovery Protocol посредством установки параметру «PerformRouterDiscovery» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters. 
3. Выключение маршрутизации TCP/IP от источника выполняется посредством установки параметру «DisableIPSourceRouting» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters. 

Как заблокировать установку программ в Windows 10

Параметры

У пользователя есть возможность выбрать, откуда можно будет получать приложения. По сути запрет установки приложений с неизвестных источников является ещё одним средством защиты пользователя и операционной системы. Устанавливая только приложения, предлагаемые в Microsoft Store, Вы сможете защитить свой компьютер и обеспечить его бесперебойную работу.

1. Откройте Пуск > Параметры > Приложения > Приложения и возможности.
2. В пункте Установка приложений откройте список, и выберите пункт Разрешить использование приложений только из Store.

По умолчанию установлено значение показывать рекомендации приложений. Вместо блокировки возможности установки программ можно выбрать пункт предупреждать перед установкой приложений, не предлагаемых в Store. Такая функция работает по аналогии с фильтром SmartScreen, который также предупреждает пользователей при попытке установить приложение с неизвестного источника.

Редактор локальной групповой политики

Пользователи Профессиональной и Корпоративной редакций операционной системы Windows 10 могут открыть редактор локальных групповых политик для внесения изменений в систему. Владельцы Домашней редакции при попытке открыть редактор групповой политики получают сообщение gpedit.msc не найден Windows 10. Перед внесением изменений в систему рекомендуем создать резервную копию Windows 10.

1. Откройте редактор локальной групповой политики выполнив команду gpedit.msc в окне Win+R.
2. Перейдите в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows.
3. Измените значение параметра Отключение установщика Windows на Включено и выберите в списке пункт Всегда.
4. Измените значение параметра Запретить установки пользователям на Включено и выберите в списке пункт Скрыть установки для пользователей.

Включаете параметра Отключение установщика Windows позволяет запретить пользователям устанавливать программы на свои системы или разрешить устанавливать только программы, предложенные системным администратором. Этот параметр политики влияет только на работу установщика Windows. Он не запрещает пользователям использовать другие способы установки и обновления программ.

Активированный параметр политики Запретить установки пользователям и выбор значения скрыть установки для пользователей позволяет установщику игнорирует приложения для пользователей. При этом приложения, установленные для компьютера, будут видны пользователям, даже если эти пользователи имеют зарегистрированную установку этого приложения для пользователя в своем профиле пользователя.

Заключение

Возможность запретить установку программ для новичков действительно является полезной на Windows 10. Так как после отключения установки приложений из неизвестных источников пользователь уже снизил вероятность заражения своего компьютера вредоносными программами или вирусами. А также помимо встроенных средств защиты в операционной системы пользователям рекомендуем выбрать один с лучших бесплатных антивирусов.

Автозапуск программ в Windows 8 с помощью реестра

В Windows 8 программы в автозагрузку можно добавить путем прямой модификации реестра. В предыдущих версиях Windows список программ автозагрузки можно было просмотреть с помощью системной утилиты msconfig. Запустим утилиту, нажав комбинацию Win+R и набрав msconfig. В открывшемся окне перейдите на вкладку Startup. Как вы видите, вкладка пустая и содержит информационно сообщение, что управление автозагрузкой находится в секции Startup диспетчера задач Windows (Task Manager).

Перейдем на соответствующую вкладку диспетчера задач.

На вкладке отображен список элементов автозагрузки в формате: имя программы, разработчик, статус автозагрузки (включен/отключен) и новая колонка Startup impact (позволяет понять насколько указанная программа использует ресурсы системы при запуске, т.е. по сути показывает насколько та или иная программа потребляет системные ресурсы, замедляя тем самым загрузку компьютера). Здесь же, с помощью правого щелчка мыши, можно включить или отключить автоматический запуск той или иной программы (Disable/Enable).

Список программ  автозагрузки  хранится в двух ветках реестра.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – определяет программы, автоматически запускаемые при входе любого пользователя
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – список автозапуска для текущего пользователя

Чтобы добавить в автозагрузку свою программу, откройте редактор реестра (regedit.exe) и перейдите в ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Создадим в данной ветке новый параметр типа строка REG_SZ.

Укажите имя параметра, а в качестве его значения задайте полный путь к исполняемому файлу, который нужно запускать при загрузке компьютера (если пусть содержит пробелы или русские буквы, его нужно взять в кавычки).

Если вернуться на вкладку Startup диспетчера задач, мы увидим что появился новый элемент автозагрузки, только что созданный нами.