Это приложение заблокировано в целях защиты windows 10

Если вам нужно ограничить запускаемые программы на компьютере - тогда данная статья для вас. В сегодняшней статье мы рассмотрим как с помощью групповых

Нужен ли UAC?

UAC добавлен в ОС для того, чтобы пользователь точно знал какие программы запускаются на его компьютере. Ведь помимо установленных самим юзером приложений бывают ещё и вирусы. UAC же запрещает самостоятельный автозапуск любых программ без разрешения от пользователя.

Соответственно, даже если на жестком диске каким-либо образом окажется зараженный файл – он не нанесет никакого вреда, так как его запуск просто заблокируется операционной системой. Главное – чтобы юзер случайно не дал разрешение на исполнение указанного файла.

С другой же стороны, если на компьютере установлен надежный антивирус, защищающий практически от любого зловредного ПО, то включенный модуль UAC будет попросту мешать своими назойливыми запросами. Вот в таких случаях его можно отключить, хоть Microsoft и не рекомендует этого делать.

Исключения из правилRule exceptions

Правила AppLocker можно применять к отдельным пользователям или группе пользователей.You can apply AppLocker rules to individual users or to a group of users. Если правило применяется к группе пользователей, оно влияет на каждого пользователя в этой группе.If you apply a rule to a group of users, all users in that group are affected by that rule. Если необходимо разрешить использовать приложение для подмножества группы пользователей, следует создать для этого подмножества отдельное правило.If you need to allow a subset of a user group to use an app, you can create a special rule for that subset. Например, правило «Разрешить всем запускать Windows, кроме редактора реестра» позволяет всем в организации запускать ОС Windows, но никому не позволяет открывает редактор реестра.For example, the rule «Allow everyone to run Windows except Registry Editor» allows everyone in the organization to run the Windows operating system, but it does not allow anyone to run Registry Editor.

Это правило не позволит, например, сотрудникам службы поддержки запускать программу, которая требуется для их работы.The effect of this rule would prevent users such as Help Desk personnel from running a program that is necessary for their support tasks. Чтобы устранить эту проблему, создайте второе правило, которое применяется к группе пользователей службы поддержки: «Разрешить службе поддержки запускать редактор реестра».To resolve this problem, create a second rule that applies to the Help Desk user group: «Allow Help Desk to run Registry Editor.» Если вы создаете запрещающее правило, которое никому не позволяет запускать редактор реестра, запрещающее правило переопределяет второе правило, которое позволяет группе пользователей службы поддержки открывать редактор реестра.If you create a deny rule that does not allow any users to run Registry Editor, the deny rule will override the second rule that allows the Help Desk user group to run Registry Editor.

Опыт работы в режиме киоска

Начиная с Windows 10 v1809 , режим Kiosk теперь предлагает мастера, которые проведут вас через весь процесс установки, включая возможность создания учетной записи Kiosk. Вы также можете выбрать автоматический вход на устройстве, используя эту учетную запись. Это гарантирует, что все, что вам нужно для загрузки компьютера, и режим киоска запускается.

Далее идет Microsoft Edge . Когда вы выбираете Edge в режиме киоска, мастер предложит две опции для его запуска в назначенном доступе одного приложения.

  1. Цифровая/интерактивная вывеска, которая отображает только один веб-сайт в полноэкранном режиме InPrivate.
  2. Публичный просмотр поддерживает просмотр с несколькими вкладками. Тем не менее, будет ограничено количество функций и будет работать в режиме InPrivate

Edge в режиме киоска не позволит пользователям свернуть, закрыть или даже открыть новый сеанс Edge. Настройки не будут доступны, но пользователи смогут очистить данные браузера, очистить загрузки и перезапустить Microsoft Edge, нажав Завершить сеанс. Администраторы также могут настроить перезапуск браузера Edge после определенного периода бездействия.

Тем не менее, есть еще два типа киосков, доступных при использовании Edge. Они доступны для сценариев, в которых режим киоска работает в назначенном доступе нескольких приложений. Хотя они недоступны в настройках по умолчанию, доступных в Windows, они могут быть реализованы посредством развертывания в режиме киоска Microsoft Edge, как описано здесь в Microsoft.

В этом режиме Edge может быть одним из многих приложений, доступных в режиме киоска. Он работает так же, как и режим публичного просмотра, о котором мы упоминали выше, за исключением того, что пользователи могут закрывать и открывать несколько окон InPrivate.

Тогда есть нормальный режим. Он запускает полную версию Microsoft Edge, но имеет ограничения по возможностям. Это зависит от того, какие другие приложения настроены в назначенном доступе. Например, если магазин Microsoft Store не настроен, пользователи не могут получать книги.

Если IE11 настроен в назначенном доступе, администратор может включить режим предприятия. Это позволит пользователям автоматически переключаться на IE 11 для автоматической поддержки обратной совместимости.

Для развертывания этих режимов администраторам потребуется Microsoft Edge в Windows 10 версии 1809 (Professional, Enterprise и Education), а также служба настройки и развертывания, например Microsoft Intune или служба MDM.

Хотя Edge может и не быть браузером номер один для потребителей, он определенно превращает свое пространство в Enterprise со всеми этими функциями. Режим киоска популярен в отрасли для ограничения пользователей одним веб-сайтом или одним приложением, и это имеет смысл благодаря встроенной функции WDAG.

Блокировка Портала смешанной реальностиBlock the Mixed Reality Portal

Для блокировки программного обеспечения Mixed Reality можно использовать поставщика служб конфигурации AppLocker.You can use the AppLocker configuration service provider (CSP) to block the Mixed Reality software.

В следующем примере в качестве идентификатора Id может использоваться любой автоматически созданный идентификатор GUID, а в качестве имени Name — любое выбранное вами имя.In the following example, the Id can be any generated GUID and the Name can be any name you choose

Обратите внимание, что параметр позволяет блокировать все исполняемые файлы приложений в пакете Портала смешанной реальности.Note that allows you to block any app executable in the Mixed Reality Portal package. Значение Binary/VersionRange, показанное в примере, позволяет заблокировать все версии приложения «Портал смешанной реальности».Binary/VersionRange, as shown in the example, will block all versions of the Mixed Reality Portal app

Проблемы с несколькими приложениями на киоскеMulti-app kiosk issues

Непредсказуемые результатыUnexpected results

ПримерFor example:

  • Начальный экран не запускается в полноэкранном режимеStart is not launched in full-screen
  • Разрешены заблокированные сочетания клавишBlocked hotkeys are allowed
  • Можно запустить диспетчер задач, Кортану или «Параметры»Task Manager, Cortana, or Settings can be launched
  • Макет начального экрана содержит больше приложений, чем ожидалосьStart layout has more apps than expected

Шаги по устранению неполадокTroubleshooting steps

  1. Убедитесь, что пакет подготовки успешно применен.Verify that the provisioning package is applied successfully.
  2. Убедитесь, что учетная запись (config) привязана к профилю в XML-файле конфигурации.Verify that the account (config) is mapped to a profile in the configuration XML file.
  3. Убедитесь, что XML-файл конфигурации создан и имеет правильный формат.Verify that the configuration XML file is authored and formatted correctly. Исправьте все ошибки конфигурации, затем создайте и примените новый пакет подготовки.Correct any configuration errors, then create and apply a new provisioning package. Выйдите из системы, войдите снова и проверьте новую конфигурацию.Sign out and sign in again to check the new configuration.
  4. Дополнительные журналы проблем с конфигурацией и средой выполнения можно получить, включив канал Logs\Microsoft\Windows\AssignedAccess\Operational приложений и служб , который отключен по умолчанию.Additional logs about configuration and runtime issues can be obtained by enabling the Applications and Services Logs\Microsoft\Windows\AssignedAccess\Operational channel, which is disabled by default.

Проблемы с автоматическим входомAutomatic logon issues

Проверьте журналы просмотра событий на наличие проблем с автоматическим входом в приложения и службы Logs\Microsoft\Windows\Authentication пользователя Interface\Operational.Check the Event Viewer logs for auto logon issues under Applications and Services Logs\Microsoft\Windows\Authentication User Interface\Operational.

Макет начального экрана не соответствует ожидаемомуStart layout not as expected

  • Убедитесь, что макет начального экрана создан правильно.Make sure the Start layout is authored correctly. Убедитесь, что атрибуты Размер, Строка и Столбец заданы для каждого приложения и действительны.Ensure that the attributes Size, Row, and Column are specified for each application and are valid.
  • Проверьте, установлены ли для пользователя с ограниченном доступом приложения, входящие в состав макета начального экрана.Check if the apps included in the Start layout are installed for the assigned access user.
  • Проверьте, существует ли на целевом устройстве ярлык, если классическое приложение отсутствует на начальном экране.Check if the shortcut exists on the target device, if a desktop app is missing on Start.

Запрет запуска программ через реестр Windows

Как я уже упоминал в начале статьи, если у вас установлена домашняя версия Windows, то редактор групповых политик вам не будет доступен. В этом случае можно воспользоваться редактором реестра Windows и ограничить запуск программ через него.

Запустите редактор реестра Windows: Откройте меню Пуск (комбинация клавиш WIN + R) и в строке поиска введите regedit.

Найдите следующую ветвь реестра:

Если еще не создан, создайте новый параметр DisallowRun, имеющий тип 32-bit DWORD. Установите его значение в 1.

Затем в левой части редактора реестра, создайте новую ветвь, имеющую такое-же название, как и только что созданный параметр (DisallowRun).

После того, как ветвь создана, создайте внутри нее группу строковых переменных (имеющих тип String), с именем типа 1, 2, 3 и так далее. Значение каждой переменной должно содержать имя исполняемого файла, выполнение которого следует запретить. Например, для того, чтоб запретить запуск firefox, следует создать параметр:

Почему Windows 10 блокирует установку программ

Блокировка установки программ, введённая Microsoft, была создана в ответ на многочисленные жалобы, связанные с предыдущими версиями Windows. Миллионы пользователей помнят SMS-вымогатели в Windows XP, маскировщики под системный процесс explorer.exe в Windows Vista и Windows 7, «кейлоггеры» и прочую гадость, приводящую к зависанию или блокировке «Панели управления» и «Диспетчера задач».

Windows 10 отказывается устанавливать uTorrent, так как не удалось проверить автора или фирму-разработчика

Изменение уровня контроля учётных записей

Сделайте следующее:

  1. Пройдите путь: «Пуск» — «Панель управления» — «Учётные записи пользователей» — «Изменить параметры контроля учётных записей».

    Нажмите «Изменить параметры контроля учётных записей» для изменения контроля

  2. Переведите регулятор уровня контроля в нижнее положение. Закройте окно, нажав «OK».

    Переведите регулятор уровня контроля в нижнее положение

Запуск установки приложений из «Командной строки»

Если запустить установку понравившейся программы по-прежнему не удаётся, воспользуйтесь «Командной строкой»:

  1. Запустите приложение «Командная строка» с правами администратора.

    Рекомендуется всегда запускать «Командную строку» с правами администратора

  2. Введите команду «cd C:\Users\home-user\Downloads», где «home-user» — имя пользователя Windows в данном примере.
  3. Запустите ваш установщик, введя, например, utorrent.exe, где uTorrent — ваша программа, конфликтующая с защитой Windows 10.

Скорее всего, ваша проблема будет решена.

Как узнать имя и тип файла для ограничения запуска программы

В этой статье рассмотрены способы, при которых пользователь должен самостоятельно добавить приложение в список для запрета запуска в Windows. Для этого, нам потребуется узнать название и тип файла.

Название — название приложения в папке на компьютере, а тип файла — расширение файла, большинстве случаев «.exe», исполняемый файл. Узнать необходимую информацию можно в свойствах ярлыка или в свойствах самого приложения. В некоторых случаях, название приложения может быть сокращено, например, программа FastStone Capture (официальное название) отображена, как «FSCapture.exe».

Сначала узнаем имя и расширение приложения в свойствах ярлыка программы:

  1. Кликните правой кнопкой мыши по ярлыку программы.
  2. В контекстном меню выберите пункт «Свойства».
  3. В окне свойств программы, в поле «Объект:» в самом конце пути вы увидите название программы и ее расширение.

Эти данные нужно будет вводить для запрещения запуска на ПК этого конкретного приложения.

Теперь посмотрим свойства приложения:

  1. Войдите в меню «Пуск».
  2. В списке установленных программ выберите нужное приложение.
  3. Щелкните по нужной программе правой кнопкой мыши, в контекстном меню сначала выберите «Дополнительно», а затем «Перейти к расположению файла».
  4. В открывшейся папке кликните правой кнопкой мыши по ярлыку программы, выберите «Расположение файла».

В Windows 7 после клика по названию программы выберите «Расположение файла».

  1. В папке с программой кликните правой кнопкой мыши по файлу, имеющему тип «Приложение».
  2. В контекстном меню нажмите на «Свойства».
  3. В окне свойств приложения, во вкладке «Общие» вы увидите название программы и ее расширение.

Как узнать, кто выходит в Интернет

Воспользуемся системным средством Windows – «Монитор ресурсов». Проще всего найти его через поиск. Нажмите на лупу и введите название.

Щелкните по найденному приложению и откроется окно, в котором вы можете наблюдать всю активность вашего ПК. Перейдите во вкладку «Сеть».

Посмотрите внимательно. Вы сейчас пользуетесь скайпом? Нет? Тогда его можно закрыть. Это сэкономит ресурсы. Также вы увидите и другие сервисы, которые без вашего ведома осуществляют выход в сеть. Естественно, Скайпу не следует запрещать доступ в Интернет. Но вот другим программам вполне можно и запретить. Например, нелицензионным. Это предотвратит ненужное скачивание обновлений.

Правила AppLocker по умолчаниюAppLocker default rules

В AppLocker есть правила по умолчанию, которые гарантируют, что файлы, которые необходимы для правильной работы Windows, будут разрешены в коллекции правил AppLocker.AppLocker includes default rules, which are intended to help ensure that the files that are required for Windows to operate properly are allowed in an AppLocker rule collection. Дополнительные сведения см. в разделе Общие сведения о правилах AppLocker, используемых по умолчанию. Инструкции см. в разделе Создание правил AppLocker по умолчанию.For background, see Understanding AppLocker default rules, and for steps, see Create AppLocker default rules.

Типы правил по умолчанию для исполняемых файлов:Executable default rule types include:

  • Разрешить членам локальной группы Администраторы запускать все приложения.Allow members of the local Administrators group to run all apps.
  • Разрешить членам группы Все запускать приложения, расположенные в папке Windows.Allow members of the Everyone group to run apps that are located in the Windows folder.
  • Разрешить членам группы Все запускать приложения, расположенные в папке Program Files.Allow members of the Everyone group to run apps that are located in the Program Files folder.

Типы правил по умолчанию для скриптов включают следующее.Script default rule types include:

  • Разрешить членам локальной группы Администраторы запускать все скрипты.Allow members of the local Administrators group to run all scripts.
  • Разрешить членам группы Все запускать скрипты, расположенные в папке Program Files.Allow members of the Everyone group to run scripts that are located in the Program Files folder.
  • Разрешить членам группы Все запускать скрипты, расположенные в папке Windows.Allow members of the Everyone group to run scripts that are located in the Windows folder.

Типы правил по умолчанию для установщиков Windows включают следующее.Windows Installer default rule types include:

  • Разрешить членам локальной группы Администраторы выполнять все файлы установщика Windows.Allow members of the local Administrators group to run all Windows Installer files.
  • Разрешить членам группы Все выполнять все файлы установщика Windows с цифровой подписью.Allow members of the Everyone group to run all digitally signed Windows Installer files.
  • Разрешать членам группы Все запускать все файлы установщика Windows, расположенные в папке Windows\Installer.Allow members of the Everyone group to run all Windows Installer files that are located in the Windows\Installer folder.

Типы правил по умолчанию для библиотек DLL:DLL default rule types:

  • Разрешить членам локальной группы Администраторы запускать все библиотеки DLL.Allow members of the local Administrators group to run all DLLs.
  • Разрешить членам группы Все запускать библиотеки DLL, расположенные в папке Program Files.Allow members of the Everyone group to run DLLs that are located in the Program Files folder.
  • Разрешить членам группы Все запускать библиотеки DLL, расположенные в папке Windows.Allow members of the Everyone group to run DLLs that are located in the Windows folder.

Типы правил по умолчанию для упакованных приложений включают следующее.Packaged apps default rule types:

Разрешить членам группы Все устанавливать и запускать все подписанные упакованные приложения и установщики упакованных приложений.Allow members of the Everyone group to install and run all signed packaged apps and packaged app installers.

Запрет запуска программ с AppLocker

Данное средство является наиболее оптимальным инструментом для создания различных политик запуска приложений. Его возможности:

  • Настройка как запретов, так и разрешений.
  • Настройка хешей и путей.
  • Аудит.
  • Использование данных издателя (проверка по электронной подписи).
  • Импорт и экспорт созданных политик.

Все это позволяет ограничить доступ примитивно выражаясь «с разных сторон». К примеру, создав ограничение через Редактор групповых политик, вы не можете быть уверенны, что юзер просто не переименует исполняемый файл. В AppLocker же это ничего не даст, ведь используется путь к файлу или папке, или производится хеширование.

Как открыть AppLocker

Интерфейс простой и понятный, а функционал огромный. Итак, первое, что нужно сделать – найти данное средство. Для этого зайдите в Редактор групповых политик. В окне быстрого перехода (Win+R), введите gpedit.msc.

Следуя, инструкции на скрине, найдите AppLocker.

Как работать с AppLocker

Для начала немного теории. AL работает с различными файлами: исполнительными, файлами установщика Windows и файлами сценариев.

Основные расширения примерно выглядят так:

Я буду создавать правила именно в первой группе, так как нам нужно запретить запуск или установку программы, а они (ну большая их часть) имеют расширение *.exe

1. Нажав на ветвь Исполняемые правила, мы увидим, что их собственно нет. Поэтому сначала, я рекомендую создать стандартные правила.

Правила по умолчанию созданы. Если вкратце, то запуск всех файлов запрещен. Правила позволяют: всем – запускать файлы из папок Program Files, Windows, администратору – запускать все файлы.

2. Для того чтобы запретить запуск определенной программы нужно:

создать новое правило

выбрать нужное действие

выбрать пользователя или группу пользователей, которым будет запрещено действие

выбрать условия по запрету: тип запрета

Здесь хорошо видно и упомянутые мною возможности: хеширование файла и запрет по цифровой подписи.

теперь выберите программу или папку, запуск которой хотите запретить. Я выберу ее папку

нажмите Создать. Как видите появился запрет

3. Осталось запустить службу, чтобы AppLocker заработал:

  • зайдите в диспетчер задач (CTRL+ALT+DEL)
  • перейдите на вкладку службы
  • найдите службу Удостоверение приложения (AppIDSvc)

запустите службу (правой кнопкой мыши – Запустить).

Теперь, если пользователь, который не состоит в админгруппе попробует запустить приложение 888poker.exe, он увидит уведомление:

Запрет запуска программ с помощью AppLocker

Технология AppLocker впервые появилась в Windows 7 (Enterprise, Ultimate) и Windows Server 2008 R2. И перед выходом заявлялось (я бы даже сказал рекламировалось), что это инновационный прорыв.

Частично это так, НО я бы сказал, что и AppLocker и ее предшественник – SRP (Технология политики ограниченного использования программ) имеют каждый свои преимущества и недостатки. Например, в SRP можно создавать правила для сертификатов и сетевых зон, чего нет в Applocker. Хотя последний работает с цифровыми подписями.

Технически обе технологии очень похожи. Поэтому я бы назвал AppLocker – SRPv2.0. Ведь в нем есть практически все с предшественника + дополнения (типа ЭП, экспорта/импорта политик и более понятного и удобного интерфейса).

Windows 10 блокирует установку программ из интернета, с диска HDD

Наиболее частая проблема у пользователей «десятки» возникает при установке программ скаченных из интернета. Встроенный в систему браузер Microsoft Edge  имеет свой фильтр SmsrtScreen и когда пользователь запускает в нём  исполняемый файл,  этот фильтр блокирует его.

Отключаем  в настройках  «Центра безопасности защитника Windows» этот фильтр с самого строгого режима на средний:

Для поклонников «легких» браузеров будет так же не лишним пройтись по настройкам Internet Explorer, некоторые важные настройки безопасности берутся из него:

Возможно, у вас для Интернета выставлен высший уровень защиты (как у опасных сайтов):

Нужно в этом случае переключить его на средний или пока отключить на самый низкий уровень:

Во вкладке «Дополнительно» так же может найтись решение проблемы — можно сбросить настройки на рекомендуемые или снять галочки:

Еще можно попробовать при загрузке нажимать F7 или F8 пока не попадете в «меню восстановления». Быстро войти в него помогает выключение компьтера в момент загрузки. В появившимся окне выберите режим загрузки компьтера «Отключить обязательную проверку подписи драйверов»:

Удачи!

Отключение UAC с целью разблокирования приложения

Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:

Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».

Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».

Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:

Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».

После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.

Удаление цифровой подписи как метод разблокирования приложения

Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:

Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».

Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.

После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.

Использование Локальной политики безопасности для блокировки и разблокировки софта

Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:

Жмём «Win+R» и вводим «secpol.msc».

Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».

Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».

Откроется окно Мастера создания новых правил. Жмём «Далее».

Появится еще одно окно. Здесь нам нужно поставить о или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».

В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.

В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.

Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.

Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).

Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.

Post Views: 16

Чем чревато?

Если на компьютере не инсталлирован антивирус и все вышеуказанные настройки безопасности отключены, то вероятность заражения ПК вирусом будет критически высокой. Более того, именно такие компьютеры в свое время массово заражались «трояном» Petya A., который шифровал все файлы на жестком диске и для их дешифровки требовал совершить перевод на Bitcoin-кошелек злоумышленника. Ответственность за такие последствия несет сам пользователь.

Итого, оптимальный вариант – отключить уведомления, но взамен установить любой современный антивирус и регулярно обновлять Windows. В таком случае и назойливые запросы исчезнут, но и компьютер не останется под угрозой. Тот же модуль UAC был добавлен не случайным образом, а непосредственно для защиты пользователей.

Почему Microsoft запрещает установку сторонних приложений

Запрет на установку и работу сторонних приложений в операционной системе Windows 10 реализован, чтобы повысить безопасность компьютера. В интернете большое количество программ, которые заражены вирусом. Малоопытные пользователи могут загрузить такие приложения к себе на компьютер, установить их, после чего у них возникнут сбои в работе Windows, чреватые потерей данных. Чтобы минимизировать такую вероятность, Microsoft разрешает устанавливать программы только из Microsoft Store.

Все игры и приложения, которые попадают в магазин Microsoft Store, предварительно проходят проверку со стороны модераторов. Это позволяет пропускать в магазин только рабочие версии приложений, которые не содержат в себе вирусов и других проблем, способных привести к негативным последствиям при работе компьютера.

Стоит отметить, что опция на запрет установки и запуска сторонних приложений в базовой версии Windows 10 изначально отключена. Но она может включиться самостоятельно после одного из обновлений операционной системы, а также некоторые производители ноутбуков, которые поставляют компьютеры с предустановленной Windows 10, активируют запрет на работу со сторонними приложениями по умолчанию.

Использование AppLocker для настройки правил для приложенийUse AppLocker to set rules for apps

После установки необходимых приложений настройте правила AppLocker, чтобы разрешить запуск только определенных приложений, и заблокируйте все остальные.After you install the desired apps, set up AppLocker rules to only allow specific apps, and block everything else.

Запустите локальную политику безопасности (secpol.msc) от имени администратора.Run Local Security Policy (secpol.msc) as an administrator.

Откройте Параметры безопасности > Политики управления приложениями > AppLocker и выберите Настроить применение правил.Go to Security Settings > Application Control Policies > AppLocker, and select Configure rule enforcement.

Установите флажок Настроено в разделе Исполняемые правила, а затем нажмите ОК.Check Configured under Executable rules, and then click OK.

Щелкните параметр Исполняемые правила правой кнопкой мыши и выберите Создать правила автоматически.Right-click Executable Rules and then click Automatically generate rules.

Выберите папку, содержащую приложение, доступ к которому вы хотите разрешить, или выберите C:\, чтобы проанализировать все приложения.Select the folder that contains the apps that you want to permit, or select C:\ to analyze all apps.

Введите имя набора правил и нажмите Далее.Type a name to identify this set of rules, and then click Next.

На странице Параметры правил нажмите кнопку Далее.On the Rule Preferences page, click Next

Обратите внимание, что создание правил может занять некоторое время.Be patient, it might take awhile to generate the rules.

На странице Проверка правил выберите команду Создать.On the Review Rules page, click Create. Мастер создаст набор правил, разрешающих использование набора установленных приложений.The wizard will now create a set of rules allowing the installed set of apps.

Прочтите сообщение и нажмите Да.Read the message and click Yes.

Если вы хотите применить правило к выбранной группе пользователей, щелкните его правой кнопкой мыши и выберите Свойства(необязательно).(optional) If you want a rule to apply to a specific set of users, right-click on the rule and select Properties

Затем выберите пользователя или группу пользователей в диалоговом окне.Then use the dialog to choose a different user or group of users.

Если для приложений, использование которых запрещено, созданы правила, их можно удалить, щелкнув правило правой кнопкой мыши и выбрав команду Удалить(необязательно).(optional) If rules were generated for apps that should not be run, you can delete them by right-clicking on the rule and selecting Delete.

Чтобы обеспечить выполнение правил AppLocker, необходимо включить службу Удостоверение приложения .Before AppLocker will enforce rules, the Application Identity service must be turned on. Чтобы служба «Удостоверение приложения» автоматически запускалась при сбросе параметров, откройте командную строку и выполните следующую команду:To force the Application Identity service to automatically start on reset, open a command prompt and run:

Перезагрузите устройство.Restart the device.

Как добавить приложение в исключение брандмауэра Windows 10

Для добавления приложений в исключения брандмауэра нужно создавать правила для исходящих и входящих подключений. Более подробно об исключениях брандмауэра можно ознакомиться в инструкции: Как добавить программу в исключение брандмауэра Windows 10. Путём создания простых правил можно с легкостью заблокировать любой программе доступ в Интернет.

  1. Откройте окно брандмауэра Защитника Windows выполнив команду firewall.cpl в Win+R.
  2. В открывшемся окне перейдите в окно мониторинга брандмауэра выбрав пункт Дополнительные параметры.
  3. Дальше нажмите на Правила для входящих подключений и в действиях выберите пункт Создать правило…
  4. В мастере создания правил отмечаем пункт Для программы и нажимаем Далее.
  5. Теперь указываем Путь программы нажав кнопку Обзор и выбрав в проводнике приложение доступ к Интернету которому нужно заблокировать.
  6. Последним шагом выбираем пункт Блокировать подключение и выбираем профиль Публичный, который применяется при подключении компьютера к общественной сети.

В конце достаточно указать имя и описание нового правила, после чего нажать готово. По аналогии создаем правило для исходящего подключения в мониторинге брандмауэра Защитника Windows. Чтобы правила и блокировка доступа в Интернет работали необходимо, чтобы брандмауэр был включен. Актуально для пользователей, которые ранее отключали брандмауэр в Windows 10.

Мастеры AppLockerAppLocker wizards

Можно создавать правила с помощью двух мастеров AppLocker.You can create rules by using two AppLocker wizards:

  1. Мастер создания правил позволяет создавать по одному правилу.The Create Rules Wizard enables you to create one rule at a time.
  2. Мастер автоматического создания правил позволяет создавать несколько правил за раз.The Automatically Generate Rules Wizard allows you to create multiple rules at one time. Можно выбрать папку и разрешить мастеру создавать правила для нужных файлов в этой папке или (в случае с упакованными приложениями) позволить мастеру создавать правила для всех упакованных приложений, установленных на компьютере.You can either select a folder and let the wizard create rules for the relevant files within that folder or in case of packaged apps let the wizard create rules for all packaged apps installed on the computer. Можно также указать пользователя или группу, к которой будут применены эти правила.You can also specify the user or group to which to apply the rules. Этот мастер автоматически создает только разрешающие правила.This wizard automatically generates allow rules only.
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделитесь с друзьями:
Технарь
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.