GPO. Политика ограниченного использования программ.

Ограничиваем установку и использование программ пользователями. Запрещаем установку программ, браузеров в профиль пользователя. Запрещаем запуск программ из неразрешенных мест на компьютерах пользователей в домене.

Создаем политику ограниченного использования программ

Статья рассказывает о том, как ограничить список доступного для запуска программного обеспечения приложениями, расположенными в системных папках c:\ProgramFiles, c:\ProgramFiles (x86) и C:\Windows

  1. Создаем объект групповой политики «Настройка политики ограниченного использования программ» и отключаем параметры пользователя.

2. Создаем группу безопасности «Компьютеры с ограниченным запуском ПО», добавляем в нее нужные компьютеры, указываем созданную группу в фильтре групповой политики и привязываем ее к нужному подразделению/домену/сайту

3. В редакторе объектов групповой политики открываем:

Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Политики ограниченного использования программ

и выбираем пункт “Создать политику…”

Настраиваем параметры политики ограниченного использования программ

  1. «Доверенные издатели» – оставляем данный параметр выключенным

2. «Назначенный типы файлов» – из списка назначенных типов файлов удаляем LNK, иначе при щелчке по ярлыку будет появляться сообщение о том, что запуск данного файла запрещен политикой (даже если ярлык ссылается не на исполняемый файл, а, например, на файл формата DOC)

3. «Применение» – включаем следующие параметры:

«ко всем файлам программ, кроме библиотек» (в противном случае, согласно документации, пришлось бы создавать разрешающие правила для всех библиотек, хотя не понятно зачем, т.к. библиотеки большинства программ находятся в тех же расположениях, из которых запускаются сами приложения (C:\Windows, C:\ProgramFiles и т.п.))

«всех пользователей, кроме локальных администраторов»

«игнорировать правила сертификатов»

4. «Дополнительные правила» – добавляем следующие правила путей:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)% – неограниченный.

Замечание: данный путь добавляем потому, что соответствующий параметр реестра содержит путь к папке «Program Files (x86)», а по умолчанию создаются только правила для путей «C\:Program Files».

5. «Уровни безопасности» – выбираем в качестве уровня безопасности по умолчанию уровень «Запрещено». Таким образом, пользователям будет разрешен запуск приложений только из указанных на предыдущем шаге расположений

Ссылки

https://www.galkov.pro/ru/deploy_software_restriction_policies/

Оставьте ответ

Ваш адрес email не будет опубликован.

4 ÷ = 2