Не работает applocker и политики ограниченного использования программ в win10

@sergantik · Регистрация: 11.11.2010

Author24 — интернет-сервис помощи студентам

Добрый день.подскажите в чём может быть дело.
Не работает applocker и политики ограниченного использования программ в win10 pro 32 бит.
Необходимо обычному пользователю заблокировать запуск сторонних программ, кроме уже установленных администратором.
В win7 использовал applocker, но в десятке он не работает.
Всё делаю также как в win7, служба "удостоверения приложения" запущена.
Но пользователь, может запускать любые приложения, с любого места, в том числе и с флешки.
Попробовал политики ограниченного использования программ, отчасти она работает.
Например: запускаю с флешки программу: выходит сообщение - запуск заблокирован системным администратором, далее создаю ярлык на рабочем столе или в другом любом месте, и с него программа запускается.
То-есть толку никакого, также можно запустить всё что хочешь, и откуда хочешь.
Может кто подскажет что можно ещё использовать, и может я не до конца настроил политики.
Спасибо

@Maks · 06.11.2018, 17:43

sergantik, политику создаете через gpedit.msc или secpol.msc

secpol.msc

1. Введите в командной строке secpol.msc
2. В открывшемся окне перейдите "Политика ограничения использования программ"
3. Создайте политику, если она не создана
4. В дополнительных правилах создаете правила для пути и выбираете для этих правил уровень безопасноти - Неограниченный

Список доверенных зон

Я обычно добавляю эти зоны:
%windir%
%ProgramData%
%ProgramFiles%
%ProgramFiles(x86)% - Для 64-битных систем

5. В назначенных типах файлов удаляете LNK
6. В "Уровнях безопасности", ставите - Запрещено

@sergantik · 09.11.2018, 09:13 **[ТС]**

Maks, я сделал так, но здесь очевидная дыра в безопасноти проявляется.Да, кроме рабочего стола, папки windows и папки program files запустить приложение нигде нельзя.Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.Необходимо полный запрет на установку любых приложений и ярлыков на эти приложения с любого места.
Спасибо

Добавлено через 5 минут
для учётной записи с обычными правами

Добавлено через 1 минуту
чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.И в эти системные папки ничего скопировать.В седьмой винде это прекрасно реализовывалось с помощью applocker

@Maks · 09.11.2018, 11:03

Сообщение от sergantik

Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.

Что за бред? С раб.стола можно запускать только ярлыки, и только те, которые ссылаются на %ProgramFiles% и %windir%.
Сошлись они на другое место и вылезет окошко, что запуск программы заблокирован администратором.

Сообщение от sergantik

чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.

При реализации SRP (описан мною выше) пользователь и так ничего не сможет сделать.
Только что проверил на ПК с Windows 10, все прекрасно работает: юзер ничего не может скопировать в %ProgramFiles% и %windir% из-за недостаточности прав.
С рабочего стола также ничего, кроме ярлыков на разрешенные директории.
С других директорий, не указанных в SRP, пользователь тоже ничего запустить не может.

Сообщение от sergantik

я сделал так

Вы что-то явно сделали не так, опишите свой порядок действий, будем разбирать.

@sergantik 1 / 1 / 1 Регистрация: 11.11.2010 Сообщений: 78
		1
	Не работает applocker и политики ограниченного использования программ в win10 06.11.2018, 13:34. Показов 13046. Ответов 3 Метки нет (Все метки) Добрый день.подскажите в чём может быть дело. Не работает applocker и политики ограниченного использования программ в win10 pro 32 бит. Необходимо обычному пользователю заблокировать запуск сторонних программ, кроме уже установленных администратором. В win7 использовал applocker, но в десятке он не работает. Всё делаю также как в win7, служба "удостоверения приложения" запущена. Но пользователь, может запускать любые приложения, с любого места, в том числе и с флешки. Попробовал политики ограниченного использования программ, отчасти она работает. Например: запускаю с флешки программу: выходит сообщение - запуск заблокирован системным администратором, далее создаю ярлык на рабочем столе или в другом любом месте, и с него программа запускается. То-есть толку никакого, также можно запустить всё что хочешь, и откуда хочешь. Может кто подскажет что можно ещё использовать, и может я не до конца настроил политики. Спасибо 0

@Maks Модератор 8619 / 4341 / 548 Регистрация: 13.03.2013 Сообщений: 15,840 Записей в блоге: 16
	06.11.2018, 17:43	2
	sergantik, политику создаете через gpedit.msc или secpol.msc secpol.msc 1. Введите в командной строке secpol.msc 2. В открывшемся окне перейдите "Политика ограничения использования программ" 3. Создайте политику, если она не создана 4. В дополнительных правилах создаете правила для пути и выбираете для этих правил уровень безопасноти - Неограниченный Список доверенных зон Я обычно добавляю эти зоны: %windir% %ProgramData% %ProgramFiles% %ProgramFiles(x86)% - Для 64-битных систем 5. В назначенных типах файлов удаляете LNK 6. В "Уровнях безопасности", ставите - Запрещено 0

@sergantik 1 / 1 / 1 Регистрация: 11.11.2010 Сообщений: 78
	09.11.2018, 09:13 [ТС]	3
	Maks, я сделал так, но здесь очевидная дыра в безопасноти проявляется.Да, кроме рабочего стола, папки windows и папки program files запустить приложение нигде нельзя.Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.Необходимо полный запрет на установку любых приложений и ярлыков на эти приложения с любого места. Спасибо Добавлено через 5 минут для учётной записи с обычными правами Добавлено через 1 минуту чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.И в эти системные папки ничего скопировать.В седьмой винде это прекрасно реализовывалось с помощью applocker 0

@Maks Модератор 8619 / 4341 / 548 Регистрация: 13.03.2013 Сообщений: 15,840 Записей в блоге: 16
	09.11.2018, 11:03	4
	Сообщение от sergantik Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему. Что за бред? С раб.стола можно запускать только ярлыки, и только те, которые ссылаются на %ProgramFiles% и %windir%. Сошлись они на другое место и вылезет окошко, что запуск программы заблокирован администратором. Сообщение от sergantik чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок. При реализации SRP (описан мною выше) пользователь и так ничего не сможет сделать. Только что проверил на ПК с Windows 10, все прекрасно работает: юзер ничего не может скопировать в %ProgramFiles% и %windir% из-за недостаточности прав. С рабочего стола также ничего, кроме ярлыков на разрешенные директории. С других директорий, не указанных в SRP, пользователь тоже ничего запустить не может. Сообщение от sergantik я сделал так Вы что-то явно сделали не так, опишите свой порядок действий, будем разбирать. 0