Не работает applocker и политики ограниченного использования программ в win10

@sergantik · Регистрация: 11.11.2010

Author24 — интернет-сервис помощи студентам

Добрый день.подскажите в чём может быть дело.
Не работает applocker и политики ограниченного использования программ в win10 pro 32 бит.
Необходимо обычному пользователю заблокировать запуск сторонних программ, кроме уже установленных администратором.
В win7 использовал applocker, но в десятке он не работает.
Всё делаю также как в win7, служба "удостоверения приложения" запущена.
Но пользователь, может запускать любые приложения, с любого места, в том числе и с флешки.
Попробовал политики ограниченного использования программ, отчасти она работает.
Например: запускаю с флешки программу: выходит сообщение - запуск заблокирован системным администратором, далее создаю ярлык на рабочем столе или в другом любом месте, и с него программа запускается.
То-есть толку никакого, также можно запустить всё что хочешь, и откуда хочешь.
Может кто подскажет что можно ещё использовать, и может я не до конца настроил политики.
Спасибо

@Maks · 06.11.2018, 17:43

sergantik, политику создаете через gpedit.msc или secpol.msc

secpol.msc

1. Введите в командной строке secpol.msc
2. В открывшемся окне перейдите "Политика ограничения использования программ"
3. Создайте политику, если она не создана
4. В дополнительных правилах создаете правила для пути и выбираете для этих правил уровень безопасноти - Неограниченный

Список доверенных зон

Я обычно добавляю эти зоны:
%windir%
%ProgramData%
%ProgramFiles%
%ProgramFiles(x86)% - Для 64-битных систем

5. В назначенных типах файлов удаляете LNK
6. В "Уровнях безопасности", ставите - Запрещено

@sergantik · 09.11.2018, 09:13 **[ТС]**

Maks, я сделал так, но здесь очевидная дыра в безопасноти проявляется.Да, кроме рабочего стола, папки windows и папки program files запустить приложение нигде нельзя.Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.Необходимо полный запрет на установку любых приложений и ярлыков на эти приложения с любого места.
Спасибо

Добавлено через 5 минут
для учётной записи с обычными правами

Добавлено через 1 минуту
чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.И в эти системные папки ничего скопировать.В седьмой винде это прекрасно реализовывалось с помощью applocker

@Maks · 09.11.2018, 11:03

Сообщение от sergantik

Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.

Что за бред? С раб.стола можно запускать только ярлыки, и только те, которые ссылаются на %ProgramFiles% и %windir%.
Сошлись они на другое место и вылезет окошко, что запуск программы заблокирован администратором.

Сообщение от sergantik

чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.

При реализации SRP (описан мною выше) пользователь и так ничего не сможет сделать.
Только что проверил на ПК с Windows 10, все прекрасно работает: юзер ничего не может скопировать в %ProgramFiles% и %windir% из-за недостаточности прав.
С рабочего стола также ничего, кроме ярлыков на разрешенные директории.
С других директорий, не указанных в SRP, пользователь тоже ничего запустить не может.

Сообщение от sergantik

я сделал так

Вы что-то явно сделали не так, опишите свой порядок действий, будем разбирать.

Новые блоги и статьи Все статьи Все блоги /
TypeScript: Интерфейсы vs Типы run.dev 11.04.2025 Современная разработка на JavaScript сталкивается с множеством проблем при масштабировании проектов. Типизация кода стала хорошим инструментом, помогающим избежать ошибок во время выполнения,. . .	Управление топиками и разделами Kafka Javaican 11.04.2025 Apache Kafka — распределенная платформа потоковой передачи данных, которая стала стандартом для построения высоконагруженных систем обмена сообщениями. В современной архитектуре микросервисов,. . .	Миграция монолита в Event-Driven микросервисную архитектуру на C# stackOverflow 11.04.2025 Монолитная архитектура – классический подход к разработке программного обеспечения. Это приложение, построенное как единое целое, где все компоненты тесно связаны между собой. Большинство проектов. . .	Go в Kubernetes: Управление ресурсами golander 11.04.2025 Разработчики Go-приложений в Kubernetes часто сталкиваются с неожиданными проблемами производительности и даже внезапными отказами контейнеров. Причина этого кроется в особенностях взаимодействия. . .	Агрегаты и сущности в DDD микросервисах Javaican 10.04.2025 Разработка современных программных систем часто приводит на распутье: монолит или микросервисы? Даже при выборе микросервисной архитектуры многие команды сталкиваются с проблемой правильного. . .
Многопоточность в C#: Task и параллельное программирование UnmanagedCoder 10.04.2025 Современные процессоры уже давно перестали наращивать тактовую частоту в пользу увеличения количества ядер. Это создало интересную ситуацию: разработчики, привыкшие к последовательному. . .	Линейное решение нелинейной задачи с помощью арктангенса для метода обработки данных из double buffering. Hrethgir 10.04.2025 Публикация в доработке, метод арктангенса в комментариях внизу. Вообще изначально я пренебрёг квадратурой числа, но потом понял, что для вычисления приблизительного значения - сгодится, формулу. . .	Переменные в Python py-thonny 10.04.2025 Переменная в программировании — это символическое имя, связанное с областью памяти, в которой хранится значение. Она позволяет получать доступ к данным через понятные человеку идентификаторы, а не. . .	Многопоточность в C#: Task и асинхронные операции UnmanagedCoder 10.04.2025 Многопоточность позволяет выполнять несколько операций одновременно, что важно для решения двух основных задач: повышения скорости выполнения вычислительно-сложных операций и сохранения отзывчивости. . .	Запуск контейнеров Docker на ARM64 Mr. Docker 09.04.2025 Появление таких решений, как Apple M1/ M2, AWS Graviton, Ampere Altra и Raspberry Pi, сделало использование ARM-систем обыденностью для многих разработчиков и DevOps-инженеров. При этом Docker,. . .

@sergantik 1 / 1 / 1 Регистрация: 11.11.2010 Сообщений: 78

	Не работает applocker и политики ограниченного использования программ в win10 06.11.2018, 13:34. Показов 13353. Ответов 3 Метки нет (Все метки) Добрый день.подскажите в чём может быть дело. Не работает applocker и политики ограниченного использования программ в win10 pro 32 бит. Необходимо обычному пользователю заблокировать запуск сторонних программ, кроме уже установленных администратором. В win7 использовал applocker, но в десятке он не работает. Всё делаю также как в win7, служба "удостоверения приложения" запущена. Но пользователь, может запускать любые приложения, с любого места, в том числе и с флешки. Попробовал политики ограниченного использования программ, отчасти она работает. Например: запускаю с флешки программу: выходит сообщение - запуск заблокирован системным администратором, далее создаю ярлык на рабочем столе или в другом любом месте, и с него программа запускается. То-есть толку никакого, также можно запустить всё что хочешь, и откуда хочешь. Может кто подскажет что можно ещё использовать, и может я не до конца настроил политики. Спасибо 0

@Maks Супер-модератор 8797 / 4684 / 569 Регистрация: 13.03.2013 Сообщений: 16,655 Записей в блоге: 16
	06.11.2018, 17:43
	sergantik, политику создаете через gpedit.msc или secpol.msc secpol.msc 1. Введите в командной строке secpol.msc 2. В открывшемся окне перейдите "Политика ограничения использования программ" 3. Создайте политику, если она не создана 4. В дополнительных правилах создаете правила для пути и выбираете для этих правил уровень безопасноти - Неограниченный Список доверенных зон Я обычно добавляю эти зоны: %windir% %ProgramData% %ProgramFiles% %ProgramFiles(x86)% - Для 64-битных систем 5. В назначенных типах файлов удаляете LNK 6. В "Уровнях безопасности", ставите - Запрещено 0

@sergantik 1 / 1 / 1 Регистрация: 11.11.2010 Сообщений: 78
	09.11.2018, 09:13 [ТС]
	Maks, я сделал так, но здесь очевидная дыра в безопасноти проявляется.Да, кроме рабочего стола, папки windows и папки program files запустить приложение нигде нельзя.Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему.Необходимо полный запрет на установку любых приложений и ярлыков на эти приложения с любого места. Спасибо Добавлено через 5 минут для учётной записи с обычными правами Добавлено через 1 минуту чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок.И в эти системные папки ничего скопировать.В седьмой винде это прекрасно реализовывалось с помощью applocker 0

@Maks Супер-модератор 8797 / 4684 / 569 Регистрация: 13.03.2013 Сообщений: 16,655 Записей в блоге: 16
	09.11.2018, 11:03
	Сообщение от sergantik Но если тупо скопировать ярлык или сам дистрибутив на рабочий стол, он запускается и устанавливается в систему. Что за бред? С раб.стола можно запускать только ярлыки, и только те, которые ссылаются на %ProgramFiles% и %windir%. Сошлись они на другое место и вылезет окошко, что запуск программы заблокирован администратором. Сообщение от sergantik чтобы пользователь не мог установить ничего, и запустить с флешки и иных директорий кроме как с системных папок. При реализации SRP (описан мною выше) пользователь и так ничего не сможет сделать. Только что проверил на ПК с Windows 10, все прекрасно работает: юзер ничего не может скопировать в %ProgramFiles% и %windir% из-за недостаточности прав. С рабочего стола также ничего, кроме ярлыков на разрешенные директории. С других директорий, не указанных в SRP, пользователь тоже ничего запустить не может. Сообщение от sergantik я сделал так Вы что-то явно сделали не так, опишите свой порядок действий, будем разбирать. 0