Политики ограниченного использования программ windows 10 не применяются
На компьютере с Windows 7 Pro 64-bit установил такие настройки политики безопасности:
Политики ограниченного использования программ
Применять политику ограниченного использования: ко всем файлам программ, кроме библиотек (таких как DLL)
Применять политику ограниченного использования программ для: всех пользователей
При применении политик ограниченного использования программ: игнорировать правила сертификатов
Политики ограниченного использования программ/Уровни безопасности
Уровень безопасности по умолчанию: Запрещено
Политики ограниченного использования программ/Дополнительные правила
Правила для путей
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
Уровень безопасности: Неограниченный
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Уровень безопасности: Неограниченный
C:\Program Files (x86)
Уровень безопасности: Неограниченный
Значение %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% равно C:\Program Files
При этом в журнал пишется:"Доступ к C:\Program Files\7-Zip\7zFM.exe был ограничен администратором с помощью уровня политики ограничения использования программ по умолчанию."
Запуск антивируса прописан в: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Можно сделать так, чтобы антивирус запускался и архиватор из хрома тоже? Те же excel-фалы прекрасно открываются из хрома, а архивы нет.
UPD: Отдельно и антивирус и архиватор запускаются.
Если антивирус поставить в автозагрузку через ярлык в папке Автозагрузка, то он тоже запускается, а через реестр в Wow6432Node - нет. Хотя на 32-разрядной машине с такими же политиками запускается, но там и автозагрузка антивируса прописана не в HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run, а в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
в этом разделе описываются распространенные проблемы и их решения при устранении неполадок политик ограниченного использования программ (SRP), начинающихся с Windows Server 2008 и Windows Vista.
Введение
Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.
начиная с Windows Server 2008 R2 и Windows 7, Windows AppLocker можно использовать вместо или совместно с SRP для части стратегии управления приложениями.
Windows не удается открыть программу
Причина: Был создан уровень безопасности по умолчанию (или правило), чтобы программа была настроена как запрещенная, и в результате она не будет запущена.
Измененные политики ограниченного использования программ не вступают в действие.
Причина: Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все параметры политики, настроенные локально. Это может предположить, что существует параметр политики из домена, переопределяющий параметр политики.
Причина: Возможно, групповая политика не обновили параметры политики. Групповая политика периодически применяет изменения параметров политики; Поэтому, скорее всего, изменения политики, внесенные в каталог, еще не обновлены.
Решения
Компьютер, на котором вы изменяете политики ограниченного использования программ для сети, должен иметь возможность связаться с контроллером домена. Убедитесь, что компьютер может связаться с контроллером домена.
Обновите политику, выполнив выход из сети и снова войдя в сеть. Если какая-либо политика применяется через групповая политика, то при входе в систему будут обновлены эти политики.
Вы можете обновить параметры политики с помощью программы командной строки gpupdate или выйти из системы, а затем снова войти на компьютер. Для получения наилучших результатов запустите gpupdate, а затем выполните выход из системы и войдите снова на компьютер. Как правило, параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Параметры также обновляются каждые 16 часов, вне зависимости от наличия изменений. Это настраиваемые параметры, поэтому интервалы обновления могут различаться в каждом домене.
Проверьте, какие политики применяются. Проверьте политики уровня домена без параметров переопределения .
Политики ограниченного использования программ, указанные в домене с помощью групповая политика переопределяют все политики, настроенные локально. Используйте программу командной строки Gpresult, чтобы определить, что именно влияет на политику. Это может предположить, что в домене есть политика, переопределяющая локальный параметр.
если параметры SRP и AppLocker находятся в одном объекте групповой политики, параметры AppLocker будут иметь приоритет в Windows 7, Windows Server 2008 R2 и более поздних версиях. Рекомендуется использовать параметры политики SRP и AppLocker в разных объектах групповой политики.
После добавления правила с помощью SRP вы не сможете войти на компьютер
Причина: Компьютер получает доступ ко многим программам и файлам при запуске. Возможно, вы случайно настроили одну из этих программ или файлов для запрещения. Так как компьютер не может получить доступ к программе или файлу, он не может запуститься должным образом.
Решение: запустите компьютер в режиме Сейф, войдите в систему как локальный администратор, а затем измените политики ограниченного использования программ, чтобы разрешить запуск программы или файла.
Новый параметр политики не применяется к конкретному расширению имени файла
Причина: Расширение имени файла отсутствует в списке поддерживаемых типов файлов.
Решение: Добавьте расширение имени файла в список типов файлов, поддерживаемых SRP.
Политики ограниченного использования программ устраняют проблему регулирования неизвестного или ненадежного кода. Политики ограниченного использования программ — это параметры безопасности для обнаружения программного обеспечения и управления его возможностью запуска на локальном компьютере, на сайте, в домене или подразделении и могут быть реализованы через объект групповой политики.
Правило по умолчанию не ограничиваются ожидаемым
Причина: Правила, применяемые в определенном порядке, что может привести к переопределению правил по умолчанию определенными правилами. SRP применяет правила в следующем порядке (наиболее конкретно для общего):
Правила для сертификатов
Правила для путей
Правила зоны Интернета
Правила по умолчанию
Решение: Оцените правила, которые ограничивают приложение, и при необходимости удалите все, кроме правила по умолчанию.
Не удалось определить, какие ограничения применяются
Причина: Не существует очевидной причины непредвиденного поведения, и обновление объекта групповой политики не устранило проблему, поэтому необходимо выполнить дальнейшее исследование.
Решения
Проверьте журнал системных событий и выполните фильтрацию по источнику "политика ограниченного использования программ". В записях явно указывается, какое правило реализуется для каждого приложения.
Политики ограниченного использования программ (SRP)
В этой статье рассмотрим ещё один механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP).
Настройка SRP
Механизм “Software Restriction Policies (SRP)” доступен в локальных политиках безопасности (secpol.msc) и может распространятся глобальными политиками в домене.
Чтобы создать политику, нужно нажать правой кнопкой мышки:
После чего появятся правила связанные с данной технологией:
Правила связанные с SRP
Выше у нас появились три правила:
Дополнительные правила
Если перейти в каталок “Дополнительные правила“, то там вы увидите созданные правила и сможете создать новые. Возможно создать правила для: сертификата, хэша, зоны сети (зоны Internet Explorer), пути.
Создание различных типов правил
Уровни безопасности
Дальше, при создании правила, нужно связать его с определенным уровнем безопасности:
- Запрещено (Disallowed) — программы запускаться не будут, вне зависимости от прав доступа пользователя;
- Обычный пользователь — разрешает выполнение программ, но только без прав администратора;
- Неограниченный (Unrestricted) — доступ к ресурсам определяется правами пользователя.
Эксперимент
4. Попробуйте запустить «Блокнот» (notepad.exe).
Важное уточнение
Если ваш компьютер включен в домен, то локальные групповые политики будут переписаны групповыми, это следует учитывать при работе с Software Restriction Policies.
В этой статье рассмотрим ещё один механизм, который ограничивает запуск программ в Windows, а именно Software Restriction Policies (SRP)
Отключение политик, запрещающих установку программ
При появлении ошибки установщика Windows «Данная установка запрещена политикой, заданной системным администратором» в первую очередь следует попробовать посмотреть, заданы ли какие-либо политики, ограничивающие установку ПО и, если таковые имеются, удалить или отключить их.
Шаги могут быть разными в зависимости от используемой редакции Windows: если у вас установлена Pro или Enterprise версия, вы можете использовать редактор локальной групповой политики, если Домашняя — редактор реестра. Далее рассмотрены оба варианта.
Просмотр политик установки в редакторе локальной групповой политики
Для Windows 10, 8.1 и Windows 7 Профессиональной и корпоративной вы можете использовать следующие шаги:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Зайдите в раздел «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows».
- В правой панели редактора убедитесь, что никакие политики ограничения установки не заданы. Если это не так, дважды кликните по политике, значение которой нужно изменить и выберите «Не задано» (это значение по умолчанию).
- Зайдите в аналогичный раздел, но в «Конфигурация пользователя». Проверьте, чтобы и там все политики были не заданы.
Перезагрузка компьютера после этого обычно не требуется, можно сразу попробовать запустить установщик.
С помощью редактора реестра
Проверить наличие политик ограничения установки ПО и удалить их при необходимости можно и с помощью редактора реестра. Это будет работать и в домашней редакции Windows.
- Нажмите клавиши Win+R, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к разделуи проверьте, есть ли в нем подраздел Installer. Если есть — удалите сам раздел или очистите все значения из этого раздела.
- Аналогичным образом, проверьте, есть ли подраздел Installer в разделеи, при его наличии, очистите его от значений или удалите.
- Закройте редактор реестра и попробуйте снова запустить установщик.
Обычно, если причина ошибки действительно в политиках, приведенных вариантов оказывается достаточно, однако есть и дополнительные методы, иногда оказывающиеся работоспособными.
Если предыдущий вариант не помог, можно попробовать следующие два способа (первый — только для Pro и Enterprise редакций Windows).
- Зайдите в Панель управления — Администрирование — Локальная политика безопасности.
- Выберите «Политики ограниченного использования программ».
- Если политики не определены, нажмите правой кнопкой мыши по «Политики ограниченного использования программ» и выберите «Создать политику ограниченного использования программ».
- Дважды нажмите по «Применение» и в разделе «Применять политику ограниченного использования программ» выберите «всех пользователей, кроме локальных администраторов».
- Нажмите Ок и обязательно перезагрузите компьютер.
Проверьте, была ли исправлена проблема. Если нет, рекомендую снова зайти в этот же раздел, нажать правой кнопкой по разделу политик ограниченного использования программ и удалить их.
Второй метод также предполагает использование редактора реестра:
- Запустите редактор реестра (regedit).
- Перейдите к разделуи создайте (при отсутствии) в нем подраздел с именем Installer
- В этом подразделе создайте 3 параметра DWORD с именами DisableMSI, DisableLUAPatching и DisablePatch и значением 0 (ноль) у каждого из них.
- Закройте редактор реестра, перезагрузите компьютер и проверьте работу установщика.
Если ошибка возникает при установке или обновлении Google Chrome, попробуйте удалить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\ — это может сработать.
Где устанавливаются ограничения для компьютера
Появляющиеся уведомления об ограничениях говорят о том, что были настроены определенные системные политики Windows, что могло быть сделано с помощью редактора локальной групповой политики, редактора реестра или сторонних программ.
При любом сценарии запись самих параметров происходит в разделы реестра, отвечающие за локальные групповые политики.
Соответственно для того, чтобы отменить действующие ограничения, можно так же использовать редактор локальной групповой политики или редактор реестра (если редактирование реестра запрещено администратором — мы попробуем разблокировать и его).
Отмена действующих ограничений и исправление запуска панели управления, других системных элементов и программ в Windows
Прежде чем приступить, учитывайте важный момент, без которого все описанные далее шаги выполнить не получится: вы должны иметь права Администратора на компьютере для внесения необходимых изменений в параметры системы.
В зависимости от редакции системы, для отмены ограничений вы можете использовать редактор локальной групповой политики (доступен только в Windows 10, 8.1 и Windows 7 Профессиональная, Корпоративная и Максимальная) или редактор реестра (присутствует и в Домашней редакции). При наличии возможности я рекомендую использовать первый метод.
Снятие ограничений на запуск в редакторе локальной групповой политики
Используя редактор локальной групповой политики отменить действующие на компьютере ограничения будет быстрее и проще, чем с использованием редактора реестра.
В большинстве случаев достаточно использовать следующий путь:
- Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
- В открывшемся редакторе локальной групповой политики откройте раздел «Конфигурация пользователя» — «Административные шаблоны» — «Все параметры».
- В правой панели редактора нажмите мышью по заголовку столбца «Состояние», так значения в нём будут отсортированы по состоянию различных политик, а вверху окажутся те из них, которые включены (по умолчанию в Windows все они в состоянии «Не задано»), а среди них и — искомые ограничения.
- Обычно, названия политик говорят за себя. Например, у меня на скриншоте видно, что запрещен доступ к панели управления, к запуску указанных приложений Windows, командной строке и редактору реестра. Для отмены ограничений достаточно дважды нажать по каждому из таких параметров и установить «Отключено» или «Не задано», а затем нажать «Ок».
Обычно, изменения политик вступают в силу без перезагрузки компьютера или выхода из системы, но для некоторых из них она может потребоваться.
Отмена ограничений в редакторе реестра
В редакторе реестра присутствуют несколько разделов (папки в левой части редактора), в которых могут устанавливаться запреты (за которые отвечают параметры в правой части), вследствие которых вы получаете ошибку «Операция отменена из-за ограничений, действующих на этом компьютере»:
- Запрет запуска панели управленияТребуется удалить параметр «NoControlPanel» или изменить его значение на 0. Для удаления достаточно нажать правой кнопкой мыши по параметру и выбрать пункт «Удалить». Для изменения — двойной клик мышью и задание нового значения.
- Параметр NoFolderOptions со значением 1 в том же расположении запрещает открытие параметров папок в проводнике. Можно удалить, либо изменить на 0.
- Ограничения запуска программВ этом разделе будет список нумерованных параметров, каждый из которых запрещает запуск какой-либо программы. Удаляем все те, которые требуется разблокировать.
Аналогично, почти все ограничения располагаются именно в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ и его подразделах. По умолчанию, в Windows у него нет подразделов, а параметры либо отсутствуют, либо присутствует единственный пункт «NoDriveTypeAutoRun».
Даже не сумев разобраться, какой параметр за что отвечает и очистив все значения, приведя политики к состоянию как на скриншоте выше (или вообще полностью), максимум, что последует (при условии, что это домашний, а не корпоративный компьютер) — отмена каких-то настроек, которые вы делали раньше с помощью твикеров или материалов на этом и других сайтах.
Читайте также: