Почему windows 10 блокирует запуск программ и как это исправить?

Понимание различий между SRP и AppLocker

Вы можете развернуть политики управления приложениями в операционных системах Windows раньше, чем Windows Server 2008 R2 или Windows 7. Политики AppLocker можно использовать только в поддерживаемых версиях и выпусках Windows, как указано в разделе Требования к использованию AppLocker. Однако вы можете использовать SRP в поддерживаемых выпусках Windows, а также Windows Server 2003 и Windows XP. Чтобы сравнить функции и функции в SRP и AppLocker, чтобы определить, когда следует использовать каждую технологию для достижения целей управления приложениями, см. статью Определение целей управления приложениями.

Как запретить запуск программ в Windows 10

Большинство пользователей персональных компьютеров хоть раз в жизни сталкивались с такой проблемой, как запуск нежелательных программ в операционной системе. Большой проблемой это не является, но может вызвать некоторые неудобства во время работы за ПК. Запрет на запуск программ в Windows 10 может быть обусловлен несколькими причинами. Например, пользователь установил несколько программ, которые будут оповещать его о своей работе, используя ресурсы компьютера и оповещать о своей деятельности в области уведомлений (системном трее). В данном случае, ненужные человеку программы можно отключить, удалив их из автозагрузки.

Распространенной причиной запрета на запуск может быть нежелание использовать одни и те же программы несколькими пользователями. Обычно, такое происходит когда компьютер имеет две и более учетных записей, под каждой из которых в систему заходят разные люди, используя разное программное обеспечение. Основному пользователю (системному администратору) целесообразно будет указать, какие программы будут использоваться в системе. В данной статье будут рассмотрены основные способы запрета запуска программ в Windows 10.

Что делать, если ничего не помогает

Чтобы удалить подпись, нужно просто перенести ярлык проблемной программы на данную утилиту. После этого должно появится сообщение, в котором будет указано, прошла ли процедура успешно.

Если приложение системное – рекомендуется проверить целостность файлов. Сделать это можно с помощью все той же командной строки. Просто введите в нее следующее:

Большую часть ошибок система исправляет в автоматическом режиме.

Подводя итоги, сообщение «Это приложение заблокировано в целях защиты» чаще всего появляется не без уважительной причины. Несмотря на это, система иногда путает безопасные файлы с вирусами. В таком случае можно временно отключить политику или использовать один из обходных методов решения проблемы.

Блокировка зараженного пользователя.

После обнаружения заражения  нужно принять меры к источнику угрозы.  Необходимо закрыть доступ к общей папке пользователю, поймавшему на свой компьютер шифровальщик. Для этого разместим на диске C:\ файл SmbBlock.ps1 со следующим содержанием:

param( $username = “” ) Get-SmbShare -Special $false | ForEach-Object { Block-SmbShareAccess -Name $_.Name -AccountName “$username” -Force }

Вернемся к Шаблонам фильтра блокировки и выберем вкладку Команда.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

-Command "& {C:\smbblock.ps1 -username ‘’}"

В результате выполнения скрипта зараженный пользователь получает персональный запрет на вход в папку.

Данный способ защиты не является абсолютным решением данной проблемы т.к. писатели вирусов не стоят на месте, но в качестве одной из компонент комплексной защиты вполне применим.

Защита от шифровальщиков с помощью FSRM на Windows Server

Microsoft Defender Application Control

Microsoft Defender Application Control (formerly Windows Defender Application Control) is an evolution of AppLocker designed to avoid the most glaring issue with AppLocker – that system processes and device driver execution cannot be controlled. MDAC was one of the features that was formerly known as “Device Guard” in Windows 10. It currently runs on Windows 10 or Server 2016 and higher (although the 1903+ version of Windows 10 is recommended for full features).

MDAC policies apply to the device as a whole rather than users but introduce some cutting-edge new features for application whitelisting:-

• Using attributes of the codesigning certificates to allow or disallow execution
• Using advanced features of the executable, such as filename, version, hash or metadata
• The application’s actual reputation, sourced from an online security repository
• The parent process that launched the application

Whilst it does not yet offer the flexibility that AppLocker does, it seems certain that MDAC will evolve to supersede AppLocker in the coming years. For now, if you have devices that can support MDAC, it is recommended to use MDAC as the baseline and AppLocker to fine-tune the requirements. Eventually, MDAC will become the standard that AppLocker is now.

Currently, though, bear in mind that it is pretty new and there will be bumps in the road. I’ve heard tales of it breaking InTune app deployments and some minor issues with Office add-ins.

С чего начинается защита от вирусов и других зловредных программ?

Защита от компьютерных вирусов, «троянских коней» и прочей дряни в первую очередь зависит от того, с какими привилегиями ты заходишь в компьютер. Обычно все учётные записи (логины) делятся на две категории — административные, предназначенные для установки программ и настройки системы; и стандартные (с ограниченными правами), предназначенные для ежедневной работы. Хочешь что-то настроить, проинсталлировать? Входи Администратором. Хочешь смотреть фильмы, писать курсовую, общаться в Skype? Входи стандартным пользователем.

Дело в том, что у стандартных пользователей нет прав на инсталляцию программ и настройку системы, за счёт чего она работает весьма стабильно и безопасно. Что-то напортачить или сломать не получится, на это у пользователя просто нет прав. Компьтерный вирус — это не чёрная магия, а программа, просто компьютерная программа, поэтому заразить систему вирусом рядовой пользователь тоже не может. Причём, компьютеру всё равно, новый это вирус или старый, особо хитрый или примитивный — если имеющихся привилегий недостаточно, занести вирус в системную папку или прописать его автозапуск в системном реестре не получится никак.

Рисунок 1. Уровень привилегий учётной записи пользователя в Windows 7

Вне зависимости от того, работаем мы дома или в офисе, в систему всегда следует входить только с ограниченными привилегиями. Системные администраторы должны обладать двумя учётными записями — и рядовой, и административной, но использовать последнюю только при доказанной необходимости. Тип используемой вами учётной записи можно уточнить в Control Panel (Панели Управления).

Однако, существуют зловредные программы, которые способны сохраняться не только в системных папках, но и в User Profile — так называемом профиле, рабочей среде пользователя. Эти программы запускаются каждый раз при входе пользователя в систему. Обычно вирусы такого типа «приезжают» на flash-дисках, рассылаются через программы обмена сообщениями и по электронной почте, попадают в компьютер со специальным образом созданных веб-страниц. Для борьбы с подобного типа угрозами в Windows-системах существует весьма простая и надёжная настройка безопасности — Software Restriction Policies (Политики ограничения программ).

Решение проблемы в Windows 10 «Корпоративная» и «Профессиональная»

В варианте «десятки» Enterprise и Proffesional при возникновении блокировки необходимо попробовать сделать запуск файла с правами администратора либо деактивировать вообще блокировку через системное окно «Редактор локальной групповой политики».

Запуск утилит от имени администратора

Открыть программу с правами администратора можно следующим образом:

1. Щёлкаем правой клавишей по исполняемому файла с расширением exe правой клавишей мышки один раз — в вызванном меню выбираем опцию «Запуск от имени администратора».В контекстном меню заблокированного файла нажмите на «Запуск от имени администратора»
2. Если данный способ не срабатывает, используем встроенную «учётку» администратора в «десятке». Сперва нам нужно раскрыть консоль «Командная строка», которая обладает правами администратора. Первый способ запуска — через панель «Поиск». Пишем в строке команду cmd либо «Командная строка».В «Поиске» введите команду cmd
3. Щёлкаем по классической утилите правой клавишей мышки и выбираем открытие интерфейса с правами администратора.Запустите консоль с правами администратора
4. Кликаем по «Да», чтобы разрешить системной утилите изменять параметры вашей «операционки».Нажмите на «Да», чтобы разрешить системе вносить изменения в системе
5. Ещё один способ запуска — через окошко «Выполнить». Зажимаем R и Win — набираем ту же команду cmd. Выполняем её с помощью одновременно зажатых клавиш Ctrl + Shift + Enter.В окошке «Выполнить» вставьте и выполните cmd
6. В тёмном окне консоли вводим или вставляем код net user Администратор /active:yes. Если у вас английская версия ОС, пишете Administrator. Жмём на «Энтер».В окне «Командной строки» вставьте net user Администратор /active:yes
7. Команда практически тут же выполнится системой. Закрываем окно консоли и открываем заблокированный файл.Когда команда будет выполнена, закройте консоль и запустите программу

Отключение блокировки приложений в «Редакторе локальной групповой политики»

Описанный далее способ является эффективным, но довольно опасным. Он подразумевает полное отключение функции: все приложения будут открываться без предварительной проверки подписи. Выполните простые шаги:

1. Вызываем универсальное окно для запуска утилиты под названием «Выполнить» через R и Win — набираем код gpedit.msc. Щёлкаем по ОК.Вставьте на панели код gpedit.msc и нажмите на ОК
2. В редакторе переходим в первый большой каталог «Конфигурация компьютера».Откройте первый каталог «Конфигурация компьютера»
3. Теперь по очереди раскрываем вложенные друг в друга разделы: «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — и вновь «Параметры безопасности».Дойдите до раздела «Параметры безопасности»
4. В большом перечне ищем строчку политики о контроле учётных записей касательно администраторов. Дважды щёлкаем по ней.В перечне политик отыщите пункт «Контроль учётных записей: все администраторы…»
5. В первой вкладке ставим значение для отключения и жмём на клавишу «Применить» в правом нижнем углу.Поставьте «Отключено» и сохраните изменения
6. Закрываем все окна и перезагружаем «операционку». После удачного запуска файла и установки программы желательно поставить для описанной политики снова значение «Включено», так как в противном случае вы рискуете безопасностью системы.

Универсальные способы для любых версий «десятки»

Существуют способы обхода блокировки, которые действуют для всех версий «Виндовс» 10: отключение контроля учётных записей, удаление цифровой подписи с помощью специальной утилиты и деактивация проверки через загрузку ПК в безопасном режиме.

Деактивация контроля учётных записей

Данный способ — самый быстрый, но не всегда эффективный. Всего в несколько кликов вы можете избавиться от появления красно-серого окошка:

1. В поисковой строке Windows 10 введите запрос «Изменение параметров контроля…». Кликните по единственному пункту в результатах.Начните писать запрос «Изменение параметров контроля…»
2. В открывшемся окне вы увидите ползунок, перемещение которого изменяет уровень вмешательства службы UAC в деятельность потенциально опасных программ. Перетащите ползунок в нижнее положение «Никогда не уведомлять».Отключите уведомления в окне
3. Сохраните изменения кнопкой ОК.Примените и сохраните внесённые изменения
4. Подтвердите действие от имени администратора кнопкой «Да». Теперь защита отключена, а пользователь никогда не получит уведомление от ОС с предупреждением. После отключения UAC вы можете заняться установкой интересующего вас приложения. Установив программу, включите контроль тем же способом. При этом UAC не начнёт проверку уже установленного ПО.

Удаление цифровой подписи запускаемого файла

Вы можете использовать стороннее приложение, которое удаляет сертификат у подозрительного файла, если вдруг ни один из вышеописанных способов не помог. Например, это может быть утилита FileUnsigner от компании-разработчика FluxBytes:

Использовать скачанную утилиту можно и немного другим способом:

1. Сохраняем файл приложения FileUnsigner и заблокированный документ на системном локальном диске (на котором установлена «операционка»).
2. Вызываем чёрный редактор через панель «Поиск» либо «Выполнить» (запускаем с правами администратора). В консоли пишем код cd до тех пор, пока в окне редактора не попадёте в каталог системного локального диска (будет написана просто английская буква c).
3. После этого набираем FileUnsigner.exe /f, а следом и название запрещённого файла. Жмём на «Энтер» и дожидаемся той же надписи об успешном завершении операции.Введите FileUnsigner.exe /f, а затем название файла, запуск которого блокируется

Отключение проверки через загрузку в безопасном режиме

Открыть запрещённую утилиту можно, если загрузить ПК в безопасном режиме:

1. Откройте меню «Пуск», нажмите на кнопку питания и, зажав Shift на клавиатуре, кликните по кнопке «Перезагрузка».

   Нажмите одновременно на опцию «Перезагрузка» и на Shift

   </p>

2. Второй вариант — запуск через окно «Конфигурация системы». Откройте системную утилиту «Выполнить» и введите команду msconfig.

   Вставьте в окно «Выполнить» команду msconfig

   </p>

3. Далее во вкладке «Загрузка» отметьте галочкой пункт «Безопасный режим» и примените изменения.Выберите «Безопасный режим» и кликните по «Применить»
4. В меню безопасной загрузки кликните по пункту «Поиск и устранение неисправностей».Откройте раздел «Поиск и устранение неполадок»
5. В следующем списке нажмите на «Дополнительные параметры».Щёлкните по пункту «Дополнительные параметры»
6. Теперь перейдите в подраздел «Параметры загрузки».Выберите плитку «Параметры загрузки»
7. Отмеченная строка говорит о том, что после перезагрузки система проверки подписей будет отключена. Нажмите на «Перезагрузить».Кликните по «Перезагрузить»

To prevent software restriction policies from applying to local administrators

1. Open Software Restriction Policies.

2. In the details pane, double-click Enforcement.

3. Under Apply software restriction policies to the following users, click All users except local administrators.

Warning

• Membership in the local Administrators group, or equivalent, is the minimum required to complete this procedure.
• It may be necessary to create a new software restriction policy setting for the Group Policy Object (GPO) if you have not already done so.
• If it is common for users to be members of the local Administrators group on their computers in your organization, you may not want to enable this option.
• If you are defining a software restriction policy setting for your local computer, use this procedure to prevent local administrators from having software restriction policies applied to them. If you are defining a software restriction policy setting for your network, filter user policy settings based on membership in security groups through Group Policy.

Understanding the user environment

However, before you begin to formulate an application whitelisting policy, it is very important to understand precisely the sets of applications that your users need to use. Blocking without preparation can easily lead to chaos as line-of-business applications stop functioning, and this will have a terrible knock-on effect for your user experience. You should never implement application whitelisting without proper planning and testing!

Obviously, you need to have enterprise versions of the Windows OS on your clients and be running a version of Active Directory that supports either SRPs or AppLocker (if you are going to deploy centrally via GPOs). You can deploy SRPs and AppLocker policies without AD, but it would involve configuring local policies on each machine and therefore has a very big overhead. For the purposes of this article, we will assume that deployment is being done via AD (although the policy settings would be the same if done locally).

For the auditing aspect, you can either use the audit features provided by SRPs or AppLocker, or you can use a third-party monitoring tool. The audit features in SRPs are (practically) non-existent, but there is a proper Audit Mode in AppLocker. However, in an ideal world a central monitoring tool would be best, in order to give you full visibility of what is being run. If you are using a SIEM (Security Information Event Management) tool you can possibly parse the entries that AppLocker or SRPs produce without having to deploy a specific monitoring tool. It is up to you which approach you choose to build the initial list of “allowed” applications. For posterity, SRP produces log files, AppLocker produces event log entries, and a third-party monitoring tool should provide proper reports. If you were looking at third-party tools, then there are many out there – uberAgent, ControlUp, eG Innovations, Goliath Technologies, SCCM, Lakeside SysTrack, Nexthink are some of the ones I have worked with, but there are many, many more.

The techniques described here allow you to whitelist certain key system areas (like the Program Files folder) without needing to formulate an exhaustive list of executables that lie within them, so the process can be slightly less intimidating than it first may seem. However, it is vitally important that you capture all required executables, as some of them run from places you might not expect (such as Teams, Chrome, DropBox, Slack, etc.)

An example of a non-standard application launch being blocked

Блокировка запуска программ с помощью редактора реестра

Настроить запрет запуска выбранных программ можно и в редакторе реестра, если gpedit.msc недоступен на вашем компьютере.

1. Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter, откроется редактор реестра.
2. Перейдите к разделу реестра
3. В разделе «Explorer» создайте подраздел с именем DisallowRun (сделать это можно, нажав правой кнопкой мыши по «папке» Explorer и выбрав нужный пункт меню).
4. Выберите подраздел DisallowRun и создайте строковый параметр (правый клик в пустом месте правой панели — создать — строковый параметр) с именем 1.
5. Дважды нажмите по созданному параметру и в качестве значения укажите имя .exe файла программы, которую нужно запретить запускать.
6. Повторите те же действия для блокировки других программ, давая имена строковых параметров по порядку.

На этом весь процесс будет завершен, а запрет вступит в силу без перезагрузки компьютера или выхода из Windows.

В дальнейшем, чтобы отменить запреты, сделанные первым или вторым способом, можно с помощью regedit удалить параметры из указанного раздела реестра, из списка запрещенных программ в редакторе локальной групповой политики или просто отключить (установить «Отключено» или «Не задано») измененную политику в gpedit.

Что же такое Software Restriction Policies?

С помощью SRP можно создать “белый список” программ, которые заведомо разрешены для запуска; все остальные программы будут заблокированы. Например, мы говорим системе “запускай всё из папок C:\Windows, C:\Program Files, D:\Games, а остальное не разрешается”. В результате, приезжающий на флешке вирус тихо «обламывается», не сумев запуститься с неразрешённого пути E:\ или Z:\. Что-то попыталось пролезть с ненадёжного веб-сайта? Оно тоже не запустится, так как было сохранено в папке профиля пользователя Temporary Internet Files или %Temp%. А мы оттуда ничего запускать не разрешали! Присланный посредством Skype «новый супер-пупер скринсейвер», на самом деле представляющий собой троянскую программу, тоже не запустится.

Политика Software Restriction Policies сильно выигрывает в сравнении с любыми тормозяще-навороченными, но в то же время очень ненадёжными антивирусными программами, будь то Kaspersky, NOD или Avast (название и производитель не имеют значения). Ловля блох антивирусным монитором — компьютерный аналог «русской рулетки». Причём, далеко не факт, что вы в ней выиграете. В то же время, SRP сразу же отбросит всё неразрешённое, не вникая, что это там было, хорошее или плохое.

На самом деле, политика не предотвратит сохранение тела вируса на жёстком диске. SRP — не антивирусная программа, она не анализирует содержимое файлов. Но и запуститься хранящейся на диске или flash-носителе потенциально деструктивной программе она не позволит.

SRP не нужно откуда-то скачивать, она уже встроена в следующие системы Microsoft:

• Windows XP Professional, Windows XP Media Center 2005;
• Windows Vista Business, Windows Vista Enterprise & Ultimate;
• Windows 7 Professional, Windows 7 Enterprise & Ultimate;
• Windows Server 2003 и 2008 (все редакции);

К сожалению, никакие системы из серии Windows Home не поддерживаются.

С чего начинается защита от вирусов и других зловредных программ?

Защита от компьютерных вирусов, «троянских коней» и прочей дряни в первую очередь зависит от того, с какими привилегиями ты заходишь в компьютер. Обычно все учётные записи (логины) делятся на две категории — административные, предназначенные для установки программ и настройки системы; и стандартные (с ограниченными правами), предназначенные для ежедневной работы. Хочешь что-то настроить, проинсталлировать? Входи Администратором. Хочешь смотреть фильмы, писать курсовую, общаться в Skype? Входи стандартным пользователем.

Дело в том, что у стандартных пользователей нет прав на инсталляцию программ и настройку системы, за счёт чего она работает весьма стабильно и безопасно. Что-то напортачить или сломать не получится, на это у пользователя просто нет прав. Компьтерный вирус — это не чёрная магия, а программа, просто компьютерная программа, поэтому заразить систему вирусом рядовой пользователь тоже не может. Причём, компьютеру всё равно, новый это вирус или старый, особо хитрый или примитивный — если имеющихся привилегий недостаточно, занести вирус в системную папку или прописать его автозапуск в системном реестре не получится никак.

Рисунок 1. Уровень привилегий учётной записи пользователя в Windows 7

Вне зависимости от того, работаем мы дома или в офисе, в систему всегда следует входить только с ограниченными привилегиями. Системные администраторы должны обладать двумя учётными записями — и рядовой, и административной, но использовать последнюю только при доказанной необходимости. Тип используемой вами учётной записи можно уточнить в Control Panel
(Панели Управления).

Однако, существуют зловредные программы, которые способны сохраняться не только в системных папках, но и в User Profile
— так называемом профиле, рабочей среде пользователя. Эти программы запускаются каждый раз при входе пользователя в систему. Обычно вирусы такого типа «приезжают» на flash-дисках, рассылаются через программы обмена сообщениями и по электронной почте, попадают в компьютер со специальным образом созданных веб-страниц. Для борьбы с подобного типа угрозами в Windows-системах существует весьма простая и надёжная настройка безопасности — Software Restriction Policies
(Политики ограничения программ).

Применение политик ограниченного использования программ к библиотекам DLL

1. Откройте окно «Политики ограниченного использования программ».

2. В области сведений дважды щелкните элемент Применение.

3. В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.

Примечание

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
• По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.

С чего начинается защита от вирусов и других зловредных программ?

Дело в том, что у стандартных пользователей нет прав на инсталляцию программ и настройку системы, за счёт чего она работает весьма стабильно и безопасно. Что-то напортачить или сломать не получится, на это у пользователя просто нет прав. Компьтерный вирус — это не чёрная магия, а программа, просто компьютерная программа, поэтому заразить систему вирусом рядовой пользователь тоже не может. Причём, компьютеру всё равно, новый это вирус или старый, особо хитрый или примитивный — если имеющихся привилегий недостаточно, занести вирус в системную папку или прописать его автозапуск в системном реестре не получится никак.

Рисунок 1. Уровень привилегий учётной записи пользователя в Windows 7

Вне зависимости от того, работаем мы дома или в офисе, в систему всегда следует входить только с ограниченными привилегиями. Системные администраторы должны обладать двумя учётными записями — и рядовой, и административной, но использовать последнюю только при доказанной необходимости. Тип используемой вами учётной записи можно уточнить в Control Panel (Панели Управления).

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.

Параметры политик в реестре

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Создание правил AppLocker

Для создания правил необходимо зайти в панель управления, запустить модуль «Администрирование» и выбрать пункт «Локальная политика безопасности» (см.экран 1).

По умолчанию значения правил AppLocker такие.

• Исполняемые файлы – Члены группы локальных администраторов могут запускать любые приложения.– Члены группы Everyone могут запускать приложения из папки Windows.– Члены группы Everyone могут запускать приложения из папки Program Files.
• Windows Installer – Члены группы локальных администраторов могут запускать любые приложения Windows Installer.– Члены группы Everyone могут запускать подписанные приложения Windows Installer.– Члены группы Everyone могут запускать приложения Windows Installer, размещенные в папке Windows\Installer.
• Script – Члены группы локальных администраторов могут запускать любые сценарии.– Члены группы Everyone могут запускать сценарии из папки Windows.– Члены группы Everyone могут запускать сценарии из папки Program Files.
• DLL – Члены группы локальных администраторов могут запускать любые DLL.– Члены группы Everyone могут запускать DLL, расположенные в папке Program Files.– Члены группы Everyone могут запускать DLL, расположенные в папке Windows.

Существует два пути создания правил.

1. Создание правил с помощью мастера создания правил. При этом создается одновременно одно правило.
2. Автоматизированная генерация правил, в ходе которой вы выбираете папку, пользователя или группу, для которой будут применяться правила, затем генерируете несколько правил для этой папки одновременно. С помощью данного мастера можно генерировать только разрешающие правила (см. экран 2).

Об этой технологии можно рассказывать долго. Главное же, на мой взгляд, понять:

1. Для чего вам нужна данная технология?
2. Что вы хотите сделать?
3. Как это отразится на вашем предприятии?
4. И самое основное — не принесет ли это вред вместо пользы?

Не ответив на эти вопросы, нельзя применять ни одну новую технологию. И AppLocker не исключение. В любом случае неправильное применение инструмента может лишь породить новые, зачастую совсем не очевидные проблемы.

Вы уже знаете, что с помощью технологии AppLocker можно указать, какие приложения могут выполняться на компьютере. Давайте рассмотрим сценарий, при котором пользователь может выполнять те файлы, хеш которых совпадает с заранее высчитанным. Все остальные файлы выполнять нельзя. В первый момент это покажется панацеей: как замечательно, пользователь может делать только то, что мы ему явно разрешили. Но не тут-то было! В ходе работы вы обновляете версии программного обеспечения, верно? Что произойдет после обновления? Да просто обновленные файлы перестанут запускаться, ведь хеш их изменен, так? И в результате вы получите только неприятности, которые сами себе и создали!

Итак, это не выход. То есть выход, но только для тех приложений, которые не будут обновляться.

Для того чтобы создать нужные нам правила, воспользуемся реализованной в AppLocker возможностью автоматизировать процесс создания правил. Покажем это на примере папки c:\Program Files (см. экран 3).

Нажимаем «Далее», и в следующем окне мы должны выбрать параметры правил (см. экран 4).

После нажатия кнопки «Далее» правила создаются, и вы можете просмотреть их. Часть правил создана с применением хеш-функций, а часть опирается на имя издателя, выпустившего данные приложения. Так как большинство регулярно обновляемых файлов являются именно подписанными файлами, после обновления имя издателя останется прежним, а следовательно, файл будет выполняться.

Владимир Безмалый — специалист по обеспечению безопасности, MVP Consumer Security

Журнал «Windows IT Pro», Издательство «Открытые системы» (http://www.osp.ru/)

В чём причина блокировки запуска

Данная шибка запуска имеет простое объяснение: у программы, которую пользователь пытается установить, истекла или повредилась цифровая подпись (если речь идёт, конечно же, о безопасном приложении, в коде которого отсутствуют вирусы).

Цифровая подпись представляет собой сертификат, который выдаётся корпорацией «Майкрософт». Он даёт гарантию, что приложение безопасно. Разработчики нового софта подают постоянно заявки на получение этого сертификата. Производители ПО также обязаны регулярно его обновлять при апдейте своего ПО или по истечении срока подписи.

Возможен такой вариант: юзер загрузил старую версию программы с официального сайта или с компакт-диска, которому уже много лет. Конечно, в этом случае «десятка» заподозрит файл в наличии вируса, так как подпись уже просрочена.

Сообщение о блокировке запуска в версии Creators Update появляется в красно-сером окне

Возможно также, что сама утилита содержит в себе угрозу безопасности ПК (вредоносное ПО). В этой ситуации цифровая подпись может быть поддельной — это ваша «десятка» и заподозрит, поставив блок на запуск. Подпись может вообще отсутствовать или быть запрещённой в настройках «Виндовс» 10 (то есть быть в перечне сертификатов, которым нельзя доверять).

Таким образом, блокировка запуска со стороны администратора не всегда означает, что файл (приложение) несёт какую-то угрозу. Ошибку можно обойти, но только в том случае, если вы полностью уверены в безопасности утилиты.

Если у вас версия «десятки» ниже Creators Update, вы увидете сообщение в окне старого образца белого цвета