場合によっては、コンピュータ上の特定のプログラムへのアクセスをブロックする必要がある場合があります。 たとえば、家によくコンピューターの前に座っている子供がいて、子供に監督なしでインターネット サーフィンをしたり、子供向けではないゲームをプレイさせたくないとします。 このような状況では、Windows ローカル グループ ポリシー エディターを使用して設定される、特定のアプリケーションの起動をブロックする機能が必要になります。

グループ ポリシー エディターにアクセスするには、キーボード ショートカットを押します。 勝利+R、 列をなして 実行するコマンドを入力してください gpedit.mscを押して確認します 入力。 グループ ポリシー エディター ウィンドウが開きます。 その中で、セクションに移動する必要があります ユーザー設定、次に 管理用テンプレートセクションに移動します システム。 セクションウィンドウの右側 システム項目をダブルクリックします 指定された Windows アプリケーションを実行しない.

開いたウィンドウで、現在のパラメータのスイッチを の位置に設定します。 オンにする.

次に、実行を禁止したいアプリケーションのリストを作成する必要があります。 時点で 禁止されているアプリケーションのリストボタンをクリックしてください 見せる.

この後、新しいウィンドウが開きますので、 コンテンツ出力。 その中でフィールドに入力する必要があります 意味禁止の対象となるアプリケーションの実行ファイル名。 正確なファイル名とその拡張子をグループ ポリシー エディターに入力する必要があります。 実行可能ファイルの正確な名前を覚えていない場合は、プログラムをインストールしたフォルダーを調べてください (デフォルトでは、すべてのプログラムは C ドライブの Program Files フォルダーにインストールされます)。

禁止アプリケーションのリストを作成したら、忘れずにボタンを押してください。 わかりました窓の中で コンテンツ出力そしてボタン 適用する前のウィンドウで。 禁止されたアプリケーションのリストにあるプログラムを実行しようとすると、システムは、このアプリケーションの起動に対する現在の制限に関する警告をログに表示します。 Windowsイベント対応するメモが残されます。

設定した制限をキャンセルする必要がある場合は、ローカル グループ ポリシー エディターに移動し、ウィンドウで 指定したアプリケーションを起動しないスイッチを の位置に設定します 無効にする.

Windows イベント ログで禁止されているアプリケーションの起動試行に関するレポートを表示したい場合は、次の場所にアクセスしてください。 コントロールパネルそしてポイントへ行く 「管理」>「イベントビューア」.

OS でのプログラムの起動の問題 ウィンドウズいろいろユーザー間で非常に関連性があります。 今日はこれを見ていきます。 このトピックは、一般ユーザーとドメイン内のユーザー グループの管理の両方に役立ちます。

OS にはすでに適切なツール (および複数のツール) が含まれているとすぐに言います。 特別なものもあります サードパーティのアプリケーションユーザーエクスペリエンスを簡素化します。 どちらにも長所と短所があります。 それでは始めましょう。

Windows でプログラムが実行されないようにする方法

Windows OS には、プログラムの起動を構成するための 3 つのツールがあります。

1. アプリロッカー
2. エディタ グループポリシー(RGP)
3. レジストリ

コンピュータ上の Windows OS のバージョンが Enterprise または Ultimate の場合、システム ツールの中に AppLocker があります。 そして彼以外には何も必要ありません。 もちろん、以下ではプログラムの起動を防ぐ他の方法を検討しますが、最も最適で機能的な方法である AppLocker から始めます。

AppLocker を使用してプログラムが実行されないようにする

このツールは、さまざまなアプリケーション起動ポリシーを作成するのに最適なツールです。 その機能:

• 禁止と許可の両方を設定します。
• ハッシュとパスを設定します。
• 監査。
• 発行者データの利用（電子署名による検証）。
• 作成したポリシーのインポートとエクスポート。

これらすべてにより、原始的な言葉で言えば、「さまざまな側から」のアクセスを制限することが可能になります。 たとえば、グループ ポリシー エディターを使用して制限を作成した場合、ユーザーが実行可能ファイルの名前を単純に変更しないとは限りません。 AppLocker では、ファイルまたはフォルダーへのパスが使用されるか、ハッシュが実行されるため、何も得られません。

AppLockerを開く方法

インターフェイスはシンプルかつ明確で、機能は膨大です。 したがって、最初に行うことは、 この治療法。 これを行うには、グループ ポリシー エディターに移動します。 クイック ジャンプ ウィンドウ ( 勝利+R）、 入力 gpedit.msc.

画面の指示に従って、 アプリロッカー.

AppLockerの使用方法

まず、ちょっとした理論です。 ALは協力しています さまざまなファイル: 実行可能ファイル、Windows インストーラー ファイル、およびスクリプト ファイル。

基本的な拡張機能は次のようになります。

最初のグループでルールを作成します。プログラムの起動またはインストールを禁止する必要があり、それらの (ほとんどの) 拡張子は次のとおりです。 *. EXE

1. ブランチをクリックする 実行可能なルール, 実際には存在しないことがわかります。 したがって、最初に標準ルールを作成することをお勧めします。

デフォルトのルールが作成されました。 つまり、すべてのファイルの実行が禁止されます。 ルールにより、誰でもフォルダーからファイルを実行できます。 プログラム ファイル, 窓、管理者 – すべてのファイルを実行します。

2. 特定のプログラムの起動を禁止するには、次のことを行う必要があります。

• 新しいルールを作成する

• 希望のアクションを選択します

• アクションを拒否するユーザーまたはユーザーのグループを選択します

• 禁止条件を選択: 禁止タイプ

私が言及した可能性は、ファイルのハッシュ化とデジタル署名の禁止という点ではっきりとわかります。

• 次に、起動を禁止したいプログラムまたはフォルダーを選択します。 彼女のフォルダーを選択します

• クリック 作成する。 ご覧のとおり、禁止事項が表示されています

3. あとは、AppLocker が機能するようにサービスを開始するだけです。

• タスクマネージャーに移動します( CTRL+ オルタナティブ+ デル)
• サービスタブに移動します
• サービスを見つける アプリケーションのアイデンティティ (AppIDSvc)

• サービスを開始します (右クリック - 打ち上げ).

ここで、管理者グループのメンバーではないユーザーがアプリケーションを起動しようとすると、 888 ポーカー. EXE、通知が表示されます。

からのプログラムの起動を禁止する AppLockerを使用する

AppLocker テクノロジは、Windows 7 (Enterprise、Ultimate) で初めて登場しました。 Windowsサーバー 2008 R2。 そしてリリース前に、これは革新的な進歩であると述べられていました (宣伝されているとさえ言えます)。

これは部分的には真実です しかし私はそう言います アプリロッカーそしてその前任者 - 希望小売価格(テクノロジー ソフトウェア制限ポリシー) には、それぞれ独自の長所と短所があります。 たとえば、SRP では証明書とネットワーク ゾーンのルールを作成できますが、Applocker ではこれは不可能です。 ただし、後者はデジタル署名で機能します。

技術的には、両方のテクノロジーは非常に似ています。 したがって、私は AppLocker - SRPv2.0 と呼びます。 結局のところ、前バージョンのほぼすべてと追加機能 (電子署名、ポリシーのエクスポート/インポート、よりわかりやすく便利なインターフェイスなど) が備わっています。

RGPによるプログラム起動の禁止

実際、ここでは複雑なことは何もありません。 したがって、詳細な説明は省略します。スクリーンショットを参照してください。 次のことを行う必要があります。

1. RGP 自体を起動します。 これを行うには、窓口に電話してください 走る （勝利+R)、 入力 gpedit.msc

2. エディターに入ります。 タブを見つける システム（以下を参照してください）。 強調表示された項目をクリックします。

3. 現在、禁止期間中です。 まず、このツールを有効にして、禁止されたアプリケーションのリストを開く必要があります（ここでアプリケーションを追加します）。

4. フィールドで 意味プログラム名を拡張子付きで入力します。 すべてを適用してください。

他のユーザーが実行しようとしたとき このアプリケーションをクリックすると、ウィンドウが表示されます。

グループ ポリシー エディターを使用してプログラムが実行されないようにします。

同じ原理により、特定のアプリケーションのみの実行を許可することができます。 これは、コンピュータのグループ (たとえば、1 つのドメイン) に適しています。

RGP で、「」を選択します。 指定されたものだけを実行します...」 それならすべて同じです。

重要！指定したプログラムのみが実行されるので注意してください。 RGPでも動作しません。 少なくともリストには入れてください。

Windows レジストリでプログラムが実行されないようにする

ここではすべてが同じ原則に基づいて機能します。つまり、プログラム名の作成は禁止されています。 しかし、誰もが RGP を持っているわけではないので、これを (もう一度簡単に) 紹介する価値があります。

1. ウィンドウを使用してレジストリに移動します 走る （勝つ+ R) .

2.セクションに移動します ポリシー。 選択 エクスプローラ。 フルパスは次のとおりです。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

3. 次のウィンドウで次を作成します。 新しいパラメータ名前の下に 実行を禁止する 指定されたタイプ意味のある 1 .

5. あとは、起動を禁止したいプログラムを指定するだけです。 これは作成されたセクション ( 実行を禁止する）。 小文字が作成されます (例: 弦) 番号付き変数。 値には、実行可能ファイルの名前を記述する必要があります。 各プログラムには変数が 1 つあります。

PCを再起動してもプログラムが起動しません。

プログラムの実行を禁止する Windows レジストリ

この方法に関する私の意見または問題点

はい、複雑なことは何もなく、非常に便利です。 しかし、それでも一つだけ事がある しかし: 禁止は実行可能ファイルの名前に影響しますが、簡単に変更できます。 そして、それについてできることは何もありません。

特定のプログラムのみの実行を許可すれば問題は解決すると思うかもしれません。 しかし、実行権限のあるプログラムに名前を付けることができないのはなぜでしょうか?

したがって、結論は 1 つだけです。AppLocker は非常に便利で、かけがえのないものです。

結論

ご覧のとおり、Windows OS 自体でプログラムが起動しないようにする方法があります。 これらはすべて異なるように見えますが、原則は同じであり、グループ セキュリティ ポリシーを使用します。

私の個人的な意見では、AppLocker を使用する方がはるかに便利で最適です。 さらに、Active Directory テクノロジーを使用すると、ドメイン グループの管理が非常に便利になります。

古き良きSRPに戻った方が良いのでしょうか？ これは純粋にあなたの主観的な意見です。 前に進み、新しいことを学ぶことを義務付けるルールを私は常に守っていると言いたいと思います。 そして私もあなたに同じようにアドバイスします。

AppLocker の評価

私たちの評価

AppLocker は便利で機能的です。 これは、古いソフトウェア制限ポリシー テクノロジの優れた代替品です。

ユーザー評価: 5 (評価 4 件)

私はセキュリティを確保するというこのアイデアに興奮し、自分でも同じことをやってみようと決心しました。

私は Windows 7 Professional を使用しているため、最初のアイデアは AppLocker を使用することでした。しかし、私の Windows のライセンスと空き容量のため、AppLocker は私のエディションでは動作せず、Ultimate または Enterprise が必要であることがすぐに明らかになりました。私の財布、AppLocker のオプションが消えてしまいました。

次の試みは、ソフトウェア制限のためのグループ ポリシーを構成することでした。 AppLocker がアップグレードされたバージョンであるため この仕組み、特に Windows ユーザーにとっては無料なので、ポリシーを試すのは論理的です :)

設定に移動します:
gpedit.msc -> コンピュータの構成 -> Windows の構成-> セキュリティ設定 -> ソフトウェア制限ポリシー

ルールがない場合、システムは、プログラムの起動を許可する自動ルールを生成することを提案します。 Windowsフォルダーおよびプログラム ファイル。 また、パス * (任意のパス) の拒否ルールも追加します。 その結果、保護されたシステム フォルダーからのみプログラムを実行できるようにしたいと考えています。 だから何？
はい、これで結果は得られますが、ちょっとした問題があります。ショートカットと http リンクが機能しません。 リンクのことを忘れることはできますが、ショートカットのない人生はかなりひどいものです。
*.lnk マスクを使用したファイルの起動を許可すると、実行可能ファイルのショートカットを作成し、それがシステム フォルダーにない場合でも、そのショートカットを使用して実行できるようになります。 ひどい。
Google クエリは次の解決策につながります。または、ショートカットを次の場所から起動できるようにします。 カスタムフォルダー、またはショートカットのあるサードパーティのバーを使用します。 他に方法はありません。 個人的には、このオプションは好きではありません。

その結果、Windows の観点からは *.lnk は実行可能ファイルへのリンクではないが、という状況に直面します。 実行可能ファイル。 クレイジーですが、何ができるでしょうか... Windows にショートカットの場所ではなく、ショートカットが参照しているファイルの場所をチェックしてもらいたいのです。

そして、Windows の観点から実行可能な拡張機能のリストの設定を偶然見つけました (gpedit.msc -> コンピューターの構成 -> Windows の構成 -> セキュリティ設定 -> 割り当てられたファイルの種類)。 そこから LNK を削除し、同時に HTTP を削除してログインします。 完全に機能するショートカットが得られ、実行可能ファイルの場所がチェックされます。
ショートカットを介してパラメータを渡すことができるかどうか疑問がありましたが、それは可能であるため、すべて問題ありません。

その結果、「ウイルス対策ソフトをインストールしていない Windows コンピュータ」の記事で説明したアイデアを、ユーザーに何の問題もなく実装することができました。

また、自分の足を撃ちたい人は、Program Files にフォルダーを作成し、そのフォルダーへのショートカットをデスクトップに配置し、たとえば「Sandbox」という名前にすることもできます。 これにより、保護されたストレージ (UAC による保護) を使用して、ポリシーを無効にすることなく、そこからプログラムを実行できるようになります。

説明した方法が誰かにとって有益で新しいものになることを願っています。 による 少なくともこのことについては誰からも聞いたことがありませんし、どこでも見たことがありません。

非常に多くの場合、一部のユーザーが特定のプログラムを実行できないようにする方法が問題になります。 たとえば、子供が夕方に暴力的なゲームを始めるのを防ぎたいとします。 このような禁止事項については、レジストリの機能を使用できます。

リストに記載されているプログラム以外の起動を禁止します。

窓特別なリストで許可されているアプリケーションを除き、プログラムへのアクセスを制限できます。 起動できるプログラムを制限するには、セクションを開く必要があります HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorerそこにパラメータを作成します 制限実行タイプ DWORD値を 1 に設定します。次に、同じ名前のサブセクションをすぐに作成する必要があります。 制限実行そのリストには、現在のユーザーに対して実行が許可されているプログラムのリストが含まれます。 このサブキーのエントリには 1 から始まる番号が付けられ、パス (オプション) とアプリケーション名を含む行が含まれます。 ファイルには拡張子が付いている必要があります。 例えば、 Word.exe、Excel.exe。

注意！ ファイルを指定することを忘れないでください Regedit exeそうでないと、レジストリ エディターを自分で起動できなくなります。 プログラムの起動制限をリセットするには、キー値を設定する必要があります 制限実行 0で。

リストされている以外のアプリケーションを実行する権限。

逆問題を解決して、実行を禁止するアプリケーションのリストを指定できます。 これを行うには、セクションを開く必要があります HKCU\ソフトウェア\Microsoft\Windows \現在のバージョン\ポリシー\エクスプローラーそこにパラメータを作成します 実行を禁止するタイプ DWORD次に、同じ名前のサブセクションを作成する必要があります。 実行を禁止するその中には、禁止されたプログラムのリストが文字列パラメーターの形式で示されます。 このサブキーのエントリには 1 から始まる番号が付けられ、パス (オプション) とアプリケーション名を含む行が含まれます。 ファイルには拡張子が付いている必要があります。 例えば、 Word.exe、Excel.exe。

例えば：

• "1" - calc.exe;
• "2" - thebat.exe;
• 「3」 - hl.exe。

この設定は、プロセスによって起動されるプログラムに影響します。 Windows エクスプローラーただし、これらのプログラムの起動に対しては保護されません。 タスクマネージャー、システムプロセスまたは他のプロセスによって開始されます。 これらのプログラムは、次の方法でも起動できます。 コマンドライン cmd.exe。

レジストリエディタの起動を禁止します。

レジストリ エディターが実行されないようにすることができます。 これを行うには、セクションで HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Systemパラメータを追加する必要がある レジストリツールを無効にするタイプ DWORD値は 1 です。レジストリ エディタの起動が禁止され、対応するメッセージが画面に表示されます。 「レジストリの編集はシステム管理者によって禁止されています」。 また、昔と違って、 Windowsのバージョン、ユーザーは、を使用して変更を行うことはできません。 ソフトウェアサードパーティ開発者の協力を得て REGファイルまたはユーティリティ REG.EXE.ローカル グループ ポリシー エディターを呼び出して間違いを修正する必要がありました。 しかし、いくつかの出版物では、 Windows 7含まない グループポリシー編集者です！

Windows タスク マネージャーが起動しないようにします。

キーボードショートカットを押すと Ctr+Alt+Del画面にコマンドのリストが表示されます。その中には次の項目があります。 タスクマネージャーを起動します。実行することもできます タスクマネージャーキーの組み合わせで直接 Ctrl+Shift+Esc。 多くの システム管理者ユーザーが起動できないようにしようとしています ディスパッチャ Windowsタスク(taskkmgr.exe)なぜセクションに設置されているのか HKCU\ソフトウェア\Microsoft\Windows\CurrentVersion\Policies\Systemパラメータ値 タスクマネージャーを無効にするタイプ DWORD 1に等しい。