Реестр Windows :: Запрещение запуска программ


Запрещение запуска программ
Чеботарев Игорь

Материалы этой статьи, я думаю, очень пригодятся начальникам, которым надо быть твердо уверенным, что их подчиненные на компьютере работают только с нужными программами, а не гоняют в игрушки, когда этого никто не видит. Так что НИЗАЧТО не показывайте им ее :). Также она будет весьма интересна многим админам. А если у Вас на компьютере работает маленький ребенок, который норовит запустить format c:, то эта статья точно для Вас.
Знаете ли Вы, что Windows позволяет запретить запуск всех программ, кроме разрешенных в специальном списке? А это действительно так, и порой эта возможность бывает очень полезна.
Итак, для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer реестра и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ. Для этого заходим в раздел и создаем для каждой программы строковый ключ с названием "1" (без кавычек) - для первой разрешенной программы, "2" - для второй и т.д. в качестве значений которых надо указать имена файлов разрешенных к запуску программ. Файлы должны быть с расширением, путь указывать не обязательно. Например, Word.exe, Excel.exe ...
Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра :). Если на компьютере есть несколько пользователей, то это не страшно: можно зайти под другим именем и оттуда изменить записи реестра, но если пользователь один - это может составить серьезную проблему. Спасти в такой ситуации может только создание файла с расширением REG, в котором будут отменены настройки. Чтобы снять ограничения надо установить значение ключа RestrictRun в ноль или удалить его. С помощью REG-файла удалить ключ невозможно, а вот установить его в 0 не составит труда. Вот пример такого файла:
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000000
Давайте разберем его подробнее. В первой строке должна обязательно присутствовать строка REGEDIT4, после нее должна быть пустая строка, а затем идут записи реестра. В квадратных скобках указывается раздел реестра, а под ним перечисляются ключи, которые в него входят: имя ключа в кавычках и после знака "=" его значение.
Можно, конечно, воспользоваться и версией редактора реестра под DOS.
Все эти настройки вступают в силу только после перезагрузки компьютера.
Чтобы окончательно заблокировать систему от постороннего вмешательства можно запретить запуск пользователем редактора реестра. Для этого надо в разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System добавить ключ DisableRegistryTools со значением 0х00000001. Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файлов, как описано выше.
Главное, при использовании материалов этой статьи на практике, быть внимательными и не ограничить запуск программ настолько, что потом самим не удастся ничего сделать.

читать еще по теме