Многие системные администраторы, лаборанты и люди, ответственные за работоспособность компьютеров в компьютерных клубах, классах и даже дома сталкиваются с необходимостью запретить инсталляцию приложений на Windows 7. Сделать это можно при помощи сторонних приложений, к примеру, WinGuard Pro 2016, но мы постараемся реализовать запрет на установку программ средствами «семерки».

Блокируем работу установщика

Дабы запретить установку программ любому юзеру, нужно заблокировать работу установщика Windows при помощи редактора групповых политик.

• Вводим «gredit.msc» в поисковой строке или окне «Выполнить» (вызывается посредством «Win+R»).

• Следуем по пути: «Локальный компьютер» → «Конфигурация компьютера» и выполняем двойной клик по «Административные шаблоны».

• В каталоге находим «Установщик Windows», а в фрейме «Состояние» ищем «Запретить установщик Windows».

• Совершаем двойной клик параметру и переносим триггер в положение «Отключить».

Разрешаем запуск только разрешенных приложений

Зная, что заблокировать установку инсталляторов всех программ таким образом не получится, ввиду использования альтернативных установщиков, воспользуемся одной хитростью: разрешим запуск только ограниченного круга приложений из указанных директорий.

• Выполняем команду «secpol.msc» через командный интерпретатор или поисковую строку.

• Выполняем показанное на скриншоте действие для блокировки запуска программ.

Теперь внесем несколько настроек.

• Вызываем «Свойства» пункта «Применение» в активном разделе и задаем указанные ниже правила.

Это активирует проверку всех программ и даст пользователю меньше возможностей по запуску исполняемых файлов. Если учетная запись администратора защищена паролем, а блокировка установки программ для него не нужна, выбирайте параметр «Для всех юзеров, кроме администратора» во второй опции.

• Жмем «ОК» и открываем «Назначенные типы файлов», чтобы разрешить запуск приложений посредством ярлыков в Windows.
• Выбираем расширение «lnk» и кликаем «Удалить».

• Переходим в «Уровни безопасности» и задаем «По умолчанию» для параметра «Запрещено».

• В дополнительных правилах создаем правило пути, если необходимо убрать запрет на запуск приложений с директорий, отличных от Windows и Program Files.

• В строке «Путь» задаем каталог (например, место размещения папки с портативным софтом или играми), который будет исключением из правил любому пользователю компьютера, кроме администратора в случае указания соответствующего параметра в пункте 3.

Для проверки можете попробовать запустить установку или даже запуск приложения из любого каталога, который не входит в число исключенных.

Ограничиваем инсталляцию приложений для конкретного юзера

Если необходимо запретить установку сторонних программ конкретному юзеру, тогда воспользуемся еще одним секретом Windows 7.

• Выполняем команду «mmc».
• Создаем новую оснастку через пункт меню «Файл».

• Останавливаемся на оснастке «Локальные политики» и жмем по стрелке для ее добавления.

• Жмем «Обзор», а на вкладке «Пользователи» выбираем юзера, для которого хотим запретить установки приложений в среде Windows 7.

• Жмем «ОК» для подтверждения транзакции.
• Идем «Файл» — «Сохранить как…» и вводим свободное имя для новой оснастки.

После перезапуска ПК изменения вступят в силу.

Возможности родительского контроля

Самым простым используемым на домашних ПК методом ограничить установку сторонних приложений, например, для детей, которые часто устанавливают массу мусора, является апплет панели управления под названием «Родительский контроль».

• Заходим в этот пункт и выбираем пользователя, которому необходимо урезать привилегии.
• Активируем функцию ограничения на запуск программ.

• Отметьте флажками приложения, которые разрешено запускать.

При отсутствии какого-либо продукта воспользуйтесь кнопкой «Обзор».

После следующего входа юзера в систему запрет вступит в силу.

Каким бы антивирусом вы ни пользовались, хорошей практикой является проверка время от времени системы альтернативным антивирусом. Для этого можно использовать бесплатные утилиты от известных брендов (Dr.Web, Касперский, Emsisoft, McAffee, ESET и др.) Как раз сегодня скачал проверенный годами Dr.Web Cure It, чтобы в очередной раз проверить свой компьютер (несколько месяцев прошло с предыдущей проверки). У меня Windows 8.1, антивирусную защиту обеспечивает встроенный в систему «Защитник»: 2 года — полёт нормальный.

Проверка завершена, и что я вижу?! 83 угрозы — это для меня равно, что рыбаку поймать щуку на 8 кг. Хотел уже радостно воскликнуть: «Попались!» Но просмотр «угроз», найденных Доктором, поверг меня в уныние…

Подавляющее большинство (80) «угроз» относилось к исполняемым файлам и библиотекам набора утилит для оптимизации системы Auslogics BoostSpeed.

Угроза обозначена как «Program.Unwanted», т.е. нежелательная программа. В логе написано «is riskware program». Ага, значит, если нежелательная, так сразу уже потенциально опасная. А потом я ещё прочитал описание этого «вируса» Program.Unwanted.539 на сайте Dr.Web, и стало совсем печально за любимый до сегодняшнего дня антивирусный продукт.

Там дальше ещё много букв, но суть в следующем. Разработчики Доктора, запустив на новой системе твикер Auslogics BoostSpeed 8 были поражены количеством обнаруженных проблем (189), а также неудовлетворены тем, что в бесплатной демо-версии твикера возможно исправить лишь некоторые проблемы, а остальные править «ручками» (читая лог найденных проблем), либо приобрести лицензию. Также замечено, что найденные проблемы вовсе не являются проблемами — что это всего лишь временные файлы, которые естественным образом создаются в ходе работы системы…

Уважаемые! Если вы купите новенький автомобиль и по какой-то причине решите сразу сделать капитальный ремонт двигателя, то работы будет столько же и заплатить надо будет столько же, как и при капремонте движка 10-летнего авто. Только смысла в этом ремонте не будет, но раз уж вы захотели, кто же вам запретит?

Действительно, на новой системе нет смысла использовать твикер. Но если не пользоваться твикером, через год-два в системе будут десятки гигабайт мусора и накопятся ошибки, нарушающие или тормозящие нормальную работу. А твикер у меня тихонько шуршит раз в неделю, и система как новая даже спустя 2 года.

Вот что я скажу вам, разработчики Доктора! Вы пойдите в школу на урок информатики, и там узнайте, какое ПО называется вирусным. И вы поймёте, почему вышеописанный твикер вирусом НЕ является:

• я сам установил его в свою систему;
• он выполняет только те действия, которые и указаны в его описании;
• он не пытается распространяться на другие компьютеры без моего желания;
• свою работу делает только тогда, когда я его запускаю, либо по расписанию, если я задал расписание выполнения;
• он не нарушает работу системы, честно удаляя только ненужное;
• если я решу заплатить за лицензию, это будет намеренное решение, а не скрытое списание денежных средств.

Если уж на то пошло, то сам Dr.Web можно так же назвать вирусом. Ведь он:

• обнаруживает те «угрозы», которые угрозами не являются;
• просит приобрести платную лицензию во избежание появления новых угроз;
• действительно наносит вред системе, удаляя полезное ПО, которое он считает бесполезным = нежелательным = потенциально опасным.

Чуть не забыл. Я описал 80 найденных «угроз», но есть ещё 3. Одна из них заключается в том, что системный файл hosts «возможно испорчен» — Доктор предлагает это исправить. Спасибо, Доктор, но не надо. В моём файле hosts только мои правила (я проверил). Вот вам статья про файл hosts, и как можно его полезно использовать.

И ещё 2 угрозы называются «Trojan.LoadMoney». Описание на сайте весьма странное, но переводя с технического языка на русский звучит примерно так: «Программа некоторое время проверяет, есть ли на компьютере доступ в Интернет, потом самоудаляется…» Всё.

Я знаю эту программу — это загрузчик от известной компании Mail.ru. Разработчики и распространители ПО для дополнительного заработка оборачивают свои программы в Загрузчик, который перед установкой программы предлагает установить мэйловский браузер и тулбар. Если уберёте галочки, никакой дополнительной установки не производится. Как говорил дедушка Джованни, глядя на цветущий бассейн: «It’s not dangerous, but not beautiful».

Точно так же рекламирует свои продукты Яндекс — и это не считается вирусом. Adobe Flash Player при закачке с сайта предлагает установить McAffee антивирус и Yahoo тулбар (надо убрать галочку, чтобы установка не была произведена) — и при этом флэш плеер тоже не вирус! Короче…

Я просто закрыл Dr.Web, не дав ему ничего удалить. Нет никаких угроз. Но неприятный осадочек остался. Сегодня антивирусы решают за нас, какие программы являются нежелательными, завтра разрешат устанавливать только желательные программы. Что же будет послезавтра? Надеюсь, счастливое будущее, в котором каждый человек будет жить по совести и чести.