[leonty]

Цитата sacredboy:

2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный" »

стоп! насколько мне известно, эти правила создаются по умолчанию при создании политики, разве не так?
sacredboy, ну а теперь то все работает? (:

[sacredboy]

Цитата leonty:

стоп! насколько мне известно, эти правила создаются по умолчанию при создании политики, разве не так? »

Видимо не так ведь изначально вообще никаких правил нет.
А так вроде все работает.

[Devils0411]

Код:

A: Вариант 1:
Войдите в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ и в реестре в разделе
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
параметр DisallowRun
значение 1
создать подраздел с таким же именем, в котором нужно создать строковые параметры, свой для каждой программы запрещенной для запуска, именуя их числами по возрастанию.

Например:
Имя параметра: 1
значение: iexplore.exe
Имя параметра: 2
значение: Winword.exe

Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.

А вариант блокировки для любого юзера есть?

[WindowsNT]

http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/

[Devils0411]

WindowsNT, Этот вариант рассматривается. Ситуация такая, что необходимо этот процесс автоматизировать. Конечно, вы скажите: "Поднимай AD - проблема исчезнет", и будете правы. Но этот вариант не подойдет, по определенным причинам. Когда в групповых политиках создаешь запрет на запуск определенной программы, в реестре появляется раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{0806a8ff-29fe-4f89-9592-0aa656523480}.
Выделенный жирным шрифтом раздел каждый раз меняется, если к примеру пересоздать правило. И соответственно данную запись через reg или cmd внесенную в реестр на другом компе, работать не будет.

[WindowsNT]

SRP управляет этими ключами, да. Но идентификатор, насколько я помню, не имеет значения, ключ будет работать на любой машине.
Другое дело, что "чёрными списками" я не занимаюсь. Запрещаю вообще всё, затем добавляю разрешённые для запуска исключения по "белому списку" (codeidentifiers\262144)

[Devils0411]

Цитата WindowsNT:

насколько я помню, не имеет значения, ключ будет работать на любой машине. »

Могу вас разочаровать - не будет! Испытано лично на нескольких машинах.

[James Marsh]

А что мешает вариант с реестром запихнуть в cmd и ярлык на него в автозагрузку закинуть?

[Devils0411]

James Marsh, нашел более интересный вариант. Если есть мысли по оптимизации и коррекции, буду раз выслушать.

Код:

@Echo off
for /f "Tokens=1 Delims==" %%a in ('net localgroup "Пользователи"') Do if exist "%systemdrive%\Users\%%~a" set us=%%~a
for /f "Tokens=1 Delims==" %%b in ('net localgroup "Администраторы"') Do if exist "%systemdrive%\Users\%%~b" set ad=%%~b
for /f "Tokens=2 Delims==" %%c in ('WMIC UserAccount Where "Name="%us%"" Get SID /Value^') Do set SIDus=%%~c
for /f "Tokens=2 Delims==" %%d in ('WMIC UserAccount Where "Name="%ad%"" Get SID /Value^') Do set SIDad=%%~d
SET KEYus=HKEY_USERS\%SIDus%\Software\Microsoft\Windows\CurrentVersion\Policies
reg query %KEYus% /ve >nul
if errorlevel == 1 (
reg load HKLM\888 "%systemdrive%\Users\%us%\NTUSER.DAT"
SET KEYus=HKLM\888\Software\Microsoft\Windows\CurrentVersion\Policies
) else (echo)
SET KEYad=HKEY_USERS\%SIDad%\Software\Microsoft\Windows\CurrentVersion\Policies
REG ADD %KEYus%\Explorer /v DisallowRun /t REG_DWORD /d 00000001 /f
REG ADD %KEYus%\Explorer\DisallowRun /v 1 /t REG_SZ /d tor.exe /f
REG ADD %KEYad%\Explorer /v DisallowRun /t REG_DWORD /d 00000001 /f
REG ADD %KEYad%\Explorer\DisallowRun /v 1 /t REG_SZ /d tor.exe /f
reg query HKLM\888 /ve 2>nul
if errorlevel == 0 (
reg unload HKLM\888 2>nul
) else (echo)
pause

В данном случае блокирует запуск исполняющего файла tor.exe как для группы пользователи, так и администраторы. Фишка в том, что переименовать tor.exe не получится, иначе программа также не запустится.

[WindowsNT]

Это всё будет неуправляемым и трудноподдерживаемым мероприятием. Либо конфигурируйте локальные политики вручную, либо копируйте всю папку System32\GroupPolicy со всеми чудесами.

Кста, а вот правила AppLocker экспортировать-импортировать можно отдельно.