Постановка задачи: необходимо сделать так, чтоб пользователь в своей учетной записи мог запускать только разрешенный перечень программ.

Варианты исполнения:

-через групповые политики;

-через реестр.

 

Способ через реестр.

Внимание! Некорректные действия в реестре могут привести к неработоспособности ОС Windows и как следствие ее переустановка.

 

Входим в реестр Windows:

-нажимаем сочетание клавиш Win+R;

-в строке «Выполнить» вводим: regedit;

-нажимаем ОК или кнопку «Ввод».

В реестре переходим по пути:

Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (настройки текущего пользователя).

Создаем параметр DWORD (32 бита) правой кнопкой мыши.

 

Название параметра: RestrictRun (запретить запуск приложений, кроме указанных)

Значение:1

 

Теперь укажем, какие приложения можно запускать. Создаем раздел с таким же названием RestrictRun.

В этом разделе создаем строковые параметры с номерами по порядку.

В значении каждого строкового параметра указываем приложение, которое разрешено запускать.

Начать желательно с  regedit.exe, чтоб не заблокировать самого себя.

На этом все. Перезагружаем ПК, чтоб настройки применились.

В итоге этого примера на компьютере оказались разрешенными к запуску только 5 указанных программ: regedit.exe – реестр, calc.exe – калькулятор, mspaint.exe – пэйнт, avpui.exe – антивирус, winword.exe – ворд.

При запуске других программ появляется сообщение – Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.

Если необходимо обратное действие  — разрешены все программы, кроме указанных в списке, необходимо использовать DWORD с названием DisallowRun и так же создать папку с перечнем запрещенных программ.

Для отмены блокировки необходимо удалить в реестре все созданное ранее и перезагрузить ПК.

Если по случайности заблокировался доступ в реестр, то необходимо выполнить загрузку с установочной флэшки Windows и удалить созданные параметры. Путь к файлам нужно искать в ветке HKEY_USERS\имя вашей учетной записи\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Продвинутые пользователи могут догадаться о причине блокировки, зайти в реестр и удалить ее. Чтоб устранить эту проблему нужно ограничить доступ к диску с папкой файлов реестра.

 

Reg-файл.

Теперь немного автоматизируем процесс.

Создадим reg-файл с параметрами настроек, который можно применять на других ПК и каждый раз не заходить в реестр. Такой метод называется tweak reg (твик реестра).

 

Создаем текстовый файл с расширением .txt

Меняем расширение на .reg

Чтоб менять расширение файлов в Windows10 нужно на вкладке «Вид» верхней панели папки установить галочку «Расширения имен файлов».

Получился reg-файл в который мы внесем настройки реестра.

 

Другой способ получить reg-файл – экспортировать настройки из реестра.

Экспортируем в удобное место и называем любым именем.

 

Открываем экспортированный файл с помощью блокнота Notepad++ (или другого удобного текстового редактора). Если просто кликнуть по файлу 2 раза мышкой, то он внесет изменения в реестр.

Внутри файла следующее содержание.

Рассмотрим построчно:

1 строка – версия редактора реестра Windows (ничего не меняем);

2 строка – пустая (обязательно);

3 строка – путь реестра в квадратных скобках;

4 строка – какой-то параметр, который был по умолчанию (можно удалить);

5 строка – параметр DWORD созданный ранее, со значением 1;

6 строка – пустая

7 строка – следующая ветка реестра;

7-12 строки – строковые параметры, с указанием разрешенных к запуску программ.

13 строка пустая (обязательно).

 

Для удаления значения какого-то параметра нужно использовать ключ   –   (минус)

Например, нужно деактивировать строку 5 и строки 7-12. Это будет выглядеть так:

 

К параметрам можно добавлять комментарий. Для этого вначале строки ставится   ;  (точка с запятой)

На картинке ниже настройки с комментариями.

Таким способом можно редактировать любую ветку реестра.

Чтоб применить все внесенные настройки сохраняем файл и кликаем по нему 2 раза. В открывшемся предупреждении нажимаем «Да».

Перезагружаем ПК.

На этом описание базового функционала редактора реестра завершается. Более подробно можно прочитать в учебниках и в Интернете.

Теперь, зная все выше описанное, создаем reg-файл с необходимыми настройками реестра и применяем на любом ПК с ОС Windows.

Кроме разрешения запуска программ можно заблокировать доступ к дискам, панели управления и еще много куда. Название ключей для этих действий нужно искать в Интернете.

Для удобства администрирования были созданы два reg-файла: блокиратор и разблокиратор. Блокиратор, как понятно из названия, блокирует все после его применения (нельзя вызвать строку «Выполнить» и запустить редактор реестра). Разблокиратор – все что было заблокировано – разблокирует.

Работоспособность этого метода проверена в Window7 и Windows 10.