Як заборонити запуск програм через групову політику Windows
Налаштування AppLocker і Software Restriction Policies для блокування запуску конкретних програм або всього невстановленого ПЗ.
Заборона запуску несанкціонованих програм — один з найефективніших заходів захисту корпоративного ПК. Розберемо два підходи: заблокувати конкретну програму і дозволити запускати тільки перевірені програми.
Спосіб 1: Заблокувати конкретну програму (SRP)
Підходить для Windows Pro і вище.
Крок 1. Win + R → gpedit.msc → Enter.
Крок 2. Перейди:
Конфігурація комп'ютера
→ Параметри Windows
→ Параметри безпеки
→ Політики обмеженого використання програм
Крок 3. Якщо бачиш напис що політик немає — клікни правою кнопкою → Створити політику.
Крок 4. Відкрий Додаткові правила → правою кнопкою → Нове правило для шляху.
Крок 5. У полі Шлях вкажи повний шлях до програми:
C:\Program Files\Telegram Desktop\Telegram.exe
Або використовуй маски:
C:\Users\*\Downloads\*.exe
Це заблокує запуск будь-якого .exe з папки Завантаження — дуже корисно.
Крок 6. Рівень безпеки: Заборонено → OK.
Спосіб 2: AppLocker — дозволити тільки перевірені програми
AppLocker працює за принципом "білого списку" — дозволено тільки те що явно вказано.
Доступно тільки на Windows Enterprise і Education. На Pro — тільки налаштування, виконання не гарантоване.
Крок 1. gpedit.msc → перейди:
Конфігурація комп'ютера
→ Параметри Windows
→ Параметри безпеки
→ Політики керування додатками
→ AppLocker
Крок 2. Клікни Настроїти застосування правил → увімкни Правила для виконуваних файлів → OK.
Крок 3. Відкрий Правила для виконуваних файлів → правою кнопкою → Автоматично створити правила.
Крок 4. Вкажи папку C:\Program Files і C:\Windows — AppLocker створить правила для всіх встановлених програм.
Крок 5. Додай правило для заборони:
- Дія: Заборонити
- Користувачі: Усі (або конкретна група)
- Умова: Шлях →
C:\Users\*\Downloads\*
Крок 6. Запусти службу AppLocker:
sc config AppIDSvc start= auto
sc start AppIDSvc
Спосіб 3: Заблокувати через реєстр
Для конкретної програми:
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 1 /t REG_SZ /d "telegram.exe" /f
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t REG_DWORD /d 1 /f
Додавай більше програм збільшуючи лічильник (/v 2, /v 3 і т.д.).
Перевірка
Після налаштування спробуй запустити заблоковану програму від імені звичайного користувача. Має з'явитись повідомлення: "Системний адміністратор заблокував цю програму".
Порада
Перед розгортанням протестуй політики на одному комп'ютері. Надто агресивні обмеження можуть заблокувати потрібні системні процеси і Windows перестане нормально працювати.