Решена Отмена запрета на запуск программ

Тема в разделе "Microsoft Windows 7", создана пользователем K.A.V., 20 янв 2010.

  1. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    Всем привет :)

    В Windows XP есть возможность включить запрет на запуск приложений, чем часто пользуются вредоносные программы. Для вступления данной возможности в силу, достаточно просто перезагрузить оболочку (explorer.exe)
    Т.к. я часто сталкиваюсь с данной проблемой у пользователей (когда невозможно запустить ни одно приложение), я хотел бы рассказать о том, как отключить данный запрет.

    Проблема так же в том, что даже при запуске в безопасном режиме, данный запрет имеет силу, поэтому, необходимо загрузить "Безопасный режим с поддержкой коммандной строки"

    Как только увидим окно консоли, вводим:
    Код (Text):
    REGEDIT
    Далее, переходим в раздел:
    Код (Text):
    HKCU "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
    Если в HKCU данного параметра нет, посмотрите в HKLM

    В данном разделе необходимо удалить параметр RestrictRun

    Перезагружаемся :)


    Более подробно о политике ограниченного использования программ
    В Windows XP существует 2 способа на ограничение использования программ:

    1. С использованием списка разрешенных
    Указываются образы программ (например notepad.exe), которые можно запускать, все остальные программы не указанные в списке вы не сможете запустить
    При включении данного метода добавьте REGEDIT.exe иначе получите большие проблемы и для отключения придётся запускаться через безопасный режим

    2. С использованием списка запрещенных
    Указываются образы программ (например notepad.exe), которые запускать запрещено, все остальные программы не указанные в списке вы сможете запустить


    Для включения способа 1
    добавьте следующее содержимое в реестр
    Код (Text):

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "RestrictRun"=dword:00000001
    "DisallowRun"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
    "1"="notepad.exe"
    "2"="wordpad.exe"
     
    думаю вы догадаетесь где прописывать список программ :)
    Если необходимо ограничения только для текущего пользователя, за место "HKEY_LOCAL_MACHINE" поставьте "HKEY_CURRENT_USER"

    Для включения способа 2
    добавьте следующее содержимое в реестр
    Код (Text):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "DisallowRun"=dword:00000001
    "RestrictRun"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
    "1"="notepad.exe"
    "2"="wordpad.exe"
     
    думаю вы догадаетесь где прописывать список программ :)
    Если необходимо ограничения только для текущего пользователя, за место "HKEY_LOCAL_MACHINE" поставьте "HKEY_CURRENT_USER"
     
    Последнее редактирование: 22 янв 2010
    Dragokas, pelageyaya, Aleksa106 и 17 другим нравится это.
  2. Вархаммер
    Оффлайн

    Вархаммер Активный пользователь

    Сообщения:
    162
    Симпатии:
    203
    K.A.V., я так понял из консоли можно запускать проги? Эх жаль раньше не знал. У пользователя была такая проблема, он сам экспрементировал с ключом RestrictRun и забыл включить в список разрещенных regedit. Пришлось потратиться на энное количество мб. скачать LiveCD и править реестр оттуда. Спасибо за инфу.
     
  3. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    Да, редактор реестра запустится, но только если запущен безопасный режим именно с поддержкой коммандной строки
     
  4. OKshef
    Оффлайн

    OKshef Активный пользователь

    Сообщения:
    345
    Симпатии:
    790
    А если зловред активен и при новом запуске снова создаст этот параметр?
     
  5. Вархаммер
    Оффлайн

    Вархаммер Активный пользователь

    Сообщения:
    162
    Симпатии:
    203
    Ну думаю предпологается, что после восстановления дефолтных значений, надо пролечить комп. Без восстановления ведь не удасться запустить антивири и другии утилиты.
    Кстати, а если regedit переименовать в explorer.exe, он запуститься? Ведь наверное предпологается, что по умолчанию разрещен запуск експлорера, ведь без этого рабочий стол бы ваше не грузился.
     
  6. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    Т.е. если зловред запишет данные в реестр, данный запрет не вступает в силу моментально, а только после перезагрузки оболочки/выхода из системы.
    Как вариант, можно попробовать установить права безопасности на ветку, чтобы вирус не прописывал это несколько раз, может поможет, я не тестировал :)
    Тем более, после снятия запрета, первая загрузка будет удачной, и можно успеть сделать логи и провести анализ ;)

    Нет, вроде переименование не спасает :)
    Скорее всего оболочка загружается потому, что explorer.exe прописан как оболочка в реестре, в ключе "Shell"
    Если вы запишите данный параметр в реестр, а затем "убьёте" процесс explorer.exe, то потом из этого же диспетчера задач ОС не даст вам загрузить оболочку )))
     
    Последнее редактирование: 22 янв 2010
  7. Вархаммер
    Оффлайн

    Вархаммер Активный пользователь

    Сообщения:
    162
    Симпатии:
    203
    Ну експлорер приведен как пример. У меня в организации "умные"юзеры додумывались запускать ту же косынку, переименовавь её в разрещенный winword. :) Наверное, если очень захотеть можно подобрать нужное имя. Но Ваш путь, имхо проше.
     
  8. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    Я вопрос не раскрыл полностью, просто если включается данный запрет, то создаётся список программ, которые можно запускать (указываются только образы, например winword.exe), поэтому переименование только может им помогало, а когда запрет включает вирус, он не вносит в реестр записи программ, разрешённые для запуска.

    Более подробно о данной возможности можно почитать здесь
     
  9. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Не в обиду, но можно было бы продублировать сообщение из ссылки, здесь. :) Тем более там только твой один совет.
     
    2 пользователям это понравилось.
  10. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    Добавил в шапку :)
     
  11. Aleksa106
    Оффлайн

    Aleksa106 Активный пользователь

    Сообщения:
    14
    Симпатии:
    30
    Для этого в политиках ограниченного использования программ, необходимо использовать не правило пути, а правило хэша. Тогда никакие переименования не помогут.

    Подробнее можно почитать здесь
     
  12. pelageyaya
    Оффлайн

    pelageyaya Новый пользователь

    Сообщения:
    1
    Симпатии:
    2
    Спасибо!:Give Rose:!!
    Специально зарегистрировалась,чтобы сказать :Preved:Спасибо!

    В порыве неуёмного любопытства включила контроль программ,но не внесла в список несколько нужных прог!((
    В поисках решения прочла множество форумов,но почти всюду стандартная отписка,с ссылкой на англоязычную инструкцию!Перевела и попробовала разобраться!Ничего не получалось((. реестре не было данного параметра.И вот тут то я прочла про безопасный режим с поддержкой командной строки!:Give Heart:Только перезагрузилась и вошла в реестр,а тут и э
    тот параметр объявился)))RestrictRun.Снесла нафиг!И всё в порядке!
    Чужой ноут/винда 8.1 (х86)!
    Вы избавили меня от кучи проблем!
     
    Kиpилл и Dragokas нравится это.

Поделиться этой страницей