Решена Отмена запрета на запуск программ

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#1
Всем привет :)

В Windows XP есть возможность включить запрет на запуск приложений, чем часто пользуются вредоносные программы. Для вступления данной возможности в силу, достаточно просто перезагрузить оболочку (explorer.exe)
Т.к. я часто сталкиваюсь с данной проблемой у пользователей (когда невозможно запустить ни одно приложение), я хотел бы рассказать о том, как отключить данный запрет.

Проблема так же в том, что даже при запуске в безопасном режиме, данный запрет имеет силу, поэтому, необходимо загрузить "Безопасный режим с поддержкой коммандной строки"

Как только увидим окно консоли, вводим:
Код:
REGEDIT
Далее, переходим в раздел:
Код:
HKCU "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
Если в HKCU данного параметра нет, посмотрите в HKLM

В данном разделе необходимо удалить параметр RestrictRun

Перезагружаемся :)


Более подробно о политике ограниченного использования программ
В Windows XP существует 2 способа на ограничение использования программ:

1. С использованием списка разрешенных
Указываются образы программ (например notepad.exe), которые можно запускать, все остальные программы не указанные в списке вы не сможете запустить
При включении данного метода добавьте REGEDIT.exe иначе получите большие проблемы и для отключения придётся запускаться через безопасный режим

2. С использованием списка запрещенных
Указываются образы программ (например notepad.exe), которые запускать запрещено, все остальные программы не указанные в списке вы сможете запустить


Для включения способа 1
добавьте следующее содержимое в реестр
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
"DisallowRun"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="notepad.exe"
"2"="wordpad.exe"
думаю вы догадаетесь где прописывать список программ :)
Если необходимо ограничения только для текущего пользователя, за место "HKEY_LOCAL_MACHINE" поставьте "HKEY_CURRENT_USER"

Для включения способа 2
добавьте следующее содержимое в реестр
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001
"RestrictRun"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="notepad.exe"
"2"="wordpad.exe"
думаю вы догадаетесь где прописывать список программ :)
Если необходимо ограничения только для текущего пользователя, за место "HKEY_LOCAL_MACHINE" поставьте "HKEY_CURRENT_USER"
 
Последнее редактирование:

Вархаммер

Активный пользователь
Сообщения
162
Симпатии
106
Баллы
433
#2
K.A.V., я так понял из консоли можно запускать проги? Эх жаль раньше не знал. У пользователя была такая проблема, он сам экспрементировал с ключом RestrictRun и забыл включить в список разрещенных regedit. Пришлось потратиться на энное количество мб. скачать LiveCD и править реестр оттуда. Спасибо за инфу.
 

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#3

OKshef

Активный пользователь
Сообщения
337
Симпатии
545
Баллы
483
#4
А если зловред активен и при новом запуске снова создаст этот параметр?
 

Вархаммер

Активный пользователь
Сообщения
162
Симпатии
106
Баллы
433
#5
А если зловред активен и при новом запуске снова создаст этот параметр?
Ну думаю предпологается, что после восстановления дефолтных значений, надо пролечить комп. Без восстановления ведь не удасться запустить антивири и другии утилиты.
Кстати, а если regedit переименовать в explorer.exe, он запуститься? Ведь наверное предпологается, что по умолчанию разрещен запуск експлорера, ведь без этого рабочий стол бы ваше не грузился.
 

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#6
А если зловред активен и при новом запуске снова создаст этот параметр?
Для вступления данной возможности в силу, достаточно просто перезагрузить оболочку (explorer.exe)
Т.е. если зловред запишет данные в реестр, данный запрет не вступает в силу моментально, а только после перезагрузки оболочки/выхода из системы.
Как вариант, можно попробовать установить права безопасности на ветку, чтобы вирус не прописывал это несколько раз, может поможет, я не тестировал :)
Тем более, после снятия запрета, первая загрузка будет удачной, и можно успеть сделать логи и провести анализ ;)

Кстати, а если regedit переименовать в explorer.exe, он запуститься? Ведь наверное предпологается, что по умолчанию разрещен запуск експлорера, ведь без этого рабочий стол бы ваше не грузился.
Нет, вроде переименование не спасает :)
Скорее всего оболочка загружается потому, что explorer.exe прописан как оболочка в реестре, в ключе "Shell"
Если вы запишите данный параметр в реестр, а затем "убьёте" процесс explorer.exe, то потом из этого же диспетчера задач ОС не даст вам загрузить оболочку )))
 
Последнее редактирование:

Вархаммер

Активный пользователь
Сообщения
162
Симпатии
106
Баллы
433
#7
Нет, вроде переименование не спасает
Скорее всего оболочка загружается потому, что explorer.exe прописан как оболочка в реестре, в ключе "Shell"
Если вы запишите данный параметр в реестр, а затем "убьёте" процесс explorer.exe, то потом из этого же диспетчера задач ОС не даст вам загрузить оболочку )))
Ну експлорер приведен как пример. У меня в организации "умные"юзеры додумывались запускать ту же косынку, переименовавь её в разрещенный winword. :) Наверное, если очень захотеть можно подобрать нужное имя. Но Ваш путь, имхо проше.
 

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#8
У меня в организации "умные"юзеры додумывались запускать ту же косынку, переименовавь её в разрещенный winword
Я вопрос не раскрыл полностью, просто если включается данный запрет, то создаётся список программ, которые можно запускать (указываются только образы, например winword.exe), поэтому переименование только может им помогало, а когда запрет включает вирус, он не вносит в реестр записи программ, разрешённые для запуска.

Более подробно о данной возможности можно почитать здесь
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#9
Более подробно о данной возможности можно почитать здесь
Не в обиду, но можно было бы продублировать сообщение из ссылки, здесь. :) Тем более там только твой один совет.
 

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#10
Добавил в шапку :)
 

Aleksa106

Активный пользователь
Сообщения
13
Симпатии
14
Баллы
403
#11
...У меня в организации "умные"юзеры додумывались запускать ту же косынку, переименовавь её в разрещенный winword. :) Наверное, если очень захотеть можно подобрать нужное имя. Но Ваш путь, имхо проше.
Для этого в политиках ограниченного использования программ, необходимо использовать не правило пути, а правило хэша. Тогда никакие переименования не помогут.

Подробнее можно почитать здесь
 

pelageyaya

Новый пользователь
Сообщения
1
Симпатии
2
Баллы
13
#12
Спасибо!:Give Rose:!!
Специально зарегистрировалась,чтобы сказать :Preved:Спасибо!

В порыве неуёмного любопытства включила контроль программ,но не внесла в список несколько нужных прог!((
В поисках решения прочла множество форумов,но почти всюду стандартная отписка,с ссылкой на англоязычную инструкцию!Перевела и попробовала разобраться!Ничего не получалось((. реестре не было данного параметра.И вот тут то я прочла про безопасный режим с поддержкой командной строки!:Give Heart:Только перезагрузилась и вошла в реестр,а тут и э
тот параметр объявился)))RestrictRun.Снесла нафиг!И всё в порядке!
Чужой ноут/винда 8.1 (х86)!
Вы избавили меня от кучи проблем!
 
Сверху Снизу