MENU

 

Запрещение на запуск программ, кроме указанных в списке.

Windows позволяет ограничить доступ к программам, кроме приложений, разрешенных в специальном списке. Для ограничения запускаемых программ надо открыть разделHKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer и создать там параметр RestrictRun типаDWORD со значением 1. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список разрешенных к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe.

ВНИМАНИЕ! Не забудьте указать файл Regedit exe, иначе вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0.

Разрешения на запуск приложений, кроме указанных в списке.

Можно решить обратную задачу и указать список запрещенных к запуску приложений. Для этого надо открыть разделHKCU\SOFTWARE\Microsoft\Windows \CurrentVerson\Policies\Explorer и создать там параметр DisallowRun типаDWORD со значением 1. Затем надо создать подраздел с этим же именем DisallowRun и в нем указать список запрещенных программ в виде строковых параметров. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe.

Например:

  • "1" - calc.exe;
  • "2" - thebat.exe;
  • "3" - hl.exe.

Эта настройка действует на программы, которые запускает процесс от Windows Explorer, но не защищает от запуска этих программ при помощи Диспетчера задач (Task Manager), который запускается системным процессом или другими процессами. Также эти программы можно запустить через командную строку cmd.exe.

Запрет на запуск редактора реестра.

Вы можете запретить запуск редактор реестра. Для этого в разделеHKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System нужно добавить параметр DisableRegistryToolsтипа DWORD со значением 1. Запуск редактора реестра будет запрещен, и на экране появится соответствующее сообщение"Редактирование реестра запрещено администратором системы". Причем, в отличие от старых версий Windows, у пользователя не останется возможности вносить изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG файлов или утилиты REG.EXE. Мне пришлось вызывать Редактор локальных групповых политик и исправлять свою оплошность. А ведь некоторые издания Windows 7 не имеют в своем составе редактора групповых политик!

Запрет на запуск Диспетчера задач Windows.

При нажатии сочетания клавиш Ctr+Alt+Del на экран выводится список команд, среди которых имеется пункт Запустить Диспетчер задач. Так же можно запустить Диспетчер задач сразу через комбинацию клавиш Ctrl+Shift+Esc. Многие системные администраторы пытаются запретить пользователям возможность запуска Диспетчера задач Windows (taskmgr.exe), для чего устанавливают в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Systemзначение параметра DisableTaskMgr типа DWORD равным 1.

Отключение анимации.

Если ваш компьютер не слишком мощный, то можно отключить все эффекты, связанные с анимацией окон, потребляющие дополнительные ресурсы. Присвойте параметру TurnOffSPIAnimations типа DWORD значение 1 в разделеHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

 

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\YourExecutable.exe] "Debugger" = "C:\Path-to-debugger\Debugger.exe"

 

      1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

      2. Выберите пункт Создать, а затем выберите
        раздел. Обратите внимание, что в левой области редактора реестра
        выбран для редактирования Создать раздел #1 (имя нового подраздела реестра).
      3. Вместо Создать раздел #1 введите ImageName и нажмите клавишу ВВОД.

        Примечание. ImageName — это заполнитель для имени образа процесса, ведущего службу, которую необходимо отладить. Например, если необходимо отладить службу, которая ведется процессом, имеющим имя образа "MyService.exe", укажите
        MyService.exe.
      4. Щелкните правой кнопкой мыши подраздел, созданный на шаге е.
      5. Выберите пункт Создать, а затем выберите
        Строковое значение. Обратите внимание, что в правой панели редактора для редактирования выделено имя Новое значение №1. Это новое значение реестра.
      6. Замените Новое значение №1 на
        Отладчик и затем нажмите клавишу ВВОД.
      7. Щелкните запись реестра Отладчик, созданную на шаге h, правой кнопкой мыши и выберите команду Изменить. Откроется
        диалоговое окно Изменение строкового значения.
      8. В поле Значениевведите
        DebuggerPath и затем нажмите
        кнопку OK.

        Обратите вниманиеDebuggerPath — это заполнитель полного пути к отладчику, который хотите использовать. Например, если для отладки службы вы хотите использовать отладчик WinDbg, можно ввести полный путь, как указано ниже.

        C:\Progra~1\Debugg~1\windbg.exe

HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и перезагружаетесь.

 

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NTOS.EXE]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FILE.EXE]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SYSTEM32.EXE]
"Debugger"="ntsd -d"
:.. и т.д

 

 

Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).

По этой ссылке вы можете скачать .reg-файл с подборкой из имен файлов, наиболее часто используемых актуальными вирусами. После импорта в реестр, в случае попытки выполнения файла с именем, присутствующем в заготовке, вы получите подобное окно:



Если у вас возникнут проблемы с легальной программой, имя исполняемого файла которой совпало с именем, используемым вредоносным ПО, откройте раздел реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

и удалите подраздел с данным именем. Для удобства, имена с параметром "ntsd -d" я выделил заглавными буквами.