Но при использовании этого компонента есть пара моментов, о которых я однажды запямятовал, и в результате получил прямо-таки эпидемию новогодних украшательств на рабочих столах пользователей по всей сети.
Итак, расскажу о моментах, про которые не стоит забывать.
Создавая новый объект групповой политики и редактируя существующий, открываем его в редакторе групповых политик:
Разворачиваем ветку Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности, выбираем раздел Политики ограниченного использования программ. По умолчанию, эти политики не заданы:
Создаём политику:
По умолчанию запуск всех программ разрешён (Уровень безопасности - Неограниченый). Задаём по умолчанию уровень Не разрешено:
А вот теперь важно не забыть следующее:
1. В разделе Дополнительные правила удаляем параметр %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%. Этот параметр разрешает запуск всех программ, расположенных в Program Files.
Этот шаг обусловлен тем, что пользователь, обладая правами записи в папку Program Files, может сохранить туда исполнимый файл и запустить его, что может привести к нарушению безопасности системы. Удалив этот параметр, мы лишаем пользователя такой возможности. Естественно, что надо не забыть прописать хэши разрешённых программ из Program Files в разделе Дополнительные правила.
2. В разделе Политики ограниченного использования программ в параметре Принудительный по умолчанию задано применение политики Для всех пользователей. Следует установить Для всех пользователей, кроме локальных администраторов.
Это необходимо для того, чтобы члены локальной группы Администраторы могли при необходимости выполнять установку программ, запуск необходимых утилит и т.п.
3. В разделе Политики ограниченного использования программ в параметре Назначенные типы файлов следует из списка удалить тип файлов LNK (Ярлык).
Удалить тип файла LNK (Ярлык) необходимо для того, чтобы не прописывать в политике разрешение на исполнение для каждого ярлыка на компьютере.
Напоследок хочу заметить, что всё вышеизложенное я написал в первую очередь как памятку для себя, и приведенные рекомендации не являются "истиной в последней инстанции".
