Как управлять стандартными прогами в WIn, не проблема, а если эти проги других производителей.

Как ограничить пользователя определенным перечнем программ разрешенных для запуска (http://www.oszone.net/3634/#3)

А как можно запретить запуск portable программ?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

И еще, непонятен один момент отсюда (http://www.oszone.net/3634/#3), а именно
Вариант 2:
Пуск -> Выполнить -> Secpol.msc -> Политики ограниченного использования программ -> Дополнительные правила -> Правый клик в правом поле -> Создать правило для хэша -> Обзором задаём требуемый исполняемый файл -> Применить -> Затем снова Политики ограниченного использования программ -> в правом поле вызываем свойства объекта "Принудительный" (выделяем правым кликом), верхний чекбокс на ...кроме DLL, нижний на ...кроме локальных администраторов.

А где в свойствах объекта есть опция "Принудительный"?

http://img384.imageshack.us/img384/4221/lspfs2.th.jpg (http://img384.imageshack.us/my.php?image=lspfs2.jpg)

"принудительный" находится не в свойствах объекта. Грубо говоря, установи курсор на Политики ограниченного использования программ и в поле Тип объекта появится Принудительный

C "Принудительным" разобрался. Теперь вопрос такой: каким образом указать приложение запрещенное для запуска пользователем если на контроллере домена это приложение не установлено (ввиду того, что оно исключительно пользовательское)? Ведь при создании правило по хешу нужно указать приложение.

И еще, если не трудно, просьба объяснить, как же все таки создать правило для только разрешенных приложений, так, чтобы пользователь не мог ничего запустить кроме разрешенных приложений.

Попробовал в GPO сделать так:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) В типе объекта принудительный выбрал: "Ко всем файлам программ" и "Для всех пользователей кроме локальных администраторов".
3) Никаких правил для разрешения не создал.
В итоге при попытке пользователя входа в систему происходит вход в систему и моментальный выход из нее.
Что нужно разрешить, чтобы пользователь хотя бы в систему мог войти?

sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.

А как можно запретить запуск portable программ и можно ли вообще?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.
userinit.exe и explorer.exe не надо задавать отдельными правилами, ибо в правилах по умолчанию итак содержатся пути к эим файлам, разрешаюие их запуск.
3) Никаких правил для разрешения не создал.
эмн, ну ты хотя бы дефолтовые не трогал?
А как можно запретить запуск portable программ и можно ли вообще?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.
первое что пришло в голову, ну у тебя же при подключении флехи ей присваивается определенная буква, ну так вот запрети запуск програам по пути с этой буквой (я думаю у тя пользователи не в группе локальных админов и менять буквы диска они не могут).

userinit.exe и explorer.exe не надо задавать отдельными правилами, ибо в правилах по умолчанию итак содержатся пути к эим файлам, разрешаюие их запуск. »
Тем не менее, у меня почему то пользователя выкидывало из системы автоматом.
(При том, что я все запретил и ничего не разрешил).

первое что пришло в голову, ну у тебя же при подключении флехи ей присваивается определенная буква, ну так вот запрети запуск програам по пути с этой буквой (я думаю у тя пользователи не в группе локальных админов и менять буквы диска они не могут). »
Это тоже вариант, просто у групп пользователей разная разбивка винта (у кого то три раздела, у кого два винта). А бегать и вручную указывать букву для флэшки как то нехочется.

Почитал еще раз вот здесь (http://oszone.net/3979_3/Software_Restriction_Policies). Очень помогло.
А сделал, следующее:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный"
В итоге, запускаются только программы из этих директорий и никакие другие.
При этом обычный пользователь естественно не может ничего в эти директории скопировать.

2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный" »
стоп! насколько мне известно, эти правила создаются по умолчанию при создании политики, разве не так?
sacredboy, ну а теперь то все работает? (:

стоп! насколько мне известно, эти правила создаются по умолчанию при создании политики, разве не так? »
Видимо не так ведь изначально вообще никаких правил нет. :)
А так вроде все работает.

A: Вариант 1:
Войдите в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ и в реестре в разделе

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
параметр DisallowRun
значение 1
создать подраздел с таким же именем, в котором нужно создать строковые параметры, свой для каждой программы запрещенной для запуска, именуя их числами по возрастанию.

Например:
Имя параметра: 1
значение: iexplore.exe
Имя параметра: 2
значение: Winword.exe

Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.
А вариант блокировки для любого юзера есть?

http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/

WindowsNT, Этот вариант рассматривается. Ситуация такая, что необходимо этот процесс автоматизировать. Конечно, вы скажите: "Поднимай AD - проблема исчезнет", и будете правы. Но этот вариант не подойдет, по определенным причинам. Когда в групповых политиках создаешь запрет на запуск определенной программы, в реестре появляется раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{0806a8ff-29fe-4f89-9592-0aa656523480}.
Выделенный жирным шрифтом раздел каждый раз меняется, если к примеру пересоздать правило. И соответственно данную запись через reg или cmd внесенную в реестр на другом компе, работать не будет.

SRP управляет этими ключами, да. Но идентификатор, насколько я помню, не имеет значения, ключ будет работать на любой машине.
Другое дело, что "чёрными списками" я не занимаюсь. Запрещаю вообще всё, затем добавляю разрешённые для запуска исключения по "белому списку" (codeidentifiers\262144)

насколько я помню, не имеет значения, ключ будет работать на любой машине. »
Могу вас разочаровать - не будет! Испытано лично на нескольких машинах.

А что мешает вариант с реестром запихнуть в cmd и ярлык на него в автозагрузку закинуть?

James Marsh, нашел более интересный вариант. Если есть мысли по оптимизации и коррекции, буду раз выслушать.

@Echo off
for /f "Tokens=1 Delims==" %%a in ('net localgroup "Пользователи"') Do if exist "%systemdrive%\Users\%%~a" set us=%%~a
for /f "Tokens=1 Delims==" %%b in ('net localgroup "Администраторы"') Do if exist "%systemdrive%\Users\%%~b" set ad=%%~b
for /f "Tokens=2 Delims==" %%c in ('WMIC UserAccount Where "Name="%us%"" Get SID /Value^') Do set SIDus=%%~c
for /f "Tokens=2 Delims==" %%d in ('WMIC UserAccount Where "Name="%ad%"" Get SID /Value^') Do set SIDad=%%~d
SET KEYus=HKEY_USERS\%SIDus%\Software\Microsoft\Windows\CurrentVersion\Policies
reg query %KEYus% /ve >nul
if errorlevel == 1 (
reg load HKLM\888 "%systemdrive%\Users\%us%\NTUSER.DAT"
SET KEYus=HKLM\888\Software\Microsoft\Windows\CurrentVersion\Policies
) else (echo)
SET KEYad=HKEY_USERS\%SIDad%\Software\Microsoft\Windows\CurrentVersion\Policies
REG ADD %KEYus%\Explorer /v DisallowRun /t REG_DWORD /d 00000001 /f
REG ADD %KEYus%\Explorer\DisallowRun /v 1 /t REG_SZ /d tor.exe /f
REG ADD %KEYad%\Explorer /v DisallowRun /t REG_DWORD /d 00000001 /f
REG ADD %KEYad%\Explorer\DisallowRun /v 1 /t REG_SZ /d tor.exe /f
reg query HKLM\888 /ve 2>nul
if errorlevel == 0 (
reg unload HKLM\888 2>nul
) else (echo)
pause


В данном случае блокирует запуск исполняющего файла tor.exe как для группы пользователи, так и администраторы. Фишка в том, что переименовать tor.exe не получится, иначе программа также не запустится.

Это всё будет неуправляемым и трудноподдерживаемым мероприятием. Либо конфигурируйте локальные политики вручную, либо копируйте всю папку System32\GroupPolicy со всеми чудесами.

Кста, а вот правила AppLocker экспортировать-импортировать можно отдельно.