Доброго времени суток!

От лица клуба переводчиков OSZone предлагаю вашему вниманию статью Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

Политики ограниченного использования программ являются новой функциональной возможностью операционных систем Microsoft® Windows® XP и Windows Server 2003. Эта важная функция предоставляет администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролирует возможность их выполнения. Политики ограниченного использования программ могут существенно повысить целостность и управляемость системы, что в конечном счете снижает стоимость владения компьютером.
Читать дальше... (http://www.oszone.net/3979/Software_Restriction_Policies)

Список других статей клуба переводчиков OSZone.net можно найти на этой странице (http://www.oszone.net/file/club.html).

Спасибо за внимание!

Есть вопрос. Допустим хочу чтоб пользователи не могли запускать файлы с расширением exe в прописаных мною папках.
В gpmc захожу - Конфигурация пользователя-->Параметры безопасности-->Политики ограниченного использования программ-->Дополнительные правила
Там создаю правило до пути: например c:\temp\*.exe По моему это значит, что пользователь не может запускать файл с расширением exe в этой папке и ВЛОЖЕННЫХ в нее папках. Но, на деле, создаешь папку,например c:\temp\1\, копируешь туда файл *.exe, и он прекрасно там работает. Делаю по другому c:\temp\*\*.exe, в папке c:\temp\1\ файл *.exe не работает, НО если создать c:\temp\1\2\, то там он прекрасно работает.
Вопрос: как правильно написать, чтоб файл *.exe не мог выполняться не только в папке temp, но и во все вложенных???

Сделайте ограничение по хэшу программы. Либо дайте права использовать только разрешенные программы.

А возможно ли сделать как хотел я?
Что написать вместо вот этого???
с:\temp\*.exe, с:\temp\*\*.exe, с:\temp\*\*\*.exe, с:\temp\*\*\*\*.exe, с:\temp\*\*\*\*\*.exe, есть ли подстановочный символ говорящий о вложенных папках?

Сам нашел ответ на свой вопрос. Нужно писать не путь до конечного файла с расширением *.exe, а просто путь до папки (например c:\temp), тогда выполнение файлов с расширением *.exe будет действителен не только на указанную папку, но и на все вложенные...Всем спасибо.

Уровень безопасности по умолчанию: Не разрешено (Disallowed)
содал правила path
%WINDIR% Неограниченный (Unrestricted)
%PROGRAMFILES% Неограниченный (Unrestricted)

програмы не запускаются из меню пуск или с помошью ярлыка
но запускаются напрямую из папок PROGRAMFILES WINDIR как и положенно по правилу
задача чтоб запускалось всё из PROGRAMFILES

подскажите
нужны еще правила ?

скопировал

Проблема в том что в “Software Restriction Policy – Designated File Types” прописаны типы файлов на которые распространятся запрет на запуск. А в этом списке есть и файлы LNK. Это значит что пользователь не может запускать программы посредством ярлыков, потому что они обычно находится в папках %USERPROFILE%\Desktop\; %USERPROFILE%\Start Menu\; %ALLUSERSPROFILE%\Start Menu\ на которые распространятся запрет запуска по умолчанию. Решить это проблему можно удалив из списка Designated File Types файлы LNK. Это конечно ни есть хорошо, но все другие способа еще хуже.

Вообщем всем ОГРОМНОЕ спасибо, что помогали. Решил, все таки, этот бок - оказывается, надо было прописать разрешающее правило для *.lnk через GPO компа (почему?), через пользователя не хотело никак.

после запрета запуска файлов с флешек с помощью описанной в статье групповой политики, на клиентских компьютерах упорно появляется ключ
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer]
"AuthenticodeFlags"=dword:00000002

из-за которого не устанавливаются обновления windows с ошибкой:
Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере.
со службами криптографии все нормально.
а если ключ удалить или отключить эту ГП - обновления устанавливаются

что я делаю не так?

как я понимаю на ключ влияют Опции диалогового окна Свойства: Доверенные издатели (Trusted Publishers) но непонятна логика