Как запретить загрузку и установку программ в Windows 10

Безопасность предприятия иногда требует от системного администратора умения запретить сотрудникам устанавливать и запускать некоторые программы, которые потенциально могут нанести экономический ущерб. Это могут быть и браузеры при помощи которых сотрудники теряют время за новостями и в соцсетях, и игрушки, которые они приносят с собой на съемных накопителях. Последние не только отнимают время, они еще могут быть заражены вирусами и траянами.

Сегодня мы предлагаем очень эффективную программу StaffCounter DLP, которая обладает рядом качеств, незаменимых для обеспечения безопасности предприятия:

  1. Полный запрет на запуск определенных программ(по выбору администратора);
  2. Запрет на создание исполняемых файлов любым способом(компилляция, переименование, копирование, загрузка, разархивирование). Это исключит возможность запуска принесенных на флешке программ;
  3. Избирательный запрет для определенных программ на работу с файлами определенного размера и расположения. Это может разработать политику, запрещающую копирование, отправку файлов через Internet;
  4. Запрет на запуск программ со съемных накопителей;
  5. Запрет на изменение конфигурации данной программы другими пользователями.

Кроме этих возможностей, программа может запретить  пользователям подключаться к сетевым компьютерам, использовать съемные накопители (с исключениями по серийному номеру), записывать данные на CD/DVD и многое другое.

Программа StaffCounter DLP является частью сервиса Staffcounter.net, созданного для мониторинга работы сотрудников офиса за компьютером. Кроме функций слежения, программа способна защитить компьютер от нежелательных действий пользователя.

Как включить функции защиты

В программе StaffСounter следует открыть опции и перейти на последнюю закладку — DLP.

Настройка программы осуществляется через редактирования файла конфигурации dlpcfg.ini. Для открытия его нажмите кнопку Edit DLP rules. После завершения редактирования, сохраните файл и закройте его. Установите галочку Enable data Leek Prevention features и нажмите OK.  Если функции защиты больше не нужны, следует снять эту галочку. Ее также следует убрать перед деинсталляцией программы StaffCounter.

Настройка конфигурации:

Файл dlpcfg.ini редактируется в текстовом редакторе. Файл конфигурации снабжен инструкциями на русском или английском языках, в зависимости от типа дистрибутива.

 

Последовательность параметров имеет значение! В некоторых случаях после изменения параметров требуется перезапуск компьютера.

Правила редактирования файла конфигурации просты:

— комментарии должны начинаться с символа «;»

— параметры не должны быть закоментированы;

— после знака «=» можно вписывать только допустимые значения, указанные в комментариях перед параметром;

— переставлять параметры местами нельзя.

Параметры разделены на несколько разделов:

В разделе [Main] нас интересуют:

DisableExecuteFromNonFixed —  Запретить запуск со съемных дисков. Возможные значения: 1/0. действует в отношении exe и bat файлов. Не позволит пользователю запустить программу, которую он принес на флешке или оптическом диске.

Итак, пишем:

DisableExecuteFromNonFixed = 1

Пример работы программы: Попытка запустить исполняемый файл с USB – носителя:

 

DisableExeCreation — Запрет на создание EXE-файлов. Возможные значения: 1/0. Включает в себя запрет на компиляцию, переименование, копирование exe-файлов со сменных носителей.

Итак, пишем:

DisableExeCreation = 1

Пример работы программы: Попытка скачать exe-файл:

Попытка распаковать архив, содержащий exe-файл

 

Есть там и другие параметры, надеемся они также будут Вам полезны.

Раздел [Admins]

По умолчанию он отключен при помощи знака «;» , но это вовсе не означает, что редактировать конфигурацию программы может кто угодно. По умолчанию, «хозяином» программы являетесь вы, то есть тот администратор, который первый выполнил установку программы. Все остальные пользователи, даже администраторы, не смогут изменить настройки программы. Файл rohos_dlpmgr является лишь инструментом установки и конфигурирования драйвера, а сам драйвер и рабочий файл конфигурации находятся глубоко в системных папках Windows. Так что, если кто-то удалит дистрибутив и ваш файл конфигурации, это никак не скажется на работе программы. Как видим система продумана достаточно хорошо.

Пример работы программы: Попытка изменить настройки из другой учетной записи

Если же вы планируете удалить текущего пользователя или делегировать полномочия по редактированию конфигурации другому администратору, то следует раскомментировать раздел [Admins] и в столбик написать имена администраторов, которым разрешено редактировать Rohos DLP:

[Admins]

name=Alex

name=Sirius

name=Gabriel

Раздел [ProcessRules]

В этом разделе мы создаем правила для каждого установленного приложения. Программу можно запретить, а можно ограничить ей права для работы с файлами определенного размера и местоположения.

Об этом читайте в нашей следующей статье.