Блокировка определенных приложений в Windows 10

Узнайте, как настроить устройство под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений таким образом, чтобы пользователи могли запускать на нем только несколько определенных приложений. Результат использования описанной в этом разделе функции схож с действием устройства киоска, но при этом доступны несколько приложений. Например, библиотечный компьютер можно настроить таким образом, чтобы пользователи могли выполнять поиск по каталогу и просматривать веб-страницы, но не имели возможности использовать другие приложения или изменять параметры компьютера.

С помощью функции AppLocker вы можете разрешить пользователям доступ только к определенному набору приложений на устройстве под управлением Windows 10 Корпоративная или Windows 10 для образовательных учреждений. Правила AppLocker определяют, какие приложения можно запускать на устройстве.

Правила AppLocker организованы в коллекции на основе формата файла. Если правила AppLocker для определенной коллекции правил не существуют, то все файлы этого формата можно запускать. Однако если для коллекции создано правило AppLocker, разрешен только запуск файлов, явно указанных в правиле. Подробнее об этом см. в разделе Как работает AppLocker.

В этом разделе описывается, как блокировать приложения на локальном устройстве. AppLocker также можно использовать, чтобы устанавливать правила для приложений в домене с помощью групповой политики.

Установка приложений

Сначала установите на устройстве нужные приложения, используя целевую учетную запись (записи) пользователя. Вы можете установить как приложения из Магазина, так и приложения Win32. Для установки приложений из Магазина необходимо войти в систему с помощью учетной записи нужного пользователя. Приложения Win32 можно установить для всех пользователей, не выполняя вход в определенную учетную запись.

Использование AppLocker для настройки правил для приложений

После установки необходимых приложений настройте правила AppLocker, чтобы разрешить запуск только определенных приложений, и заблокируйте все остальные.

1. Запустите локальную политику безопасности (secpol.msc) от имени администратора.

2. Откройте Параметры безопасности > Политики управления приложениями > AppLocker и выберите Настроить применение правил.

   

3. Установите флажок Настроено в разделе Исполняемые правила, а затем нажмите ОК.

4. Щелкните параметр Исполняемые правила правой кнопкой мыши и выберите Создать правила автоматически.

   

5. Выберите папку, содержащую приложение, доступ к которому вы хотите разрешить, или выберите C: \, чтобы проанализировать все приложения.

6. Введите имя набора правил и нажмите Далее.

7. На странице Параметры правил нажмите кнопку Далее. Обратите внимание, что создание правил может занять некоторое время.

8. На странице Проверка правил выберите команду Создать. Мастер создаст набор правил, разрешающих использование набора установленных приложений.

9. Прочтите сообщение и нажмите Да.

   

10. Если вы хотите применить правило к выбранной группе пользователей, щелкните его правой кнопкой мыши и выберите Свойства (необязательно). Затем выберите пользователя или группу пользователей в диалоговом окне.

11. Если для приложений, использование которых запрещено, созданы правила, их можно удалить, щелкнув правило правой кнопкой мыши и выбрав команду Удалить (необязательно).

12. Чтобы обеспечить выполнение правил AppLocker, необходимо включить службу Удостоверение приложения. Чтобы служба "Удостоверение приложения" автоматически запускалась при сбросе параметров, откройте командную строку и выполните следующую команду:

    sc config appidsvc start=auto
    

13. Перезагрузите устройство.

Другие параметры блокировки

Помимо определения разрешенных приложений, необходимо также запретить доступ к некоторым параметрам и функциям на устройстве. Чтобы повысить безопасность взаимодействия, рекомендуем внести в конфигурацию устройства приведенные ниже изменения.

• Удалите список Все приложения

  Перейдите в раздел Редактор групповой политики > Конфигурация пользователя > Административные шаблоны\Меню "Пуск" и панель задач\Удалить список всех программ в начального экрана.

• Скройте компонент Специальные возможности на экране входа.

  Откройте панель управления, перейдите в раздел Специальные возможности > Центр специальных возможностей и отключите все средства специальных возможностей.

• Отключите аппаратную кнопку питания.

  Перейдите в раздел Электропитание > Действие кнопки питания, измените значение на Действие не требуется и выберите Сохранить изменения.

• Отключите камеру.

  Перейдите в раздел Параметры > Конфиденциальность > Камера и отключите параметр Разрешить приложениям использовать камеру.

• Отключите отображение уведомлений приложений на экране блокировки.

  Перейдите в раздел Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Вход в систему\Отключить уведомления приложений на экране блокировки.

• Отключите съемные носители.

  Перейдите в меню Редактор групповой политики > Конфигурация компьютера > Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств. Проверьте параметры политики, отображаемые в разделе Ограничения на установку устройств, чтобы найти параметры, подходящие для вашей ситуации.

  Примечание  

  Чтобы эта политика не влияла на участников группы "Администраторы", в разделе Ограничения на установку устройств установите флажок Разрешить администраторам заменять политики ограничения установки устройств.

   

Подробнее о функциях блокировки см. в разделе Настройки Windows 10 Корпоративная.

Настройка макета начального экрана на устройстве

Меню «Пуск» на устройстве можно настроить таким образом, чтобы в нем отображались только плитки разрешенных приложений. Для этого нужно вручную внести изменения, экспортировать макет в XML-файл, а затем использовать этот файл на устройстве, чтобы запретить пользователям вносить изменения. Инструкции: Управление параметрами макета начального экрана Windows 10.