Постановка задачи: необходимо сделать так, чтоб пользователь в своей учетной записи мог запускать только разрешенный перечень программ.

Варианты исполнения:

-через групповые политики;
-через реестр.

Способ через реестр.

Внимание! Некорректные действия в реестре могут привести к неработоспособности ОС Windows и как следствие ее переустановка.

Входим в реестр Windows:

-нажимаем сочетание клавиш Win+R;
-в строке «Выполнить» вводим: regedit;
-нажимаем ОК или кнопку «Ввод».

В реестре переходим по пути:

Компьютер
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

(настройки текущего пользователя).

Создаем параметр DWORD (32 бита) правой кнопкой мыши.

Название параметра: RestrictRun (запретить запуск приложений, кроме указанных)

Значение:1

Теперь укажем, какие приложения можно запускать. Создаем раздел с таким же названием RestrictRun.

В этом разделе создаем строковые параметры с номерами по порядку.

В значении каждого строкового параметра указываем приложение, которое разрешено запускать.

Начать желательно с  regedit.exe, чтоб не заблокировать самого себя.

На этом все. Перезагружаем ПК, чтоб настройки применились.

В итоге этого примера на компьютере оказались разрешенными к запуску только 5 указанных программ: regedit.exe – реестр, calc.exe – калькулятор, mspaint.exe – пэйнт, avpui.exe – антивирус, winword.exe – ворд.

При запуске других программ появляется сообщение – Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.

Если необходимо обратное действие  — разрешены все программы, кроме указанных в списке, необходимо использовать DWORD с названием DisallowRun и так же создать папку с перечнем запрещенных программ.

Для отмены блокировки необходимо удалить в реестре все созданное ранее и перезагрузить ПК.

Если по случайности заблокировался доступ в реестр, то необходимо выполнить загрузку с установочной флэшки Windows и удалить созданные параметры. Путь к файлам нужно искать в ветке:

HKEY_USERS\имя вашей учетной записи\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Продвинутые пользователи могут догадаться о причине блокировки, зайти в реестр и удалить ее. Чтоб устранить эту проблему нужно ограничить доступ к диску с папкой файлов реестра.

Reg-файл.

Теперь немного автоматизируем процесс.

Создадим reg-файл с параметрами настроек, который можно применять на других ПК и каждый раз не заходить в реестр. Такой метод называется tweak reg (твик реестра).

Создаем текстовый файл с расширением .txt

Меняем расширение на .reg

Чтоб менять расширение файлов в Windows10 нужно на вкладке «Вид» верхней панели папки установить галочку «Расширения имен файлов».

Получился reg-файл в который мы внесем настройки реестра.

Другой способ получить reg-файл – экспортировать настройки из реестра.

Экспортируем в удобное место и называем любым именем.

Открываем экспортированный файл с помощью блокнота Notepad++ (или другого удобного текстового редактора). Если просто кликнуть по файлу 2 раза мышкой, то он внесет изменения в реестр.

Внутри файла следующее содержание.

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
@=""
"RestrictRun"=dword:00000001


[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]
"1"="regedit.exe"
"2"="calc.exe"
"3"="mspaint.exe"
"4"="avpui.exe"
"5"="winword.exe"

Рассмотрим построчно:

1 строка – версия редактора реестра Windows (ничего не меняем);

2 строка – пустая (обязательно);

3 строка – путь реестра в квадратных скобках;

4 строка – какой-то параметр, который был по умолчанию (можно удалить);

5 строка – параметр DWORD созданный ранее, со значением 1;

6 строка – пустая

7 строка – следующая ветка реестра;

7-12 строки – строковые параметры, с указанием разрешенных к запуску программ.

13 строка пустая (обязательно).

Для удаления значения какого-то параметра нужно использовать ключ   –   (минус)

Например, нужно деактивировать строку 5 и строки 7-12. Это будет выглядеть так:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
@=""
"RestrictRun"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Restrict\Run]
"1"=-
"2"=-
"3"=-
"4"=-
"5"=-

К параметрам можно добавлять комментарий. Для этого вначале строки ставится   ;  (точка с запятой)

На картинке ниже настройки с комментариями.

Таким способом можно редактировать любую ветку реестра.

Чтоб применить все внесенные настройки сохраняем файл и кликаем по нему 2 раза. В открывшемся предупреждении нажимаем «Да».

Перезагружаем ПК.

На этом описание базового функционала редактора реестра завершается. Более подробно можно прочитать в учебниках и в Интернете.

Теперь, зная все выше описанное, создаем reg-файл с необходимыми настройками реестра и применяем на любом ПК с ОС Windows.

Кроме разрешения запуска программ можно заблокировать доступ к дискам, панели управления и еще много куда. Название ключей для этих действий нужно искать в Интернете.

Для удобства администрирования были созданы два reg-файла: блокиратор и разблокиратор. Блокиратор, как понятно из названия, блокирует все после его применения (нельзя вызвать строку «Выполнить» и запустить редактор реестра). Разблокиратор – все что было заблокировано – разблокирует.

Работоспособность этого метода проверена в Window7 и Windows 10.