TIP#538: Jak ve Windows zamezit uživatelům instalovat další programy

S pomocí Group Policy Editoru můžete Windows nastavit tak, aby uživatelé na vašem počítači, notebooku či tabletu nemohli instalovat nové programy.

Stačí zamířit do Computer Configurations > Administrative Templates > Windows Components > Windows Installer, česky tedy do Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Instalační služba systému Windows.

Tam pak můžete najít Turn off Windows Installer neboli Vypnout instalační službu systému Windows – čímž můžete zamezit instalaci programů prostřednictvím těch cest, které k instalaci používá Windows. Ale pozor, nezabrání to tomu, že si někdo prostě stáhne nějaký program a spustí. Což může znamenat i to, že se takový program nainstaluje, protože nejde standardní cestou instalátoru ve Windows.

2016-06-21 07_14_40-Vypnout Instalační službu systému Windows.png

Instalátor ve Windows (Windows Installer) se dá mimochodem v GPE blokovat ještě na jiném místě : User Configuration > Administrative Templates > System neboli Konfigurace Uživatele > Šablony pro správu > Systém. Tam najdete Don’t Run Specified Windows Applications (česky Nespouštět určené aplikace systému Windows) kam se dá doplňovat seznam zakázaných aplikace – pro Windows Installer tam můžete doplnit něco jako C:\Windows\System32\msiexec.exe (za předpokladu, že váš systémový disk je C: atd). Tím zabráníte tomu, že konkrétní uživatel nemůže spouštět konkrétní programy a je to využitelné pro jiné věci.

Omezit instalaci uživateli můžete ale hlavně i tak, že jim prostě dáte jenom práva obyčejného uživatele, což je dost důležité bezpečnostní opatření tak jako tak (zejména pokud máte počítač na kterém vaše děti hrají hry a vůbec se na něm vyskytují). Nezabrání jim to ale ve spuštění věcí, které spustit nemají – tedy stažení nějakého toho EXE/COM/SCR (atd) a způsobení škody úměrné tomu, k čemu jim zůstal přístup.

Je dobré vědět, že existují ještě další řešení, které umí zamezit instalaci – některé jsou zdarma, některé stojí peníze rovou, někeré mají trial verzi. Upozorním jenom, že odzkoušené nemám ani jedno, takže pokud někdo máte, dejte vědět o zkušenostech. A jenom pár příkladů

  • WinGuardPro – www.winguardpro.com – je dobrý nejenom pro zamezení instalace, ale pro omezení přístupu k různým částem počítače vůbec
  • Install-Block – bashsoftware.net – podmíní instalaci software heslem (i odinstalaci) a zamezit použití programů a dalších částí počítače
  • InstallGuard – www.completelock.com – další blokátor instalací, v tomto případě zdarma použitelný pro osobní použití

Máte-li tip na další, napište. Pokud budete tuhle věc řešit, tak nezapomeňte na výše zmíněné, tedy, že pokud uživatel může do počítače nějak dostat spustitelný soubor, tak ho může spustit. Což už samo o sobě může stačit, ne vše je nutné „instalovat“ způsobem, který si vymyslel Microsoft.

Advertisements