Не удалось добавить запрошенную возможность ошибка эта программа заблокирована групповой политикой

При запуске приложений в Windows 7/8/10 система может вернуть ошибку «Эта программа заблокирована групповой политикой. Для получения дополнительной информации обратитесь к системному администратору».

Ошибка почти во всех случаях вызвана тем, что пользователь в процессе решения проблем с каким-то приложением включил политику ограничения программного обеспечения и забыл ее отключить. Также она иногда вызывается ПО, например сторонней программой безопасности, настроенной на блокировку определенных приложений. Рассмотрим способы решения этой неполадки.

Отключение политики ограничения применения программного обеспечения

Откройте новый лист Блокнота и введите или вставьте следующий код:
REG ADD HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f

Нажмите Ctrl + S для сохранения нового документа. Откроется окно с выбором места для сохранения. Укажите папку, в которую ходите сохранить документ, щелкните на выпадающий список типа файла и выберите «Все файлы». Присвойте ему любое имя, только обязательно укажите расширение *.bat, затем щелкните на кнопку «Сохранить».

В Проводнике или другом файловом менеджере перейдите в ту папку, в которой сохранили BAT-файл и запустите двойным щелчком мыши. Подтвердите это действие в следующем окне.

BAT-файл запустит командную строку и выполнит в ней указанную программу. После ее завершения перезагрузите компьютер.

Попробуйте запустить программу, которая была заблокирована групповой политикой.

Отключение групповых политик с помощью редактора реестра

Если запуск программ все еще заблокирован, попробуйте удалить все настроенные групповые политики в реестре Windows.

Откройте Редактор реестра командой regedit из диалогового окна Win + R.

В левой панели навигации перейдите в раздел:
HKEY_LOCAL_MACHINE — Software — Policies

Щелкните правой кнопкой мыши на вложенный раздел Microsoft, выберите «Удалить» и подтвердите это действие на «ОК».

Тем же способом удалите раздел Microsoft в локации:
HKEY_CURRENT_USER — Software — Policies

Затем перейдите по пути:
HKEY_CURRENT_USER — Software — Microsoft — Windows — CurrentVersion

Найдите вложенный раздел Group Policy Objects, правым щелчком мыши по нему вызовите контекстное меню и выберите «Удалить». Этим же способом удалите Policies.

Закройте редактор, и перезагрузите компьютер. Откройте программу и проверьте, заблокирован ли ее запуск групповой политикой.

Отключение функции блокировки в Symantec Endpoint Protection

Это решение предназначено для тех пользователей, у которых установлен антивирус Symantec Endpoint Protection. Этот пакет безопасности включает функцию блокировки запуска всех приложений на съемных дисках. Попробуйте ее отключить.

Откройте антивирус и перейдите на вкладку Управления приложениями и устройствами. Затем выберите Управление приложениями.Проверьте, что флажок на опции блокировки запуска программ со съемных носителей не установлен. В противном случае снимите отметку и сохраните изменения.

Закройте антивирус, перезапустите компьютер. Изменения вступят в силу после перезагрузки, после чего проверьте, заблокирован ли запуск программ.

При запуске приложений в Windows 7/8/10 система может вернуть ошибку «Эта программа заблокирована групповой политикой. Для получения дополнительной информации обратитесь к системному администратору».

Ошибка почти во всех случаях вызвана тем, что пользователь в процессе решения проблем с каким-то приложением включил политику ограничения программного обеспечения и забыл ее отключить. Также она иногда вызывается ПО, например сторонней программой безопасности, настроенной на блокировку определенных приложений. Рассмотрим способы решения этой неполадки.

Что такое Групповые политики (Group Policy)?

Если верить скучным определениям, то групповые политики (или Group Policy) — это эффективный и централизованный механизм управления многочисленными параметрами операционных систем и приложений. Групповые политики позволяют админам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Проще говоря, это довольно мощный инструмент для ограничения в действиях обычных пользователей. Существует масса различных политик и прав, с помощью которых можно запретить вызов диспетчера задач или редактора реестра, запретить доступ к меню «Пуск», а также довольно гибко ограничить запуск программного обеспечения (это реализуется с помощью так называемых Software Restriction Policies). Является ли этот механизм эффективным? Лишь отчасти. Доступ к шорткатам, запуск левого ПО и системных приложений, изменение настроек — все это достаточно легко запрещается с помощью групповых политик, и с этой точки зрения можно сказать спасибо разработчикам ОС. Но, увы, как это обычно бывает, эти политики зачастую можно обойти. Тут стоит сделать оговорку. Все политики можно разбить на две категории — для компов и для пользователей. Групповые политики доступны как в домене, так и на локальном компе. Если речь идет о локальной машине, то их можно посмотреть через специальную оснастку gpedit.msc (secpol.msc). В данной статье основной акцент сделан именно на доменные групповые политики. Итак, приступим.

Восстановление защиты

Чтобы исправить реализацию опций защитника Windows нужно выполнить один из следующих приёмов.

Посторонний антивирус

Попробуйте проверить влияние дополнительно установленного антивируса в вашей среде Windows. Для этого временно отключите его (такая возможность должна быть предусмотрена в программе). Если что-то таким способом не получается — попробуйте его удалить. Для этого в строке поиска введите «appwiz.cpl» и подтвердите «Вводом».

В появившемся наборе установленных утилит найдите этот антивирус, поместите на него курсор, в вызванном правой мышкой контекстном меню активируйте команду «Удалить». Затем утвердительно ответьте на возможные запрашивания и перезагрузитесь.

Проверка защиты

Если положительный результат не достигнут — проверьте, находится ли защита во включённом состоянии. Для этого в «Панели управления» щёлкните по разделу «Защитник Windows». Откроется страница, на которой вы увидите его состояние (должно быть «Вкл.»).

Групповая политика

Блокирование защиты может быть спровоцировано в настройках «Локальной групповой политики». Для исправления нужно пройти в её редактор. Сначала по команде «gpedit.msc» в строке поиска попадаем в «Конфигурацию». Из неё через «Административные шаблоны» и «Компоненты» попадаем в «Защитник Windows». Двойным тапом щёлкаем по «Отключить». В ещё одном открывшемся диалоге проверяем, чтобы отключению соответствовало значение «не задано».

Корректировка реестра

Возможное решение проблемы может быть в редактировании реестра. Попадаем в него вводом команды regedit в строке поиска. Заходим в «HKEY_LOCAL_MACHINE», далее в Software, потом в «Policies/Microsoft». Выбираем Windows Defender, дважды кликаем по Default. Применяем «значение 0» и подтверждаем — ОК. После этого проверяем состояние защиты (см. выше).

Запуск службы

Запускается служба защиты так:

• Введённую в окне поиска команду «msc» подтверждаем клавишей «Ввод».
• В наборе служб находим «Защитник Windows», дважды щёлкаем по нему.
• Устанавливаем «Автоматический» тип старта и нажимаем «Запустить».

В результате рассмотренных выше действий защита вашей системы на компьютере будет возобновлена и вы сможете спокойно продолжать работу. Читайте наши новые статьи, задавайте новые вопросы, оставляйте комментарии.

Источник: https://nastroyvse.ru/opersys/win/kak-ispravit-oshibku-zashhitnika-windows-0x800704ec.html

Трюк 1. Обходим загрузку политик

Давай разберемся, как вообще каждая машина в локальной сети получает групповые политики из домена? Процесс создания групповых политик можно разбить на следующие условные этапы:

1. Админ создает объект групповой политики.
2. Привязывает его к каким-то элементам домена.
3. При входе в домен комп отправляет запрос на получение политик и получает их в ответ от домена.
4. При входе пользователя выполняется аналогичный запрос, но уже по пользовательским политикам.

Итак, что мы здесь видим: политики подгружаются на стадии входа в систему. Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут. Но если политики не были получены во время входа в систему, то обновляться они не будут! Вырисовывается элементарный способ, как эту особенность можно использовать:

1. Вынимаем патч-корд из компа.
2. Включаем комп и логинимся под своей учеткой.
3. Подключаем патч-корд обратно.

Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик. При этом мы спокойно сможем использовать ресурсы сети, так как патч-корд к этому моменту будет на месте, а со всякими авторизациями на удаленных ресурсах справится сама винда. Стоит добавить, что в безопасном режиме винды групповые политики вообще не действуют. Комментарии, я думаю, излишни.

Действующий «Защитник Windows» компании Microsoft бесплатно монтируется во все операционные системы Виндовс. Функция его заключается в защите элементов системы от сомнительных изменений. Производится это при помощи постоянного мониторинга путём сканирования.

В операционную систему Windows встроен бесплатный антивирус.

Давайте разберёмся, что происходит, когда во время очередного старта программы-защитника на экране формируется сообщение-ошибка, код которой 0x800704ec, и какими методами это исправить.

Трюк 2. Как происходит проверка политик?

Важно понимать, на каком этапе происходит сопоставление действия, которое хочет выполнить пользователь, с теми ограничениями групповых политик, которые на него накладываются. Сперва давай разберемся, где расположены политики. Изначально, конечно, на контроллере домена, откуда уже передаются на машины в локальной сети. После получения групповых политик на клиентской машине они сохраняются в реестре винды в следующих местах (приведены основные ветки):

Политики для компа:

• HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionPolicies
• HKEY_LOCAL_MACHINESoftwarePolicies

Политики для пользователей:

• HKEY_CURENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicies
• HKEY_CURENT_USERSoftwarePolicies

Когда запускается какой-то процесс, то в нем (то есть в userspace’е) производится проверка данных веток реестра (через подгруженную библиотеку advapi.dll) на те или иные ограничения, которые потом кешируются/сохраняются в памяти процесса. Они проверяются, когда пользователь выполняет какое-то действие, например запуск ПО. В чем подвох? В том, что контроль производится из самого процесса. То есть если процесс «не захочет» проверять политики, то ничто его не заставит их соблюдать. Никакого общего мониторинга не производится! Отсюда вывод: если мы каким-то образом сможем запустить произвольный процесс, то политики нам уже не страшны. Сделать как правило — не проблема. Даже если нет возможности закачать программу на хост, можно выполнить ее удаленно (например, через шару).

Отключение политики ограничения применения программного обеспечения

Откройте новый лист Блокнота и введите или вставьте следующий код: REG ADD HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f

Нажмите Ctrl + S для сохранения нового документа. Откроется окно с выбором места для сохранения. Укажите папку, в которую ходите сохранить документ, щелкните на выпадающий список типа файла и выберите «Все файлы». Присвойте ему любое имя, только обязательно укажите расширение *.bat , затем щелкните на кнопку «Сохранить».

В Проводнике или другом файловом менеджере перейдите в ту папку, в которой сохранили BAT-файл и запустите двойным щелчком мыши. Подтвердите это действие в следующем окне.

BAT-файл запустит командную строку и выполнит в ней указанную программу. После ее завершения перезагрузите компьютер.

Попробуйте запустить программу, которая была заблокирована групповой политикой.

Трюк 3. Обходим SRP

Увы, дальше на нашем пути возникает другой механизм ограничений — SRP (Software Restriction Policies). Это группа политик, с помощью которых админ может ограничить список ПО, которое может запускать пользователь, через черный и белый списки. Blacklist и Whitelist определяются с помощью правил, которые можно задавать несколькими способами: по зонам и по сертификатам (первые два варианта практически не используются), а также по пути до файла и по его хешу. О том, что в системе действуют политики SRP, указывает соответствующий пункт в реестре — HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft WindowsSafer CodeIdentifiersTransparentEnabled со значением большим 0, который, как уже было сказано выше, проверяется при запуске процесса. Наша задача, соответственно, отрубить эту проверку внутри запускаемого процесса. Марк Руссинович еще в далеком 2005 году опубликовал пост в блоге об обходе SRP и представил тулзу GPdisable. Она производит DLL-инъекцию в заданный процесс, подгружая специальную DLL’ку. Когда процесс попытается получить значение ключа реестра HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSafer CodeIdentifiersTransparentEnabled, то есть будет проверять присутствие политик SRP, данная библиотека перехватит запрос и возвратит STATUS_OBJECT_NAME_NOT_FOUND. Таким образом, процесс думает, что все ОК и SRP политики в системе не действуют. После покупки компании Sysinternals Майкрософтом GPdisable перестал был официально доступным (но его по-прежнему легко найти в Сети. Есть еще более продвинутые решения. Утилита GPCul8or от Eric’a Rachner’a выполняет аналогичные функции, но доступна в исходниках. Что это нам дает? Мы можем добавить в GPCul8or любые другие значения реестра винды (DisableTaskMgr, ProxySettingsPerUser к примеру) и таким образом обойти все возможные ограничения политик. Какие именно значения, спросишь ты. Тебе в помощь RegMon от Марка Руссиновича, хотя, по сути — это все значения из ветки Policies. Другой оригинальный способ в своем блоге опубликовал Дидье Стивенс. Используя свою тулзу bpmtk (Basic Process Manipulation Tool Kit), он предложил прямо в памяти процесса изменять значение необходимого для групповой политики ветки реестра.

LiveInternetLiveInternet

—Рубрики

• Кулинарные рецепты (5788)
• Компьютер,телефон (5384)
• Разное (903)
• Стихи (845)
• Библиотека (701)
• Интернет (652)
• ссылка (568)
• Видео (392)
• ХУДОЖЕСТВЕННЫЕ фильмы (381)
• Документальные фильмы (83)
• 1000 советов автолюбителю (365)
• Изречения, чувства, мысли (353)
• Полезное для себя (330)
• Животные и птицы (288)
• Кроссворды, загадки (277)
• Музыка (237)
• Сделай сам (176)
• Медицина (163)
• Игры (158)
• Фотоальбом (152)
• Фотошоп (148)
• Приколы (147)
• В помощь новичку (134)
• Фото (131)
• Кофе,шоколад,чай (126)
• Поздравитель (119)
• Природа (113)
• Юмор (105)
• Подводный мир (97)
• Пожелания (95)
• Православие (91)
• Флэшки (83)
• Мультфильм (81)
• Развивающие мультфильмы (14)
• Генераторы (71)
• Диеты (67)
• Гороскоп (56)
• Анимации (49)
• FAQ (45)
• Рамки (44)
• Анекдоты (37)
• Плэйкасты (36)
• Схемы (32)
• Открытки (24)
• Мода. Всё для женщин (23)
• Пазлы (21)
• Переводчики (16)
• ТV и Радио (15)
• Крым (14)
• Шрифты (14)
• Картинки (14)
• Рамки с картинками (11)
• Коды (11)
• Эпиграфы (8)
• Политика (5)
• Администрация (3)

Трюк 4. Binary planting

Утилита GPdisable состоит из двух файлов:

• gpdisable.exe — инъектирует DLL в процесс;
• gpdisable.dll — специальная DLL для обхода SRP.

Как я уже сказал, если мы можем запустить приложение, то можем легко обойти SRP и другие политики (через GPdisable, bpmtk, GPCul8or — неважно). Однако в реальной системе может оказаться не так уж просто запустить эти приложения. Но мы можем подгрузить DLL (в том числе gpdisable.dll). Тут есть важный нюанс. Групповые политики при запуске ПО могут проверять и DLL’ки, но при этом достаточно сильно падает производительность системы, потому по умолчанию эта опция отключена. И мы это можем использовать! Очень кстати приходится недавнее исследование от компании Across Security, которое рассказывает о новых (достаточно извращенных, но работающих) методах подгрузки кода в процессы. Прием называется Binary planting (и как его классический пример — dll hijacking), при его изучении у меня возникла мысль: «а почему не использовать его для обхода групповых политик?». Если система разрешает запуск приложений только из белого списка (пускай даже только Word), то этого уже достаточно, чтобы подгрузить нашу полезную DLL для обхода SRP. Итак, попробуем скрестить dll hijacking от парней из Across и GPdisable:

1. Переименовываем gpdisable.dll в ehTrace.dll.
2. Создаем папку с именем куку.{2E095DD0-AF56-47E4-A099-EAC038DECC24} (название любое, текст после точки исчезнет).
3. Кидаем ehTrace.dll в только что созданную папку.
4. Заходим в папку и создаем там любой документ в Word, Excel или, к примеру, PDF’ку.
5. Теперь открываем только что созданный файл.
6. Соответствующая программа должна запуститься. И запустить вместе с подгруженной DLL’кой!
7. Все, политики нам не страшны.

Рекомендации специалистов

Использовать указанные методы можно, если вы полностью уверены в безопасности софта. Если же имеются сомнения, специалисты рекомендуют:

1. Удалить установленный файл и заново его загрузить на ПК с официального сайта.
2. Проверить программу на наличие вирусов. Лучше всего подойдет антивирус Avast.

Если даже после этого возникла проблема с запуском приложения, в таком случае можно смело опробовать один из описанных выше способов.

Теперь вы знаете, что делать, когда нужное приложение заблокировано администратором, т. е. защитной системой Виндовс 10. Используйте описанные методы, и свободно используйте все возможности своего ПК.

Трюк 5. Используем исключения

Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:

• на программы, запущенные от имени учетной записи SYSTEM;
• драйверы и другие приложения уровня ядра;
• макросы внутри документов Microsoft Office;
• программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).

Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). Utilman.exe (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.

Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:

Sub GOSHELL() Shell «C:windowssystem32regedit.exe», vbNormalFocus End Sub

В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как cmd.exe. Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!

Трюк 6. Используем переменные среды

Когда начинаешь мучить групповые политики, то приходит осознание, что для создания защищенной системы потребуется попотеть. Дело трудное и с большим количеством тонкостей. Например, разработчики предлагают админам использовать удобный хинт — указывать переменные среды в качестве путей для ограничений SRP. Да вот здесь проблема. У пользователя, если их жестко не прищучить, есть возможность их переопределять. Указал, например, админ, что из папки %TEMP% можно запускать exe’шники, а юзер взял да и переопределил следующей командой:

Set TEMP C:

И вот так просто получил возможность запускать файлы из корня C:. Кроме того, не стоит забывать про стандартные директории, из которых разрешен запуск exe-файлов:

• %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%
• %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%*.exe
• %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%System32*.exe
• %HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionProgramFilesDir%

Они разрешают запуск ПО только из папки Windows и Program Files для пользователей. У обычного пользователя нет возможности записи в них, но и здесь могут быть проблемы. Так как на самом деле права на запись у пользователя есть — по дефолту в папку C:windowssystem32spoolPrinters и C:windowstemp. Если у пользователя будет возможность писать в какой-то каталог с софтом, то, считай, соответствующие политики SRP уже не сработают. Кстати, для того чтобы на практике поверить, какие у пользователя есть права, поможет тулза — AccessChk от все того же Руссиновича.

Не включается защитник windows 7 ошибка 0x800704ec

I am unable to open the Windows Store, every time I try to access the store it gives this message that I have included below. Any help would be much appreciated because I have no clue why this is being blocked. Here is a little bit of information about the PC set up:

• My PC is running Windows 10 Enterprise.
• I have not made any changes to my PC.
• We have Windows Intune, but even when we delete Intune the Windows Store will not work.
• The PC is not connected to a Network domain.

I am unable to attach the picture, but this link will take you to the picture.

• Изменен тип CIS-03 9 июня 2021 г. 15:11

I did change the permissions, but it did not help either. I ended up just having to to a refresh of the Windows 10. This was not the way that I wanted to fix it, but it did fix the problem. So, if anyone else has this problem and has tried the things above and it does not fix the problem then it might be best to just do a refresh of Windows 10. I know this is not the best way, but it does fix the problem. You will want to make sure that you take a full system image before so that you can recover any files that might get lost. Thanks for trying to help! I appropriate your time and thoughts that you gave me.

• Помечено в качестве ответа CIS-03 14 июля 2021 г. 17:32

Все ответы

This issue can be caused that the Store is disabled by policy:

Change the registry as below:

RemoveWindowsStore DWORD

= Enable Store

Please mark the reply as an answer if you find it is helpful.

If you have feedback for TechNet Support, contact [email protected]

• Предложено в качестве ответа Kate Li Microsoft employee 15 июня 2016 г. 8:02
• Отменено предложение в качестве ответа Kate Li Microsoft employee 15 июня 2021 г. 8:02

I have tried this and it does not fix my problem. I rebooted the computer to make sure that it was applied, but I still get the same error message.

What account you are using to sign into your Windows Store, Azure AD account or general Microsoft account.

I consider that could the first one.

Please try to run WSReset.exe on your PC to see if it can fix your issue by removing catch and other account in Windows Store.

Please mark the reply as an answer if you find it is helpful.

If you have feedback for TechNet Support, contact [email protected]

• Изменено Kate Li Microsoft employee 16 июня 2021 г. 8:41

At first I was thinking it was a general account, but I do believe we have Azure AD, so that is what I would use to sign in. I have just tried the WSReset.exe, and I am still having the same problem.

I just realized that you were asking about signing into the Windows Store. I am unable to even get into the store where I could sign in with any account. Right after I click on the Store icon it opens that error/block screen.

According to current information, this issue could be caused the remaining old GP.

Трюк 7. Используем другого пользователя

Есть способ не подпустить подгрузки политик, но для этого трика нам понадобятся логин и пароль другого пользователя. Суть в том, что нам надо войти в систему «еще раз», но не под собой. Тут два варианта:

1. + правый клик на запускаемом файле, далее в контекстном меню выбираем «Run as…».
2. Через консоль набираем команду: runas /noprofile <�название exe-файла>.

Другой пользователь, под которым ты запускаешь программку, как и ты, может быть обычным пользователем с ограниченными правами. Но политики на запущенную программку уже не будут действовать! См. рисунок.

На нем пользователь test_gpo3 не может запустить regedit из-за политик. Но, запустив под test_gpo2 любой exe’шник (диспетчер задач например), он уже ничем не ограничен и поэтому может запустить regedit. Кроме того, если у нас есть возможность удаленного входа в систему (по RDP, например), то мы можем провести аналогичный финт, но только с одной учеткой (демонстрацию можешь посмотреть в этом видео).

Включение встроенной защиты из системного реестра

Имейте в виду, что применить это решение можно только после выполнении предыдущих шагов. Редактирование реестра может привести к нежелательным последствиям, поскольку Windows выключает Защитника, если обнаруживает присутствие другого антивируса. Поэтому проверьте, что нет конфликтующих программ и ОС не заражена.

После этого откройте Редактор реестра командой regedit из окна Win + R.

Перейдите в раздел:

Если в этом разделе обнаружите параметр DisableAntiSpyware , дважды щелкните на него, установите значение «0». Если этого параметра, то делать ничего не нужно.

Трюк 8. Вспоминаем про HTA

Последний хинт касается неофициальных исключений, на которые не действуют групповые политики. Вадимc Поданс написал в блоге отличную серию постов, посвещенных SRP-политикам. В частности, он обнаружил отличный путь для их обхода и запуска произвольного кода с использованием приложения HTA (HTML Application).

Итак, последовательность действий:

1. Создаем файлик с примерно таким текстом:

   msgbox «I’m dangerous VB Code!!!»

2. Сохраняем его с расширением .hta (например, execute_this.hta).
3. Создаем ярлык для него.
4. Открываем ссылку — и hta запускается.

Надо ли говорить, что вместо вызова безобидного MessageBox’а VB-код может сделать в системе что угодно? Политики SRP должны проверять весь код, который может исполняться, в том числе и всевозможные скрипты. Однако из-за тонкостей работы групповых политик данный обход работает. К аналогичным «глюковатым» расширениям помимо HTA Вадимс относит REG, MSC, HTA, CHM. Точно так же ситуация наблюдается и с com-файлами (в том числе всякими олдскульными ДОС’овскими программами, которые все еще разбросаны в папке винды). Они не учитывают правила групповых политик, так как работают в виртуальной машине DOS.

Возобновление безошибочной работы защитника

Действующий «Защитник Windows» компании Microsoft бесплатно монтируется во все операционные системы Виндовс. Функция его заключается в защите элементов системы от сомнительных изменений. Производится это при помощи постоянного мониторинга путём сканирования.

В операционную систему Windows встроен бесплатный антивирус.

Давайте разберёмся, что происходит, когда во время очередного старта программы-защитника на экране формируется сообщение-ошибка, код которой 0x800704ec, и какими методами это исправить.

Групповые политики в тонких клиентах

Хочется еще рассказать про такие системы, как Citrix XenApp. Что это такое? XenApp, если говорить простым языком, это система «доставки» приложений (хотя это только часть функционала). По сути, это что-то типа терминального сервера винды, но когда пользователю доступно только конкретное приложение. В жизни это выглядит так. Пользователь коннектится клиентом к Citrix-серверу — ему выводится список доступного ПО. Далее юзер запускает какое-то приложение и начинает в нем работать. Основная фича в том, что фактически процесс приложения выполняется на Citrix-сервере. По сути, данный подход хорош (особенно с тонкими клиентами), но у него есть пучок косяков с точки зрения безопасности. Так как процесс — на сервере, то, значит, пользователю доступны все ресурсы сервера (с учетом пользовательских прав, конечно). Это не очень хорошо, так как предполагается, что у пользователя должен быть доступ только к запущенной программе, а не к ОС. Что еще хуже, добраться-то до самой ОС — не проблема. Даже если у самого ПО нет возможности по взаимодействию с ОС (нет меню «Открыть», «Сохранить как»), то стандартные возможности винды все еще работают: нажимаем в Citrix-приложении — нам открывается диспетчер задач Citrix-сервера, или правый клик по раскладке клавиатуры, а оттуда в файл справки с возможностью листинга директорий. Лично я столкнулся с групповыми политиками именно в этом контексте — при взломе Citrix.

Отключение функции блокировки в Symantec Endpoint Protection

Это решение предназначено для тех пользователей, у которых установлен антивирус Symantec Endpoint Protection. Этот пакет безопасности включает функцию блокировки запуска всех приложений на съемных дисках. Попробуйте ее отключить.

Откройте антивирус и перейдите на вкладку Управления приложениями и устройствами. Затем выберите Управление приложениями.Проверьте, что флажок на опции блокировки запуска программ со съемных носителей не установлен. В противном случае снимите отметку и сохраните изменения.

Закройте антивирус, перезапустите компьютер. Изменения вступят в силу после перезагрузки, после чего проверьте, заблокирован ли запуск программ.

Источник