При запуске приложений в Windows 7/8/10 система может вернуть ошибку «Эта программа заблокирована групповой политикой. Для получения дополнительной информации обратитесь к системному администратору».
Ошибка почти во всех случаях вызвана тем, что пользователь в процессе решения проблем с каким-то приложением включил политику ограничения программного обеспечения и забыл ее отключить. Также она иногда вызывается ПО, например сторонней программой безопасности, настроенной на блокировку определенных приложений. Рассмотрим способы решения этой неполадки.
Содержание
- 1 Отключение политики ограничения применения программного обеспечения
- 2 Отключение групповых политик с помощью редактора реестра
- 3 Отключение функции блокировки в Symantec Endpoint Protection
Отключение политики ограничения применения программного обеспечения
Откройте новый лист Блокнота и введите или вставьте следующий код:
REG ADD HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f
Нажмите Ctrl + S для сохранения нового документа. Откроется окно с выбором места для сохранения. Укажите папку, в которую ходите сохранить документ, щелкните на выпадающий список типа файла и выберите «Все файлы». Присвойте ему любое имя, только обязательно укажите расширение *.bat, затем щелкните на кнопку «Сохранить».
В Проводнике или другом файловом менеджере перейдите в ту папку, в которой сохранили BAT-файл и запустите двойным щелчком мыши. Подтвердите это действие в следующем окне.
BAT-файл запустит командную строку и выполнит в ней указанную программу. После ее завершения перезагрузите компьютер.
Попробуйте запустить программу, которая была заблокирована групповой политикой.
Отключение групповых политик с помощью редактора реестра
Если запуск программ все еще заблокирован, попробуйте удалить все настроенные групповые политики в реестре Windows.
Откройте Редактор реестра командой regedit из диалогового окна Win + R.
В левой панели навигации перейдите в раздел:
HKEY_LOCAL_MACHINE — Software — Policies
Щелкните правой кнопкой мыши на вложенный раздел Microsoft, выберите «Удалить» и подтвердите это действие на «ОК».
Тем же способом удалите раздел Microsoft в локации:
HKEY_CURRENT_USER — Software — Policies
Затем перейдите по пути:
HKEY_CURRENT_USER — Software — Microsoft — Windows — CurrentVersion
Найдите вложенный раздел Group Policy Objects, правым щелчком мыши по нему вызовите контекстное меню и выберите «Удалить». Этим же способом удалите Policies.
Закройте редактор, и перезагрузите компьютер. Откройте программу и проверьте, заблокирован ли ее запуск групповой политикой.
Отключение функции блокировки в Symantec Endpoint Protection
Это решение предназначено для тех пользователей, у которых установлен антивирус Symantec Endpoint Protection. Этот пакет безопасности включает функцию блокировки запуска всех приложений на съемных дисках. Попробуйте ее отключить.
Откройте антивирус и перейдите на вкладку Управления приложениями и устройствами. Затем выберите Управление приложениями.Проверьте, что флажок на опции блокировки запуска программ со съемных носителей не установлен. В противном случае снимите отметку и сохраните изменения.
Закройте антивирус, перезапустите компьютер. Изменения вступят в силу после перезагрузки, после чего проверьте, заблокирован ли запуск программ.
Содержание
- Способ 1: Применение BAT-файла
- Способ 2: Редактирование реестра
- Способ 3: «Редактор локальной групповой политики»
- Способ 4: Сброс параметров локальных групповых политик
- Дополнительные решения
- Вопросы и ответы
Когда при попытке установить программу/устройство возникает ошибка, говорящая о том, что процедура заблокирована групповой политикой безопасности, это означает, что пользователь сам когда-то активировал функцию ограничения программного обеспечения, а потом просто забыл ее отключить. Также причина ее возникновения может быть в стороннем приложении, предназначенном для обеспечения безопасности и блокирующим то или иное действие.
Способ 1: Применение BAT-файла
Когда инсталляция программ заблокирована групповой политикой, можно создать BAT-файл и выполнить его — это позволит автоматизировать процесс отключения функции.
- Запустите встроенный «Блокнот», отыскав его через строку системного поиска.
- В окне редактора вставьте следующий код
REG ADD HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f
. - Кликните по вкладке «Файл», затем выберите пункт «Сохранить как».
- В новом окне из выпадающего меню «Тип файла» нужно выбрать вариант «Все файлы», затем укажите любой путь для расположения и задайте имя новому файлу, в конце добавив
.bat
. Сохраните его.
После этого останется отыскать созданный BAT-файл и запустить его двойным кликом левой кнопкой мыши. Откроется «Командная строка», где выполнится соответствующая команда, затем окно консоли будет закрыто. Попробуйте запустить установку проблемной программы, чтобы проверить, ушла ли проблема.
Способ 2: Редактирование реестра
Если установка программы все еще заблокирована, попробуйте изменить значение параметра групповой политики через «Редактор реестра». Только прежде создайте точку восстановления системы, что поможет вернуть ее к рабочему состоянию, если что-то пойдет не так.
Читайте также: Инструкция по созданию точки восстановления Windows 10
- Нажмите на клавиши «Win + R», впишите в строку «Открыть» команду
regedit
, затем нажмите на кнопку «ОК». - В открывшемся окне перейдите к разделу с ограничениями групповой политики. Для этого разверните ветку
HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/DeviceInstall
и нажмите на подраздел «Restrictions». Все ключи, которые располагаются в подразделе, отображаются в центральной части окна. Если они есть, то попытайтесь удалить их. Это может не получиться — тогда измените значение каждого параметра на «0», дважды кликнув по названию ключа.
Вы можете не найти в «Редакторе реестра» таких параметров или папок — тогда никаких изменений вносить не надо, так как ограничения не установлены.
Способ 3: «Редактор локальной групповой политики»
Попробуйте сбросить параметры объекта через встроенное средство «Редактор локальной групповой политики». Следует отметить, что способ доступен только для владельцев редакций Pro и Enterprise операционной системы Windows 10, поскольку только в них предустановлен инструмент.
- Чтобы открыть редактор, в диалоговом окне «Выполнить» используйте команду
gpedit.msc
. - Слева разверните «Политика «Локальный компьютер»» и перейдите по следующему пути: «Конфигурация компьютера» — «Административные шаблоны» — «Все параметры». В центральной части окна упорядочьте параметры по имени, щелкнув по столбцу выше, затем отыщите строку «Включить или отключить устаревшие функции TXF» и дважды кликните по нему ЛКМ.
- В новом окне выберите пункт «Не задано» и сохраните настройки.
Эти действия позволяют сбросить параметры групповой политики к тем, которые были по умолчанию.
Если же вы столкнулись с проблемой установки устройств, то в «Редакторе локальной групповой политики» может потребоваться проделать следующее:
- На панели слева перейдите по пути «Конфигурация компьютера» — «Административные шаблоны» — «Система» — «Установка устройств» — «Ограничения на установку устройств». В центральной части окна дважды кликните по строке «Запретить установку устройств, не описанных другими параметрами политики».
- Откроется окно, где нужно выбрать опцию «Не задано», затем сохранить настройки.
Также можете отключить функцию «Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав», которая располагается в «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры Безопасности» — «Локальные политики» — «Параметры безопасности».
Во всех случаях после настройки параметров нужно перезагрузить систему. Также попробуйте использовать эти варианты вместе, чтобы почти наверняка устранить проблему с установкой ПО.
Способ 4: Сброс параметров локальных групповых политик
В ситуации, когда ни один способ не помогает, остается воспользоваться наиболее эффективным, но при этом радикальным методом – сбросить параметры безопасности групповой политики. Причем значения по умолчанию примут все настройки.
Применяйте метод с осторожностью, особенно если ранее производились какие-либо важные настройки или менялись параметры безопасности. Вариант подойдет больше для опытных пользователей.
- Запустите консоль «Командная строка» от имени администратора. Для этого используйте системный поиск на нижней панели, кнопку «Пуск» или клавиши «Win + S».
- В окне поочередно выполните несколько команд, нажимая после каждой клавишу «Enter»:
RD /S /Q "%WinDir%System32GroupPolicy"
RD /S /Q "%WinDir%System32GroupPolicyUsers"
gpupdate /force
Две первые команды полностью очищают папки на системном диске, где находятся групповые политики (Windows создаст их потом заново), а третья команда перезагружает оснастку. После выполнения перезагрузите систему.
Дополнительные решения
Иногда помогает создание новой учетной записи и вход в систему через нее. В этом случае настройки групповой политики не будут применяться к новому аккаунту. О том, как завести новый аккаунт, мы писали более детально в отдельной нашей статье.
Подробнее: Создание новой учётной записи в Windows 10
Вероятно, причиной блокировки оснасткой установки могли стать и различные системные сбои или результаты вирусных атак. Также не исключено, что вы случайно самостоятельно что-то поменяли в настройках, отчего произошла рассматриваемая проблема. Если вы заметили неполадку недавно, то есть время вернуться к контрольной точке восстановления, когда еще Windows 10 корректно функционировала. Для этого используйте нашу инструкцию по ссылке ниже.
Подробнее: Откат к точке восстановления в Windows 10
В крайнем случае можно сбросить настройки Windows 10 до заводских, вернув состояние операционной системы и ее параметры к тем, что были изначально.
Читайте также: Возвращаем Windows 10 к заводскому состоянию
Еще статьи по данной теме:
Помогла ли Вам статья?
Пользователи операционной системы Windows при активации какого-либо программного обеспечения иногда получают такое уведомление: «Эта программа заблокирована групповой политикой. За дополнительными сведениями обращайтесь к системному администратору». При этом запускаемая программа раньше работала, а теперь нет.
В частном порядке такая ситуация чаще всего случается, когда пользователи самостоятельно решали какую-то проблему с программой и включили политику ограничения этой программы, а в дальнейшем просто забыли ее отключить. Когда такое сообщение появляется на офисном компьютере, тогда, скорее всего, системный администратор собственноручно наложил ограничения на какой-либо софт.
Чуть реже уведомление «эта программа заблокирована групповой политикой» может появляться из-за воздействия стороннего программного обеспечения на вашу программу, то есть когда политика безопасности одного приложения блокирует работу другого приложения. В общем, давайте разбираться, как можно решить такую ситуацию.
Что такое групповая политика безопасности в Windows
Групповая политика — это перечень настроек операционной системы, которые одновременно применяются для нескольких устройств. Чаще всего групповую политику разрабатывает системный администратор. Например, у системного администратора в обслуживании несколько десятков компьютеров офисных работников. Он создает групповую политику настроек системы для всех компьютеров сразу. Таким образом получается однотипная рабочая среда для всех компьютеров.
Например, в офисе нельзя запускать браузер и выходить в интернет или запускать плеер для просмотра фильмов. В этом случае эти ограничения вносятся в групповую политику и тем самым «накладываются» на все компьютеры из группы. После этих манипуляций, если кто-то в офисе попытается запустить плеер, чтобы посмотреть фильм, в ответ высветится уведомление о том, что «эта программа заблокирована групповой политикой».
Редактор групповой политики Windows 7
Чтобы отредактировать групповую политику, в Windows присутствует специальный редактор групповой политики. Однако он был не всегда и появился только в Windows 7 Максимальная. В Windows 7 домашней или базовой версии его не было, поэтому редактировать групповую политику приходилось через изменение параметров реестра.
Чтобы запустить редактор групповой политики на Windows, если он там присутствует, нужно:
Открыть окно меню «Выполнить».
Ввести там команду «gpedit.msc» и нажать «Ок».
Далее откроется окно группового редактора, где можно будет выполнить необходимые конфигурации.
В редакторе можно конфигурировать отдельно пользователя и устройство, поэтому есть вероятность, что на вашем устройстве был отредактирован пользователь устройства, а сообщение «эта программа заблокирована групповой политикой» появилось потому, что вы вошли в устройство не под тем пользователем. Главное, что можно сделать в редакторе, — это активировать:
запрет на установку программ в Windows;
запрет на запуск программ в Windows.
Подробнее о том, как можно правильно применять редактор групповой политики в операционной системе Windows, мы расскажем в следующих статьях. А сегодня давайте решим проблему с сообщением «эта программа заблокирована групповой политикой».
Как разрешить проблему с уведомлением «эта программа заблокирована групповой политикой»
Если вы пользуетесь офисным компьютером и на нем присутствуют подобные ограничения, тогда обойти их очень трудно. Легче — попросить системного администратора снять ограничения либо же искать обходные пути.
В частном порядке решить возникшую проблему можно одним из трех способов:
Воспользоваться редактором групповой политики, если ваша версия Windows его поддерживает (как его вызвать, мы описали чуть выше). Найти там программу, попавшую под ограничения, не составит труда.
Отключить в групповой политике ограничение на использование конкретного программного обеспечения.
Отключить групповую политику, используя редактор реестра.
Как отключить в групповой политике ограничение ПО
Откройте программу «Блокнот». Впишите туда вот такую команду: REG ADD HKLM<программное обеспечение, которое заблокировано групповой политикой>PoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f.
Потом нужно сохранить этот документ в какой-либо папке. Но самое важное — сохранить этот документ с расширением «.bat».
После этого нужно открыть папку, где сохранен bat-документ, и запустить этот документ двойным кликом.
Bat-документ активирует командную строку и выполнит определенные команды, которые отключат групповые ограничения для программного обеспечения, указанного в команде.
Вам останется только перезагрузить компьютер и активировать программное обеспечение, при активации которого показывалось уведомление «эта программа заблокирована групповой политикой».
Как отключить групповую политику с помощью редактора реестра
Может получиться так, что первый способ не сработает по каким-то причинам. Тогда можно воспользоваться редактором реестра.
Активируйте окно меню «Выполнить».
Введите там команду: «regedit». Вам откроется редактор реестра. Далее будьте осторожны.
Перейдите по пути: «HKEY_CURRENT_USER Software Microsoft Windows».
Найдите в нем пункт «CurrentVersion» и откройте его.
Далее отыщите «Group Policy Objects» и удалите этот раздел.
После этого сохраните внесенные изменения, перезагрузите компьютер и активируйте программу, попавшую под ограничения.
Заключение
Обычно сообщение «эта программа заблокирована групповой политикой» исчезает после использования одного из вышеописанных способов. Иногда в качестве решения данной проблемы еще используют возможности антивируса, так как в некоторых антивирусах есть встроенная возможность редактировать ограничение на запуск приложений на устройстве. Если в вашем антивирусе есть такая возможность, значит, можете ею воспользоваться.
В случаях, когда ограничение на использование программы наложено на пользователя, помогает создание нового пользователя и работа с компьютером от его имени. В общем, явного решения сообщения «эта программа заблокирована групповой политикой» нет, если оно возникло спонтанно, поэтому придется экспериментировать, чтобы найти выход из этой ситуации.
Иногда, при очередном запуске Защитника Windows, он не включится и на вашем мониторе появится ошибка 0x800704ec со следующим сообщение:
Эта программа заблокирована групповой политикой. За дополнительными сведениями обращайтесь к системному администратору.
Понятное дело, что при появлении этого сообщения запустить Защитник Windows вы не сможете. По факту, данная ошибка не является “ошибкой” как таковой, так как программное обеспечение и операционная система специально созданы в такой манере.
Причина “ошибки” заключается в том, что помимо Защитника Windows на вашем компьютере работает еще и сторонний антивирус, и именно этот антивирус отключает Защитник Windows во избежания программных конфликтов в вашей операционной системе.
Чтобы избавиться от этой неурядицы, попробуйте выполнить нижеуказанные методы для исправления ошибки 0x800704ec.
Содержание
- Решаем ошибку 0x800704ec при запуске Защитника Windows
- Метод №1 Удаление стороннего антивируса
- Метод №2 Корректировка в Реестре Windows
- Метод №3 Локальная групповая политика
- Метод №4 Включить службу Защитника Windows
Решаем ошибку 0x800704ec при запуске Защитника Windows
Метод №1 Удаление стороннего антивируса
Проблема может быть исправлена простой деинсталляцией антивирусного программного обеспечения, чтобы на вашем компьютере из защиты остался только лишь Защитник Windows. Для этого сделайте следующее:
- Нажмите одновременно клавиши Win+R, пропишите в строку «Выполнить» appwiz.cpl и нажмите Enter.
- Найдите вызывающий проблему антивирус, нажмите на него правой кнопкой мыши и выберите «Удалить».
- Подтвердите все запросы, если те появятся на вашем экране.
- После процесса удаления антивируса, перезагрузите свой компьютер для подтверждения изменений.
Теперь ваш Защитник Windows должен спокойно запуститься, а ошибка 0x800704ec исчезнуть. Однако, если он все еще не запускается, то попробуйте выполнить следующее:
- Нажмите правой кнопкой мыши на «Пуск» и выберите из контекстного меню пункт «Панель управления».
- Перейдите в пункт «Защитник Windows».
- Убедитесь, что ваш Защитник Windows находится в активированном состоянии.
Если этот метод вам не помог, то можно воспользоваться решением для проблемы с ошибкой 0x800704ec через Реестр Windows.
Метод №2 Корректировка в Реестре Windows
В некоторых случаях, первый метод может не сработать, но не переживайте, так как есть еще один метод, который должен исправить ситуацию с ошибкой 0x800704ec и заключается он в редактировании Реестра Windows. Сейчас мы поясним все, что вам нужно сделать:
- Нажмите Win+R, впишите regedit и нажмите Enter для запуска окна Реестра Windows.
- Далее пройдите путем «HKEY_LOCAL_MACHINE – Software – Policies – Microsoft».
- Выберите раздел «Windows Defender».
- Два раза кликните на запись «Default».
- Выставьте «Значение – 0».
- Нажмите Ок.
- Затем нажмите комбинацию клавиш Win+X и выберите «Панель управления».
- Перейдите в раздел Защитник Windows и убедитесь, что тот находится в активированном состоянии.
Если вышеуказанные шаги не смогли вам помочь с ошибкой 0x800704ec при запуске Защитника Windows, то попробуйте вот эти шаги:
- Повторите действия, с помощью которых вы открывали Реестр Windows и пройдите тем же путем.
- Выберите «DisableAntiSpyware».
- Нажмите два раза на запись «Default».
- Выставьте «Значение – 0».
- Повторите действия с проверкой Защитника Windows и удостоверьтесь, что тот находится в активированном состоянии.
Метод №3 Локальная групповая политика
Иногда проблема может заключаться не в Защитнике Windows и самой системе, но в том, что Защитник может быть отключен через Локальную групповую политику. Если ошибка 0x800704ec возникла именно из-за этого, то исправить такую ситуацию не составит труда. Для этого сделайте следующее:
- Нажмите комбинацию клавиш Win+R, впишите в пустую строку gpedit.msc и нажмите Enter, чтобы открыть Редактор локальной групповой политики.
- Далее пройдите путем «Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Windows Defender».
- Нажмите два раза на политику «Выключить Защитник Windows».
- Перед вами появится окно с названием «Выключить Защитник Windows». Убедитесь, что галочка в этом окне стоит напротив параметра «Не задано».
- Затем нажмите «Применить» и «Ок».
После пройденных действий, попробуйте запустить Защитник Windows и убедитесь, что ошибка 0x800704ec была устранена.
Метод №4 Включить службу Защитника Windows
Если вы не имеете у себя на компьютере никаких установленных антивирусных программ и все равно не можете включить Защитник Windows, то есть вероятность, что служба данного программного обеспечения попросту отключена. В случае этого ее нужно запустить. Для этого сделайте следующее:
- Нажмите клавиш Win+R, пропишите services.msc и нажмите Enter.
- Найдите в списке служб «Защитник Windows» и кликните его дважды.
- Выставьте «Тип запуска – Автоматически» и нажмите на кнопку «Запустить», если того требует ситуация.
Если служба была отключена, то вы нашли свой источник проблемы в виде ошибки 0x800704ec и успешно исправили ее включением службы Защитника Windows.
При запуске приложений в Windows 7/8/10 система может вернуть ошибку «Эта программа заблокирована групповой политикой. Для получения дополнительной информации обратитесь к системному администратору».
Ошибка почти во всех случаях вызвана тем, что пользователь в процессе решения проблем с каким-то приложением включил политику ограничения программного обеспечения и забыл ее отключить. Также она иногда вызывается ПО, например сторонней программой безопасности, настроенной на блокировку определенных приложений. Рассмотрим способы решения этой неполадки.
Что такое Групповые политики (Group Policy)?
Если верить скучным определениям, то групповые политики (или Group Policy) — это эффективный и централизованный механизм управления многочисленными параметрами операционных систем и приложений. Групповые политики позволяют админам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Проще говоря, это довольно мощный инструмент для ограничения в действиях обычных пользователей. Существует масса различных политик и прав, с помощью которых можно запретить вызов диспетчера задач или редактора реестра, запретить доступ к меню «Пуск», а также довольно гибко ограничить запуск программного обеспечения (это реализуется с помощью так называемых Software Restriction Policies). Является ли этот механизм эффективным? Лишь отчасти. Доступ к шорткатам, запуск левого ПО и системных приложений, изменение настроек — все это достаточно легко запрещается с помощью групповых политик, и с этой точки зрения можно сказать спасибо разработчикам ОС. Но, увы, как это обычно бывает, эти политики зачастую можно обойти. Тут стоит сделать оговорку. Все политики можно разбить на две категории — для компов и для пользователей. Групповые политики доступны как в домене, так и на локальном компе. Если речь идет о локальной машине, то их можно посмотреть через специальную оснастку gpedit.msc (secpol.msc). В данной статье основной акцент сделан именно на доменные групповые политики. Итак, приступим.
Восстановление защиты
Чтобы исправить реализацию опций защитника Windows нужно выполнить один из следующих приёмов.
Посторонний антивирус
Попробуйте проверить влияние дополнительно установленного антивируса в вашей среде Windows. Для этого временно отключите его (такая возможность должна быть предусмотрена в программе). Если что-то таким способом не получается — попробуйте его удалить. Для этого в строке поиска введите «appwiz.cpl» и подтвердите «Вводом».
В появившемся наборе установленных утилит найдите этот антивирус, поместите на него курсор, в вызванном правой мышкой контекстном меню активируйте команду «Удалить». Затем утвердительно ответьте на возможные запрашивания и перезагрузитесь.
Проверка защиты
Если положительный результат не достигнут — проверьте, находится ли защита во включённом состоянии. Для этого в «Панели управления» щёлкните по разделу «Защитник Windows». Откроется страница, на которой вы увидите его состояние (должно быть «Вкл.»).
Групповая политика
Блокирование защиты может быть спровоцировано в настройках «Локальной групповой политики». Для исправления нужно пройти в её редактор. Сначала по команде «gpedit.msc» в строке поиска попадаем в «Конфигурацию». Из неё через «Административные шаблоны» и «Компоненты» попадаем в «Защитник Windows». Двойным тапом щёлкаем по «Отключить». В ещё одном открывшемся диалоге проверяем, чтобы отключению соответствовало значение «не задано».
Корректировка реестра
Возможное решение проблемы может быть в редактировании реестра. Попадаем в него вводом команды regedit в строке поиска. Заходим в «HKEY_LOCAL_MACHINE», далее в Software, потом в «Policies/Microsoft». Выбираем Windows Defender, дважды кликаем по Default. Применяем «значение 0» и подтверждаем — ОК. После этого проверяем состояние защиты (см. выше).
Запуск службы
Запускается служба защиты так:
- Введённую в окне поиска команду «msc» подтверждаем клавишей «Ввод».
- В наборе служб находим «Защитник Windows», дважды щёлкаем по нему.
- Устанавливаем «Автоматический» тип старта и нажимаем «Запустить».
В результате рассмотренных выше действий защита вашей системы на компьютере будет возобновлена и вы сможете спокойно продолжать работу. Читайте наши новые статьи, задавайте новые вопросы, оставляйте комментарии.
Источник: https://nastroyvse.ru/opersys/win/kak-ispravit-oshibku-zashhitnika-windows-0x800704ec.html
Трюк 1. Обходим загрузку политик
Давай разберемся, как вообще каждая машина в локальной сети получает групповые политики из домена? Процесс создания групповых политик можно разбить на следующие условные этапы:
- Админ создает объект групповой политики.
- Привязывает его к каким-то элементам домена.
- При входе в домен комп отправляет запрос на получение политик и получает их в ответ от домена.
- При входе пользователя выполняется аналогичный запрос, но уже по пользовательским политикам.
Итак, что мы здесь видим: политики подгружаются на стадии входа в систему. Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут. Но если политики не были получены во время входа в систему, то обновляться они не будут! Вырисовывается элементарный способ, как эту особенность можно использовать:
- Вынимаем патч-корд из компа.
- Включаем комп и логинимся под своей учеткой.
- Подключаем патч-корд обратно.
Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик. При этом мы спокойно сможем использовать ресурсы сети, так как патч-корд к этому моменту будет на месте, а со всякими авторизациями на удаленных ресурсах справится сама винда. Стоит добавить, что в безопасном режиме винды групповые политики вообще не действуют. Комментарии, я думаю, излишни.
Действующий «Защитник Windows» компании Microsoft бесплатно монтируется во все операционные системы Виндовс. Функция его заключается в защите элементов системы от сомнительных изменений. Производится это при помощи постоянного мониторинга путём сканирования.
В операционную систему Windows встроен бесплатный антивирус.
Давайте разберёмся, что происходит, когда во время очередного старта программы-защитника на экране формируется сообщение-ошибка, код которой 0x800704ec, и какими методами это исправить.
Трюк 2. Как происходит проверка политик?
Важно понимать, на каком этапе происходит сопоставление действия, которое хочет выполнить пользователь, с теми ограничениями групповых политик, которые на него накладываются. Сперва давай разберемся, где расположены политики. Изначально, конечно, на контроллере домена, откуда уже передаются на машины в локальной сети. После получения групповых политик на клиентской машине они сохраняются в реестре винды в следующих местах (приведены основные ветки):
Политики для компа:
- HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionPolicies
- HKEY_LOCAL_MACHINESoftwarePolicies
Политики для пользователей:
- HKEY_CURENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicies
- HKEY_CURENT_USERSoftwarePolicies
Когда запускается какой-то процесс, то в нем (то есть в userspace’е) производится проверка данных веток реестра (через подгруженную библиотеку advapi.dll) на те или иные ограничения, которые потом кешируются/сохраняются в памяти процесса. Они проверяются, когда пользователь выполняет какое-то действие, например запуск ПО. В чем подвох? В том, что контроль производится из самого процесса. То есть если процесс «не захочет» проверять политики, то ничто его не заставит их соблюдать. Никакого общего мониторинга не производится! Отсюда вывод: если мы каким-то образом сможем запустить произвольный процесс, то политики нам уже не страшны. Сделать как правило — не проблема. Даже если нет возможности закачать программу на хост, можно выполнить ее удаленно (например, через шару).
Отключение политики ограничения применения программного обеспечения
Откройте новый лист Блокнота и введите или вставьте следующий код: REG ADD HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f
Нажмите Ctrl + S для сохранения нового документа. Откроется окно с выбором места для сохранения. Укажите папку, в которую ходите сохранить документ, щелкните на выпадающий список типа файла и выберите «Все файлы». Присвойте ему любое имя, только обязательно укажите расширение *.bat , затем щелкните на кнопку «Сохранить».
В Проводнике или другом файловом менеджере перейдите в ту папку, в которой сохранили BAT-файл и запустите двойным щелчком мыши. Подтвердите это действие в следующем окне.
BAT-файл запустит командную строку и выполнит в ней указанную программу. После ее завершения перезагрузите компьютер.
Попробуйте запустить программу, которая была заблокирована групповой политикой.
Трюк 3. Обходим SRP
Увы, дальше на нашем пути возникает другой механизм ограничений — SRP (Software Restriction Policies). Это группа политик, с помощью которых админ может ограничить список ПО, которое может запускать пользователь, через черный и белый списки. Blacklist и Whitelist определяются с помощью правил, которые можно задавать несколькими способами: по зонам и по сертификатам (первые два варианта практически не используются), а также по пути до файла и по его хешу. О том, что в системе действуют политики SRP, указывает соответствующий пункт в реестре — HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft WindowsSafer CodeIdentifiersTransparentEnabled со значением большим 0, который, как уже было сказано выше, проверяется при запуске процесса. Наша задача, соответственно, отрубить эту проверку внутри запускаемого процесса. Марк Руссинович еще в далеком 2005 году опубликовал пост в блоге об обходе SRP и представил тулзу GPdisable. Она производит DLL-инъекцию в заданный процесс, подгружая специальную DLL’ку. Когда процесс попытается получить значение ключа реестра HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSafer CodeIdentifiersTransparentEnabled, то есть будет проверять присутствие политик SRP, данная библиотека перехватит запрос и возвратит STATUS_OBJECT_NAME_NOT_FOUND. Таким образом, процесс думает, что все ОК и SRP политики в системе не действуют. После покупки компании Sysinternals Майкрософтом GPdisable перестал был официально доступным (но его по-прежнему легко найти в Сети. Есть еще более продвинутые решения. Утилита GPCul8or от Eric’a Rachner’a выполняет аналогичные функции, но доступна в исходниках. Что это нам дает? Мы можем добавить в GPCul8or любые другие значения реестра винды (DisableTaskMgr, ProxySettingsPerUser к примеру) и таким образом обойти все возможные ограничения политик. Какие именно значения, спросишь ты. Тебе в помощь RegMon от Марка Руссиновича, хотя, по сути — это все значения из ветки Policies. Другой оригинальный способ в своем блоге опубликовал Дидье Стивенс. Используя свою тулзу bpmtk (Basic Process Manipulation Tool Kit), он предложил прямо в памяти процесса изменять значение необходимого для групповой политики ветки реестра.
LiveInternetLiveInternet
—Рубрики
- Кулинарные рецепты (5788)
- Компьютер,телефон (5384)
- Разное (903)
- Стихи (845)
- Библиотека (701)
- Интернет (652)
- ссылка (568)
- Видео (392)
- ХУДОЖЕСТВЕННЫЕ фильмы (381)
- Документальные фильмы (83)
- 1000 советов автолюбителю (365)
- Изречения, чувства, мысли (353)
- Полезное для себя (330)
- Животные и птицы (288)
- Кроссворды, загадки (277)
- Музыка (237)
- Сделай сам (176)
- Медицина (163)
- Игры (158)
- Фотоальбом (152)
- Фотошоп (148)
- Приколы (147)
- В помощь новичку (134)
- Фото (131)
- Кофе,шоколад,чай (126)
- Поздравитель (119)
- Природа (113)
- Юмор (105)
- Подводный мир (97)
- Пожелания (95)
- Православие (91)
- Флэшки (83)
- Мультфильм (81)
- Развивающие мультфильмы (14)
- Генераторы (71)
- Диеты (67)
- Гороскоп (56)
- Анимации (49)
- FAQ (45)
- Рамки (44)
- Анекдоты (37)
- Плэйкасты (36)
- Схемы (32)
- Открытки (24)
- Мода. Всё для женщин (23)
- Пазлы (21)
- Переводчики (16)
- ТV и Радио (15)
- Крым (14)
- Шрифты (14)
- Картинки (14)
- Рамки с картинками (11)
- Коды (11)
- Эпиграфы (8)
- Политика (5)
- Администрация (3)
Трюк 4. Binary planting
Утилита GPdisable состоит из двух файлов:
- gpdisable.exe — инъектирует DLL в процесс;
- gpdisable.dll — специальная DLL для обхода SRP.
Как я уже сказал, если мы можем запустить приложение, то можем легко обойти SRP и другие политики (через GPdisable, bpmtk, GPCul8or — неважно). Однако в реальной системе может оказаться не так уж просто запустить эти приложения. Но мы можем подгрузить DLL (в том числе gpdisable.dll). Тут есть важный нюанс. Групповые политики при запуске ПО могут проверять и DLL’ки, но при этом достаточно сильно падает производительность системы, потому по умолчанию эта опция отключена. И мы это можем использовать! Очень кстати приходится недавнее исследование от компании Across Security, которое рассказывает о новых (достаточно извращенных, но работающих) методах подгрузки кода в процессы. Прием называется Binary planting (и как его классический пример — dll hijacking), при его изучении у меня возникла мысль: «а почему не использовать его для обхода групповых политик?». Если система разрешает запуск приложений только из белого списка (пускай даже только Word), то этого уже достаточно, чтобы подгрузить нашу полезную DLL для обхода SRP. Итак, попробуем скрестить dll hijacking от парней из Across и GPdisable:
- Переименовываем gpdisable.dll в ehTrace.dll.
- Создаем папку с именем куку.{2E095DD0-AF56-47E4-A099-EAC038DECC24} (название любое, текст после точки исчезнет).
- Кидаем ehTrace.dll в только что созданную папку.
- Заходим в папку и создаем там любой документ в Word, Excel или, к примеру, PDF’ку.
- Теперь открываем только что созданный файл.
- Соответствующая программа должна запуститься. И запустить вместе с подгруженной DLL’кой!
- Все, политики нам не страшны.
Рекомендации специалистов
Использовать указанные методы можно, если вы полностью уверены в безопасности софта. Если же имеются сомнения, специалисты рекомендуют:
- Удалить установленный файл и заново его загрузить на ПК с официального сайта.
- Проверить программу на наличие вирусов. Лучше всего подойдет антивирус Avast.
Если даже после этого возникла проблема с запуском приложения, в таком случае можно смело опробовать один из описанных выше способов.
Теперь вы знаете, что делать, когда нужное приложение заблокировано администратором, т. е. защитной системой Виндовс 10. Используйте описанные методы, и свободно используйте все возможности своего ПК.
Трюк 5. Используем исключения
Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:
- на программы, запущенные от имени учетной записи SYSTEM;
- драйверы и другие приложения уровня ядра;
- макросы внутри документов Microsoft Office;
- программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).
Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). Utilman.exe (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.
Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:
Sub GOSHELL() Shell «C:windowssystem32regedit.exe», vbNormalFocus End Sub
В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как cmd.exe. Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!
Трюк 6. Используем переменные среды
Когда начинаешь мучить групповые политики, то приходит осознание, что для создания защищенной системы потребуется попотеть. Дело трудное и с большим количеством тонкостей. Например, разработчики предлагают админам использовать удобный хинт — указывать переменные среды в качестве путей для ограничений SRP. Да вот здесь проблема. У пользователя, если их жестко не прищучить, есть возможность их переопределять. Указал, например, админ, что из папки %TEMP% можно запускать exe’шники, а юзер взял да и переопределил следующей командой:
Set TEMP C:
И вот так просто получил возможность запускать файлы из корня C:. Кроме того, не стоит забывать про стандартные директории, из которых разрешен запуск exe-файлов:
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%*.exe
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%System32*.exe
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionProgramFilesDir%
Они разрешают запуск ПО только из папки Windows и Program Files для пользователей. У обычного пользователя нет возможности записи в них, но и здесь могут быть проблемы. Так как на самом деле права на запись у пользователя есть — по дефолту в папку C:windowssystem32spoolPrinters и C:windowstemp. Если у пользователя будет возможность писать в какой-то каталог с софтом, то, считай, соответствующие политики SRP уже не сработают. Кстати, для того чтобы на практике поверить, какие у пользователя есть права, поможет тулза — AccessChk от все того же Руссиновича.
Не включается защитник windows 7 ошибка 0x800704ec
I am unable to open the Windows Store, every time I try to access the store it gives this message that I have included below. Any help would be much appreciated because I have no clue why this is being blocked. Here is a little bit of information about the PC set up:
- My PC is running Windows 10 Enterprise.
- I have not made any changes to my PC.
- We have Windows Intune, but even when we delete Intune the Windows Store will not work.
- The PC is not connected to a Network domain.
I am unable to attach the picture, but this link will take you to the picture.
- Изменен тип CIS-03 9 июня 2021 г. 15:11
I did change the permissions, but it did not help either. I ended up just having to to a refresh of the Windows 10. This was not the way that I wanted to fix it, but it did fix the problem. So, if anyone else has this problem and has tried the things above and it does not fix the problem then it might be best to just do a refresh of Windows 10. I know this is not the best way, but it does fix the problem. You will want to make sure that you take a full system image before so that you can recover any files that might get lost. Thanks for trying to help! I appropriate your time and thoughts that you gave me.
- Помечено в качестве ответа CIS-03 14 июля 2021 г. 17:32
Все ответы
This issue can be caused that the Store is disabled by policy:
Change the registry as below:
RemoveWindowsStore DWORD
= Enable Store
Please mark the reply as an answer if you find it is helpful.
If you have feedback for TechNet Support, contact [email protected]
- Предложено в качестве ответа Kate Li Microsoft employee 15 июня 2016 г. 8:02
- Отменено предложение в качестве ответа Kate Li Microsoft employee 15 июня 2021 г. 8:02
I have tried this and it does not fix my problem. I rebooted the computer to make sure that it was applied, but I still get the same error message.
What account you are using to sign into your Windows Store, Azure AD account or general Microsoft account.
I consider that could the first one.
Please try to run WSReset.exe on your PC to see if it can fix your issue by removing catch and other account in Windows Store.
Please mark the reply as an answer if you find it is helpful.
If you have feedback for TechNet Support, contact [email protected]
- Изменено Kate Li Microsoft employee 16 июня 2021 г. 8:41
At first I was thinking it was a general account, but I do believe we have Azure AD, so that is what I would use to sign in. I have just tried the WSReset.exe, and I am still having the same problem.
I just realized that you were asking about signing into the Windows Store. I am unable to even get into the store where I could sign in with any account. Right after I click on the Store icon it opens that error/block screen.
According to current information, this issue could be caused the remaining old GP.
Трюк 7. Используем другого пользователя
Есть способ не подпустить подгрузки политик, но для этого трика нам понадобятся логин и пароль другого пользователя. Суть в том, что нам надо войти в систему «еще раз», но не под собой. Тут два варианта:
- + правый клик на запускаемом файле, далее в контекстном меню выбираем «Run as…».
- Через консоль набираем команду: runas /noprofile <�название exe-файла>.
Другой пользователь, под которым ты запускаешь программку, как и ты, может быть обычным пользователем с ограниченными правами. Но политики на запущенную программку уже не будут действовать! См. рисунок.
На нем пользователь test_gpo3 не может запустить regedit из-за политик. Но, запустив под test_gpo2 любой exe’шник (диспетчер задач например), он уже ничем не ограничен и поэтому может запустить regedit. Кроме того, если у нас есть возможность удаленного входа в систему (по RDP, например), то мы можем провести аналогичный финт, но только с одной учеткой (демонстрацию можешь посмотреть в этом видео).
Включение встроенной защиты из системного реестра
Имейте в виду, что применить это решение можно только после выполнении предыдущих шагов. Редактирование реестра может привести к нежелательным последствиям, поскольку Windows выключает Защитника, если обнаруживает присутствие другого антивируса. Поэтому проверьте, что нет конфликтующих программ и ОС не заражена.
После этого откройте Редактор реестра командой regedit из окна Win + R.
Перейдите в раздел:
Если в этом разделе обнаружите параметр DisableAntiSpyware , дважды щелкните на него, установите значение «0». Если этого параметра, то делать ничего не нужно.
Трюк 8. Вспоминаем про HTA
Последний хинт касается неофициальных исключений, на которые не действуют групповые политики. Вадимc Поданс написал в блоге отличную серию постов, посвещенных SRP-политикам. В частности, он обнаружил отличный путь для их обхода и запуска произвольного кода с использованием приложения HTA (HTML Application).
Итак, последовательность действий:
- Создаем файлик с примерно таким текстом:
msgbox «I’m dangerous VB Code!!!»
- Сохраняем его с расширением .hta (например, execute_this.hta).
- Создаем ярлык для него.
- Открываем ссылку — и hta запускается.
Надо ли говорить, что вместо вызова безобидного MessageBox’а VB-код может сделать в системе что угодно? Политики SRP должны проверять весь код, который может исполняться, в том числе и всевозможные скрипты. Однако из-за тонкостей работы групповых политик данный обход работает. К аналогичным «глюковатым» расширениям помимо HTA Вадимс относит REG, MSC, HTA, CHM. Точно так же ситуация наблюдается и с com-файлами (в том числе всякими олдскульными ДОС’овскими программами, которые все еще разбросаны в папке винды). Они не учитывают правила групповых политик, так как работают в виртуальной машине DOS.
Возобновление безошибочной работы защитника
Действующий «Защитник Windows» компании Microsoft бесплатно монтируется во все операционные системы Виндовс. Функция его заключается в защите элементов системы от сомнительных изменений. Производится это при помощи постоянного мониторинга путём сканирования.
В операционную систему Windows встроен бесплатный антивирус.
Давайте разберёмся, что происходит, когда во время очередного старта программы-защитника на экране формируется сообщение-ошибка, код которой 0x800704ec, и какими методами это исправить.
Групповые политики в тонких клиентах
Хочется еще рассказать про такие системы, как Citrix XenApp. Что это такое? XenApp, если говорить простым языком, это система «доставки» приложений (хотя это только часть функционала). По сути, это что-то типа терминального сервера винды, но когда пользователю доступно только конкретное приложение. В жизни это выглядит так. Пользователь коннектится клиентом к Citrix-серверу — ему выводится список доступного ПО. Далее юзер запускает какое-то приложение и начинает в нем работать. Основная фича в том, что фактически процесс приложения выполняется на Citrix-сервере. По сути, данный подход хорош (особенно с тонкими клиентами), но у него есть пучок косяков с точки зрения безопасности. Так как процесс — на сервере, то, значит, пользователю доступны все ресурсы сервера (с учетом пользовательских прав, конечно). Это не очень хорошо, так как предполагается, что у пользователя должен быть доступ только к запущенной программе, а не к ОС. Что еще хуже, добраться-то до самой ОС — не проблема. Даже если у самого ПО нет возможности по взаимодействию с ОС (нет меню «Открыть», «Сохранить как»), то стандартные возможности винды все еще работают: нажимаем в Citrix-приложении — нам открывается диспетчер задач Citrix-сервера, или правый клик по раскладке клавиатуры, а оттуда в файл справки с возможностью листинга директорий. Лично я столкнулся с групповыми политиками именно в этом контексте — при взломе Citrix.
Отключение функции блокировки в Symantec Endpoint Protection
Это решение предназначено для тех пользователей, у которых установлен антивирус Symantec Endpoint Protection. Этот пакет безопасности включает функцию блокировки запуска всех приложений на съемных дисках. Попробуйте ее отключить.
Откройте антивирус и перейдите на вкладку Управления приложениями и устройствами. Затем выберите Управление приложениями.Проверьте, что флажок на опции блокировки запуска программ со съемных носителей не установлен. В противном случае снимите отметку и сохраните изменения.
Закройте антивирус, перезапустите компьютер. Изменения вступят в силу после перезагрузки, после чего проверьте, заблокирован ли запуск программ.
Источник
This program is blocked by Group Policy [FIX]
by Milan Stanojevic
Milan has been enthusiastic about technology ever since his childhood days, and this led him to take interest in all PC-related technologies. He’s a PC enthusiast and he… read more
Published on June 27, 2019
Have you ever encountered This program is blocked by Group Policy error on your PC? Fortunately for you, this error is relatively simple to fix, and today we’ll show you how to fix it for good.
Here’s how one user on Technet Microsoft forums reported the issue:
I’m an IT technician and one of my clients has suddenly experienced an issue whereby they can no longer execute two programs without right clicking and selecting “Run As Administrator”. This happened “out of the blue” and without any warning or trigger event. The user has been running this same configuration for months before this issue started happening.
If they just click the icon and do a normal execute they receive the message “Program blocked by Group Policy”.
How do I unblock a program that is blocked by the administrator?
1. Disable the Software Restriction Policy
- Press Windows Key + X -> Select Command Prompt (Admin).
- Run the following command in the Command Prompt:
REG ADD HKLMSOFTWAREPoliciesMicrosoft
WindowsSaferCodeldentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f
- After it will appear the message that is OK, you can reboot your computer to save the changes and hopefully, the issue will be fixed.
2. Delete Registry Keys
- Press Windows Key + R -> Type regedit -> Press Enter to open Registry Editor.
- Go to the next registry key: HKEY_CURRENT_USERSoftwareMicrosoftWindows.
- Then select CurrentVersionPoliciesExplorerDisallowRun.
- Press DisallowRun and if appears at Data: msseces.exe, right-click on it (msseces.exe) and Delete.
- To save changes, you have to reboot your computer and see if the error message still appears.
Can’t run Group Policy Editor on Windows 10 Home Edition? Try this simple fix!
3. Create a New User Account
- Press Windows Key + I to open Settings -> then press Accounts.
- Select Family & other people (you can find it in the left-hand menu) -> Add someone else o this PC.
- Press on I doesn’t have this person’s sign-in information.
- Click on Add a user without a Microsoft Account.
- Create the new username and password for the new account and press Next.
- Next, you have to Sign In with this new user account.
- Check if the problem is still there.
There you go, few simple solutions that should help you out
RELATED STORIES YOU SHOULD CHECK OUT:
- The group policy client service failed the logon error on Windows 10 [FIX]
- Full Fix: Corrupt local group policy on Windows 10, 8.1, 7
- How to edit the Group Policy on Windows 10, 8.1
Newsletter
This program is blocked by Group Policy [FIX]
by Milan Stanojevic
Milan has been enthusiastic about technology ever since his childhood days, and this led him to take interest in all PC-related technologies. He’s a PC enthusiast and he… read more
Published on June 27, 2019
Have you ever encountered This program is blocked by Group Policy error on your PC? Fortunately for you, this error is relatively simple to fix, and today we’ll show you how to fix it for good.
Here’s how one user on Technet Microsoft forums reported the issue:
I’m an IT technician and one of my clients has suddenly experienced an issue whereby they can no longer execute two programs without right clicking and selecting “Run As Administrator”. This happened “out of the blue” and without any warning or trigger event. The user has been running this same configuration for months before this issue started happening.
If they just click the icon and do a normal execute they receive the message “Program blocked by Group Policy”.
How do I unblock a program that is blocked by the administrator?
1. Disable the Software Restriction Policy
- Press Windows Key + X -> Select Command Prompt (Admin).
- Run the following command in the Command Prompt:
REG ADD HKLMSOFTWAREPoliciesMicrosoft
WindowsSaferCodeldentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f
- After it will appear the message that is OK, you can reboot your computer to save the changes and hopefully, the issue will be fixed.
2. Delete Registry Keys
- Press Windows Key + R -> Type regedit -> Press Enter to open Registry Editor.
- Go to the next registry key: HKEY_CURRENT_USERSoftwareMicrosoftWindows.
- Then select CurrentVersionPoliciesExplorerDisallowRun.
- Press DisallowRun and if appears at Data: msseces.exe, right-click on it (msseces.exe) and Delete.
- To save changes, you have to reboot your computer and see if the error message still appears.
Can’t run Group Policy Editor on Windows 10 Home Edition? Try this simple fix!
3. Create a New User Account
- Press Windows Key + I to open Settings -> then press Accounts.
- Select Family & other people (you can find it in the left-hand menu) -> Add someone else o this PC.
- Press on I doesn’t have this person’s sign-in information.
- Click on Add a user without a Microsoft Account.
- Create the new username and password for the new account and press Next.
- Next, you have to Sign In with this new user account.
- Check if the problem is still there.
There you go, few simple solutions that should help you out
RELATED STORIES YOU SHOULD CHECK OUT:
- The group policy client service failed the logon error on Windows 10 [FIX]
- Full Fix: Corrupt local group policy on Windows 10, 8.1, 7
- How to edit the Group Policy on Windows 10, 8.1