- Заметки Лёвика
- web программирование, администрирование и всякая всячина, которая может оказаться полезной
- Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения
- Комментарии (8) к записи “Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения”
- Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения
- Приложение
- Формат реестра
- Пошаговое руководство по цифровому подписыванию файлов тестовыми сертификатами
- Заключение
- Связанные ресурсы
Заметки Лёвика
web программирование, администрирование и всякая всячина, которая может оказаться полезной
Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения
Что делать, если при запуске программы возникает ошибка “Невозможно открыть данную программу из-за политики ограниченного применения программного обеспечения. За дополнительной информацией обратитесь к администратору.”?
Довольно часто такое сообщение появляется после очередного вирусного заражения. Тем более, если данная программа относится к антивирусным (многие вирусы запрещают запуск известных им антивирусов: DrWeb, NOD32, Kaspersky Antivirus, Avast! и некоторых других). Поэтому предварительно следует проверить компьютер антивирусом со свежими базами или одной из антивирусных утилит (если есть возможность — загрузиться с LiveCD)
Как исправить ошибку политики ограничения?
Запускаем редактор групповой политики (Пуск — Выполнить — gpedit.msc ). Далее следуем по дереву в левой части окна: “Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования программ”.
Если после выбора последнего пункта (Политики ограниченного использования программ) в правой части окна что-то вроде “Политики не определены” следует правой кнопкой мыши выбрать этот же пункт и при помощи появившегося контекстного меню “Создать политику ограниченного использования программ“.
Далее кликаем правой кнопкой мыши на параметре “Неограниченный” и устанавливаем “По умолчанию”. После этого ошибка политики ограничения ПО должна исчезнуть.
Если вариант с gpedit не подошел (на некоторых системах данная оснастка по умолчанию отсутствует), можно воспользоваться следующим:
1. Запускаем редактор реестра (Пуск — Выполнить — Regedit)
2. Переходим в раздел
HKLM/Software/Policies/Microsoft/Windows/Safer/CodeIdentifiers/0/Paths
и удаляем все ветки похожие на
3. Перегружаемся
Метки: windows
Опубликовано Понедельник, Май 24, 2010 в 23:04 в следующих категориях: Без рубрики. Вы можете подписаться на комментарии к этому сообщению через RSS 2.0. Вы можете добавить комментарий, или trackback со своего сайта.
Автор будет признателен, если Вы поделитесь ссылкой на статью, которая Вам помогла:
BB-код (для вставки на форум)
html-код (для вставки в ЖЖ, WP, blogger и на страницы сайта)
ссылка (для отправки по почте)
Комментарии (8) к записи “Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения”
Огромное спасибо, помогло.
Спасибо! Второй вариант сработал. gpedit.msc даже не смог запустить Каспер теперь запускается, теперь остаётся избавиться от вируса!
Spasibo bolshoe. Pomoglo prosto slov netu celix tri dnya muchalsya, uje xotel pereustanovit Windu;) Ogromnoe SPASIBO.
Спасибо!
Правка реестра — помагла
О и у меня получилось.
Тоже через реестр.
Было три ветки блокирующие антивирусы, хотя установлен один.
А создание политики в gpedit.msc не помогло
Спасибо — ты гений
Вариант (2) с удалением из реестра идентификаторов по ветке PATH сработал.
Программа ставила драйвера USB и не могла завершить их установку. Все время вылетала ошибка. А, после чистки реестра по указанному пути в соответствии с рекомендациями выше — все произошло отлично. Групповая политика НИ ПРИ ДЕЛАХ.
Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения
Посетителей: 74788 | Просмотров: 126347 (сегодня 0)
Приложение
Этот раздел содержит список назначенных по умолчанию типов файлов, форматы системного реестра и руководство по цифровому подписыванию файлов тестовыми сертификатами.
| Таблица 11 — Назначенные типы файлов по умолчанию | |
| Расширение файла | Описание файла |
| . ADE | Расширение проекта Microsoft Office Access |
| . ADP | Проект Microsoft Office Access |
| . BAS | Модуль класса Visual Basic® |
| . BAT | Пакетный файл |
| . CHM | Файл справки компилированного языка HTML |
| . CMD | Сценарий Windows NT® |
| . COM | Приложение MS-DOS® |
| . CPL | Компонент панели управления |
| . CRT | Сертификат безопасности |
| . EXE | Приложение |
| . HLP | Файл справки Windows |
| . HTA | Приложения HTML |
| . INF | Информационный файл установки |
| . INS | Параметры связи через Интернет |
| . ISP | Параметры связи через Интернет |
| . JS | Файл JScript® |
| . JSE | Файл зашифрованного сценария JScript |
| . LNK | Ярлык |
| . MDB | Приложение Microsoft Access |
| . MDE | База данных MDE Microsoft Access |
| . MSC | Документ общей консоли |
| . MSI | Пакет установщика Windows Installer |
| . MSP | Исправления Windows Installer |
| . MST | Исходный файл Visual Test |
| . PCD | Образ Photo CD |
| . PIF | Ярлык к программе MS-DOS |
| . REG | Файл реестра |
| . SCR | Хранитель экрана |
| . SCT | Компонент сценария Windows |
| . SHS | Объект-фрагмент оболочки |
| . URL | Ярлык Интернета (URL) |
| . VB | Файл VBScript |
| . VBE | Файл зашифрованного сценария VBScript |
| . VBS | Файл сценария VBScript |
| . WSC | Компонент сценария Windows |
| . WSF | Файл сценария Windows |
| . WSH | Файл настроек сервера сценариев Windows |
Формат реестра
После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее.
Политика пользователя хранится в следующем разделе:
Политика компьютера хранится в следующем разделе:
Описание формата реестра
[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
CodeIdentifiers
DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000 – Неограниченный (Unrestricted), 0 – Не разрешено (Disallowed))
ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: список расширений для назначенных типов файлов)
TransparentEnabled, DWORD (Опции принудительного применения: 0 – Не применять политику, 1 – применять ко всем файлам, кроме библиотек DLL (Skip DLL), 2 – применять ко всем файлам)
PolicyScope, DWORD (Область действия: 0 – Применять для всех пользователей, 1 – Применять для всех пользователей, кроме администраторов (Skip Administrators)), только для HKLM
[Необязательные значения реестра. Должны быть заданы вручную]
AuthenticodeEnabled, DWORD (Разрешение Authenticode: 1 – Применять правила для сертификата к файлам .EXE), только для HKLM
LogFileName, REG_SZ (Расширенное протоколирование: путь к файлу журнала и включение расширенного протоколирования), только для HKLM
0
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)
Hashes (Правила для хеша)
Примечание: Каждое число в скобках – это код GUID. Каждый код GUID является уникальным.
Description, REG_SZ (Описание: текстовое описание)
FriendlyName, REG_SZ (Сокращенное имя: информация о версии файла)
ItemData, REG_BINARY (Данные: значение хеша)
ItemSize, QWORD (Размер: размер файла)
HashAlg, DWORD (Алгоритм хеширования: 32771 – MD5, 32772 – SHA1)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
Path (Правила для пути)
Description, REG_SZ (Описание: текстовое описание)
ItemData, REG_SZ (Данные: путь)
ItemData, REG_EXPAND_SZ
Примечание. тип REG_EXPAND_SZ имеют правила для пути в реестре и правила для пути, в которых используются переменные среды
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
UrlZones (Правила для зоны Интернета)
ItemData, DWORD (Данные: идентификатор зоны Интернет)
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: не используется)
262144
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)
Hashes (Правила для хеша)
Paths (Правила для пути)
Правила для сертификата
Правила политик ограниченного использования программ для сертификата хранятся в отдельном разделе реестра.
Правила для политик пользователей хранятся в следующем разделе реестра:
| • | HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates |
Правила для политик компьютеров хранятся в следующем разделе реестра:
| • | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates |
[HKCU или HKLM]\SOFTWARE\Policies\Microsoft\Windows\SystemCertificates
TrustedPublishers
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Неограниченный (Unrestricted)
Certificates (Правила для сертификата)
D4C408A1F8EF6B49F837C54E5F697DC11EEB3F53
Примечание. Это хеш сертификата
Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)
Disallowed (Не разрешено)
Примечание. Записи в этом разделе являются правилами с уровнем безопасности Не разрешено (Disallowed)
Certificates (Правила для сертификата)
C9902A94036312086FFAD974760D96CA93284555
Примечание. Это хеш сертификата
Blob, REG_BINARY (Объект BLOB: двоичное значение сертификата)
Параметры по умолчанию
[HKCU or HKLM]\SOFTWARE\Policies\Microsoft\Windows\Safer
CodeIdentifiers
DefaultLevel, DWORD (Уровень безопасности по умолчанию: 40000)
ExecutableTypes, REG_MULTI_SZ (Исполняемые файлы: WSC, VB, URL, SHS, SCR, REG, PIF, PCD, OCX, MST, MSP, MSI, MSC, MDE, MDB, LNK, ISP, INS, INF, HTA, HLP, EXE, CRT, CPL, COM, CMD, CHM, BAT, BAS, ADP, ADE)
TransparentEnabled, DWORD (Опции принудительного применения: 1, не проверять библиотеки DLL)
PolicyScope, DWORD (Область действия: 0)
0
Path (Правила для пути)
Description, REG_SZ (Описание: нет)
ItemData, REG_EXPAND_SZ (Данные:
LastModified, QWORD (Дата последнего изменения: штамп времени)
SaferFlags, DWORD (Флаги: 0)
Пошаговое руководство по цифровому подписыванию файлов тестовыми сертификатами
В этом разделе рассматриваются процессы и инструменты для цифрового подписывания файлов, которые используются при работе с правилами для сертификата.
Шаг 1: Загрузка инструментов
Загрузите инструменты проверки подлинности Authenticode для Internet Explorer 5.0. Эти инструменты используются для цифрового подписывания и проверки файлов с помощью подписей Authenticode.
Step 2: Подача заявки на сертификат для подписывания кода
Следующий шаг – это получение действующего сертификата для подписывания кода. Для этого существует три способа:
| • | Подать заявку н сертификат в коммерческий центр сертификации, такой как VeriSign. Если Вы хотите, чтобы цифровые подписи Ваших файлов были действительны за пределами Вашей организации, Вам нужно воспользоваться этим способом. | ||||||||||||||||||||
| • | Установить центр сертификации Windows 2000 или Windows Server 2003. Подайте заявку на сертификат через этот центр сертификации. Если цифровыми подписями пользуются только сотрудники Вашей организации, Вам нужно воспользоваться этим способом. | ||||||||||||||||||||
| • | Создайте самоподписанный сертификат для задач тестирования. После загрузки инструментов Authenticode выполните следующие две команды: • makecert.exe -n «cn=TEST CERTIFICATE (FOR TEST PURPOSES ONLY!)» -ss my -eku 1.3.6.1.5.5.7.3.3 • Setreg.exe 1 true Команда setreg.exe указывает локальному компьютеру доверять сертификату центра Test Root Agency (центр сертификации операционной системы, предназначенный для задач тестирования), который выдает Вам тестовый сертификат для подписывания кода. Вы не должны использовать сертификаты Test Root Agency на рабочих машинах. Шаг 3: Подписывание файла Создайте тестовый файл сценария Visual Basic под названием hello.vbs со следующим содержимым:
Подпишите этот файл и установите штамп времени, выполнив следующую команду:
Если операция подписывания и установки штампа времени завершена успешно, Вы увидите надпись «Succeeded». Файл сценария будет содержать дополнительную Base64–шифрованную секцию с цифровой подписью, как изображено на Рисунке 11. Рисунок 11 — Файл сценария Visual Basic с цифровой подписью Вы можете проверить, что файл был правильно подписан, выполнив команду:
Появится диалоговое окно, изображенное на Рисунке 12. Рисунок 12 — Проверка подписанного файла Шаг 4: Создание правила для сертификата и правила для пути Выполните команду secpol.msc, чтобы начать редактирование локальной политики безопасности. Создайте два правила:
Выполните следующую команду, чтобы экспортировать сертификат в файл. Укажите этот файл во время создания правила для сертификата.
Вместе эти два правила запрещают выполнение любых файлов сценариев Visual Basic, кроме тех, которые подписаны тестовым сертификатом. Ваша политика должна выглядеть так, как показано в примере на Рисунке 13. Рисунок 13 — Политика ограниченного использования программ с правилом для сертификата и правилом для пути Шаг 5: Повторный вход в систему и тестирование политики ограниченного использования программ
ЗаключениеПолитики ограниченного использования программ предоставляют администраторам основанный на управлении политиками механизм идентификации программ, выполняющихся на компьютере домена, и контролируют возможность их выполнения. Политики ограниченного использования программ могут применяться для блокирования вредоносных сценариев, обеспечения безопасности компьютера или предотвращения запуска нежелательных приложений. Они могут использоваться изолированно или управляться через групповую политику, и могут быть приспособлены к потребностям группы пользователей или компьютеров. Политики ограниченного использования программ обеспечивают улучшенную целостность и управляемость системы и существенно снижают стоимость владения компьютером. Связанные ресурсыОбратитесь к следующим ресурсам для получения дальнейшей информации: |
