Czasami zachodzi konieczność ograniczenia dostępu do pewnych aplikacji czy też opcji systemu operacyjnego dla pewnych grup użytkowników, czy też samych użytkowników.

Wszystkich zmian dokonujmy z konta z uprawnieniami administracyjnymi na kontach innych użytkowników lub grup użytkowników. Tak, aby, na przykład odebrać dziecku możliwość uruchomienia aplikacji dla niego nie przeznaczonej.
Jako pierwszą opcje przedstawię wyjście najprostsze i najbardziej dostępne, jednak mające najmniejsze możliwości konfiguracji, jednak te obecne w zupełności nam wystarczą.

Korzystanie z karty właściwości i zabezpieczenia występującej przy plikach wykonywalnych.

Dla przykładu opierać będę się na aplikacji BESTplayer (plik bestplayer.exe).
Klikamy na, nim prawym przyciskiem myszy, a następnie wybieramy opcję właściwości.

W okienku które się nam ukazało klikamy w zakładkę opisaną zabezpieczenia.

Właśnie w obrębie tego okna i jego opcji będziemy dokonywali zmian uprawnień do tego pliku

Okno to można podzielić na 2 zasadnicze części:

  1. Kontekst: kogo dotyczy
  2. .Kontekst : uprawnienia do.

W tym momencie możemy już przejść do rzeczy.
Załóżmy, że osoba nieuprawnioną do uruchomienia i wykonywania jakichkolwiek akcji ma być Guest, a osoba uprawniona ma być "slump".
Jako, że na liście w obrębie kontekst: kogo dotyczy nie ma żądanego konta Guest , to, aby je dodać wykonujemy kolejno:

  1. Klikamy w przycisk edytuj.
  2. 2. W okienku, które się ukazało klikamy w dodaj
  3. Otworzyło nam się kolejne okno. W nim klikamy w zaawansowane
  4. W kolejnym oknie klikamy w zlokalizuj
  5. Na dole wyskoczyła nam lista odnalezionych użytkowników i grup użytkowników
  6. Odnajdujemy na niej Guest zaznaczamy i klikamy ok
  7. Ponownie klikamy ok
  8. W obrębie uprawnienia zezwalaj klikamy na pełna kontrola następnie zastosuj, ok i jeszcze raz ok
W ten sposób dodaliśmy na listę pożądane konto w obrębie, którego będziemy dokonywać zmian. Oczywiście, w/w kroków nie wykonujemy, jeśli żądane konto znajduje się już na liście.

Ponownie klikamy prawym przyciskiem myszy na ikonie programu i wybieramy kolejno właściwości, a następnie zabezpieczenia.
W obrębie Kontekst: kogo dotyczy klikamy w nazwę slump.

Na załączonym obrazie widzimy, że w obszarze uprawnień w zezwól zaznaczone są wszystkie opcje, co oznacza, że użytkownik ten ma pełne prawa w obrębie omawianej aplikacji, czyli tak jak założono.

Następnie kliknijmy w obrębie kontekst: kogo dotyczy w nazwę Guest.

Na załączonym obrazie widzimy, że użytkownik ten w obrębie uprawnień zezwól ma pełne prawa co nie jest zgodne z naszym założeniem.

Aby to poprawić i odebrać mu uprawnienia do uruchomiania tej aplikacji należny kliknąć w przycisk edytuj. Gdy to zrobimy i ustawimy się na nazwie Guest ukarze nam się takie okno:

Aby odebrać poszczególne opisane prawa wystarczy po prostu klikać w pola o określonym znaczeniu w obrębie zezwolenia odmów (kliknięcie w obrębie odmów w pole Pełna kontrola automatycznie zaznaczy wszystkie pola w obrębie odmów). Klikamy tak aby uprawnienia wyglądały w przedstawiony na poniższym zdjęciu sposób:

Następnie klikamy w Zastosuj (jeśli wyskoczy jakieś okienko wybieramy opcję TAK), a następnie jeszcze w ok.
W tym momencie, gdy użytkownik "slump" będzie próbować uruchomić tę aplikacje zostanie ona w normalny sposób zainicjowana.
Jednak, gdy użytkownik "Guest" wykona taka operacje jego oczom ukaże się:

Czyli odnieśliśmy postawiony cel.
Rozwiązanie to ma następujące wady:

Gdy zmienimy lokalizacje plików zachodzi konieczność re definiowania zasad. Lecz zrobić, to możemy tylko my, gdyż odebraliśmy wszelkie prawa użytkownikowi Guest w obrębie tej aplikacji.

Zaleta rozwiązania jest to, że zmienienie nazwy aplikacji na inną nie resetuje przypisanych uprawnień.

Skorzystanie z wbudowanej w Windows opcji o nazwie edytor lokalnych ustawień grupy.

Uwaga. Zmian należny dokonywać na koncie, którego one mają dotyczyć. Czyli, na przykład na koncie osoby na, która chcemy nadać restrykcje.

Jeśli podczas próby wprowadzenia zmian informowani jesteśmy o fakcie braku uprawnienia na dokonanie takiej operacji, to na czas zmian z konta o uprawnieniach administratora musimy zmienić typ konta, które chcemy ograniczyć z użytkownika standardowego na administratora. Po wprowadzeniu zmian na dane konto pamiętajmy o przywrócenia mu statusu konta standardowego.

Jeśli zmian dokonamy z konta własnego ( zakładam, że jesteśmy administratorem), to wprowadzone zmiany będą miały charakter globalny, czyli nikt nie będzie w stanie uruchomić aplikacji.

Aby uruchomić te opcję w menu start wpisujemy edytuj zasady grupy i uruchamiamy, to narzędzie. Ukaże się okno:

Interesuje nas opcja nazywa się nie uruchamiaj określonych aplikacji systemu Windows.
Aby się do niej dostać w oknie po lewej stronie klikamy kolejno w konfiguracja użytkownika dalej w szablony administracyjne następnie w system i teraz po prawej stronie mamy te opcję dostępną:

Klikamy dwukrotnie na tej opcji na naszym oczom ukaże się okno:

Klikamy na opcji włączone co uaktywni przycisk pokaż który klikamy a naszym oczom ukaże się:

Klikamy w pole poniżej napisu wartość i wpisujemy nazwę pliku, którego restrykcje maja dotyczyć (w naszym przypadku BESTplayer.exe). Zatwierdzamy wybór przyciskiem ok, następnie klikamy zastosuj i jeszcze raz ok.

Po tych operacjach w przypadku próby uruchomienia tego programu naszym oczom ukaże się komunikat:

To rozwiązanie posiada następujące wady:

Jeśli zmienimy nazwę pliku, znów zostanie on normalnie uruchomiony.
Ograniczenie to działa tylko w obrębie akcji podejmowanych poprzez eksplorator Windows.

Więc zablokowana aplikację będziemy w stanie uruchomić, na przykład poprzez wiersz polecenia.
Aby to uniemożliwić należy dodatkowo wykonać następujące operacje:

Uwaga. Zmian należy dokonywać na koncie, którego one mają dotyczyć. Czyli na przykład na koncie osoby na która chcemy nadać restrykcje.
Jeśli podczas próby wprowadzenia zmian informowani jesteśmy o fakcie braku uprawnienia na dokonanie takiej operacji, to na czas zmian z konta o uprawnieniach administratora musimy zmienić typ konta, które chcemy ograniczyć z użytkownika standardowego na administratora. Po wprowadzeniu zmian na dane konto pamiętajmy o przywrócenia mu statusu konta standardowego.
Aby się do niej dostać w oknie po lewej stronie klikamy kolejno w konfiguracja użytkownika dalej w szablony administracyjne następnie w system i teraz po prawej stronie mamy te opcję dostępną:

Klikamy w nią i ustawiamy na włączone, klikamy zastosuj i ok.
Natomiast sposób ten jest odporny na fakt przenoszenia aplikacji w różne miejsca.

Połączenie tego sposobu z odpowiednimi uprawnieniami w zakładce właściwości i zabezpieczenia daje niemal pewną możliwość blokowania dostępu do aplikacji.

Teraz możliwości dużo bardziej rozbudowane i trudniejsze w skonfigurowaniu.

Skorzystanie z wbudowanej w system Windows opcji o nazwie Zasady ograniczeń oprogramowania.

Aby się do niej dostać w menu start wpisujemy zasady zabezpieczeń lokalnych i uruchomiamy narzędzie.
Naszym oczom ukaże się:

Aby dostać się do opcji, o której będzie mowa klikamy w menu akcja i z niego wybieramy opcję nowe zasady ograniczeń oprogramowania.
Po tej operacji powinniśmy ujrzeć:

Klikamy w reguły dodatkowe, ukaże się takie okno:

Następnie klikamy w pierwszą pozycje pod napisem nazwa i widzimy:

Następnie klikamy w przeglądaj i wybieramy ścieżkę do blokowanej aplikacji.
Po jej zatwierdzeniu klikamy w Poziom zabezpieczeń i wybieramy niedozwolone.

Zatwierdzamy wybór i od tego czasu aplikacja będzie niemożliwą do uruchomienia, przez konta nie będące administratorem.

Jeśli aplikacja taka będzie uruchamiana przez użytkownika Guest zobaczy on okno z odmową dostępu.

AppLocker dostępny w niektórych wersjach systemu Windows 7.

Narzędzie to powstało jako rozwinięcie narzędzi omawianego w poprzednim punkcie.
Jest ono najlepsze, mające najwięcej opcji i możną je konfigurować w każdym aspekcie. Daje ono najlepsze zabezpieczenie.

Przed przystąpieniem do pracy musimy uruchomiać konieczną do pracy programu uslugię systemu Windows. Usługą która należy uruchomić jest Tożsamość aplikacji.

Aby ją uruchomić w menu star wpisujemy services.msc i uruchamiamy. W oknie które się ukazało szukamy pozycji o nazwie Tożsamość aplikacji wskazujemy ją przez zaznaczenie, klikamy prawym przyciskiem myszy i wybieramy uruchom.
Następnie Ponownie wybieramy prawym przyciskiem te nazwę i klikamy we właściwości. W polu typ uruchamiania wybieramy automatyczny i zapisujemy ustawienia.

Teraz jesteśmy gotowi do pracy.
Aby uruchomić aplikacje w menu start wpisujemy zasady zabezpieczeń lokalnych i uruchamiamy narzędzie.
Teraz odpowiednio przechodzimy : Zasady sterowania aplikacjami / AppLocker i naszym oczom ukarze się takie okno:

W tym momencie musimy utworzyć domyślne reguły.
Aby to zrobić wykonujemy kolejno:

Klikamy prawym przyciskiem myszy na reguły dla programów wykonywalnych i z menu wybieramy opcję utwórz domyślne reguły.

W ten sposób utworzone zostały standardowe zasady, które pozwalają na uruchamianie wszystkich plików znajdujących się w katalogach Windows i Program Files. Trzecia rola umożliwia administratorowi nielimitowany dostęp do wszystkich aplikacji ( co jest ważne gdyż naszym celem jest ograniczenie innym, nie posiadającym uprawnień administracyjnych użytkownikom możliwości uruchomienia aplikacji podczas gdy nas samych te ograniczenia nie będą dotykać).

W tym momencie możemy w końcu przystąpić do zablokowania możliwości uruchomienia przykładowej aplikacji.
Aby tego dokonać wykonujemy:
W miejscu gdzie utworzyły się domyślne reguły klikamy prawym przyciskiem myszy i wybieramy
Utwórz nową regułę.

Otworzy się kreator który przeprowadzi nas przez proces ustanawiania reguły.
Na pierwszym ekranie wprowadzającym klikamy dalej.
W drugim ekranie określamy, że nasza akcja ma być zabroń.
Poniżej wybieramy kogo ma ona dotyczyć.

Aby dokonać wyboru klikamy w wybierz i w okienku które się pojawiło klikamy zaawansowane a następnie w przycisk znajdź teraz. Z listy wybieramy konto lub grupę użytkownika do której odnosić się będzie tworzona reguła.
Dwukrotnie klikamy w wybrana nazwę a następnie wybieramy ok.

Jesteśmy przenoszeni do drugiego ekranu który został zaktualizowany a nam pozostaje kliknąć w przycisk dalej.
Wyświetlił nam się trzeci ekran w którym dokonujemy wyboru warunku na podstawie którego zostanie utworzona reguła.

Wybieramy pozycję ścieżka i klikamy dalej.

W piątym ekranie wybieramy przeglądaj pliki i w okienku które się ukazało ustawiamy się w katalogu w którym znajduje się blokowana aplikacja a następnie w dolnej części w pole o nazwie nazwa pliku wpisujemy początkowe litery nazwy pliku (system sam w miarę wpisywania liter zaproponuje pasujące wyniki) wybieramy nas interesujący i wybieramy opcje otwórz następnie cofamy się na zaktualizowany o nasze ustawienia poprzedni ekran i wybieramy dalej.

Szósty ekran daje nam możliwość określenia wyjątku od reguły, ale, ze podczas dodawania standardowych reguł dodaliśmy regułę dla administratora która sprawia, że nie ma on żadnych ograniczeń ekran ten możemy pominąć klikając w dalej.

Siódmy ekran pełni rolę podsumowania. Nic nie musimy robić, ale jeśli tworzymy wiele zasad lepiej ja odpowiednio opisać w polu komentarz i kliknąć w przycisk utwórz.

Utworzyliśmy regule i została ona dodana do listy.
To już koniec naszych działań.
Od tej pory konto na które zostało nałożone ograniczenie przy próbie dostępu do zabronionego pliku otrzyma komunikat, że ten program jest blokowany przez zasady grupy.

Metoda ta jest tak szeroko konfigurowalna, że zabezpiecza przed możliwościami jej oszukania przez próby zmiany nazwy pliku czy jego położenia. Oczywiście w podanym przeze mnie przykładzie takiego zabezpieczenia nie uzyskamy, ale wystarczy poczytać o tej metodzie więcej i zastosować ją w połączeniu z innymi przedstawionymi metodami a sposób ten będzie pewny. Samą tą aplikacją też możemy to osiągnąć, ale wykracza już to poza ramy tego tutorialu.

Dostępności poszczególnych metod:

Opcja pierwsza dostępna jest zawsze w każdej wersji Windows (Od Windows XP w górę) niezależnie od wersji Windowsa.
Opcja druga Może być niedostępna w Windows XP Home, niższych wersjach systemu Vista oraz Windows 7
Opcja ostatnia dostępna jest tylko w najwyższych (Ultimate oraz Enterprise wersjach systemu Windows 7), W Windows 7 Professional, można nakładać za pomocą tej aplikacji ograniczenia, jednak nie są one przez system wymuszane.