Однією з корисних можливостей операційної системи Windows є заборона запуску виконування файлів шкідливих і потенційно небезпечних програм. З цієї статті ви дізнаєтесь, як налаштувати заборону запуску виконуваних файлів .exe з каталогу і таким чином убезпечити свій комп’ютер від вірусів.
Групова політика (для Windows Pro/Enterprise)
1. Відкриваємо налаштування “Local Group Policy Editor” у Windows. Для цього запускаємо командний рядок за допомогою комбінації клавіш Win+R. Вводимо gpedit.msc у вікні “Виконати” і натискаємо “ОК“.
2. Переходимо у розділ “Конфігурація комп’ютера” – “Налаштування Windows” – “Параметри безпеки” (Security Settings) – “Політики обмеженого використання програм” (Software Restriction Policies) – “Додаткові правила“.
Якщо у вас відсутня папка “Додаткові правила”, то необхідно натиснути на “Політики обмеженого використання програм” правою кнопкою миші і натиснути на “Створити політику обмеженого використання програм” (New Software Restriction Policies).
3. Потім переходите в папку “Додаткові правила” (Additional Rules). У цій папці натискаємо правою кнопкою “Створення правила для шляху” (New Path Rule…).
4. Необхідно створити правило, яке забороняє запуск виконуваних файлів з розширенням *.ехе з каталогу %AppData%. В поле, де вказується шлях, прописуємо %appdata%\*.Exe, рівень безпеки – “Заборонено” (Disallowed), опис – на ваш розсуд.
Даним правилом ми заборонили запуск *.exe тільки в папці %appdata%, але в цій папці є багато різних підпапок, де теж необхідно заборонити виконання даних файлів. Тому створюємо ще одне правило для підпапок. Для цього робимо все те ж саме, але шлях вказуємо %appdata%\*\*.Exe.
Читайте також: Як змусити Windows 10 показувати розширення файлів та приховані папки
Але цього не достатньо для безпеки. Шкідливі програми можуть запускатися з інших місць. Найбільш популярні місця зберігання шкідливих програм вказані нижче.
Заборони запуску виконуваних файлів можна прописати так:
%LocalAppData%\*.Exe– заборона запуску файлів з %LocalAppData%.%LocalAppData%\*\*.Exe– заборона файлів запуску з вкладених каталогів %LocalAppData%.%LocalAppData%\Temp\Rar*\*.Exe– заборона запуску exe файлів з архівів, відкритих за допомогою WinRAR.%LocalAppData%\Temp\7z*\*.Exe– заборона запуску exe файлів з архівів, відкритих за допомогою 7zip.%LocalAppData%\Temp\wz*\*.Exe– заборона запуску exe файлів з архівів, відкритих за допомогою WinZip.%LocalAppData%\Temp\.zip*\*.Exe– заборона запуску exe файлів з архівів, відкритих за допомогою вбудованого архіватора Windows.%Temp%\*.Exe– заборона запуску exe файлів з каталогу %temp%.%Temp%\*\*.Exe– заборона запуску exe файлів з вкладених каталогів %temp%.
Після створення правил необхідно застосувати їх. Правила почнуть діяти після перезавантаження комп’ютера, або після виконання команди gpupdate/force в командному рядку.
Майте на увазі, що недостатньо заблокувати файли тільки з розширенням .exe. Віруси можуть бути і з іншими розширеннями, наприклад, *.bat, *.Vbs, *.js, *.wsh тощо. Однак пам’ятайте, що у вас можуть виникнути проблеми з установкою та оновленням легальних програм, тому що багато з них використовують заблоковані вище шляхи для своїх файлів з розширенням .exe та інші.
Читайте також: Розширення файлів – що вони означають та які бувають?
Редагування реєстру (для будь-якої версії Windows)
Цей метод дозволяє заблокувати виконання .exe файлів через зміни в реєстрі.
1. Запустіть редактор реєстру:
Натисніть Win + R, введіть regedit, і натисніть Enter.
2. Перейдіть у потрібний ключ:
Знайдіть розділ:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
3. Створіть параметр для блокування:
- Клацніть правою кнопкою миші, виберіть New → DWORD (32-bit), назвіть параметр
DisallowRun. - Присвойте йому значення
1.
4. Додайте перелік заборонених програм:
Створіть розділ DisallowRun, у якому перераховуйте заборонені файли:
- Клацніть правою кнопкою → Створити → Рядковий параметр (String Value).
- Назвіть параметр, наприклад,
1. - У його значення введіть ім’я файлу .exe, який потрібно заблокувати, наприклад,
notepad.exe. - Додайте більше програм (якщо потрібно):Створюйте нові параметри, наприклад,
2,3тощо, для кожного файлу, який потрібно заблокувати.
5. Перезапустіть комп’ютер:
Щоб застосувати зміни, перезавантажте систему.
Ця настройка блокує запуск конкретних .exe-файлів для користувача, чиї параметри редагуються. При спробі відкрити заблокований файл Windows видасть повідомлення про заборону.
Антивірусні програми
Використовуйте антивірусні або спеціалізовані програми безпеки, щоб налаштувати правила блокування для файлів .exe.
Налаштування дозволів на рівні NTFS
Обмежте доступ до каталогів, де можуть зберігатися потенційно небезпечні файли .exe:
- Клацніть правою кнопкою на папці → Властивості → Безпека.
- Налаштуйте дозволи, щоб заборонити виконання файлів для певних користувачів.
Ці методи забезпечують різний рівень контролю та безпеки залежно від ваших потреб. Для більш зручного управління рекомендуємо використовувати групові політики.
