Усиление антивирусной защиты путем настройки групповых политик для Windows

В этой статье рассмотрим основные возможности групповых политик, которые предлагает Windows. Это довольно интересная вещь, которая позволяет без антивируса противостоять базовых угрозам.


Усиление антивирусной защиты
Одна из небольшого списка полезных возможностей операционной системы Windows - предотвращение запуска вредоносных и потенциально опасных программ. Для этого можно пойти несколькими путями:

1. Запретить запуск исполняемых файлов из каталогов.

2. Разрешить запуск исполняемых файлов только их определенных папок.

Как настроить запрет запуска исполняемых файлов из каталога?
Давайте рассмотрим первый вариант, который является более надежным и подходящим. Для этого нужно запустить групповую политики с помощью команды:

gpedit.msc //Конфигурация компьютера => Конфигурация Windows => Параметры безопасности
Далее необходимо перейти в этот раздел:

Политики ограниченного использования программ => Дополнительные правила => Создать правило для пути
Нужно создать правило, запрещающее запуск исполняемых файлов с расширением *.ехе из каталога %AppData%.


Правило на запрет на запуск файлов
Список правил, которые можно создать для других целей:

Список полезных правил для Windows XP и 2003:
%UserProfile%Local Settings*.exe - Запрет запуска файлов из %LocalAppData%.%AppData%\*\*.exe - Запрет запуска файлов из вложенных каталогов %AppData%\*.%UserProfile%\Local Settings\*\*.exe - Запрет файлов запуска из вложенных каталогов %LocalAppData%. %UserProfile%\Local Settings\Temp\Rar*\*.exe- Запрет запуска exe файлов из архивов, открытых с помощью WinRAR.%UserProfile%\Local Settings\Temp\7z*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью 7zip.%UserProfile%\Local Settings\Temp\wz*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью WinZip.%UserProfile%\Local Settings\Temp\*.zip\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows.%Temp%\*.exe - Запрет запуска exe файлов из каталога %temp%.%Temp%\*\*.exe - Запрет запуска exe файлов из вложенных каталогов %temp%.
Список полезных правил для Windows Vista/7/8/10, Windows Server 2008/2012
%LocalAppData%\*.exe - Запрет запуска файлов из %LocalAppData.%AppData%\*\*.exe - Запрет запуска файлов из вложенных каталогов %AppData%\*.%LocalAppData%\*\*.exe - Запрет файлов запуска из вложенных каталогов %LocalAppData%. %LocalAppData%\Temp\Rar*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью WinRAR.%LocalAppData%\Temp\7z*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью 7zip.%LocalAppData%\Temp\wz*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью WinZip.%LocalAppData%\Temp\.zip*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows.%Temp%\*.exe - Запрет запуска exe файлов из каталога %temp%.%Temp%\*\*.exe - Запрет запуска exe файлов из вложенных каталогов %temp%.
Можно также запретить запуска exe файлов из любых каталогов в профиле пользователя. Но нужно учитывать, что некоторые программы, плагины, установщики и т.д. могут хранить исполняемые файлы в профилях. Поэтому нужно работать, сделав правило исключения SRP.

%UserProfile%\*\*.exe - для Windows XP и 2003. UserProfile%\*\*.exe - для Windows Vista/7/8/10, Windows Server 2008/2012.
Вот таким способом можно запретить исполнение файлов из конкретных деректорый.

Как разрешить запуск исполняемых файлов только их определенных папок?
Можно настроить по такому адресу:

Политики ограниченного использования программ =>Назначенные типы файлов

Разрешения запуска файлов из папок
После всех изменений необходимо обновить групповые политики для пользователей, можно это сделать с помощью команды:

gpupdate /force

Обновление групповых политик
Заключение
На этом все. Пробуйте, экспериментируйте и помните, что в некотрых случаях можно грамотно настроить групповые политики и усилить антивирусную защиту или вовсе не использовать ее. Очень важно, что можно создавать правила о конкретные исключения.