как отключить запуск через поиск в Windows 10?
Мы пытаемся запретить нашим пользователям запускать различные команды, которые мы специально не одобряем. Мы реализовали Applocker, но это не мешает пользователю запускать команды, начинающиеся с rundll32.exe или regsvr32.exe. В предыдущих версиях Windows было достаточно параметра групповой политики «Удалить меню« Выполнить »из меню« Пуск »». Но в Windows 10, когда пользователь начинает вводить любую команду в поиске, даже с принудительной настройкой GP, команда запускается.
Есть ли способ предотвратить это? Это серьезная проблема безопасности, и я удивлен, что Windows 10, которая в целом более безопасна, в этом вопросе на самом деле меньше.
Если нет, есть ли хотя бы способ предотвратить доступ к полю поиска? Я уже нашел его на панели задач (даже если я установил его на «скрытый», пользователь может переключить его обратно на «показывать значок поиска» или «показывать поле поиска»), в алфавитном списке программ (в разделе « Search ") и с помощью горячих клавиш Windows + S и Windows + Q.
Я попытался переименовать папку C: \ Windows \ SystemApps \ Microsoft.Windows.Cortana_cw5n1h2txyewy
Это полностью отключило функцию поиска, но она вышла из строя далеко для наших нужд. Это помешало бы пользователям запускать свои программы из меню «Пуск». Например, они не могли просто начать печатать «Word» и открыть Microsoft Word.
Любые идеи будут приветствоваться.
Спасибо!
Дэвид
Я знаю, что вы давно не задавали этот вопрос, но подумал, что дам вам знать, как мы справились с этой проблемой, поскольку это может помочь вам или кому-то еще.
Мы отключили функцию поиска с помощью AppLocker, а затем разместили ярлыки для часто используемых приложений (например, Office) на рабочем столе. Мы также развернули макет меню «Пуск», который содержит плитки для всех распространенных приложений, поэтому Word, Excel и т. Д. Имеют плитку в меню «Пуск». Я знаю, что вы не хотели полностью отключать функцию поиска, но, может быть, макет меню «Пуск» и рабочий стол могут быть приемлемым компромиссом?
Чтобы настроить AppLocker для блокировки функции поиска, я создал следующее правило:
Примечание: Для тех, кто никогда не использовал AppLocker, его можно найти здесь
Конфигурация КОМПЬЮТЕРА \ Политики \ Параметры Windows \ Параметры безопасности \ Политики управления приложениями \ AppLocker
В разделе Правила пакетных приложений я создал политику со следующими параметрами. Я выбрал Разрешить все пакеты по умолчанию и создать исключения для всего, что я хотел отключить. Вместо этого вы можете просто настроить правило Deny для пакета Cortana.
Action: Allow
User: Everyone
Publisher: *
Package name: *
Package version: 0.0.0.0 And above
Exceptions:
Publisher: CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Package name: Microsoft.Windows.Cortana
Package version: * And above
Затем я создал другое правило, которое разрешает все пакеты без исключений, и применил его к группе безопасности, содержащей меня и мои коллеги (например, DOMAIN \ IT Support), чтобы остановить это не мешает нам получить доступ ко всему, что блокирует мое первое правило. (ЗАМЕТКА:Я обнаружил, что использование группы «Администраторы» для этого не работает, так как вам нужно будет повысить уровень своей учетной записи / запустить от имени администратора, чтобы использовать все, что было заблокировано. Использование другой группы, такой как «Персонал ИТ-поддержки», работает намного лучше).
Для развертывания макета звездообразного меню я включил следующую политику:
Конфигурация ПОЛЬЗОВАТЕЛЯ \ Политики \ Административные шаблоны \ Меню Пуск и Панель задач \ Файл макета начала
Я сохранил файл макета в доступной общей папке и указал политику на это. Вот пример файла макета:
<LayoutModificationTemplate Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6" xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout">
<start:Group Name="Internet" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="Microsoft.Windows.Computer" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="Chrome" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="N:\" />
</start:Group>
<start:Group Name="Office" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
<start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSACCESS.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\ONENOTE.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\EXCEL.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\WINWORD.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\POWERPNT.EXE" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSPUB.EXE" />
<start:Tile Size="2x2" Column="0" Row="4" AppUserModelID="Microsoft.Office.Sway_8wekyb3d8bbwe!Microsoft.Sway" />
<start:DesktopApplicationTile Size="2x2" Column="2" Row="4" DesktopApplicationID="{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
Вы можете создать свой собственный файл макета меню «Пуск», экспортировав макет из собственного меню «Пуск». Это можно сделать с помощью этой команды powershell:
Export-StartLayout –path <путь> <имя файла> .xml
Дополнительная информация здесь: Настройка и экспорт макета начального экрана (docs.microsoft.com)
Надеюсь, это кому-нибудь поможет.