Запретить пользователю установку программного обеспечения

26

Мой дедушка достаточно технологичен для своего возраста и любит отправлять электронные письма, использовать Photoshop и просматривать веб-страницы. Я сделал его компьютер довольно безопасным, установив AdBlock и научив его, как не загружать вирусы, но время от времени он получает по почте листовку с бесплатной пробной версией «Антивирус Avast». Он тот тип человека, который не может устоять перед свободой и быстро его устанавливает. Это довольно раздражает, потому что сильно замедляет работу компьютера, не позволяет открывать Firefox и выполняет все другие действия, связанные с вирусом. Это также реальная боль, чтобы удалить.

Мой вопрос: могу ли я установить что-то, что мешает ему загрузить, установить или запустить установщик Avast?

У меня Windows 7

Dragongeek
источник
Первый уровень защиты: установите почтовый спам-фильтр :-)
Bergi
12
@ Берджи, лол, это не электронная почта, а реальная физическая почта!
Dragongeek
4
Это не решение проблемы ... Обучение его - лучшее решение ...
Дейв
6
@ Джурис Я вообще не фанат антивирусных программ. Вы можете заблокировать практически все вредоносные программы, используя AdBlock и встроенный защитник Windows. В частности, Avast испортил настройки Firefox (домашняя страница), установил всевозможные плагины для браузера и отключил блокировку рекламы (?!). Кроме того, это замедляет работу старого компьютера моего деда, особенно при входе в систему.
Dragongeek
8
Вы пытались сказать ему, что установка бесплатного программного обеспечения по почте и по электронной почте является эквивалентом того, что он проглотил бесплатную банку майонеза, который сидел на солнце в течение 6 дней? Кроме того, проверьте thewindowsclub.com/…
MonkeyZeus

Ответы:

29

Если вы хотите запретить установку определенного программного обеспечения, попробуйте импортировать его сертификат (цифровую подпись) в «Ненадежные сертификаты». Затем всякий раз, когда он пытается установить его, в диалоговом окне UAC будет отображаться «Это программное обеспечение не заслуживает доверия», вместо того, чтобы предлагать вам предоставить администратору доступ к программе установки.

Существует более безопасный способ использования сертификата установщика, но он может немного замедлить работу всей системы. Вы можете импортировать сертификат Avast в групповую политику, поэтому, даже если он не требует прав администратора, он не запустится.

Если вы хотите заблокировать все установки программного обеспечения, то дайте ему учетную запись пользователя (без прав администратора). Впрочем, это может быть единственным решением для блокировки всего. Вы должны убедиться, что ваш дедушка не нуждается в правах администратора часто.

Если это позволяет, вы можете настроить текущее программное обеспечение AV таким образом, чтобы оно не доверяло сертификату Avast, и может удалить установщик сразу же после его загрузки. Это тоже хороший вариант.


В любом случае, я лично считаю, что обучение вашего дедушки тому, как научиться сопротивляться рекламе и тем, кто занимается бесплатными испытаниями, является окончательным решением. Тогда вам не придется беспокоиться об этом и об этом, чтобы он не смог их установить.

iBug
источник
«Во всяком случае, я лично считаю, что обучение вашего деда тому, как научиться сопротивляться рекламе и тем, кто занимается бесплатными испытаниями, является окончательным решением». <- может быть, установка adblocker может немного помочь?
Исмаэль Мигель
4
@IsmaelMiguel Это не будет блокировать физическую рекламу .
iBug
Но может помочь уменьшить другой вектор атаки?
Исмаэль Мигель
@IsmaelMiguel Маловероятно. ОП уже сказал, что электронная почта не так.
iBug
2
@IsmaelMiguel Вопрос гласит, что adblocker уже на месте.
15

Запретить выполнение загруженных программ

В дополнение к хорошему предложению @ iBug удалить административные права из учетной записи вашего деда (после создания другой учетной записи с правами администратора в первую очередь!) Вы должны запретить выполнение файлов (например, программ установки), сохраненных в каталоге Downloads.

Сделайте это, отредактировав разрешения NTFS для папки «Загрузки» и очистите разрешение « Переместить папку / выполнить файл» .

Это предотвратит запуск любого исполняемого файла, сохраненного в этой папке. Вы можете сделать это и в папке Desktop.

Преимущество этого метода в сочетании с удалением прав администратора из учетной записи состоит в том, что он предотвращает запуск любого установщика, а не только тех, которые требуют прав администратора. Многие нежелательные программы все равно будут установлены, если у пользователя нет прав администратора, но если программа не может быть выполнена в первую очередь, это не имеет значения.

Я говорю Восстановить Монику
источник
Повлияет ли это на установщики MSI?
Исмаэль Мигель
@IsmaelMiguel Я не уверен, но, по моему опыту, .msiустановщики, вероятно, не пострадали.
iBug
Установщики .MSI, к сожалению, не подвержены удалению разрешения «Выполнить».
Я говорю Восстановить Монику
2
@TwistyImpersonator Это потому , что .msiфайлы чтения с помощью msiexec.exe, а сам выполняются, таким образом , требуют только разрешения на чтение?
iBug
1
@iBug Да. Для операционной системы файлы .MSI не являются исполняемыми; это просто еще один файл, который нужно открыть с помощью другого приложения. Но в данном случае это приложение, которое устанавливает программное обеспечение.
Я говорю Восстановить Монику
4

Я сделал это как для технически неграмотного друга семьи (который считает « hot_nympho_girls_movie.exe » законным, даже после десятка напоминаний), так и для ноутбуков на работе, которые ежедневно сдаются студентам (мы хотим, чтобы они устанавливать драйверы и программное обеспечение, которое им нужно, но не хочу переосмысливать машину в конце каждого дня)

Мы использовали Toolwiz Time Freeze, который является бесплатным продуктом. Вы устанавливаете его, настраиваете устройство так, как вы хотите, затем включаете программное обеспечение. Когда компьютер перезагружается, он возвращается к точке, в которой вы включили программное обеспечение. Вы можете «разморозить» определенные файлы и папки (например, я разблокировал конфигурационные папки Thunderbird, чтобы электронная почта сохранялась между перезагрузками), чтобы вы могли предоставить или получить столько контроля, сколько необходимо.

Это, вероятно, немного излишне, но для нас это прекрасно работает, потому что каждая машина, которую мы одалживаем, «готова к работе» в тот момент, когда она выключается в конце дня. И друг нашей семьи не жаловался на загадочные появления всплывающих окон и панелей инструментов.

Grayda
источник
Это ведет себя так же, как гостевой аккаунт?
Уэс
« Даже после дюжины напоминаний » Наступает момент, когда вы прекращаете включать глупых.
RonJohn
@WesToleman Больше похоже на гостевой компьютер . Вся машина, все гостевые учетные записи, все, кроме папок, которые вы разморозили, сбрасываются при перезагрузке.
Грейда