[Sisällysluettelo]

Ota käyttöön ohjelmanrajoituskäytäntö

Windowsin versioissa joissa on mahdollista käyttää Ryhmäkäytäntöeditoria (muut paitsi Windowsin Home -versiot*), voidaan lisätä tietoturvaa luomalla ohjelmanrajoituskäytäntö, joka estää ohjelmien yms. ajon muualta kuin sallituista kansioista. Esim. oletuksena käyttöön asetettu ohjelmanrajoituskäytäntö sallii ohjelmien ajon vain Windows- (%systemroot%) ja Program files (%programfiles%) -kansioista. Muualta ajettu ohjelma estetään. Tähän sääntöön voidaan, ja pitääkin tehdä poikkeus, että järjestelmävalvojan tililtä voidaan ajaa ohjelmia rajoituksetta. Tämä taas luonnollisesti suorastaan vaatii, että käytetään normaalia käyttäjätiliä päivittäisessä käytössä, tai muuten tästä ohjelmanrajoituskäytännöstä ei ole mitään hyötyä.

HUOM!  Vistassa järjestelmänvalvojankaan tilillä ohjelmalla ei oletuksena ole korotettuja oikeuksia (toisin kuin Windows XP:ssä), siksi ohjelmanrajoituskäytännön alaisuudessa ohjelmien asennukset tulee käynnistää järjestelmävalvojan oikeuksin (hiiren oikealla Suorita järjestelmänvalvojana).


Tässä ohjeessa:


Ohjelmanrajoituskäytännön käyttöönotto ja asettaminen

1. Käynnistä -> [kirjoita hakukenttään] gpedit.msc ja valitse hiiren oikealla Suorita järjestelmänvalvojana.
    (XP:ssä järjestelmävalvojan tilillä paina Windows+R [tai Käynnistä -> Suorita...] ja kirjoita gpedit.msc ja paina Enter)


2. Avaa Tietokoneasetukset -> Windows-asetukset -> Suojausasetukset -> Ohjelmanrajoituskäytännöt,
    hiiren oikealla Luo uusia ohjelmanrajoituskäytäntöjä.


3. Valitse Pakottaminen ja hiiren oikealla Ominaisuudet.


4. Valitse että ohjelmanrajoituskäytäntöä sovelletaan kaikkiin ohjelmatiedostoihin
    ja kaikkiin käyttäjiin paitsi paikallisiin järjestelmävalvojiin.
    Jos on valittavissa, valitse myös Ohita varmennesäännöt.
    Valitse lopuksi OK -painike.


5. Valitse Määrätyt tiedostotyypit ja hiiren oikealla Ominaisuudet.


6. Haluamme että pikakuvakkeet yms. toimivat, joten etsi listasta LNK ja valitse Poista -painike.


7. Valitse Kyllä -painike.


8. Avaa Tietokoneasetukset -> Windows-asetukset -> Suojausasetukset -> Ohjelmanrajoituskäytännöt -> Suojaustasot.
    Valitse Ei sallittu ja hiiren oikealla Aseta oletukseksi.


9. Valitse Kyllä -painike.


10. Näet nyt listasta että oletusta kuvaava väkänen on kohdassa Ei sallittu.


Nyt jos ohjelmaa yritetään ajaa muualta kuin Windows- tai Program files -kansiosta, saadaan ilmoitus että ryhmäkäytäntö on estänyt ohjelman.

HUOM!  64-bittisissä Windowseissa on myös Program Files (x86) -kansio, joka täytyy asettaa että myös sieltä voidaan ajaa ohjelmia. Avaa --- ja valitse Muita määrityksiä ja luo uusi sääntö polulle Program Files (x86) -kansioon.
[takaisin alkuun]


Ohjelmanrajoituskäytännön poistaminen käytöstä

1. Käynnistä -> [kirjoita hakukenttään] gpedit.msc ja valitse hiiren oikealla Suorita järjestelmänvalvojana.
    (XP:ssä järjestelmävalvojan tilillä paina Windows+R [tai Käynnistä -> Suorita...] ja kirjoita gpedit.msc ja paina Enter)


2. Avaa Tietokoneasetukset -> Windows-asetukset -> Suojausasetukset -> Ohjelmanrajoituskäytännöt -> Suojaustasot.
    Valitse Rajoittamaton ja hiiren oikealla Aseta oletukseksi.

[takaisin alkuun]

Ohjelmanrajoituskäytännön asettaminen Home -versioissa

Ohjelmanrajoituskäytäntö voidaan ilmeisesti asetaa myös Home -versioissa muokkaamalla rekisteriä Rekisterieditorilla, mutta en ole itse asiaa kokeillut. Aiheesta löydät juttua tästä ohjeesta: HOW TO: Restrict Users from Running Specific Windows Programs in Windows 2000, kohdasta Method 2: How to Restrict Users from Running Specific Windows Programs by Editing the Registry.

HUOM!  Muista että rekisterin muokkaamisessa on syytä olla varovainen ja ottaa varmuuskopio rekisteristä ennen muokkaamisen aloittamista.
[takaisin alkuun]

Lisää tietoa:
Using Software Restriction Policies to Protect Against Unauthorized Software
Step-by-Step Guide to Understanding the Group Policy Feature Set
Group Policy Frequently Asked Questions (FAQ)

23.7.2008
(Yama)Neko
Security Check