Blokujemy pliki z poziomu Windows

Większość użytkowników systemów Windows jest przyzwyczajona do korzystania z zewnętrznych programów pozwalających na kontrolę uruchamiania określonych programów i sterowników. Jednak mało osób wie, że w samym systemie lub na stronie Microsoftu są narzędzia, które pozwalają wykonać tego typu zadania bez potrzeby obciążania sobie systemu softem trzecim. Są to: Security Policy Console, zakładka Zabezpieczenia we właściwościach pliku oraz malutki programik Autoruns do pobrania ze strony MS nie wymagający nawet instalacji, a ważący niecałe 600 kB. Postaram się je bardzo krótko i zwięźle zaprezentować wraz z konkretnymi przykładami co da się za ich pomocą zablokować.

 

Konsola secpol.msc

W systemach Windows XP Professional, Vista Business (i w górę) oraz 7 Professional (i analogicznie w górę) wbudowana została konsola, pozwalająca kilkoma kliknięciami „załatwić” konkretny plik exe, blokując jego wykonywanie z poziomu uprawnień administratora systemu – Security Policy Console. Dostęp do niej można uzyskać z kilku miejsc, ale najszybciej odbędzie się to przez polecenie Uruchom: naciskamy klawisze [Windows] + [R] i wpisujemy wymienione wyżej secpol.msc.

 

 

Jako że aktualnie posiadam Windows 7 Home Premium, w którym secpola nie ma, posłużę się więc tym zaimplementowanym w moją angielskojęzyczną Vistę. Konwersja na polski nie powinna być w tym wypadku zbyt problematyczna, zresztą dodawanie aplikacji jest w niej dziecinnie proste, sami zobaczcie:

1) Interesuje nas kategoria w lewym okienku konsoli: Software Restriction Policy.
– jeśli są tam już jakieś wpisy, wystarczy kliknąć na Additional rules i wybrać New path rule
– jeśli nie, klikamy bezpośrednio na w/w katalogu i wybieramy Action > Create new restriction policy
2) w nowym oknie wystarczy wpisać już tylko ścieżkę do pliku, który chcemy przyblokować i upewnić się że poziom bezpieczeństwa jest ustawiony na Disallowed.

I tyle. Dzięki ustawieniu w/w parametru Disallowed, można w łatwy sposób nie tylko przyblokować denerwujące i obciążające programy, które albo nie pozwalają na zmianę swoich ustawień, albo których z wielu względów odinstalować nie możemy (Windows Media Player chociażby, choć to akurat można załatwić i w services.msc, gdyż figuruje jako usługa), ale też nawet by obejść licencje programów takich jak darmowa Avira, a dokładniej by zablokować jej możliwość wyświetlania reklam wprost na pulpicie po każdej aktualizacji. EULA w tym wypadku zabrania ingerencji w program, więc jedyną opcją jest zmuszenie systemu, aby to on wprowadzał dla pliku avnotify.exe restrykcje uruchamiania. Teoretycznie może to bulwersować, ale fizycznie program jest nietknięty, modyfikujemy tylko środowisko w którym jest uruchamiany i tak trzeba na to patrzeć.

 

Brak secpola? Mamy jeszcze Uprawnienia

Problem pojawia się wtedy, gdy posiadamy system w wersji Starter, Basic lub Home Premium i nie mamy możliwości użycia secpola. Ale i tu można sobie poradzić, gdyż istnieje jeszcze zakładka Zabezpieczenia, a w niej uprawnienia uruchamiania oraz właścicielstwo danego pliku, obojętnie jakiego.

1) Lokalizujemy skubańca, którego chcemy zablokować, w tym przypadku wziąłem sobie na celownik niewinnego Windows Mail z Program Files.
2) Klikamy na nim prawym klawiszem myszy i wybieramy Właściwości, następnie kartę Zabezpieczenia
3) Uprawnienia możemy zmienić zarówno pod przyciskiem Edytuj jak i niżej pod Zaawansowane, większości polecam bawić się uproszczonym widokiem spod Edytuj.
4) Klikamy na „użytkownika” SYSTEM, odznaczamy mu Odczyt i wykonywanie, klikamy OK i uruchamiamy ponownie system.

 

 

Czasami zdarza się, że system zwraca komunikat o braku uprawnień do wprowadzenia zmian. W takiej sytuacji mamy dwie opcje: spróbować zrobić to ustawieniami Zaawansowanymi albo po prostu przejść w tryb awaryjny i powtórzyć w/w czynności. Najczęściej tryb awaryjny rozwiązuje wszelkie problemy, ale jeśli mimo wszystko są jakieś, możemy w trybie awaryjnym pokusić się o zmianę większej ilości parametrów odnośnie wykonywania oraz zmienić właściciela pliku na siebie i tylko na siebie oraz zmienić prawa dla wszystkich innych użytkowników, nie tylko SYSTEM.

Płynne zarządzanie uprawnieniami do plików pozwala zaoszczędzić sporo potencjalnego, mówiąc kolokwialnie, bajzlu w systemie oraz bólu głowy spowodowanego irytującymi programami lub ich modułami. Oczywiscie secpol opisywany wcześniej jest sporo szybszy i wygodniejszy, ale jak się nie ma co się lubi…

 

Ok, a co ze sterownikami?

I na to jest metoda. Na stronach Microsoftu istnieje możliwość pobrania darmowego programiku od Sysinternals o nazwie Autoruns. Po jego uruchomieniu wykryte zostanie dosłownie wszystko, co uruchamia się wraz z systemem.

 

 

Aby dany komponent, czy to program, czy dll-ka przestały się ładować, wystarczy je odznaczyć. Proste jak drut, choć ryzykowne, jeśli nie wie się co się robi. Ale jest to jedna z bardziej kontrolowanych metod pozbycia się np. błędów wynikających z prób ładowania sterownika, którego już nie ma. Przykład z życia: sterowniki AMD przeinstalowane na starsze. W efekcie pozostaje się np. AODriver, który już się nie ładuje, ale jednocześnie wciąż figuruje w rejestrze. Autoruns pokaże zamiast jego ścieżki oznaczenie File not found, po odznaczeniu w eventvwr już nie będzie komunikatów że nie można było załadować sterownika. Na identycznej zasadzie możemy również blokować w nim uruchamianie się programów wraz ze startem Windows, co w doskonały sposób uzupełnia blokowanie poszczególnych plików zaprezentowanymi wcześniej metodami.

 

Podsumowanie

Ten krótki artykulik mam nadzieję stanie się dosyć przydatną ściągawką do szybkiego blokowania niechcianych plików. Można go będzie użyć np. u znajomego, któremu pomagamy z jego własną maszyną, lub też u siebie, aby pozbyć się natrętnych reklam z Aviry, problematycznego komponentu wisptis.exe z palety usług Tablet PC blokującego jeden z klawiszy piórka od tabletów Wacoma, buszującego po pendrive’ach Media Playera czy też przykryć wadliwe wpisy w rejestrze odnośnie sterowników itp. Szybko, łatwo i bez zbędnych narzędzi, choć jeśli ktoś wciąż np. chce użyć do tego celu swoich ulubionych aplikacji, naturalnie nic nie stoi na przeszkodzie – wszystko wedle uznania.

There are 2 comments

Comments are closed.