Заборона користувачеві встановлювати програмне забезпечення

26

Мій дід досить дорослий для свого віку і любить надсилати електронні листи, користуватися Photoshop та переглядати Інтернет. Я зробив його комп’ютер досить захищеним, встановивши AdBlock і навчаючи його, як не завантажувати віруси, але раз у раз він отримує листівку поштою з безкоштовним пробним періодом для антивірусу Avast. Він тип людини, який не може протистояти безкоштовно і оперативно його встановлює. Це дуже дратує, оскільки це дуже уповільнює роботу комп'ютера, заважає Firefox відкриватися, і робить всілякі інші речі, які є антивірусними, в основному вірусовими. Видалити також справжній біль.

Моє запитання: чи можу я встановити щось, що заважає йому завантажувати, встановлювати або запускати інсталятор Avast?

У мене Windows 7

windows  installation  anti-virus 
Dragongeek
джерело
Перший рівень захисту: встановіть фільтр пошти для пошти :-)
Бергі
12
@ Bergi, lol, це не електронна пошта, це фактична фізична поштова пошта!
Dragongeek
4
Це не вирішує питання ... Виховувати його - найкраще рішення ...
Дейв
6
@ Džuris Я взагалі не прихильник антивірусного програмного забезпечення. Ви можете заблокувати в основному всю шкідливу програму за допомогою вбудованого захисника AdBlock та Windows. Зокрема, Avast обмінявся налаштуваннями Firefox (домашня сторінка), встановив усілякі плагіни браузера та відключив adblocker (?!). Крім того, він сповільнює старий комп'ютер мого діда до сканування, особливо під час входу в систему.
Dragongeek
8
Ви намагалися сказати йому, що встановлення безкоштовного програмного забезпечення через пошту та електронну пошту - це еквівалент того, що він поглинає безкоштовну банку майонезу, що сидить на сонці 6 днів? Додатково перегляньте thewindowsclub.com/…
MonkeyZeus

Відповіді:

29

Якщо ви хочете не допустити встановлення певного програмного забезпечення, ви можете спробувати імпортувати його сертифікат (цифровий підпис) у "Недовірені сертифікати". Тоді, коли він намагатиметься встановити його, діалогове вікно UAC відобразить "Це програмне забезпечення не довірено" замість того, щоб запропонувати вам надати адміністратору доступ до програми інсталятора.

Існує більш безпечний спосіб використання сертифіката інсталятора, але він може трохи уповільнити всю систему. Ви можете імпортувати сертифікат Avast в групову політику, тому навіть якщо для нього не потрібні права адміністратора, він не запускається.

Якщо ви хочете заблокувати всю установку програмного забезпечення, то надайте йому обліковий запис користувача (без прав адміністратора). Це може бути єдиним рішенням для блокування всього. Потрібно переконатися, що вашому дідусю не потрібні права адміністратора часто.

Якщо це дозволяє, ви можете налаштувати своє поточне програмне забезпечення AV таким чином, щоб воно не довіряло сертифікату Avast і може видалити інсталятор відразу після його завантаження. Це також хороший варіант.

У будь-якому разі, я особисто вважаю, що навчання вашого діда навчитися протистояти рекламі та тим, що не мають безкоштовних випробувань, є найкращим рішенням. Тоді вам не доведеться турбуватися з цим і тим, щоб запобігти його встановленню.

iBug
джерело
"У будь-якому разі, я особисто вважаю, що освіта вашого діда навчитися протистояти рекламі та тим, що не мають безкоштовних випробувань, - це найкраще рішення". <- можливо, встановлення adblocker може трохи допомогти?
Ісмаїл Мігель
4
@IsmaelMiguel Це не блокуватиме фізичну рекламу .
iBug
Але може допомогти зменшити інший вектор нападу?
Ісмаїл Мігель
@IsmaelMiguel Навряд чи. ОП вже сказала, що електронна пошта - це не так.
iBug
2
@IsmaelMiguel Питання повідомляє adblocker вже на місці.
15

Запобігати виконанню завантажених програм

Окрім гарної пропозиції @ iBug видалити адміністративні права з облікового запису вашого діда (після того, як спершу зробите інший обліковий запис із правами адміністратора!), Ви повинні запобігти виконанню файлів (тобто встановників програмного забезпечення), збережених у каталозі завантажень.

Зробіть це, відредагувавши дозволи NTFS у папці "Завантаження" та очистіть папку "Перейти" / виконати дозвіл на файл .

Це не дозволить запустити будь-який виконуваний файл у цій папці. Ви можете також зробити це в папці «Настільний».

Перевага цього методу в поєднанні з видаленням адміністраторських прав з облікового запису полягає в тому, що він перешкоджає запуску будь-якого інсталятора, а не лише тих, що потребують прав адміністратора. Багато небажаних програм все одно будуть встановлюватися, якщо користувач не має прав адміністратора, але якщо програма не може бути виконана в першу чергу, це не має значення.

Я кажу: Відновіть Моніку
джерело
Чи вплине це на встановлення .msi?
Ісмаїл Мігель
@IsmaelMiguel Я не впевнений, але згідно з моїм досвідом, .msiінсталятори, ймовірно, не впливають.
iBug
На жаль, на встановлення .MSI не впливає видалення дозволу Execute.
Я кажу, що відновіть Моніку
2
@TwistyImpersonator Це тому, що .msiфайли читаються самим msiexec.exe, а не виконуються, тому потрібен лише дозвіл на читання?
iBug
1
@iBug Так. Для операційної системи файли .MSI не виконуються; вони просто ще один файл, який потрібно відкрити за допомогою іншої програми. Але в цьому випадку це програма, яка встановлює програмне забезпечення.
Я кажу, відновіть Моніку
4

Я робив це як для неграмотного друга-сім'ї (який вважає, що « hot_nympho_girls_movie.exe » є законним, навіть після десятка нагадувань), так і для ноутбуків на роботі, які щоденно здаються студентам (ми хочемо, щоб вони встановити необхідні драйвери та програмне забезпечення, але не хочуть перетворювати машину в кінці кожного дня)

Ми використовували Toolwiz Time Freeze, який є безкоштовним продуктом. Ви встановите його, налаштуйте апарат так, як вам потрібно, а потім увімкніть програмне забезпечення. Після перезавантаження комп'ютера він повертається до того пункту, коли ви включили програмне забезпечення. Ви можете "розморозити" конкретні файли та папки (наприклад, я розблокував конфігураційні папки Thunderbird, щоб повідомлення електронної пошти зберігалися між перезавантаженнями), щоб ви могли надавати або брати стільки контролю, скільки потрібно.

Це, мабуть, трохи непосильне, але це чудово працює для нас, адже кожна машина, яку ми позичаємо, «готова до запуску» в той момент, коли вона вимкнеться в кінці дня. І наш сімейний друг не скаржився на те, що загадково з’являються спливаючі вікна та панелі інструментів.

Грейда
джерело
Чи поводиться це так, як обліковий запис гостей?
Уес Толеман
" навіть після десятка нагадувань " Настає момент, коли ти перестаєш включати дурних.
RonJohn
@WesToleman Більше, як гостьовий комп'ютер . Вся машина, всі облікові записи гостей, все, крім папок, які ви розморожували, скидаються під час перезавантаження.
Грейда
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.