Запрещение пользователям записи в реестр на клиентских компьютерах

Можно защитить определенный раздел реестра, запретив пользователю доступ или изменение любых разделов или значений реестра. Можно разрешить пользователям просматривать параметр реестра, но запретить переименовывать или изменять его.
Как проверить работу.
  • Добавьте тестовый раздел реестра.
  • Добавьте правило, разрешающее чтение, но не запись в раздел реестра.
  • Попробуйте добавить в раздел реестра новое значение.
  1. Чтобы добавить проверочный ключ реестра, на клиентском компьютере откройте редактор реестра. Для этого откройте командную строку и введите
    regedit
    .
  2. В редакторе реестра разверните HKEY_LOCAL_MACHINE\Software и создайте новый раздел реестра с названием test.
  3. Чтобы пользователи не записывали данные в реестр на клиентских компьютерах, откройте политику управления приложениями и на панели
    Управление приложениями
    нажмите
    Добавить
    .
  4. В
    Наборе правил управления приложениями
    под списком
    Правила
    щелкните
    Добавить > Добавить правило
    .
  5. На вкладке
    Свойства
    в текстовом поле
    Имя правила
    введите
    HKLM_write_not_allowed_from_regedit
    .
  6. Справа от пункта
    Применить правило к следующим процессам
    нажмите
    Добавить
    .
  7. В диалоговом окне
    Добавить описание процесса
    в поле
    Шаблон имени процесса
    введите
    regedit.exe
    , а затем нажмите кнопку
    ОК
    .
  8. В диалоговом окне
    Набор правил управления приложениями
    под списком
    Правила
    щелкните
    Добавить > Добавить условие > Попытки обращения к реестру
    .
  9. На вкладке
    Свойства
    в текстовом поле
    Описание
    введите
    доступ к реестру
    .
  10. Справа от пункта
    Применить правило к следующим процессам
    нажмите
    Добавить
    .
  11. В диалоговом окне Д
    обавить описание раздела реестра
    в текстовом поле
    Раздел реестра
    введите
    HKEY_LOCAL_MACHINE\software\test
    , а затем нажмите кнопку
    ОК
    .
  12. В диалоговом окне
    Набор правил управления приложениями
    на вкладке
    Действия
    в групповом поле
    Попытка чтения
    выберите
    Разрешить доступ
    ,
    Включить запись в журнал
    и
    Уведомить пользователя
    .
  13. В разделе
    Уведомить пользователя
    введите
    чтение разрешено
    .
  14. В групповом поле
    Попытка создания, удаления или записи
    выберите
    Запретить доступ
    ,
    Включить запись в журнал
    и
    Уведомить пользователя
    .
  15. В разделе
    Уведомить пользователя
    введите
    запись заблокирована
    .
  16. Дважды нажмите кнопку
    ОК
    и присвойте политику группе.
    Проверьте правило.
  17. Чтобы проверить правило, которое блокирует запись в реестр, после применения политики в редакторе реестра на клиентском компьютере разверните ключ HKEY_LOCAL_MACHINE\Software.
  18. Выберите созданный ранее раздел реестра с именем test.
  19. Щелкните раздел test правой кнопкой, выберите
    Создать
    , а затем щелкните
    Строковое значение
    .
    Добавить новое значение в тестовый раздел реестра не удастся.