È possibile, se lo si desidera, limitare gli utenti di installare o eseguire programmi in Windows 11/10/8/7 così come Windows Vista/XP/2000 & famiglia di Windows Server. È possibile farlo utilizzando alcune impostazioni dei criteri di gruppo per controllare il comportamento di Windows Installer, impedire l’esecuzione di determinati programmi o limitare tramite l’editor del Registro di sistema.
Potrebbe essere visualizzato un messaggio di errore:
L’installazione è vietata dalla politica di sistema, contattare l’amministratore di sistema
Il programma di installazione di Windows, msiexec.exe, precedentemente noto come Microsoft Installer, è un motore per l’installazione, la manutenzione e la rimozione di software sui moderni sistemi Microsoft Windows.
In questo post, vedremo come bloccare l’installazione del software in Windows 10/8/7.
Disabilita o limita l’uso di Windows Installer
Digitare gpedit.msc in avvia ricerca e premi Invio per aprire l’editor Criteri di gruppo. Passare a Configurazioni computer > Modelli amministrativi > Componenti Windows > Windows Installer. Nel riquadro RHS fare doppio clic su Disattiva Windows Installer. Configurare l’opzione come richiesto.
Questa impostazione può impedire agli utenti di installare software sui propri sistemi o consentire agli utenti di installare solo i programmi offerti da un amministratore di sistema. Se si attiva questa impostazione, è possibile utilizzare le opzioni nella casella Disattiva installazione di Windows per stabilire un’impostazione di installazione.
L’opzione “Mai” indica che Windows Installer è completamente abilitato. Gli utenti possono installare e aggiornare il software. Questo è il comportamento predefinito per Windows Installer su Windows 2000 Professional, Windows XP Professional e Windows Vista quando il criterio non è configurato.
L’opzione” Solo per le app non gestite ” consente agli utenti di installare solo i programmi che un amministratore di sistema assegna (offre sul desktop) o pubblica (li aggiunge per aggiungere o rimuovere programmi). Questo è il comportamento predefinito di Windows Installer sulla famiglia di Windows Server quando il criterio non è configurato.
L’opzione “Sempre” indica che Windows Installer è disabilitato.
Questa impostazione riguarda solo Windows Installer. Non impedisce agli utenti di utilizzare altri metodi per installare e aggiornare i programmi.
Installa sempre con privilegi elevati
Nell’Editor Criteri di gruppo, passare a Configurazione utente > Modelli amministrativi > Componenti di Windows. Scorrere verso il basso e fare clic su Windows Installer e configurarlo per installare sempre con privilegi elevati.
Questa impostazione consente a Windows Installer di utilizzare le autorizzazioni di sistema quando installa qualsiasi programma sul sistema.
Questa impostazione estende privilegi elevati a tutti i programmi. Questi privilegi sono solitamente riservati ai programmi che sono stati assegnati all’utente (offerti sul desktop), assegnati al computer (installati automaticamente) o resi disponibili in Aggiungi o Rimuovi programmi nel Pannello di controllo. Questa impostazione consente agli utenti di installare programmi che richiedono l’accesso a directory che l’utente potrebbe non avere il permesso di visualizzare o modificare, comprese le directory su computer altamente limitati.
Se si disattiva questa impostazione o non la si configura, il sistema applica le autorizzazioni dell’utente corrente quando installa programmi che un amministratore di sistema non distribuisce o offre.
Questa impostazione viene visualizzata nelle cartelle Configurazione computer e Configurazione utente. Per rendere efficace questa impostazione, è necessario abilitare l’impostazione in entrambe le cartelle.
Gli utenti esperti possono sfruttare le autorizzazioni concesse da questa impostazione per modificare i propri privilegi e ottenere l’accesso permanente a file e cartelle con restrizioni. Si noti che la versione di configurazione utente di questa impostazione non è garantita per essere sicura.
SUGGERIMENTO: utilizzare AppLocker in Windows per impedire agli utenti di installare o eseguire applicazioni.
non eseguire le applicazioni Windows specificate
Nell’Editor Criteri di Gruppo, passare a Configurazione Utente > Modelli Amministrativi > Sistema
Qui in RHS riquadro, fare doppio clic su non eseguire le applicazioni Windows specificate e nella nuova finestra che si apre, selezionare Attivato. Ora sotto Opzioni fare clic su Mostra. Nelle nuove finestre che si aprono immettere il percorso dell’applicazione che si desidera disabilitare; in questo caso: msiexec.exe.
Ciò non consentirà il programma di installazione di Windows che si trova in C:\Windows\System32 \ cartella da eseguire.
Questa impostazione impedisce a Windows di eseguire i programmi specificati in questa impostazione. Se si attiva questa impostazione, gli utenti non possono eseguire i programmi aggiunti all’elenco delle applicazioni non consentite.
Questa impostazione impedisce solo agli utenti di eseguire programmi avviati dal processo di Windows Explorer. Non impedisce agli utenti di eseguire programmi, come Task Manager, che vengono avviati dal processo di sistema o da altri processi. Inoltre, se si consente agli utenti di accedere al prompt dei comandi, cmd.exe, questa impostazione non impedisce loro di avviare programmi nella finestra di comando che non sono autorizzati ad avviare utilizzando Esplora risorse. Nota: per creare un elenco di applicazioni non consentite, fare clic su Mostra. Nella finestra di dialogo Mostra contenuto, nella colonna Valore, digitare il nome dell’eseguibile dell’applicazione (ad esempio, msiexec.exe).
Limitare i Programmi da installare tramite Editor del Registro di sistema
Aprire l’Editor di Registro e passare alla seguente chiave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun
Creare valore Stringa con il nome, come 1, e impostare il suo valore per il programma di file EXE.
Ad esempio, se si desidera limitare msiexec, creare un valore di stringa 1 e impostarne il valore su msiexec.exe. Se si desidera limitare più programmi, è sufficiente creare più valori di stringa con i nomi 2, 3 e così via e impostare i loro valori su exe del programma.
Potrebbe essere necessario riavviare il computer.
Leggere anche:
- Windows Program Blocker è un’app gratuita o un software di blocco delle applicazioni per bloccare il software dall’esecuzione
- Come bloccare le installazioni di app di terze parti in Windows.