Нужен ли антивирус. Можно ли работать в Windows без антивируса
Этот вопрос неоднократно всплывал в форуме и комментариях блога, а на прошлой неделе мне задал его в почте читатель Игорь. Причем письмо пришло в тот момент, когда я читал свежий отчет по безопасности Microsoft за вторую половину 2012 года. Это совпадение примечательно тем, что именно аспект работы без актуальной антивирусной защиты попал в фокус специалистов компании на сей раз.
Я предлагаю вам посмотреть на большую картину работы без антивируса в Windows, а также разобраться, нужен ли антивирус опытным пользователям.
Сегодня в программе
Статистика заражений различных ОС Windows
Постоянные читатели блога уже знакомы с записями, в которых я разбирал любопытные факты из отчетов по безопасности Microsoft, например, за вторую половину 2011 года и первую половину 2012 года . По сравнению со вторым из них мало что изменилось:
- Уязвимости в Java и Adobe эксплуатируются в разы активнее, чем уязвимости ОС Windows.
- Страсть к халяве не идет на спад, и самым популярным семейством вредоносных программ остается Win32/Keygen .
- Россия прочно удерживает четвертое место в мире по количеству зараженных ПК, а уровень вредоносных и фишинговых сайтов на территории страны превышает среднемировой в 1.5 раза.
И даже статистика заражений ОС Windows не преподносит сюрпризов, несмотря на появление в списке Windows 8. Скачок уровня заражений Windows XP в четвертом квартале 2012 года связан со взрывным ростом активности фальшивого антивируса Win32/OneScan в Корее. Напомню, что уровень означает число ПК с обнаруженными вредоносными программами на каждую тысячу компьютеров, просканированных MSRT .
Столь низкий уровень заражений Windows 8 объясняется в первую очередь тем, что пока на нее перешли, в основном, энтузиасты, обладающие более высоким уровнем компьютерной грамотности. Они же склонны сознательно выбирать 64-разрядные системы, снабженные защитными технологиями, недоступными в 32-разрядных ОС.
Но есть и еще один фактор, который поспособствует тому, что в будущем Windows 8 продемонстрирует уровень заражений ниже, чем у Windows 7. Это – встроенный антивирус Windows Defender, обладающий тем же интерфейсом, движком и базами обновлений, что и Microsoft Security Essentials, предназначенный для предыдущих версий Windows.
Статистика заражений ОС Windows сквозь призму наличия антивируса
В принципе, Капитан Очевидность подсказывает, что с антивирусом вероятность заражения ниже, чем без оного. Однако разве не любопытно посмотреть на конкретные статистические данные, собранные с помощью MSRT с миллионов ПК?
В своем отчете Microsoft использует термин «незащищенные ПК», относя к таковым системы, на которых антивирус не установлен или работает с устаревшими базами. Как выяснилось, во второй половине 2012 года в эту категорию попадал каждый четвертый ПК !
Неудивительно, что незащищенные ПК (красный график) заражались в среднем в 5.5 раз чаще, чем системы с обновленными антивирусами (зеленый график).
Любопытен также расклад незащищенных ПК по операционным системам. Честно говоря, я ожидал даже более высокого уровня заражений на Windows XP. Но зато совсем не удивился тому, что владельцы Windows 7 без SP1 относятся безответственно не только к обновлению ОС , но и наличию антивирусной защиты.
Обратите внимание, что на Windows 8 зафиксирован самый низкий уровень незащищенных ПК, благодаря наличию Windows Defender.
Тем не менее, 7-8% людей умудряются отключать встроенную антивирусную защиту Windows 8, не устанавливая ничего взамен!
Наконец, взгляните на расклад по операционным системам и разрядностям в контексте наличия актуального антивируса. Незащищенные ПК обозначены штриховкой, а защищенные – сплошной заливкой.
Ожидаемо, системы без должной защиты заражаются чаще вне зависимости от версии и разрядности. В частности:
- Windows XP в 4.7 раза
- Windows 7 SP1 в 9.4 раза (х86) и 7.3 раза (х64)
- Windows 8 x64 в 13.5 раз
Адепты Windows XP вряд ли удержатся от вывода, что старая ОС почти в три раза устойчивее к заражениям при работе без антивируса, нежели Windows 8. Однако я вижу два фактора, делающие такое суждение несколько поверхностным.
- Заражение – это обнаруженная вредоносная программа, но вовсе не факт, что она может нанести вред конкретной операционной системе. Классический пример – семейство INF/Autorun , включенное во все наборы для атаки , но не представляющее никакой угрозы для Windows 7 и более новых ОС (впрочем, как и для Windows XP с установленным обновлением).
- Windows 8 только что вышла, т.е. установлена начисто на всех ПК. А что люди делают после установки ОС? Правильно, устанавливают программы. Теперь вспомните про неуемную страсть к халяве , и все встанет на свои места.
Win32/Keygen и INF/Autorun являлись самыми широко распространенными семействами вредоносных программ на протяжении 2012 года (за исключением скачка рекламного «вредоноса» DealPly на территории Бразилии в четвертом квартале).
В таблице ниже те же семейства выстроены по ранжиру для каждой ОС. Обратите внимание, что Keygen и Autorun оккупируют места в первой тройке на Windows 8.
Нужен ли антивирус опытным пользователям
Приведенные выше данные наглядно подтверждают, что наличие актуальной антивирусной защиты в разы снижает уровень заражений по экосистеме Windows в целом. Другими словами, подавляющему большинству пользователей антивирус абсолютно необходим.
Я всегда подчеркивал пользу от следования рекомендациям Microsoft, которые в данном случае выражены в центре поддержки . Однако есть категория людей, считающих себя достаточно опытными, чтобы избежать заражения без резидентного антивируса (ну, может, только один раз за год словить вымогателя :)
В этом одном разе и заключается более высокая вероятность потери персональных данных, что может нанести ущерб финансам или репутации.
Безусловно, ни один антивирус не обеспечивает 100% защиты от вредоносных программ. Даже если исключить серьезные уязвимости 0-day, которые вероятнее используются для целевых атак типа Aurora , производители защитного ПО с задержкой реагируют на любые новые угрозы .
Тем не менее, антивирус играет важную роль в комплексе мер, работающих в реальном времени и повышающих устойчивость Windows к заражениям:
Я считаю, что опытный пользователь использует весь защитный арсенал, не пренебрегая никаким оружием.
Впрочем, существует один подход, которым можно оправдать работу без антивируса.
Альтернатива: SRP или AppLocker
Windows обладает технологиями контроля над запуском исполняемого кода.
Люди убеждены что интернеты кишат вирусами которые так и норовят оказаться на их компьютере. На самом деле вирус достаточно непросто распостранить. Потому как всякий вирус это программа, которая для осуществления своей деятельности должна быть запущена. Это значит если вы запускаете только те программы, в которых уверены — вы никогда не поймаете вирус. Как быть уверенным что скачанная вами программа не вирус? Нужно просто пользоваться официальным софтом, взятым с официальных сайтов разработчиков этого ПО. Или как минимум с известнейших трастовых торрент-трекеров.
Качайте проверенные программы!
Если вам предлагают специфичную программу, с какими то узконаправленными функциями — не стоит сразу же скачивать и запускать это ПО — поищите в интернете отзывы о программе используя простейший запрос «имя_этой_программы отзывы». У потенциально опасной программы наверняка найдутся негативные отзывы в истории.
Чтобы вы могли себе представить и ориентироваться в дальнейшем — пример такой программ , о которой я очень давно рассказывал в своей статье, а также в . Примерами же «трастовых» программ могут являтся известнейшие бесплатные программы — допустим браузер Mozilla Firefox или , о котором я тоже недавно рассказывал. Если же вам нужна платная программа, которую вы не в состоянии купить, но все же хотите использовать крякнутые и пиратские копии на свой страх и риск (например Photoshop) — лучше скачивать такое с известных проверенных торрент-трекеров — например с rutracker.org.
Найти бесплатные аналоги программ. Использовать официальный софт.
Однако я сам не сторонник взломанного софта, посему не рекомендовал бы вам пользоваться крякнутым ПО, а поискать ему бесплатный аналог. Благо мир Opensource программного обеспечения не стоит на месте и развивается семимильными шагами. Практически для любой платной программы наверняка найдется бесплатный аналог. В случае с фотошопом, например можно использовать . Если вы озаботитесь поискать найдете и другие.
Не получается? Я помогу!
Если не можете найти бесплатный аналог программы сами — обратитесь ко мне, я вам помогу. Можете через комментарии, можете через форму обратной связи (ссылка в футере). Таким образом и карма будет чиста — бесплатный софт вам не придется красть:) И не придется искать его где попало, ломать голову где взять ключ или кряк — ибо оно будет доступно для бесплатного скачивания прямо на официальном сайте. И еще будете на 100% уверены что никакое вредоносное ПО данная программа в себя не включает и не является вирусом.
Открытый код — залог безопасности
Ведь если программное обеспечение с открытым исходным кодом, то его практически невозможно сделать вредоносным и уж тем более распостранить, ибо используют его тысячи пользователей и каждому из них доступен исходный код этой программы. Это является своеобразной гарантией что данный софт безопасен. Ведь если с ним что-то не так — кто-нибудь уже бы заподозрил неладное и исследовал бы исходный код приложения. Сообщество мгновенно бы узнало об этом через списки рассылок, с помощью которых обычно общаются разработчики подобного ПО. Но это уже отклонение от темы. Мы ведь начали с полезности антивирусов и значительной сложности распостранения вредоносного софта, поэтому давайте к теме вернемся.
Как открыть файл безопасно?
Песочница или новый пользователь
Если у вас нет возможности проверить приложение в песочнице, на другом компьютере не содержащем важной информации или в виртуальной машине. Открывайте подозрительные файлы другим пользователем с ограниченными правами (не администратор компьютера). Специально для этого можете создать такого пользователя переключиться под него, и открыть подозрительный файл из под его учетной записи. Этим вы гарантируете что файлы принадлежащие вашей основной учетной записи или критичные для работы системы не смогут быть изменены или удалены запущенным приложением. Ну а если программа все же требует администраторских прав, у вас нет выбора — придется использовать изолированную среду — песочницу. Создавайте виртуальную машину и запускайте такие программы только в ней:)
Выключить рекламу в браузере. Долой флеш и баннеры!
И еще — чтобы не скачать ничего случайно можно, и даже нужно, установить на свой компьютер блокировщик рекламных баннеров Adblocks, о котором я рассказывал в . Поскольку сайты, с которых чаще всего распостраняется софт злоумышленниками, обычно пестрят различными всплывающими окнами и назойливыми баннерами, то если вы озаботитесь тем, как отключить рекламу в хроме, вам будет легче контролировать безопасность своей системы. Плагин Adblocks очень тихо и точно подобный мусор блокирует и вы видите на веб страницах только полезное содержимое. А значит вы не нажмете никакие лишние окна случайно и не скачаете ничего вредоносного ненароком.
Владельцы Windows — будьте осторожны!
Именно бесконтрольного скачивания стоит опасаться прежде всего пользователям ОС windows, поскольку скачанная программа в ней может быть запущена даже без ведома пользователя. Что исключается, например, в unix-подобных операционных системах — Mac и семейство Linux. В них никакое приложение без ведома пользователя запуститься просто не может. Любой программе в этих системах обязательно должны поступить инструкции на исполнение, проще говоря — софт должен быть запущен пользователем или другим исполняющимся процессом. Само по себе наличие вируса в файловой системе никоим образом операционке навредить не способно.
Впрочем, надо отдать должное Microsoft — с последними версиям Windows они все более решают эту проблему и в современных Windows уже практически исключен самопроизвольный и неконтролируемый запуск программ. А значит и вирусы писать и распостранять стало гораздо сложнее. Именно поэтому я убежден, что антивирус не нужен, о чем упорно твердил в своем .
Почему на сервера ставят Linux?
Собственно говоря, именно по этой причине для Linux и Макинтоша существует мизерное количество вирусов относительно кунсткамеры виндовой вирусни. Речь идет о тысячекратной разнице. Но вот так уж сложилось — философия unix позволила этим операционным системам практически избежать вирусной напасти. Именно поэтому большая часть компьютеров в мире исполняющих наиболее важные задачи работает под linux и другими юникс. 98% серверов мира работают под ними. Практически все, что обслуживает мировое информационное пространство, является и работает под *nix. Даже вот этот сайт который вы сейчас читаете, работает на веб-сервере apache. А он в свою очередь запущен на сервере под управлением операционной системы Centos Linux. Именно поэтому вирусы не так уж и страшны для интернета в целом и неспособны сильно распостраняться.
Какая операционная система у айфона и на навигаторах? И даже на smart tv телевизорах?
Кстати, не стоит думать что вам вся эта история с Linux далека. Вы ведь пользуетесь мобильным телефоном? На вашем смартфоне стоит именно unix-подобная
система! Если у вас гаджет от Apple — iPhone или iPad — в нем операционная система IOS, которая основана на MacOs, которая в свою очередь берет корни от FreeBSD, которая определенно Unix:) Если же на вашем устройстве Android — я вас поздравляю! Вы несомненно один из миллиардов пользователей Linux! Поскольку Андроид есть не что иное как Linux. Специально чтобы показать вам это я подключился к командной строке своего Android-телефона и сделал скриншот, на которой четко видно вывод команды, которая показывает информацию о версии ядра операционной системы в любом Linux — uname. В том числе и в ОС Андроид.
Именно поэтому, вы можете смело взять на заметку, что для вашего телефона не нужны никакие антивирусы! Ибо сейчас их модно устанавливать, не стоит на это тратиться. Для android по сути не су
С недавнего времени антивирусные программы стали столь же актуальными по своему спросу, как и операционные системы. Почему? Ответ, который может дать даже начинающий пользователь ПК: слишком много вирусов развелось в уже привычной сети Интернет. Однако встречается мнение, что можно и вовсе обойтись без антивирусных программ. Дескать, «не лазай там, где не нужно, будь аккуратным, и всё будет хорошо».
Действительно, даже создатели Windows Vista при появлении ОС утверждали, что их система является самой защищенной из всех существующих. На самом деле даже Vista сделана так, что при отсутствии на компьютере антивирусных программ, она информирует об этом пользователя, причем с весьма «с дрожью в голосе». Хотя у этой ОС и следующей за ней «Windows 7 » и есть свой «Защитник Windows », Microsoft посчитала, что этого все-таки не достаточно.
На самом деле полную защиту от всех вирусов может дать лишь бесплатная ОС - Linux . Однако «простым смертным» куда проще пользоваться привычной Windows .
Так можно ли обходится без антивирусных программ (работая в Windows) или всё-таки нельзя? Какие антивирусные программы лучше выбрать?
Чтобы дать ответ на первый вопрос, приведем небольшой наглядный пример. Некоторые люди живут, не употребляя лекарств, повышающих иммунитет против вируса гриппа. Тем не менее они не болеют. Другие используют иммуностимулирующие препараты, но всё равно заболевают. Почему такое происходит? Причин может быть много. Это и окружение человека, уровень его иммунитета, его привычки личной гигиены и так далее. Иначе говоря, нельзя утверждать, что антивирусная программа, как и препарат с антибиотиком, поможет однозначно . Очень много зависит от того, какого содержания сайты посещает пользователь, какие диски, флэшки вставляет в своей компьютер.
Таким образом, нужно быть ответственным пользователем, даже если у тебя установлен антивирус. А нужны антивирусные программы или нет, решать вам. Разумеется, сегодня сеть просто изобилует вирусами. Кто-то на них «натыкается», а кто-то - нет. Большинство опытных пользователей считают, что такие программы всё-таки нужны.
Кто-то предпочитает Firewall , кто-то «Касперского », кто-то NOD 32 . Однако данные антивирусные программы являются платными. Поэтому сейчас популярность набирают бесплатные или условно бесплатные антивирусы типа Аваст , который, кстати говоря, дает неплохую защиту.
Развитие вирусного ПО происходит с такими темпами, что не все антивирусы могут справиться с этим. Поэтому, когда пользователь начинает подозревать, что на его компьютере появился зловред, но установленная антивирусная программа ничего не находит, на помощь приходят портативные сканеры. Они не требуют инсталляции, поэтому не конфликтуют с установленной защитой.
Существует множество сканеров, которые с легкостью определят, есть ли угроза в вашей системе, а некоторые даже очистят ее от ненужных файлов. Вам просто нужно будет скачать понравившуюся утилиту, за надобностью настроить или загрузить базы, запустить и ждать результата. Если проблемы будут найдены, то сканер предложит вам решение.
Пользователи также используют антивирусные утилиты тогда, когда на их компьютере отсутствует защита, ведь проще воспользоваться сканером, чем вечно загружать процессор антивирусной программой, особенно на слабых устройствах. Также, портативные утилиты удобны, ведь если у вас возникли проблемы с установленной защитой, то вы всегда можете запустить проверку и получить результат.
Способ 1: Dr.Web CureIt
Dr.Web CureIt – это бесплатная утилита от известной российской компании Dr.Web. Данный инструмент способен лечить найденные угрозы или помещать их на карантин.
Способ 2: Kaspersky Virus Removal Tool
Kaspersky Virus Removal Tool — полезный и доступный для всех инструмент. Конечно же, он не обеспечивает такую защиту как , но отлично справляется с разного рода вредоносным ПО, которое только найдёт.
Способ 3: AdwCleaner
Легкая утилита AdwCleaner может очистить компьютер от нежелательных плагинов, расширений, вирусов и многого другого. Может полностью проверить все разделы. Бесплатная и не требует установки.
Способ 4: AVZ
Портативный режим AVZ может стать очень полезным инструментом для удаления вирусов. Кроме очистки от зловредных программ, АВЗ имеет несколько полезных функций для удобной работы с системой.
Зная несколько полезных портативных сканеров, вы всегда сможете проверить компьютер на вирусную активность, а также устранить её. К тому же, некоторые утилиты имеют другие полезные для работы функции, которые тоже могут всегда пригодиться.
Предупреждение: Описанное в статье несколько устарело, т.к. я забросил винды в эпоху Windows 2003.
Каждый раз, когда меня знакомые спрашивают: «какой антивирус лучше?», я могу сказать только одно: «антивирус - как придворный шаман. Бывают лучше, бывают хуже, но определить, кто лучше камлает, не получится». Антивирус не гарантирует защиту от вирусов, более того, у него есть полное моральное право пропустить новую заразу и начать её детектить дня через 2-3 после «инцидента». Т.е. как основное средство защиты он годится не очень.
Ниже описывается настройка windows, которая позволит защититься от любых реальных (т.е. встречающихся в природе) вирусов без использования антивирусов. Данная конфигурация уже 3 с половиной года работает на терминальном сервере, где пользователи (в лучшие времена до 70 человек) совсем не стесняются притаскивать на флешках всяких засранцев, лазать по сети где попало и т.д.
Теория
Любой уважающий себя вирус, оказавшись запущенным, тем или иным методом стремится в системе закрепиться, т.е. создаёт исполняемый файл или библиотеку, которая прописывается тем или иным образом в запуск. «Авто» запуск или в форме «дополнения» к другим исполняемым файлам (debugger, hander, плагин, и т.д.) - не важно. Важно: существует барьер под названием «запуск кода». Даже старые-добрые вирусы, дописывающие себя в исполняемые файлы, всё равно должны иметь возможность писать в файлы, которые предполагается запускать.Безусловно, есть вирусы, размножающиеся без создания файлов (например, мс-бласт). Но условием появления этого вируса должна быть доступность сервера для обращений с носителей вируса или запуск кода через эксплоит в браузере\сетевой компоненте. В случае дыры в браузере дальнейшее размножение не возможно (т.к. нужно обращаться к браузерам на других машинах, а это требует поднятия сервера, куда будут ходить другие пользователи и мотивации пользователям ходить именно на этот узел). В случае дыры в сетевой компоненте и размножения без сохранения на диск, описанная мною методика с большой вероятностью работать не будет и возможна эпидемия. Однако, я не уверен, что антивирусы поймают такой 0day эксплоит, плюс, их (дыры) довольно резво фиксят, так что этот сценарий я откладываю как маловероятный. Наличие же файрволов ещё более уменьшает их опасность. От не-0day вполне же спасает своевременная (автоматизированная) установка обновлений.
Итак, основную бытовую опасность представляют вирусы, запускающиеся «из файла» (хотя бы потому, что они переживают перезагрузку компьютера). Если мы запретим каким-то образом запуск «неправильных» файлов, то проблема будет решена (т.к. несохраняющийся в файле вирус не сможет пережить перезагрузку, а в случае запуска с правами пользователя, даже банального релогина).
В Windows существует технология - политика ограниченного запуска приложений. Её можно активировать в режиме «запрещать всё, что не разрешено». Если поставить запрет полный - для всех, включая администраторов, все файлы, включая библиотеки, то мы получим точную гарантию того, что посторонний (не входящий в список разрешённых) файл не будет запущен. По-крайней мере я пока не слышал, чтобы в этой технологии были дыры. Обращаю внимание, нужно запрещать и библиотеки тоже, потому что печально известный конфикер запускается с флешек именно с помощью запуска библиотеки обманом rundll32.
Однако, запреты и разрешения не будут иметь смысла, если не сформулировать правила, которые запретят запуск «чужаков».
Модель безопасности
Перед тем, как описать подробно конфигурацию, сформулирую теоретические принципы её организации:1. То, куда пользователь может писать закрыто для запуска.
2. То, что пользователь может запускать, закрыто для записи.
Эти два простых правила позволяют защитить систему от запуска вирусов пользователем - вирус не может образоваться там, куда пользователь не может писать, а туда, куда вирус сможет писать, не даст нужного эффекта - оттуда будет запрещён запуск. Заодно это защищает (на терминальном сервере) от запуска посторонних приложений с неизвестной прожорливостью по ресурсам.
Проблемы
Но за этой радужной простотой скрывается масса подводных камней.Камень номер один: дикий софт. ПО, которое хранит исполняемые файлы в профиле пользователя, ПО, которое хочет писать «к себе в каталог». В предлагаемой модели строго действует правило: софт (исполняемые файлы) в своих каталогах, пользовательские данные и настройки в своих, и эти каталоги не пересекаются. (Фактически, это воссоздание классического юникс-вея с /usr/bin и ~, подмонтированным с запретом на +x). Сервера настраивают под задачу (а не подбирают задачи под сервер), так что наличие таких программ может автоматически означать невозможность внедрить описываемую систему. Дикого софта много, и он иногда удивляет (например, Adobe Illustrator хочет много писать в каталог Windows).
Камень номер два: скриптовые языки. От злонамеренного пользователя нас это не защитит, однако, от вирусов вполне защищает запрет на запуск скриптовых расширений. (логика такая: даже если вирус запустит скрипт, запустив разрешённый интерпретатор, он не сможет пережить перезагрузку, так как ему нужно будет после загрузки запустить интерпретатор с скриптом, а создание файлов, из которых можно запускать, включая ярлыки, запрещено).
Камень номер три: у пользователей не будут работать ярлыки. Частично это можно решить разместив нужные ярлыки в all users, но пользователи действительно не любят, когда им запрещают создавать ярлычки. Частично это решается созданием персональных quick launch панелей, на которые пользователь не имеет прав записи (т.е. обновление их идёт по запросу пользователя).
Камень номер четыре: многие обновления не будут ставиться (так как им запрещён запуск). Для решения этой проблемы нужно раскручивать групповую политику, ставить апдейты и закручивать её обратно.
Камень номер пять: сетевые компоненты, наподобие IIS/Exchange. Они всё ещё не могут отвыкнуть от привычки писать куда попало (а в случае IIS и выполнять код откуда попало), но я надеюсь, что вы не делаете Exchange на терминальном сервере.
Другими словами - защита не даётся малой кровью.
Настройки
Запрет можно прописать в групповой политике сервера (я обычно использую политику с loopback processing и назначаю её на все терминальные сервера), или в локальной политике (gpedit.msc).Путь к политике - Computer Configuration, Windows Settings, Security Settings, Software Restriction Policies. При первом использовании их нужно создать - правой кнопкой на Software Restriction Policies, «New Software Policies».
Сначала настраиваются пути, которые разрешены (additional rules):
Разрешается к запуску всё, что находится в c:\windows, c:\windows\system32 c:\program files. c:\documents and settings\all users\desktop, c:\documents and settings\Start menu. Всё остальное запрещено. В частности, обязательно нужно запретить запуск из корня диска, т.к. пользователи по-умолчанию могут писать в корень диска (да, это фагофича майкрософта для совместимости с старым тупым софтом). Разрешать запуск из c:\documens and settings\All users\* (оптом_ так же не следует - там лежит каталог общих документов, открытых на запись всем пользователям.
Всё, кроме перечисленного выше, запрещено. Точнее, в ходе работы может захотеться разрешить отдельные каталоги (например, сетевые шары), но следует строго соблюдать описанное правило: можно запускать - нельзя писать. Можно писать - нельзя запускать.
Запрет включается в два этапа - сначала в secruty levels (Disallowed), потом в корне Software Restriction Policy в Enforcement - в «All software files» и «All users».
Использование групповой политики домена хорошо тем, что если вы накосячили в политике и не можете ничего запустить (даже gpedit), то это можно поправить с стороннего сервера.
Практическая эксплуатация
Конфигурация используется уже несколько лет без особых изменений, за это время не было ни одного случая инфицирования терминального сервера (в лучшие времена до 70 человек с IE6/7 и кучей флешек) или рабочих станций под управлением Windows XP (около трёх десятков в трёх фирмах). В в логах я периодически вижу сообщения о запрете запуска того или иного файла (чаще всего из temporary internet files). За это время было обнаружена масса ПО несовместимого с конфигурацией - от Autodesk view (просмотровщик DWG, кое-как работает, но с матюгами) до Thunderbird (который пытается хранить плагины в профиле у пользователя).Эксплуатация этой конфигурации в автоматическом режиме с большой вероятностью будет неудачной (то не работает, это не работает), но при небольшом уходе она позволяет забыть о проблеме антивирусов (а в условиях терминального сервера позволяет существенно сэкономить на железе, т.к. нагрузка на сервер сильно уменьшается).
Более того, в этом режиме работает даже один компьютер из-под администратора (специфика применяемого ПО) - за это время не было ни одного удачного инфицирования (хотя теоретически в таких условиях оно возможно).
