Come impedire l'esecuzione di programmi Windows

Presentiamo un semplice trucco che permette di bloccare l'esecuzione di qualunque applicazione Windows sulla base del nome, della cartella in cui è memorizzata o addirittura verificando il suo hash.
Michele Nasi
Pubblicato il 20 feb 2019
Come impedire l'esecuzione di programmi Windows

In alcuni contesti può risultare utile bloccare il caricamento di alcune applicazioni presenti sul sistema. L’amministratore può decidere quali programmi non devono poter essere utilizzabili dagli altri utenti e impedirne automaticamente l’avvio.

Nelle edizioni Home e Pro di Windows 10 non è possibile utilizzare, ad esempio, Microsoft AppLocker mentre abbiamo verificato che anche con le più recenti versioni del sistema operativo si può ricorrere alla comoda funzionalità Software Restriction Policies (SRP). Essa permette di bloccare velocemente l’esecuzione dei programmi Windows e delle app scaricate dal Microsoft Store.

Un’utilità che automatizza il tutto si chiama AskAdmin ed è scaricabile gratuitamente cliccando qui.

Nella chiave di registro HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers (vedere anche l’articolo Regedit e registro di sistema: guida agli aspetti più utili) è infatti possibile inserire riferimenti ai file che non devono essere eseguiti dai vari account utente presenti sulla macchina.
Non solo. Agendo su un’apposita sottochiave chiamata Hashes, è possibile specificare l’hash dei file il cui avvio non è consentito. In questo modo anche rinominando il file eseguibile, gli utenti non avranno comunque la possibilità di avviare il programma, qualunque esso sia.

AskAdmin si occupa di sovrintendere la creazione delle corrette voci di registro anche se nella sua veste gratuita non permette di aggiungere più di 10 programmi. Inoltre, non è possibile scegliere per quali utenti deve valere il blocco.
Con un semplice trucco è comunque possibile bloccare manualmente l’esecuzione di più di 10 applicazioni.

Per impedire il caricamento di programmi in Windows o bloccare intere cartelle suggeriamo di:

1) Scaricare ed eseguire AskAdmin.

2) Premere la combinazione di tasti Windows+X quindi scegliere Windows PowerShell (amministratore) o Prompt dei comandi con i diritti di amministratore. Nel primo caso digitare cmd e premere Invio alla comparsa della finestra a sfondo blu.

3) Digitare md c:\logs per creare una cartella logs nell’unità C:.

4) Impartire il seguente comando: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers /v LogFileName /d c:\logs\srplog.txt
In questo modo Windows annoterà nel file di registro C:\logs\srplog.txt tutti i programmi che vengono o non vengono eseguiti sulla base delle regole impostate.

5) Trascinare nella schermata di AskAdmin gli eseguibili dei programmi da bloccare o le cartelle il cui contenuti deve essere ugualmente bloccato.

6) Quando si proveranno ad avviare i programmi bloccati, Windows mostrerà un avviso simile a quello in figura.

7) Se si volessero bloccare più di 10 programmi o comunque anche le app Microsoft Store, il consiglio è quello di tornare nella schermata di PowerShell o del prompt dei comandi e digitare quanto segue:

cd %userprofile%
reg export HKLM\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0 srp1.reg

8) A questo punto, dalla schermata principale di AskAdmin si dovranno selezionare i programmi appena bloccati e rimuoverli dall’elenco per far posto ad altre applicazioni.
Con un clic su Extras quindi su Block Microsoft Store quindi ancora su Extras e poi su Block built-in (UWP) Apps si può impedire l’uso delle app Microsoft Store di sistema. Basta selezionare quelle di interesse quindi cliccare su Block selected items.

9) Al prompt dei comandi o da PowerShell si potrà quindi digitare srp1.reg e premere Invio per importare le regole create in precedenza.

10) Rispondere alla comparsa del messaggio in figura e ignorare l’eventuale messaggio d’errore “Impossibile importare…“.

11) Tornando nella finestra di AskAdmin e premendo il tasto F5 si vedranno tutte le regole impostate.

12) In qualunque momento, dall’interfaccia di AskAdmin si potranno sbloccare le applicazioni rimuovendole dall’elenco.

Suggeriamo comunque di creare un backup delle regole sin qui create utilizzando da prompt dei comandi o dalla finestra di PowerShell l’istruzione che segue:

reg export HKLM\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0 %userprofile%\backup_srp.reg /y

In questo modo per ripristinare le regole di blocco, basterà in qualunque momento fare doppio clic sul file backup_srp.reg e acconsentire all’inserimento delle informazioni nel registro di sistema di Windows.
Il file verrà sempre creato nella cartella dell’account utente corrente (premere la combinazione di tasti Windows+R quindi digitare %userprofile%) e il precedente backup (con lo stesso nome) automaticamente sovrascritto.

Vale la pena notare che gli account utente sprovvisti dei diritti di amministratore non potranno intervenire sulla configurazione di SRP e non avranno titolo per apportare alcuna modifica.

Ti consigliamo anche

Microsoft vuole evitare nuovi disastri e opterà per il
Sicurezza

Microsoft vuole evitare nuovi disastri e opterà per il "metodo Apple"
Caso CrowdStrike: l'accordo con la CE impedisce a Microsoft di seguire l'esempio di Apple
Windows

Caso CrowdStrike: l'accordo con la CE impedisce a Microsoft di seguire l'esempio di Apple
Windows 11: pubblicità invadente promuove app per i backup
Windows

Windows 11: pubblicità invadente promuove app per i backup
Microsoft offre strumento per ripristino dispositivi con problema CrowdStrike
Windows

Microsoft offre strumento per ripristino dispositivi con problema CrowdStrike
Link copiato negli appunti