必要に応じて、ユーザーが Windows 11/10 および Windows Server ファミリでプログラムをインストールまたは実行することを制限できます。特定のものを使用してこれを行うことができますグループポリシーWindows インストーラーの動作を制御したり、特定のプログラムの実行を禁止したり、レジストリエディタ。
次のエラー メッセージが表示される場合があります。
インストールはシステム ポリシーによって禁止されています。システム管理者に問い合わせてください。
のWindows インストーラー、msiexec.exeは、以前は Microsoft インストーラーとして知られており、最新の Microsoft Windows システム上でソフトウェアをインストール、メンテナンス、および削除するためのエンジンです。
この投稿では、その方法について説明しますソフトウェアのインストールをブロックするWindows 11/10の場合。
Windows インストーラーの使用を無効化または制限する
[検索の開始] に「gpedit.msc」と入力し、Enter キーを押してグループ ポリシー エディターを開きます。 [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows インストーラー] に移動します。 RHS ペインで、 をダブルクリックします。Windows インストーラーを無効にする。必要に応じてオプションを設定します。
この設定により、ユーザーがシステムにソフトウェアをインストールできないようにしたり、システム管理者が提供したプログラムのみをインストールできるようにしたりすることができます。この設定を有効にすると、[Windows インストーラーを無効にする] ボックスのオプションを使用してインストール設定を確立できます。
「なし」オプションは、Windows インストーラーが完全に有効になっていることを示します。ユーザーはソフトウェアをインストールおよびアップグレードできます。これは、ポリシーが構成されていない場合の、Windows 2000 Professional、Windows XP Professional、および Windows Vista 上の Windows インストーラのデフォルトの動作です。
「管理されていないアプリのみ」オプションを使用すると、ユーザーは、システム管理者が割り当てた (デスクトップ上に提供する) か公開する (プログラムの追加と削除に追加する) プログラムのみをインストールできます。これは、ポリシーが構成されていない場合の Windows Server ファミリ上の Windows インストーラーのデフォルトの動作です。
「常に」オプションは、Windows インストーラーが無効になっていることを示します。
この設定は Windows インストーラーのみに影響します。ユーザーが他の方法を使用してプログラムをインストールおよびアップグレードすることを妨げるものではありません。
関連している:システム管理者は、このインストールを防止するポリシーを設定しました。
常に昇格した特権を使用してインストールする
グループ ポリシー エディターで、[ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] に移動します。下にスクロールして「Windows インストーラー」をクリックし、次のように構成します。常に昇格した特権を使用してインストールする。
この設定は、Windows インストーラーがシステムにプログラムをインストールするときにシステム権限を使用するように指示します。
この設定は拡張されます昇格された特権すべてのプログラムに。これらの特権は通常、ユーザーに割り当てられたプログラム (デスクトップで提供される)、コンピューターに割り当てられるプログラム (自動的にインストールされる)、またはコントロール パネルの [プログラムの追加と削除] で使用可能にされるプログラム用に予約されています。この設定により、ユーザーは、高度に制限されたコンピューター上のディレクトリなど、ユーザーが表示または変更する権限を持たない可能性のあるディレクトリへのアクセスを必要とするプログラムをインストールできます。
この設定を無効にした場合、または構成しなかった場合、システム管理者が配布または提供していないプログラムをインストールするときに、システムは現在のユーザーの権限を適用します。
この設定は、「コンピューターの構成」フォルダーと「ユーザーの構成」フォルダーの両方に表示されます。この設定を有効にするには、両方のフォルダーで設定を有効にする必要があります。
読む: 最も重要セキュリティ侵害を防ぐためのグループ ポリシー設定
熟練したユーザーは、この設定で付与されるアクセス許可を利用して、自分の権限を変更し、制限されたファイルやフォルダーへの永続的なアクセスを取得できます。この設定のユーザー構成バージョンは安全であることが保証されていないことに注意してください。
ヒント:Windows で AppLocker を使用するユーザーがアプリケーションをインストールまたは実行できないようにするため。
指定された Windows アプリケーションを実行しない
グループ ポリシー エディターで、[ユーザーの構成] > [管理用テンプレート] > [システム] に移動します。
右ペインでダブルクリックします指定された Windows アプリケーションを実行しない開いた新しいウィンドウで、「有効」を選択します。次に、「オプション」で「表示」をクリックします。開いた新しいウィンドウで、禁止したいアプリケーションのパスを入力します。この場合、msiexec.exe。
これにより、次の場所にある Windows インストーラーが許可されなくなります。C:\Windows\システム32\フォルダーが実行されなくなります。
この設定により、Windows はこの設定で指定したプログラムを実行できなくなります。この設定を有効にすると、ユーザーは、禁止されたアプリケーションのリストに追加されたプログラムを実行できなくなります。
この設定は、ユーザーが Windows エクスプローラー プロセスによって開始されるプログラムを実行できないようにするだけです。これにより、ユーザーは、システム プロセスまたは他のプロセスによって開始されるタスク マネージャーなどのプログラムを実行できます。また、ユーザーにコマンド プロンプトへのアクセスを許可すると、cmd.exe を使用する場合、この設定は、Windows エクスプローラーを使用して起動することが許可されていないプログラムをコマンド ウィンドウで起動することを妨げるものではありません。注: 許可されていないアプリケーションのリストを作成するには、「表示」をクリックします。 [コンテンツの表示] ダイアログ ボックスの [値] 列に、アプリケーションの実行可能ファイル名 (msiexec.exe など) を入力します。
レジストリ エディターを介したプログラムのインストールを制限する
レジストリ エディターを開き、次のキーに移動します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun
1 などの任意の名前で文字列値を作成し、その値をプログラムの EXE ファイルに設定します。
たとえば、制限したい場合は、msiexec、次に文字列値を作成します1その値を次のように設定しますmsiexec.exe。さらに多くのプログラムを制限したい場合は、名前 2、3 などの文字列値をさらに作成し、その値をプログラムの値に設定します。EXE。
コンピュータの再起動が必要になる場合があります。
こちらもお読みください:
- 方法グループ ポリシーを使用して EXE ファイルの実行をブロックする
- Windows プログラム ブロッカーソフトウェアの実行をブロックする無料のアプリまたはアプリケーション ブロッカー ソフトウェアです
- Windows でサードパーティ製アプリのインストールをブロックする方法。
