როგორ დავბლოკოთ regedit.exe Intune-ს მეშვეობით?

ამ სტატიაში ჩვენ გაჩვენებთ, თუ როგორ უნდა დაუბლოკოთ მომხმარებლებს Windows რეესტრთან წვდომა Intune-ის გამოყენებით. თქვენ შეგიძლიათ გამოიყენოთ Intune პოლიტიკა Windows რეესტრის რედაქტორზე წვდომის შესაზღუდად, რაც ხელს შეუშლის ლოკალ ადმინის უფლებების მქონე მომხმარებლებს შეიტანონ ცვლილებები რეესტრში.

რეესტრი(registry) არის Windows ოპერაციული სისტემის პარამეტრების ბაზა . ოფიციალური დოკუმენტაციის თანახმად, რეესტრი შეიცავს ინფორმაციას, რომელსაც Windows მუდმივად მიმართავს ისეთი ოპერაციის დროს, როგორიცაა მომხმარებლის პროფილებთან, აპლიკაციებთან, აპარატულ კომპონენტებთან მუშაობა.

როდესაც გარკვეული ოპერაციების შესრულება მოითხოვს იუზერისთვის ლოკალ ადმინის უფლებების მინიჭებას, მნიშვნელოვონია Windows-ის რეესტრთან წვდომის დაბლოკვა. როცა  შესაბამისი კომპეტენციის არმქონე მომხმარებლები  რეესტრში შეიტანენ ცვლილებს, თან სარეზერვო ასლის შექმნის გარეშე, ეს გამოიწვევს სერიოზული პრობლემებს, მათ შორის ისეთებსაც, რომლის გამო საჭირო გახდება ოპერაციული სისტემის რეინსტალაცია.

Intune გთავაზობთ მარტივ გზას მომხმარებლებისთვის Windows რეესტრის წვდომის დასაბლოკად. ჩვენ შევქმნით კონფიგურაციის პროფილს Intune-ში და გამოვიყენებთ პოლიტიკას „Prevent access to registry editing tools“, რომელიც იუზერებისთვის მთლიანად დაბლოკავს Windows-ის რეესტრის რედაქტორს (regedit.exe).

შეასრულეთ შემდეგი ნაბიჯები Windows 10/11 მოწყობილობებზე Windows რეესტრის წვდომის დასაბლოკად Intune-ის გამოყენებით:

• პირველ რიგში, შედით Microsoft Intune-ში.
• გადადით Devices > Windows > Configuration Profiles
• შექმენით ახალი კონფიგურაციის პროფილი, რომელიც დაბლოკავს წვდომას რეესტრის რედაქტირების ხელსაწყოებზე.

Create Profile გვერდზე აირჩიეთ:

• Platform: Select Windows 10 and later
• Profile Type: Settings Catalog

სახელში ჩაწერეთ სასურველი სახელი, მაგალითად: Block regedit for users დააჭირეთ Next

Configuration Settings განყოფილებაში, Settings Catalog-ში, დააკლიკეთ Add Settings-ზე.

გვერდიდან გამოსულ Settings picker  ფანჯარის საძიებო ველში ჩაწერეთ „registry editing“ და დააკლიკეთ Search. ძიების შედეგებიდან დააკლიკეთ Administrative Templates\System. 

ქვედა პანელში აირჩიეთ პარამეტრი “Prevent access to registry editing tools (User).” გაითვალისწინეთ, რომ აღნიშნული პარამეტრი შეიცავს კიდევ ერთ ჩაკეცილ ქვეპარამეტრს „Disable regedit from running silently? (User)” ავტომატურად მოინიშნება. დახურეთ პარამეტრების ამომრჩევი ფანჯარა.

მთავარ ფანჯარაში გადართეთ Prevent access to registry editing tools (User) ჩართულ მდგომარეობაზე და დააჭირეთ Next.

Scope tags ჩანართზე შეგიძლიათ მიუთითოთ სასურველი Scope. Scope დაზუსტება სავალდებულო არაა და შეგიძლიათ გამოტოვოთ ეს ნაბიჯი. დააწკაპუნეთ Next-ს.

Assignments ფანჯარაში მიუთითეთ მომხმარებელთა ჯგუფები, რომლებისთვისაც გსურთ დაბლოკოთ რეესტრის რედაქტორზე წვდომა. სასურველია კონფიგურაციის პროფილი დატესტოთ ჯერ რამდენიმე მომხმარებელზე და შემდეგ განავრცოთ ის ყველა საჭირო ჯგუფსა თუ მომხმარებელზე.

Review + Create  გვერდზე გადახედეთ ყველა არჩეულ პარამეტრს და აირჩიეთ Create.

მას შემდეგ რაც შექმნით კონფიგურაციის პოლიტიკას Intune-ში, გამოჩნდება შეტყობინება: „Policy created successfully“. შესაბამისად პოლიტიკა შეიქმნა და ვრცელდება ჩვენ მიერ არჩეულ ჯგუფებზე. ჩვენ მიერ შექმნილი კონფიგურაციის პროფილი გამოჩნდება Intune-ის კონფიგურაციის პროფილების სიაშიც. გაითვალისწინეთ რომ საჭირო მოწყობილობებთან ავტომატურ რეჟიმში სინქრონიზაციას შეიძლება 8 საათი დაჭირდეს.