Bir kullanıcıya bir bilgisayarda çalıştırabileceği uygulamaları kısıtlamak isterseniz, bununla ilgili Windows size 2 seçenek sunar. Kullanıcının çalıştırmasını istemediğiniz uygulamaları engellemek (bloklamak) veya sadece çalıştırmasını istediğiniz belli uygulamalara izin vermek.
Not : Gerçekten kısıtlamak istediğiniz kullanıcı hesabında bu değişiklikleri yaptığınızdan ve bu değişiklikleri geri alabileceğiniz (kısıtlı olmayan) bir yönetici hesabınız olduğundan emin olun. ‘Kayıt Defteri Düzenleyicisi (Registry Editör)’ne ve ‘Yerel Grup İlkesi Düzenleyicisi (Local Grup Policy Editor)’ne erişim yetkisini kaybedecek olan kullanıcıların bazı uygulamalara erişimini kısıtlarkan özellikle dikkatli olun. Bu kısıtlamaları yanlışlıkla kendi yönetici hesabınıza yaparsanız, bu işlemi geri almanın yolu sistem geri yükkleme veya recovery yapmaktır (bilgisayarı sıfırlamak, format atmak). Bu nedenle, uygulama kısıtlama işlemi yapmadan önce bir (sistem) geri yükleme noktası oluşturmanızı tavsiye ederiz.
İçerik konuları
Windows Home Kullanıcıları : Uygulamaları, Kayıt Defteri Düzenleyicisi (Registry Editor) ile Engelleyin veya Kısıtlayın
Windows 10’un Home (Basic, Premimum) versiyonunda uygulamaları engellemek veya kısıtlamak için, bu işlemleri yapabileceğiniz Windows Kayıt Defteri (Registry)’ni açmanız gerekiyor. Burada dikkat edilmesi gereken nokta, uygulama engelleme veya kısıtlama yapacağınız kullanıcı hesabı ile sisteme giriş yapmanız ve daha sonra bu kullanıcı hesabında ‘Kayıt Defteri (Registry)’ni düzenlemeniz gerekiyor. Uygulama engelleme veya kısıtlama yapmak istediğiniz birden fazla kullanıcı hesabı var ise, bu işlemi tüm kullanıcı hesapları için tekrarlamanız gerekiyor.
Uyarı : ‘Kayıt Defteri Düzenleyicisi (Registry Editor)’, Windows’un kalbi (ruhu) olarak ifade edilen çok güçlü bir araçtır. Dolayısı ile burada yapacağınız bir hata veya yanlış bir kullanım, sisteminizi kararsız ve hatta kullanılamaz hale getirebilir. Burada, sistemi kullanılamayacak hale getirebilecek (hakleyecek) bir hata yapmak oldukça basit ve kolaydır. Uygulama engelleme veya kısıtlama işlemleri için makalemizde anlattığımız adımları birebir uygularsanız herhangi bir problemle karşılaşmazsınız.
‘Kayıt Defteri (Registry Editor)’ Üzerinden Bazı Uygulamaları Engelleme
Öncelikle Windows’ta, uygulamaları engellemek istediğiniz kullanıcı hesabına giriş yapmanız (log on) gerekiyor. Giriş yaptıktan sonra ‘Başlat (Start Menu)’ tıklayın ve arama kutucuğuna ‘regedit’ yazın. Çıkan arama sonuçlarında ‘regedit’ veya ‘Kayıt Defteri Düzenleyicisi (Registry Editör)’ seçeneğine tıklayın ve açılan pencerede, bilgisayarda (kullanıcı hesabında) yapmak istediğiniz değişiklikler için gerekli izinleri verin (onaylayın).
‘Kayıt Defteri Düzenleyicisi (Registry Editor)’nde sol tarafta bulunan açılır menülerde aşağıdaki anahtara gidin.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
Bir sonraki adımda ‘Policies’ anahtarı altında (içinde) yeni bir alt anahtar oluşturmanız gerekiyor. ‘Policies’ anahtarı üzerine sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘Anahtar (Key)’ menülerine tıklayın ve oluşturduğunuz yeni anahtarın ismini ‘Explorer’ olarak düzenleyin.
Bir sonraki adımda, ‘Explorer’ anahtarı içinde bir değer oluşturmanız gerekiyor. ‘Explorer’ anahtarı üzerine sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘DWORD (32-bit)’ seçeneklerine tıklayın. Oluşturduğunuz yeni değeri ‘DisallowRun’ olarak isimlendirin.
‘DisallowRun’ değerine çift tıklayıp, bu değere ait özellikler penceresini açın. ‘Değer verisi (Value data:)’ kutucuğundaki 0 değerini silip 1 yaptıktan sonra ‘Tamam (OK)’ butonuna tıklayın.
Daha sonra, soldaki panelde ‘Explorer’ anahtarı altında (içinde) yeni bir alt anahtar oluşturmanız gerekiyor. ‘Explorer’ anahtarı üzerine sağ tıklayın ve açılan menü listesinde ‘Yeni (New)’ ⟶ ‘Anahtar (Key)’ seçeneklerine tıklayın. Biraz önce oluşturduğunuz değer gibi, oluşturduğunuz bu yeni anahtarı da ‘DisallowRun’ olarak isimlendirin.
Şimdi, engellemek istediğiniz uygulamaları (programları) eklemeye başlayabilirsiniz. Engelleme işlemini, engellemek istediğiniz her bir uygulama (program) için, ‘DisallowRun’ anahtarı içinde yeni bir string (metin) değeri oluşturarak yapacaksınız. ‘DisallowRun’ anahtarı üzerine sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘String (Metin) Değeri (String Value)’ seçeneklerine tıklayın. Bu değerleri basit olması ve kolaylık açısından numaralarla isimlendirebilirsiniz. Dolayısıyla ilk oluşturduğunuz değere ismini ‘1’ yapın.
Oluşturduğunuz yeni değere çift tıklayıp özellikler penceresini açın ve engellemek istediğiniz uygulamanın (çalıştırılabilir dosya) ismini (örn.: notepad.exe), ‘Değer verisi (Value data)’ kutucuğuna yazdıktan sonra ‘Tamam (OK)’ butonuna tıklayın.
Engellemek istediğiniz her uygulama (program) için, oluşturacağınız ikinci değere ‘2’, üçüncü değere ‘3’ … ismini verip, engelleyeceğiniz uygulamaların (programların) çalıştırılabilir dosya isimlerini bu değerlere ekleyerek bu işleme devam edin.
Bitirdikten sonra, bilgisayarı yeniden başlatıp, uygulama engelleme işlemi yaptığınız kullanıcı hesabına giriş yaptıktan sonra, engellediğiniz uygulamaları çalıştırmayı deneyerek test edebilirsiniz. Uygulamayı çalıştıramayacağınızı size bildiren bir ‘Kısıtlamalar’ uyarı penceresi göreceksiniz.
Bu işlemi, uygulamaları engellemek istediğiniz tüm kullanıcı hesaplarında yapmalısınız. Diğer kullanıcı hesaplarında da aynı uygulamaları engelleyecekseniz, uygulama engelleme işlemi yaptığınız ilk kullanıcı hesabında ‘Kayıt Defteri Editörü (Registry Editor)‘nde oluşturduğunuz ‘DisallowRun’ anahtarını dışa aktarıp yedeğini aldıktan sonra, diğer kullanıcı hesaplarında bu yedeği içe aktar işlemi ile ‘Kayıt Defteri (Registry)’ne kolayca ve hızlıca ekleyebilir ve uygulamaları engelleyebilirsiniz.
Engellenen uygulamaların listesini düzenlemek isterseniz, ‘Kayıt Defteri Editörü (Registry Editor)’ünde ‘DisallowRun’ anahtarına giderek, istediğiniz değişiklikleri yapabilirsiniz. Uygulamalara erişim engelini kaldırmak isterseniz, ‘DisallowRun’ alt anahtarı ve değerleri ile birlikte ‘Explorer’ anahtarını tamamen silerek kaldırabilirsiniz. Veya ‘Explorer’ anahtarı içinde oluşturduğunuz ‘DisallowRun’ değerine çift tıklayıp, ‘1’ olan ‘Değer verisi (Value data)’ değerini ‘0’ yapın ve ‘Tamam (OK)’ butonuna tıklayın. Bu şekilde uygulama listesini silmeden, hızlıca ve kısayoldan uygulamalardaki engeli kaldırmış olursunuz. İlerleyen zamanlarda, uygulamaları tekrar engellemek isterseniz, ‘DisallowRun’ değerine çift tıklayıp, ‘0’ olan ‘Değer verisi (Value data)’ değerini ‘1’ yaparak uygulamaları engelleyebilirsiniz.
‘Kayıt Defteri (Registry Editor)’ Üzerinden Bazı Uygulamalara İzin Verme
‘Kayıt Defteri (Registry)’nde kullanıcıların sadece belli uygulamaları çalıştırabilmelerine izin verme, belli uygulamaları engelleme işlemi ile hemen hemen aynıdır. Yine, değişiklik yapmak istediğiniz kullanıcı hesabına giriş yapmanız gerekiyor. Giriş yaptıktan sonra ‘Kayıt Defteri Editörü (Registry Editor)’ çalıştırın ve aşağıdaki anahtara gidin.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
‘Policies’ anahtarına sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘Anahtar (Key)’ seçeneklerine tıklayın ve oluşturduğunuz yeni anahtarı ‘Explorer’ olarak isimlendirin.
Bir sonraki adımda ‘Explorer’ anahtarı içerisinde bir değer oluşturmanız gerekiyor. ‘Explorer’ anahtarına sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘DWORD (32-bit)’ seçeneklerine tıklayın. Oluşturduğunuz yeni değeri ‘RestrictRun’ olarak isimlendirin.
Oluşturduğunuz ‘RestrictRun’ değerine çift tıklayın ve özellikler penceresini açın. ‘Değer verisi (Value data)’ kutucuğundaki ‘0’ değerini ‘1’ yapın ve ‘Tamam (OK)’ butonuna tıklayın.
Bir sonraki adımda ‘Explorer’ anahtarı içinde (altında), yeni bir alt anahtar oluşturmanız gerekiyor. Bunun için ‘Explorer’ anahtarına sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘Anahtar (Key)’ seçeneklerine tıklayın. Oluşturduğunuz yeni anahtarı, az önce oluşturduğunuz değer gibi, ‘RestrictRun’ olarak isimlendirin.
Şimdi, kullanıcının erişebileceği (çalıştırabileceği) uygulamaları eklemeniz gerekiyor. Bunun için, ‘RestrictRun’ anahtarı içerisinde, kullanıcının erişebileceği (çalıştırabileceği) her uygulama için bir string (metin) değeri oluşturmanız gerekiyor. ‘RestrictRun’ anahtarına sağ tıklayın ve açılan menü listesinde sırasıyla ‘Yeni (New)’ ⟶ ‘Metin Değeri (String Value)’ seçeneklerine tıklayın. Oluşturduğunuz bu değerleri basit ve kolaylık olması açısından numaralarla isimlendirebilirsiniz. Dolayısı ile, oluşturduğunuz ilk değeri ‘1’ olarak isimlendirin.
Oluşturduğunuz yeni değere çift tıklayın ve özellikler penceresini açın. Açılan pencerede, kullanıcının erişmesine (çalıştırmasına) izin vermek istediğiniz uygulamanın çalıştırılabilir dosya ismini ‘Değer verisi (Value data)’ kutucuğuna yazın ve ‘Tamam (OK)’ butonuna tıklayın.
İzin vermek istediğiniz her uygulama (program) için, oluşturacağınız ikinci değere ‘2’, üçüncü değere ‘3’ … ismini verip, izin vereceğiniz uygulamaların (programların) çalıştırılabilir dosya isimlerini bu değerlere ekleyerek bu işleme devam edin.
Bitirdikten sonra Windows’u yeniden başlatın ve işlem yaptığınız kullanıcı hesabı ile tekrar oturum açın (giriş yapın) ve yaptığınız ayarları test edin. Sadece, izin verdiğiniz uygulamaları çalıştırabildiğinizi göreceksiniz. Yukarıdaki işlemi (sadece belli uygulamalara izin verme), her kullanıcı hesabı için ayrı ayrı yapmanız gerekiyor. Diğer kullanıcı hesaplarında izin vereceğiniz uygulamalar, ilk kullanıcı hesabında izin verdikleriniz ile aynı olacaksa, ilk kullanıcı hesabında oluşturduğunuz ‘Explorer’ anahtarını dışa aktarıp yedeğini aldıktan sonra, diğer kullanıcı hesaplarında bu yedeği ‘Kayıt Defteri Editörü (Registry Editor)’nda içeri aktar yaparak, işlemi daha hızlı ve kolay yapabilirsiniz.
Bu değişiklikleri geri almak için ‘Explorer’ anahtarını silebilir ya da ‘Explorer’ anahtarı içinde oluşturduğunuz ‘RestrictRun’ değerinin ‘Değer verisi (Value data)’ değerini ‘0’ yapabilirsiniz.
Windows Pro & Enterprise Kullanıcıları : Yerel Grup İlkesi Editörü ile Uygulamaları Engelleyin veya Uygulamalara İzin Verin
Windows’un Pro veya Enterprise sürümlerini kullanıyorsanız, belli uygulamaları engelleme veya belli uygulamalara izin verme işlemi ‘Yerel Grup İlkesi Editörü (Local Group Policy Editor)’ ile yapıldığı için daha kolaydır. En önemli ve en büyük avantajı, ‘Kayıt Defteri Editörü (Registry Editor)’ ile her kullanıcı hesabına ayrı ayrı giriş yaparak bu ayarları yaparken, ‘Yerel Grup İlkesi Editörü (Local Group Policy Editor)’ ile buna gerek kalmadan yapacağınız tüm değişiklikleri ve ayarları diğer kullanıcı hesapları ve hatta kullanıcı grupları için yapabiliyorsunuz.
Burada dikkat etmeniz gereken nokta, bu kullanıcıların sadece belli uygulamaları açabilmesi (çalıştırabilmesi) için grup ilkesi oluştururken extra bazı ayarlar yapmanız gerektiğidir. Ayrıca ‘Yerel Grup İlkesi Editörü (Local Group Policy Editor)’nün çok güçlü bir araç olduğunun farkında olmanız gerekiyor. Dolayısıyla bu araç ile neler yapılabileceğini öğrenmek için vaktinizi ayırmada fayda var. Ayrıca, bir şirketin ağında (network) iseniz, herkes için bir iyilik yapın ve bu değişiklikleri yapmadan önce yöneticinize danışın. Ayrıca, iş (çalışma) bilgisayarınız bir alan adının (domain) parçası ise, muhtemeldir ki, ‘yerel grup ilkesi (local group policy)’nin yerini alan ‘alan adı grup ilkesi (domain group policy)’nin de bir parçasıdır.
‘Yerel Grup İlkesi Editörü (Local Group Policy Editor)’ ilkesi ile belli uygulamaları engellemek veya sadece belli uygulamalara izin vermek, hemen hemen benzer işlemlerdir. Dolayısı ile bu makalemizde sadece belli uygulamalara izin verme işlemini göstereceğiz ve uygulama engelleme işlemi ile arasındaki farklara değineceğiz. Sadece belli uygulamaları açmalarına (çalıştırmalarına) izin vereceğiniz kullanıcılar için oluşturduğunuz MSC grup ilkesi dosyasını bulup, çift tıklayarak bu dosyayı açın ve bilgisayarınızda değişiklik yapmasına izin verin. Makalemizde anlatacağımız işlem için, yönetici olmayan tüm kullanıcı hesaplarına grup ilkesi ayarlarını uygulamak amacı ile bir tane MSC grup ilkesi dosyası oluşturduk.
Sadece belli uygulamaları açmalarına (çalıştırmalarına) izin vereceğiniz kullanıcılar için ‘Grup İlkesi (Group Policy)’ penceresinde sol tarafta sırasıyla ‘Konfigürasyon (Configuration)’ ⟶ ‘Yönetimsel Şablonlar (Administrative Templates)’ ⟶ ‘Sistem (System)’ menülerine tıklayın. Daha sonra sağ taraftaki panelde ‘Sadece belli Windows uygulamalarını çalıştır (Run only specified Windows applications)’ seçeneğini bulun ve çift tıklayıp özellikler penceresini açın. Bazı uygulamalara izin vermek yerine, bazı uygulamaları engellemek istiyorsanız ‘Belli Windows uygulamalarını çalıştırma (Don’t run specified Windows applications)’ seçeneğine çift tıklayın.
Açılan özellikler ekranında ‘Etkin (Enabled)’ seçeneğine tıklayın ve daha sonra ‘Göster… (Show…)’ butonuna tıklayın.
‘İçerikleri Göster (Show Contents)’ penceresinde her bir satıra tıklayın ve kullanıcıların çalıştırmasına (açmasına) izin vermek istediğiniz uygulamaların çalıştırılabilir dosya isimlerini yazın (veya bir önceki adımda ‘Belli Windows uygulamalarını çalıştırma (Don’t run specified Windows applications)’ seçeneğini seçtiyseniz, kullanıcının çalıştırmasını (açmasını) istemediğiniz uygulamaların çalıştırılabilir dosya isimlerini yazın). Listeyi tamamladığınızda ‘Tamam (OK)’ butonuna tıklayın.
İşleminizi tamamladıktan sonra ‘Yerel Grup İlkesi (Local Group Policy)’ penceresinden çıkabiliriniz. Yaptığınız değişiklikleri test etmek için, sadece belli uygulamaları açmasına (çalıştırmasına) izin verdiğiniz kullanıcı hesaplarından birine giriş yapın ve izin verdiğiniz uygulama dışında bir uygulamayı çalıştırmayı deneyin. Uygulamanın açılmadığını, bir hata mesajı çıktığını göreceksiniz.
Yaptığınız değişiklikleri geri almak istiyorsanız, oluşturduğunuz MSC dosyasına çift tıklayıp, ‘Yerel Grup İlkesi (Local Group Policy)’ penceresini açın. Yaptığınız ayara göre ‘Sadece belli Windows uygulamalarını çalıştır (Run only specified Windows applications)’ veya ‘Belli Windows uygulamalarını çalıştırma (Don’t run specified Windows applications)’ seçeneğine tıklayın ve açılan pencerede ‘Devre dışı (Disabled)’ veya ‘Ayarlanmadı (Not Configured)’ seçeneklerini seçin. Bu, yaptığınız ayarları tamamen geri alacak. Ayrıca (izin verdiğiniz veya engellediğiniz) uygulama listesini de sıfırlayacak (silecek). Dolayısı ile (sadece belli uygulamalara izin verme veya belli uygulamaları engelleme) ayarları tekrar etkinleştirmek istediğinizde, uygulama listesiniz tekrar yazmanız (oluşturmanız) gerekiyor.