Гид по технологиям

Как отключить командную строку и программу «Выполнить» в Windows

8 min read Windows Обновлено 02 Dec 2025
Отключить cmd и Выполнить в Windows
Отключить cmd и Выполнить в Windows

Быстрые ссылки

  • Домашние пользователи: отключение командной строки и «Выполнить» через изменение реестра
  • Скачайте наши однонажатные .REG‑хаки
  • Pro и Enterprise: отключение через Редактор локальной групповой политики

Командная строка и программа «Выполнить» — мощные инструменты в Windows. Если вы хотите, чтобы конкретные пользователи на компьютере не имели к ним доступа, это можно сделать достаточно просто.

Связано: 10 полезных команд Windows, которые стоит знать

Windows позволяет легко открыть командную строку, и с её помощью можно делать множество полезных вещей. Однако это также инструмент, который в руках неискушённого пользователя может навредить системе или раскрыть лишние возможности. Программа «Выполнить» позволяет запускать многие из тех же команд и тоже представляет риск. Причины отключения могут быть разные: семейный ПК для детей, гостевой компьютер, киоск для клиентов или рабочая машина в публичной зоне.

Important: Перед изменениями обязательно сделайте резервную копию реестра и точку восстановления системы. Неправильные правки реестра могут привести к нестабильной работе или потере данных.

Домашние пользователи: отключение через реестр

Если у вас Windows Home, придётся править реестр. Этот способ также работает на Pro/Enterprise, если вы предпочитаете работать в реестре. Помните: вы должны быть авторизованы под учётной записью пользователя, для которого хотите отключить доступ.

Как открыть редактор реестра:

  1. Войдите в систему под нужным пользователем.
  2. Нажмите Пуск, введите regedit и нажмите Enter.
  3. Подтвердите запуск с правами пользователя.

Первым делом отключим командную строку. В редакторе реестра перейдите по ключу:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System

Снимок реестра с ключом System

Если ветки Policies\Microsoft\Windows\System нет, создайте её: правый клик на Windows → New → Key → назовите System.

Далее создайте новое значение DWORD (32‑bit):

  • Правый клик на System → New → DWORD (32-bit) Value
  • Имя: DisableCMD
  • Двойной клик → Value data: 1 → OK

Создание DWORD DisableCMD в реестре

DisableCMD = 1 отключает командную строку. Значение 2 запрещает выполнение скриптов и командных файлов; используйте 2, если хотите дополнительно блокировать .bat и .cmd.

Пример: изменить значение через PowerShell (выполнять от имени целевого пользователя):

Set-ItemProperty -Path HKCU:\SOFTWARE\Policies\Microsoft\Windows\System -Name DisableCMD -Type DWord -Value 1

Окно настройки значения DisableCMD

Следующий шаг — отключить «Выполнить». В редакторе реестра перейдите по ключу:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

Ключ PoliciesExplorer в реестре

Создайте новое значение DWORD (32‑bit):

  • Имя: NoRun
  • Value data: 1

Создание DWORD NoRun в реестре

После установки значений закройте редактор реестра, перезагрузите компьютер и войдите под учётной записью, где были сделаны правки. Пользователь не должен иметь доступ к командной строке и к окну «Выполнить». При попытке открыть «Выполнить» появится сообщение об ошибке.

Сообщение об ошибке при попытке использовать Выполнить

Откат: чтобы вернуть доступ, установите оба значения обратно в 0 или удалите ключи.

Примеры .REG файлов для быстрого импорта

Файл для отключения (save-disable.reg):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000001

Файл для включения (save-enable.reg):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000000

Важно: .REG‑файл применяет изменения для текущего пользователя, под которым он импортируется. Запуск от администратора не изменит HKCU другого пользователя.

Скачайте наши однонажатные .REG‑хаки

Иконка архивированных реестровых хаков

Если не хотите вручную править реестр, можете использовать готовые .REG‑файлы. В ZIP‑пакете обычно есть четыре файла: отключить/включить для DisableCMD и отключить/включить для NoRun. Двойной клик по нужному файлу и подтверждение применяют изменения. После применения лучше перезагрузить компьютер.

Связано: Как создать собственный .REG файл

Пояснение: такие хаки просто записывают описанные выше ключи и значения. Хак «включить» ставит значения в 0, «отключить» — в 1.

Pro и Enterprise: отключение через Редактор локальной групповой политики

Если у вас Windows Pro или Enterprise, проще использовать Редактор локальной групповой политики (gpedit.msc). На корпоративной сети доменная групповая политика (GPO) может переопределить локальные настройки — согласуйте изменения с администратором.

Если вы создаёте политику для конкретных пользователей, создайте консоль .msc, привязанную к этим пользователям (MMC → Add/Remove Snap-in → Group Policy Object Editor → Browse → Users).

В консоли политики для выбранных пользователей перейдите:

User Configuration → Administrative Templates → System

Найдите пункт Prevent access to the command prompt и откройте его.

Политика Prevent access to the command prompt

Установите политику в Enabled и нажмите OK. В настройках есть выпадающий список, который позволяет также запретить выполнение скриптов (Disable CMD scripting). Установите этот параметр если нужно запретить запуск .bat/.cmd.

Опция отключения скриптов в политике

Далее для отключения «Выполнить» перейдите:

User Configuration → Administrative Templates → Start Menu and Taskbar

Найдите Remove Run from Start Menu и установите Enabled.

Политика Remove Run from Start Menu

После применения политик выйдите из системы и войдите снова под тестовой учётной записью.

Откат: установите политики в Not Configured или Disabled.

Когда предложенные методы могут не сработать

  • Если машина присоединена к домену и доменные GPO перекрывают локальные политики, ваши локальные изменения будут игнорироваться. Решение: изменить доменную политику через администратора домена.
  • Если пользователь имеет права администратора и умеет менять реестр или политику — это не надёжный способ для администратируемых сред. Для таких случаев лучше использовать учётные записи с ограниченными правами и дополнительные средства управления (MDM, AppLocker).
  • Некоторые сторонние утилиты и оболочки могут предоставлять доступ к командам вне стандартной cmd.exe (например, PowerShell, терминалы в IDE). Если цель — полная блокировка командной оболочки, рассмотрите комплексный подход.

Альтернативные подходы

  • Ограничить права пользователя: создать ограниченную учётную запись без прав администратора. Это часто решает большинство проблем доступа.
  • AppLocker или Software Restriction Policies: запретить запуск конкретных исполняемых файлов (cmd.exe, powershell.exe, wscript.exe и т.д.). Подходит для корпоративных сред.
  • MDM/Endpoint Protection: инструменты управления устройствами (Intune, SCCM) позволяют централизованно применять политики и ограничения.
  • Контейнеризация и киоски: для публичных рабочих мест использовать режим киоска (Assigned Access) или специализированное ПО, которое автоматически ограничивает интерфейс.

Практическая методика и чек-листы

Мини‑методология внедрения (пошагово):

  1. Оценка риска: зачем вы блокируете доступ, какие пользователи целевые, какие сценарии работы могут пострадать.
  2. Бэкап: создать резервную копию реестра и точку восстановления системы.
  3. Тестовая учётная запись: создать тестовую учётную запись с теми же правами, что и конечные пользователи.
  4. Применение: выполнить правки в реестре или применить политику к тестовой учётной записи.
  5. Тестирование: проверить запуск cmd, выполнение .bat, доступ к «Выполнить», запуск PowerShell, автозапуск логон/логoff скриптов.
  6. Развёртывание: массовое применение по мере успешного тестирования.
  7. Мониторинг: отслеживать обращения пользователей и возможные обходы.

Чек-лист для домашнего пользователя:

  • Создана точка восстановления
  • Резервная копия реестра сохранена
  • Применены DisableCMD и NoRun
  • Проверено, что нужные системные скрипты не ломают работу пользователя
  • Информированы другие пользователи (если применимо)

Чек-лист для администратора корпоративной среды:

  • Проверена доменная политика на конфликт
  • Создана или изменена GPO в тестовой OU
  • Проверены обходные пути (PowerShell, Task Scheduler)
  • Настроены уведомления/журналы по событиям безопасности

Критерии приёмки

  • Командная строка недоступна при попытке запустить cmd.exe через Пуск, Win+R или ярлык.
  • Окно «Выполнить» не открывается или недоступно через меню Пуск.
  • Не затронуты необходимые автоматические скрипты системы, если они требуются для работы.
  • Пользователи с правами администратора по-прежнему могут быть восстановлены без полной переустановки ОС.

Риски и рекомендации по безопасности

Риски:

  • Неправильные правки реестра могут блокировать важный функционал.
  • Пользователь с административными правами может отменить изменения.
  • Блокировка только cmd.exe не исключает другие способы выполнения команд (PowerShell, WSL, скрипты от приложений).

Митигирование:

  • Использовать наименее привилегированные учётные записи для конечных пользователей.
  • Параллельно ограничить запуск потенциально опасных исполняемых файлов через AppLocker или SRP.
  • В корпоративной сети — применять политики через централизованные инструменты управления.

Тестовые случаи и приёмочные тесты

  1. Попытка открыть Win+R → ожидаемый результат: окно не появляется или показывается сообщение об ошибке.
  2. Попытка запустить cmd.exe через Пуск или explorer → ожидаемый результат: доступ запрещён.
  3. Запустить .bat файл двойным кликом (если DisableCMD=1, скрипты могут исполняться; если=2 — должны блокироваться) → ожидаемый результат зависит от значения DisableCMD.
  4. Попытка использовать PowerShell → если не ограничён, он должен работать; при необходимости добавить его в список блокируемых.
  5. Проверка работы системных логон/логoff скриптов (если они используются).

Советы по совместимости и нюансы

  • DisableCMD меняет поведение для текущего пользователя (HKCU). Чтобы применить правило для всех пользователей, его можно записать в HKLM, но это затронет всех и требует привилегий администратора.
  • Параметр DisableCMD = 2 запрещает выполнение скриптов. Если у вас есть необходимые пакетные задачи, проверьте совместимость.
  • На некоторых локализациях Windows подписи политик могут иметь другие тексты, но ключи реестра и пути одинаковы.

Глоссарий

  • cmd.exe: классическая командная строка Windows.
  • PowerShell: современная командная оболочка и среда сценариев Microsoft.
  • HKCU/HKLM: ветки реестра HKEY_CURRENT_USER / HKEY_LOCAL_MACHINE.
  • GPO: групповая политика (Group Policy Object).

Короткая сводка и восстановление

Если вы хотите быстро вернуть всё как было: импортируйте .REG‑файл включения (в примерах выше) или в локальном редакторе групповой политики выставьте элементы в Not Configured. Для отдельных пользователей изменения в HKCU применяются при входе в систему.

Notes: Если ваша цель — полная защита от выполнения команд, комбинируйте несколько методов: ограниченные учётные записи, AppLocker/SRP, блокировка исполнения скриптов и контроль установленных приложений.

Подытожим: Отключение командной строки и «Выполнить» — реальная и выполнимая мера для снижения риска от случайных или неавторизованных действий, но не панацея. Подходите комплексно и тестируйте изменения прежде, чем применять их на рабочих или публичных машинах.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

MSI Afterburner: установка зависла — исправить
Утилиты

MSI Afterburner: установка зависла — исправить

Переименование групп плиток в Windows
Windows

Переименование групп плиток в Windows

Samsung Wallet: руководство по паролям и функциям
Mobile Apps

Samsung Wallet: руководство по паролям и функциям

Meet Now — бесплатная замена Zoom
Видеоконференции

Meet Now — бесплатная замена Zoom

Как сделать полароид в Canva и распечатать
Фото

Как сделать полароид в Canva и распечатать

Как сменить звук будильника на iPhone
iPhone

Как сменить звук будильника на iPhone