none
RestrictRun и все-все-все... RRS feed

  • Общие обсуждения

  • Попалась на глаза статейка (коих, кстати, на просторах Интернета весьма много бродит):

    ЦИТАТА:

    Материалы этой статьи, я думаю, очень пригодятся начальникам, которым надо быть твердо уверенным, что их подчиненные на компьютере работают только с нужными программами, а не гоняют в игрушки, когда этого никто не видит.

    Так что НИЗАЧТО не показывайте им ее :). Также она будет весьма интересна многим админам. А если у Вас на компьютере работает маленький ребенок, который норовит запустить format c:, то эта статья точно для Вас.

    Знаете ли Вы, что Windows позволяет запретить запуск всех программ, кроме разрешенных в специальном списке? А это действительно так, и порой эта возможность бывает очень полезна.

    Итак, для ограничения запускаемых программ надо открыть раздел

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer

    реестра и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ. Для этого заходим в раздел и создаем для каждой программы строковый ключ с названием "1" (без кавычек) - для первой разрешенной программы, "2" - для второй и т.д. в качестве значений которых надо указать имена файлов разрешенных к запуску программ. Файлы должны быть с расширением, путь указывать не обязательно. Например, Word.exe, Excel.exe ...

    Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра :). Если на компьютере есть несколько пользователей, то это не страшно: можно зайти под другим именем и оттуда изменить записи реестра, но если пользователь один - это может составить серьезную проблему. Спасти в такой ситуации может только создание файла с расширением REG, в котором будут отменены настройки. Чтобы снять ограничения надо установить значение ключа RestrictRun в ноль или удалить его. С помощью REG-файла удалить ключ невозможно, а вот установить его в 0 не составит труда. Вот пример такого файла:

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "RestrictRun"=dword:00000000

    Давайте разберем его подробнее. В первой строке должна обязательно присутствовать строка REGEDIT4, после нее должна быть пустая строка, а затем идут записи реестра. В квадратных скобках указывается раздел реестра, а под ним перечисляются ключи, которые в него входят: имя ключа в кавычках и после знака "=" его значение.

    Можно, конечно, воспользоваться и версией редактора реестра под DOS.

    Все эти настройки вступают в силу только после перезагрузки компьютера.

    Чтобы окончательно заблокировать систему от постороннего вмешательства можно запретить запуск пользователем редактора реестра. Для этого надо в разделе

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System

    добавить ключ DisableRegistryTools со значением 0х00000001. Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файлов, как описано выше.

    (Конец цитаты)

    меня также здорово достали шаловливые ручонки разного рода всезнаек-продавцов, которые всегда и везде "этого не делали", "это не мы", "мы никуда не заходили" - а трафик тем не менее оплачивается не согласно договору, а с превышением в разы...

    Вспомнил хорошо забытое старое и решил, как на Windows_XP, урезать им все по самые... нужные программы

    Хочу внести свою лепту в содержание статьи - для тех кто может ошибиться на первых шагах...

    1. Сеть с доменной структурой

    2. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer - на W-7/64 последнего раздела не имел

    3. Если на компьютере единственный пользователь - то можно КОГДА через редактирование реестра процесс отката не идет, зайти администратором домена и воспользоваться файлом NT_user.dat в профиле "убитого" пользователя.

    а) правая мышь

    б) восстановить прежнюю версию

    в) выбрать ближайшую из предложенных (обычно не больше недели)

    г) принять изменения

    зайти "воскресшим мертвецом" и радоваться

    а в следующий раз более внимательно играть с реестром, или использовать для таких игрищ вовсе "пустой" системный блок, предназначенный именно для тестирования различных админских штучек.

    14 сентября 2015 г. 13:09

Все ответы

  • Здравствуйте, Michael Y. Klimov

    Спасибо за публикацию статьи, она действительно может быть полезной многим участникам сообщества. 

    Хочу Вам сообщить, что в сообществе Microsoft Community есть проект Microsoft Community Wiki, возможно он Вас заинтересует.

    Подробности можете посмотреть перейдя по гиперссылке: Стать вики-автором в Microsoft Community.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    15 сентября 2015 г. 7:59
    Модератор
  • Добрый день!

    Спасибо за приглашение! 

    Да меня практически все интересует, правда иногда - только по мере необходимости, но все равно обязательно зайду!

    Спасибо за корректуру и перенос материала, просто действительно вчера был не совсем в адеквате, т.к. получил очередной счет на 16 000 вместо 2900 по тарифному плану.

    А когда услышал очередной раз "это не мы" в 16 разных вариантах = вышел из равновесия и попросту кастрировал весь системный блок... А то как сидеть на AVON и прочем - так в истории есть, но это не они...

    Теперь без малого 40 магазинов будет иметь свободный доступ только к кнопочке ВКЛ / ВЫКЛ, все остальное только из пипетки...

    15 сентября 2015 г. 13:18
  • Вот пример файла *.reg

    !!! для Win_7  (т.к. в Win XP раздел Explorer имеет место быть от рождения) - лучше его предварительно создать вручную.

    Алгоритм работы (ОБЯЗАТЕЛЬНО для начинающих свой жизненный путь на этой скользкой дороге):

    1. Смотрим количество пользователей данного компьютера.

    а)если есть только один - создаем пользователя с административными правами

    встроенная учетная запись администратора и гостя - должны быть отключены

    ! единственный пользователь, который и будет являться администратором - переименовывается и его документы и прочее переносятся в новый профиль из старого

    профиль вновь создаваемого администратора будет нужен для управления компьютером и т.д., ставим пароль и никому и никогда !

    б) если профилей несколько - смотрим на их членство в группах

    также создаем нового пользователя с правами администратора только для управления компьютером

    также гасим профили и учетные записи встроенного администратора и гостя

    далее - в регулируемых учетных записях в реестр вносим такой файл *.reg

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "RestrictRun"=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
    "1"="regedit.exe"
    "2"="calc.exe"
    "3"="iexplore.exe"
    "4"="Outlook.exe"
    "5"="Winword.exe"
    "6"="Excel.exe"
    "7"="Pandion.exe"
    "8"="AcroRd32.exe"
    "9"="NSCSysUI_XEROX.exe"

    это базовый набор для моей компании,  п.п. 7 и 9 можно заменить собственной спецификой

    Перезагружаемся и проверяем результат

    если достигли желаемого - то только после этого "опускаем" провинившегося на уровень рядового пользователя ! с администраторского Олимпа.

    15 сентября 2015 г. 13:33
  • для решения вопроса с доступом в Интернет на удаленных рабочих местах - советую использовать бесплатное решение типа Интернет-цензор

    единственный недостаток - не дружит с альтернативными обозревателями, но закрывая их через RestrictRun имеем более-менее устойчивую конструкцию на долгие времена.

    Для обеспечения спокойного сна - есть еще руководство по запретам для запуска диспетчера задач, через который можно обойти RestrictRun

    15 сентября 2015 г. 13:44
  • 1) но ведь имея доступ к "regedit.exe" можно изменить значения и все будет как прежде

    2) отключенным администратором все равно можно залогиниться в безопасном режиме


    The opinion expressed by me is not an official position of Microsoft

    15 сентября 2015 г. 14:55
    Модератор
  • Да, согласен.. но, пока еще, блондинки на рабочих местах до этого не дошли.... т.т.т.

    в данном материале я рассматривал материал только в таком ключе " как молодой неопытный пастух может заставить стадо бежать в заданном направлении" а не в ключе "соревнование пастухов по щелканью бичом"

    в таком ДЕТАЛЬНОМ случае возможно использовать это:

    Чтобы окончательно заблокировать систему от постороннего вмешательства можно запретить запуск пользователем редактора реестра. Для этого надо в разделе

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System

    добавить ключ DisableRegistryTools со значением 0х00000001. Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файлов, как описано выше.(конец цитаты)

    причем часто, если пользователь уже ниже администратора и продвинутого пользователя - то данные в реестр могут и не заноситься.

    а вариант с  F8 + Command Line+Regedit.exe  увязывать с рядовым сотрудником бухгалтерии или отдела продаж = на сегодня это весьма оптимистичный прогноз.... по крайней мере для нашей российской действительности

    16 сентября 2015 г. 9:19
  • В продолжение моей темы :  https://social.technet.microsoft.com/Forums/ru-RU/1403d235-3627-4e75-b6d0-809fef3d5920/restrictrun-?forum=windows7ru#1403d235-3627-4e75-b6d0-809fef3d5920

    Проэкспериментировал с двумя связками

    а) IE + internet censor

    фуфло полное, потому что icensor не поддерживает ничего кроме IE и Тормозиллы не выше версии 4.х

    IE не может отобразить львиную долю сайтов в нормальном виде, то js не так читает, то еще чего не туда идет

    б) Тормозилла + ProCon Latte Content Filter

    уже намного интереснее.

    имеем возможность сделать BL & WL, причем, как доп возможность - есть такой параметр, как "ограничить доступ только белым списком", есть защита паролем, без которого ни перенастроить, ни удалить, ни доп.сайты не внести в разрешенные

    Имеет вроде бы варианты и для Хромой Гугли.

    Опробировал в течение недели в сочетании с режимом ограниченного запуска программ.

    Полет более, чем нормальный. Трафик упал в разы, производительность труда поневоле стала расти.

    ОБЯЗАТЕЛЬНО!!! если был установлен пробы ради Internet Censor - снести к чертовой матери, иначе начнет конопатить мозги Тормозилле со страшной силой.


    7 октября 2015 г. 14:17
  • squid, mcafee web gateway...

    решений много и они жизнеспособны но большинство работает в разрез сети с закрытием обходных доступов

    пысы вы не хотите совместить эти 2 обсуждения (явного вопроса в вашем посте я не увидел а если учесть что это еще и продолжение это было бы логично)? 


    The opinion expressed by me is not an official position of Microsoft



    7 октября 2015 г. 19:04
    Модератор
  • Да без проблем!

    "squid, mcafee web gateway..."

    печальный опыт нашей расейской действительности убедительно показывает, что "чем проще - тем лучше, и дольше работает"

    два месяца назад мне прислали за почти 1500 км "сломавшийся"системный блок. ТАМ он не включался, поломку подтвердил и местный "мастер-на-все-руки".

    При первом же включении системника в офисе = все прекрасно заработало, просто нужно было сзади на БП "коромысло" нажать в обратное положение...

    а тут целые дополнительные программы...

    можно и траффик инспектор ставить и много чего еще, а тут четко и ясно = вот это можно, а вот сюда нельзя

    простой рядовой продавец в магазине, для которого форменная истерика уже при создании собшения по электронной почте - вряд ли сумеет пройти все обходные маневры....

    8 октября 2015 г. 13:17
  • а шлюз в интернет у вас один или каждый магазин ходит как попало через своих провайдеров

    было время я работал в страховой у нас было более сотни представительств в различных городах все сидели на VPN с головным и ходили через их проксю, VPN настраивался на уровне маршрутизаторов, обойти маршртизатор возможности не было

    на проксе были прописаны белые списки все это крутилось на сквиде и вполне себе работало


    The opinion expressed by me is not an official position of Microsoft

    8 октября 2015 г. 17:52
    Модератор
  • а шлюз в интернет у вас один или каждый магазин ходит как попало через своих провайдеров

    было время я работал в страховой у нас было более сотни представительств в различных городах все сидели на VPN с головным и ходили через их проксю, VPN настраивался на уровне маршрутизаторов, обойти маршртизатор возможности не было

    на проксе были прописаны белые списки все это крутилось на сквиде и вполне себе работало


    The opinion expressed by me is not an official position of Microsoft

    именно в том вся беда и состоит, что каждый сам по себе.. причем от проводного до GSM-модемов, связь от "как на Диал-ап" то с трудом 256/512 Кбит...  Тарифные планы не превышают 3000 руб/мес, а вот результаты = до 50000 доходили

    На таких скоростях делать через прокси в Москве и все затягивать туда = пробовал, но толку мизер

    Каждый провайдер - кто во что горазд..... У одних в Рязани - так даже внутрифирменная "аська" (Пандион) каждые три-пять минут - откл/вкл, и именно по причине криворукости канала

    Если бы связь была на уровне 1-5 Мбит/сек и хоть мало-мальски устойчива - само собой, что все затянул бы на головной прокси, тем более, что он и так есть на Керио. Там, где возможно= все именно так и задействовано, даже через VPN-клиентов в "добровольно-принудительной форме"

    2 ноября 2015 г. 5:17