Remove From My Forums

CS и FAR против - Политик ограниченного использования программ

Общие обсуждения
0

Нужно войти
Уровень безопасности - Программное обеспечение запускаться не будет, вне зависимости от прав доступа пользователя.

Дополнительные правила:

1.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%    - путь
2.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe    - путь
3.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe    - путь
4.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%    - путь

без них ОС не грузится.

И вот правила для того чтобы пользователь мог работать :

1.C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch    - путь / иначе не работают ярлыки в панели быстрого запуска

2.C:\Documents and Settings\*\Local Settings\Temp - путь / ипользуется ПО для создания временных файлов - например САПР

3.C:\Documents and Settings\*\Главное меню\Программы    - путь / иначе не работают ярлыки в главном меню

4.C:\Documents and Settings\*\Рабочий стол     - путь / иначе не работают ярлыки на рабочем столе (их просто нет - картинок)

если на рабочий стол скопировать и запустить какой нибудь *.exe - запрет работает, а если far.exe - то нет - что делать ?
по хешу нет смысла - принесут другую версию.

И почему не работают подстановочные знаки ? C:\Program Files\* - более одного уровня не распространяется

ps - Групповая пользовательская доменная политика
- Изменено MEGAPIZ 24 февраля 2009 г. 8:23
24 февраля 2009 г. 7:09

Ответить

|

Цитировать

Все ответы

0

Нужно войти

А какого результата исполнения политики ограниченного использования программ Вы ожидаете?
Опишите подробнее, какие уровни с какими правилам связываете.

24 февраля 2009 г. 8:00

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Так я всё и написал

24 февраля 2009 г. 8:03

Ответить

|

Цитировать
1

Нужно войти
Действительно, сообщение сумбурно, цель применения политик SRP неясна.
Судя по всему, вам не с фаром бороться нужно, а подход менять - это что за фокусы с папкой Temp? Для чего её разрешать, чтобы почтовые вирусы поражали профиль пользователя? Более того, разрешать политикой пути, доступ к которым разрешён пользователями на Запись, вредно - они же могут взять ОтключалкуПолитик у Руссиновича и отключить все ваши SRP-настройки.

И, конечно же, писать абсолютные пути - неверно. Нужно использовать переменные окружения или ссылаться на ключи реестра.

Для себя я составлял примерный документ, который действительно работает и не позволяет всяким фарам запускаться, разместил бета-версию здесь - http://forum.sysfaq.ru/index.php?showtopic=16346
Более свежая версия документа с уточнениями применения Software Restriction Policies - http://office.optimalsolutions.lv/etoken/Gubarevich Peter - Windows XP and Server 2003 Installation Protocol v1.2 (Russian).pdf
- Изменено WindowsNT.LVEditor 24 февраля 2009 г. 8:22
24 февраля 2009 г. 8:10

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Судя по всему, вам не с фаром бороться нужно, а подход менять - это что за фокусы с папкой Temp? Для чего её разрешать

АВТОКАД не запускается

Доки сейчас посмотрю.

Более свежая версия документа - The page cannot be found

24 февраля 2009 г. 8:18

Ответить

|

Цитировать
0

Нужно войти

Ссылку исправил, открывается.

Может, можно взять хэш конкретно того исполняемого модуля, что ему требуется?
Автокаду не нужна вся папка Temp. Вирусам нужна.

24 февраля 2009 г. 8:27

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

а как я узнаю - что ему надо ?

Я сейчас объясню ситуацию - домен 400 машин - что-то менять сейчас - уже поздно - всё льётся образами - ПО очень много

из документа я понял - что надо всё переносить на второй раздел - это физически не возможно - оно капризное и лицензионное

а вы вот про такой фокус знаете - Пуск - двойной щелчок на программах - и выше выше - пока не доберётесь до

общих документов - туда могут писать все кому не лень - ну это в образе почикаю, также диск С: - прова розданы

да и вообще через свойства любого я ярлыка можно получить доступ к диску C:

у меня локальные диски вообще не видны - студенты блин

есть три шары - Диск X,Y,Z - так вот как написать правило чтоб он из этих дисков мог запускать любые файлы

а не только те которые я ему разрешу по хэшу - правило по пути не работает

а диск X - вообще у каждого свой - коннектится согласно учётки

24 февраля 2009 г. 8:34

Ответить

|

Цитировать
0

Нужно войти

Megapiz, а Вы не путаете политики ограниченного использования программ с разрешениями файловой системы?

24 февраля 2009 г. 8:47

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

нет - не путаю я же говорю - создал политику и в ней запретил запускать всё -

Уровень безопасности - Программное обеспечение запускаться не будет, вне зависимости от прав доступа пользователя.

а ниже пишу дополнительные правила - что пользователи могут запускать

24 февраля 2009 г. 8:53

Ответить

|

Цитировать
0

Нужно войти

вообще, правило "C:\Documents and Settings\*\Рабочий стол" разрешает всё, включая ехе.
посмотрите в Руководстве, я делал правила для *.lnk-файлов

Напомню, важное значение имеет, установлен ли у вас последний Service Pack и все критические post-sp обновления.

24 февраля 2009 г. 18:25

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

По мотивам этой темы я написал пост. Рекомендуется читать внимательно. Так же в начале есть 2 ссылки на предыдущие мои посты. Т.е. начать читать с них, а потом уже и саму статью. Полагаю, многое станет понятно после прочтения.
Секреты Software Restriction Policies (часть 2)
[тут могла быть ваша реклама] http://www.sysadmins.lv

25 февраля 2009 г. 8:58

Ответить

|

Цитировать