Спрашивающий
CS и FAR против - Политик ограниченного использования программ

Общие обсуждения
-
Уровень безопасности - Программное обеспечение запускаться не будет, вне зависимости от прав доступа пользователя.
Дополнительные правила:
1.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - путь
2.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe - путь
3.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe - путь
4.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - путь
без них ОС не грузится.
И вот правила для того чтобы пользователь мог работать :
1.C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch - путь / иначе не работают ярлыки в панели быстрого запуска
2.C:\Documents and Settings\*\Local Settings\Temp - путь / ипользуется ПО для создания временных файлов - например САПР
3.C:\Documents and Settings\*\Главное меню\Программы - путь / иначе не работают ярлыки в главном меню
4.C:\Documents and Settings\*\Рабочий стол - путь / иначе не работают ярлыки на рабочем столе (их просто нет - картинок)
если на рабочий стол скопировать и запустить какой нибудь *.exe - запрет работает, а если far.exe - то нет - что делать ?
по хешу нет смысла - принесут другую версию.
И почему не работают подстановочные знаки ? C:\Program Files\* - более одного уровня не распространяется
ps - Групповая пользовательская доменная политика- Изменено MEGAPIZ 24 февраля 2009 г. 8:23
24 февраля 2009 г. 7:09
Все ответы
-
А какого результата исполнения политики ограниченного использования программ Вы ожидаете?
Опишите подробнее, какие уровни с какими правилам связываете.24 февраля 2009 г. 8:00Отвечающий -
Так я всё и написал24 февраля 2009 г. 8:03
-
Действительно, сообщение сумбурно, цель применения политик SRP неясна.
Судя по всему, вам не с фаром бороться нужно, а подход менять - это что за фокусы с папкой Temp? Для чего её разрешать, чтобы почтовые вирусы поражали профиль пользователя? Более того, разрешать политикой пути, доступ к которым разрешён пользователями на Запись, вредно - они же могут взять ОтключалкуПолитик у Руссиновича и отключить все ваши SRP-настройки.
И, конечно же, писать абсолютные пути - неверно. Нужно использовать переменные окружения или ссылаться на ключи реестра.
Для себя я составлял примерный документ, который действительно работает и не позволяет всяким фарам запускаться, разместил бета-версию здесь - http://forum.sysfaq.ru/index.php?showtopic=16346
Более свежая версия документа с уточнениями применения Software Restriction Policies - http://office.optimalsolutions.lv/etoken/Gubarevich Peter - Windows XP and Server 2003 Installation Protocol v1.2 (Russian).pdf- Изменено WindowsNT.LVEditor 24 февраля 2009 г. 8:22
24 февраля 2009 г. 8:10Отвечающий -
Судя по всему, вам не с фаром бороться нужно, а подход менять - это что за фокусы с папкой Temp? Для чего её разрешать
АВТОКАД не запускается
Доки сейчас посмотрю.
Более свежая версия документа - The page cannot be found24 февраля 2009 г. 8:18 -
Ссылку исправил, открывается.
Может, можно взять хэш конкретно того исполняемого модуля, что ему требуется?
Автокаду не нужна вся папка Temp. Вирусам нужна.24 февраля 2009 г. 8:27Отвечающий -
а как я узнаю - что ему надо ?
Я сейчас объясню ситуацию - домен 400 машин - что-то менять сейчас - уже поздно - всё льётся образами - ПО очень много
из документа я понял - что надо всё переносить на второй раздел - это физически не возможно - оно капризное и лицензионное
а вы вот про такой фокус знаете - Пуск - двойной щелчок на программах - и выше выше - пока не доберётесь до
общих документов - туда могут писать все кому не лень - ну это в образе почикаю, также диск С: - прова розданы
да и вообще через свойства любого я ярлыка можно получить доступ к диску C:
у меня локальные диски вообще не видны - студенты блин
есть три шары - Диск X,Y,Z - так вот как написать правило чтоб он из этих дисков мог запускать любые файлы
а не только те которые я ему разрешу по хэшу - правило по пути не работает
а диск X - вообще у каждого свой - коннектится согласно учётки24 февраля 2009 г. 8:34 -
Megapiz, а Вы не путаете политики ограниченного использования программ с разрешениями файловой системы?
24 февраля 2009 г. 8:47Отвечающий -
нет - не путаю я же говорю - создал политику и в ней запретил запускать всё -
Уровень безопасности - Программное обеспечение запускаться не будет, вне зависимости от прав доступа пользователя.
а ниже пишу дополнительные правила - что пользователи могут запускать24 февраля 2009 г. 8:53 -
вообще, правило "C:\Documents and Settings\*\Рабочий стол" разрешает всё, включая ехе.
посмотрите в Руководстве, я делал правила для *.lnk-файлов
Напомню, важное значение имеет, установлен ли у вас последний Service Pack и все критические post-sp обновления.24 февраля 2009 г. 18:25Отвечающий -
По мотивам этой темы я написал пост. Рекомендуется читать внимательно. Так же в начале есть 2 ссылки на предыдущие мои посты. Т.е. начать читать с них, а потом уже и саму статью. Полагаю, многое станет понятно после прочтения.
Секреты Software Restriction Policies (часть 2)
[тут могла быть ваша реклама] http://www.sysadmins.lv25 февраля 2009 г. 8:58