none
CS и FAR против - Политик ограниченного использования программ RRS feed

  • Общие обсуждения

  • Уровень безопасности -  Программное обеспечение запускаться не будет,  вне зависимости от прав доступа пользователя.

    Дополнительные правила:

    1.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%    - путь
    2.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe    - путь
    3.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe    - путь
    4.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%    - путь

    без них ОС не грузится.

     И вот правила для того чтобы пользователь мог работать :

    1.C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch    - путь / иначе не работают ярлыки в панели быстрого запуска

    2.C:\Documents and Settings\*\Local Settings\Temp - путь / ипользуется ПО для создания временных файлов - например САПР

    3.C:\Documents and Settings\*\Главное меню\Программы    - путь / иначе не работают ярлыки в главном меню

    4.C:\Documents and Settings\*\Рабочий стол     - путь / иначе не работают ярлыки на рабочем столе (их просто нет - картинок)


    если на рабочий стол скопировать и запустить какой нибудь *.exe  -  запрет работает, а если far.exe - то нет - что делать ?
    по хешу нет смысла - принесут другую версию.

    И почему не работают подстановочные знаки ? C:\Program Files\*  - более одного уровня не распространяется

    ps - Групповая пользовательская доменная политика







    • Изменено MEGAPIZ 24 февраля 2009 г. 8:23
    24 февраля 2009 г. 7:09

Все ответы

  • А какого результата исполнения политики ограниченного использования программ Вы ожидаете?
    Опишите подробнее, какие уровни с какими правилам связываете.
    24 февраля 2009 г. 8:00
    Отвечающий
  •  Так я всё и написал
    24 февраля 2009 г. 8:03
  • Действительно, сообщение сумбурно, цель применения политик SRP неясна.
    Судя по всему, вам не с фаром бороться нужно, а подход менять - это что за фокусы с папкой Temp? Для чего её разрешать, чтобы почтовые вирусы поражали профиль пользователя? Более того, разрешать политикой пути, доступ к которым разрешён пользователями на Запись, вредно - они же могут взять ОтключалкуПолитик у Руссиновича и отключить все ваши SRP-настройки.

    И, конечно же, писать абсолютные пути - неверно. Нужно использовать переменные окружения или ссылаться на ключи реестра.

    Для себя я составлял примерный документ, который действительно работает и не позволяет всяким фарам запускаться, разместил бета-версию здесь - http://forum.sysfaq.ru/index.php?showtopic=16346
    Более свежая версия документа с уточнениями применения Software Restriction Policies - http://office.optimalsolutions.lv/etoken/Gubarevich Peter - Windows XP and Server 2003 Installation Protocol v1.2 (Russian).pdf

    24 февраля 2009 г. 8:10
    Отвечающий
  •  Судя по всему, вам не с фаром бороться нужно, а подход менять - это что за фокусы с папкой Temp? Для чего её разрешать


    АВТОКАД не запускается


    Доки сейчас посмотрю.

    Более свежая версия документа - The page cannot be found
    24 февраля 2009 г. 8:18
  •  Ссылку исправил, открывается.

    Может, можно взять хэш конкретно того исполняемого модуля, что ему требуется?
    Автокаду не нужна вся папка Temp. Вирусам нужна.
    24 февраля 2009 г. 8:27
    Отвечающий
  •  а как я узнаю - что ему надо ?

    Я сейчас объясню ситуацию - домен 400 машин - что-то  менять сейчас - уже поздно - всё льётся образами - ПО очень много

    из документа я понял - что надо всё переносить на второй раздел - это физически не возможно  - оно капризное и лицензионное

    а вы вот про такой фокус знаете - Пуск - двойной щелчок на программах - и выше выше - пока не доберётесь до

    общих документов - туда могут писать все кому не лень - ну это в образе почикаю, также диск С: - прова розданы

    да и вообще через свойства любого я ярлыка можно получить доступ к диску C:

    у меня локальные диски вообще не видны  -  студенты блин

    есть три шары   - Диск X,Y,Z - так вот как написать правило чтоб он из этих дисков мог запускать любые файлы 

    а не только те которые я ему разрешу по хэшу - правило по пути не работает

    а диск X - вообще у каждого свой - коннектится согласно учётки   
    24 февраля 2009 г. 8:34
  • Megapiz, а Вы не путаете политики ограниченного использования программ с разрешениями файловой системы?

    24 февраля 2009 г. 8:47
    Отвечающий
  • нет - не путаю  я же говорю - создал политику и в ней запретил  запускать всё  - 

    Уровень безопасности -  Программное обеспечение запускаться не будет,  вне зависимости от прав доступа пользователя.

    а ниже пишу дополнительные правила - что пользователи могут запускать  
    24 февраля 2009 г. 8:53
  •  вообще, правило "C:\Documents and Settings\*\Рабочий стол" разрешает всё, включая ехе.
    посмотрите в Руководстве, я делал правила для *.lnk-файлов

    Напомню, важное значение имеет, установлен ли у вас последний Service Pack и все критические post-sp обновления.
    24 февраля 2009 г. 18:25
    Отвечающий
  • По мотивам этой темы я написал пост. Рекомендуется читать внимательно. Так же в начале есть 2 ссылки на предыдущие мои посты. Т.е. начать читать с них, а потом уже и саму статью. Полагаю, многое станет понятно после прочтения.
    Секреты Software Restriction Policies (часть 2)


    [тут могла быть ваша реклама] http://www.sysadmins.lv
    25 февраля 2009 г. 8:58