sdr77
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору предварительные условия: 1) windows 7 и старше 2) сеть без домена 3) есть безопасный черный ход, не зависящий от MS RPC и MS SMB*, дающий локальные права уровня Administrator + LocalSystem (например это sshd из cygwin). А) останавливаем и запрещаем запуск сервиса gpsvc. теперь никто кроме локальных администраторов зайти не сможет. следовательно, даем всем кому надо, локального админа. локальные политики больше не применяются и наплевать, настройки будут делаться иначе. Б) останавливаем и запрещаем запуск сервиса AppInfo. теперь никто не сможет повысить свои привилегии, никакого UAC не вылезет, новые локальные администраторы ничего военного сделать не смогут (это еще проверять и проверять, но 2 недели - полет нормальный). В) если нужно поработать именно администратором с повышенными привилегиям, идем через черный ход, запускаем AppInfo обратно, проходим UAC, останавливаем и запрещаем AppInfo, работаем, завершаем процессы с повышенными привилегиями. ваше мнение ? |