anatoliy27190 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ребята изходите из того что нужно запретить а не разрешить. То есть по умолчанию разрешите все проги а ненужные запретите соответственно если у вас появится новая прога то она будет по умолчанию разрешнена. делать все лучше через gpedit.msc   конфигурация компьютера/параметры безопасности / политики ограниченного использования программ/дополнительные правила/правой кнопкой - создать правило для хеша (объясняю- туда помещается сам запускаемый файл и указывается запрещено или разрешено ) и с этого момента как бы файл не назывался в какой бы директории не находился этот файл не будет запускаться даже под админом. В домене все тоже самое только через групповые политики. И Все проблемы решены. Всего записей: 25 | Зарегистр. 14-06-2006 | Отправлено: 18:56 28-12-2006

squid Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anatoliy27190 это работает только на WinXP а у меня много Win200 как там можно решить эту проблему ? Всего записей: 185 | Зарегистр. 18-07-2004 | Отправлено: 20:17 28-12-2006

Quark Fusion Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ох, люди, что же вы так мучаетесь? Делаем вот что: 1) создаем требуемого юзера, если еще не создали 2) убираем у него права администратора 3) открываем проводник, находим папку программы или просто файлы, которые мы не хотим предоставлять юзеру, жмём свойства, переходим в безопасность, ставим запрет юзеру на доступ или выполнение файлов при этом проверяем, что для нужных программ у него доступ есть (настройка по умолчанию)   Добавлено: Цитата: создать правило для хеша (объясняю- туда помещается сам запускаемый файл и указывается запрещено или разрешено ) и с этого момента как бы файл не назывался в какой бы директории не находился этот файл не будет запускаться даже под админом все ухищрения с хешированием файла или указанием его имени легко обходятся изменением этого хеша или имени у самого файла, например упаковки его упаковщиком и переименованием — проще всего запретить пользователю установку новых программ или написать монитор окон, остлеживающий запущенные приложения по заголовкам и классу окон или другим параметрам, но это уже сложнее (требуются навыки и среда программирования ). Всего записей: 146 | Зарегистр. 21-12-2006 | Отправлено: 07:57 29-12-2006

Chika1 Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Запрещение запуска программ Windows позволяет ограничить доступ к программам, кроме разрешенных в специальном списке.     Для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...     Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0     блин, профтыкал )   Понадобилось добавить еще одну програмку, а я регедит.ехе я не добавил. Как добавить регедит.ехе теперь? Всего записей: 16 | Зарегистр. 26-03-2008 | Отправлено: 00:23 26-03-2008

ZeroBit Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору altshift Цитата: Переименуй regedit.exe Лучше скопировать в другое имя Всего записей: 255 | Зарегистр. 11-09-2002 | Отправлено: 16:40 26-03-2008

Chika1 Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Спасибо! Всего записей: 16 | Зарегистр. 26-03-2008 | Отправлено: 18:40 26-03-2008

UNik Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Поглил. Нашел несколько статей. Особо порадовала возможность ограничения запуска по хешу.   Политики ограниченного использования программ Как использовать политики ограниченного использования программ в Windows Server 2003 Всего записей: 106 | Зарегистр. 20-02-2002 | Отправлено: 11:39 22-06-2008

Strangerng Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вся проблема в том что особо догадливые юзвери могут запустить любую прогу созданием ярлыка на нее или из консоли... было б хорошо какой нибудь программный комплекс чтобы можно было прописать конкретные программы разрешенные для запуска с блокировкой всех остальных... ну или наоборот...   главное чтоб переименование и подобное не помогало... а вручную прописывать разрешения для каждого ехе как по мне нереально, как предлагалось запретить доступ в политиках безопасности... Всего записей: 7 | Зарегистр. 22-06-2005 | Отправлено: 15:47 17-07-2008

vfksi Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ярлыком не получится проверял, из консоли тоже... кстит есть вариант не по хэшу, его тоже могут подправить а по пути... например J:\Program Files\Far\Far.exe и сделать запрет на запись в Program Files, тогда far.exe можено будет запустить только из J:\Program Files\Far\ туда нельзя будет скопировать др прогу с именем far.exe   а про ручное да, туго, потому и ищу скрипты как писать но нигде нету в понятной форме на русском Всего записей: 49 | Зарегистр. 06-02-2006 | Отправлено: 01:39 22-07-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212 Цитата: Вопрос стоит так , можно ли , не отбирая прав админа, как то ограничить запуск и установку оперделенного списка прог с помощью ГП? Однозначно и категорически нет. Нужно пересаживать на учетку ограниченного пользователя.   Цитата: Как я понимаю если у юзера остаются права локального админа, он может просто похерить групповые политики по запуску прог на своем компе, по крайней мере локально? Именно. Есть даже способы затруднить применение групповых политик, работая под ограниченной учеткой, не то что под админом. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 10:25 18-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Значит увы, как я и думал. Понизить права не получается юзеры - программисты, пишут и софт и дрова, в тч и на линуксе. Просто была мысль как то прибить хотя бы возможность  игрушек по заданному шаблону списку прог. Остается только файл реестра всем принудительно накатить с  рестриктами соответствующих прог, и периодически отслеживать его наличие Опять же в нерабочее время разрешено играть . Так что и по времени привязывать надо. Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 11:26 18-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212   Ну и что с того, что юзеры - программисты? Они тестируют свои произведения в промышленной сети? Есть ПО виртуализации, как бесплатное, так и коммерческое - ставьте и принуждайте их работать в нем. Создавайте лабораторию для программистов. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 11:31 18-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: свои произведения в промышленной сети?   Вот именно.  Вся фирма это   Цитата: лаборатория для программистов Я б конечно большинству админские права урезал .  Увы не мой вопрос, да и не реально, ибо они и ставят софт сами и собирают модули и тестят. Виртуалки и другой софт ес- но юзается. Но требование заказчиков - обязательные тесты в реальной сетке, поскольку обычная сетевая среда для асу именно такая - многосегментная сетка без доменов, грубо просто помойка. В моей сетке есть и домен и рабочие группы.     Так мой вариант насчет регфайла прокатит?         Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 13:18 18-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212 Цитата: Так мой вариант насчет регфайла прокатит? Нет. Они же локальные админы - с легкостью снимут все ограничения. А то, что будут пытаться и ежу ясно - они ведь "крутые программеры". ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 13:31 18-09-2008

Страницы: 1 2 3 4 5

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » запрет на запуск любых программ кроме указанных

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование