|
Нужно запретить запуск файла в ХР
Народ, подскажите плз, а то уже прижимают...
Как в ХР сделать так, чтобы файл с именем salint.exe нельзя было запустить на машине в независимости от местонахождения файла. т.е. хоть он будет в c:\123\salint.exe хоть в d:\test\salint.exe, а он не запускался? Блин, срочняк надо, а то по голове надают за то, что работники хреновы юзают эту софтину, которая какие-то отчеты бухгалтерше портит. 20 раз уже машины от нее чистил - они опять на дискете приносят, а переименовать у них ума не хватит. |
зачем создавать в 1 разделе 2 темы? так не делают на форуме.пусть переименуют
|
watson
во блин! это косяк, мужики, 100 пудово! чесслово 1 раз создавал! даже текст один и тот же. :confused: 2moders удалите плз клон |
Да запрети ты всем, кроме тех кому можно, доступ к этой софтине и все дела.
|
voron
Пуск - Панель управления - Администрирование - Локальная политика безопасности В этой консоли: Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для хеша - Обзор и выбери файл, для которого создается правило - выбери Безопасность "Не разрешено" . Жми Ок. Все... |
так дело в том, что сервака пока в сети нет (начальство кручу), на всех тачках стоит ХР и надо ручками на всех машинах эту софтину запретить для запуска, а как я не знаю
Добавлено через 3 минуты: Drill а косяк есть, они с дискеты копируют в разные места его. то на рабочий стол, то в мои документы... отследить сложно. мне само имя файла надо запретить. |
Цитата:
|
voron
Цитата:
|
а если они будут юзать другую версию (ну, например, 2.0) , то уже эта фишка не прокатит? :(
|
voron
Хеш переименованного или перемещенного в другую папку файла не изменяется. Однако, при любом изменении файла значение хеша изменяется, позволяя обойти ограничения. Тобишь, Цитата:
|
это косяк. :( я ж не могу их пасти когда они что юзают и что приносят на флешках :(
что можно еще сделать (сейчас правило для хеша я уже сделал, но скоро они новую версию припрут 100 пудово) для тго, чтобы файл запретить по имени? |
Цитата:
Пуск - Панель управления - Администрирование - Локальная политика безопасности В этой консоли: 1. Политики ограниченного использования программ - правой кнопкой мыши на Принудительный - в свойствах выбираешь "ко всем файлам программ, кроме библиотек" и "Для всех пользователей, кроме локальных администраторов" - Ок. 2. Политики ограниченного использования программ - Уровень безопасности - правой кнопкой мыши на Не разрешено - выбираешь пункт "По умолчанию" - Ок. 3. Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для пути : в Путь вписываешь - %WINDIR% в Уровень безопасности - Неограниченный 4. Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для пути : в Путь вписываешь - %PROGRAMFILES% в Уровень безопасности - Неограниченный 5. Каталоги %WINDIR% и %PROGRAMFILES% должны располагаться в разделе NTFS, для них ты определяешь права доступа только для админа. ВСЁ... Что произойдет? Уровень безопасности по умолчанию запретит запуск любых прогамм из любого места для всех, кроме админа машины. Для нормальной работы компа разрешен запуск программ из %WINDIR% и %PROGRAMFILES% (типа ворда, екселя и т.д.), но юзера не имеют прав на установку и удаление программ из этих каталогов. Все концы отрублены, можешь спать спокойно...;) Кстати, в домене это еще проще - создаешь объект групповой политики с такими свойствами и применяешь его к домену, не надо лазить на каждую машину....:yees: |
А нет ли программ, которые бы автоматизировали бы этот процесс, например запрещают запуск любых процессов и библиотек, кроме из указанных папок, а в эти папки запрещают записывать что-либо?
|
Цитата:
Цитата:
Цитата:
Цитата:
|
Drill
просто с автоматизацией было бы удобней а так этот способ катит нормально только например, если я АВ или стену поставлю в режими Админа, они будут нормально работать в режиме Юзера? |
graze
ставишь в %PROGRAMFILES% (или в каталог, который прописываешь в правиле для пути ), и все будет нормально работать и под юзером... |
то Drill
Круто. :yees: Если просто запретить один файл, можно так. gpedit.msc -Конфигурация пользователя -----Административные шаблоны -----------Система : не запускать указанные приложения. Там и прописывем то что нельзя запускать. А так как сказал Drill вообще то и надо делать.... |
Drill
а вот например инет будет работать? Ведь папка временных файлов находится там, куда Юзер не имеет права записывать... |
помогите поставить запрет на запуск музыкальных файлов с CD (mp3 и т.п.) и для программ которые идут в диске с этими файлами , например WinAmp
|
Цитата:
|
запрет для другого юзера, когда меня нет за компом, работает другой чел, он ставит диски и слушает, надо чтоб он не смог запустить winamp с диска
|
Цитата:
|
Ya kak admin jestokij i woobsche chelowek ne horoshij sdelal bi sledujushee: a) Napisal draiwer ceplyajushijsya k iosubu i otkriwajushij kajdij fail, kotorij hochet otkrit proga user levela, dopustim, tipa exe (signatura MZ ili ZM w nachale, nu i eshe kucha priznakow), skanil bi rsrc tablu i iskal opredelennie stroki (naprimer: Softina Buhgalter-Idiot versiya h.z. kakaya). Kak tolko podobnoe naideno w rsrc - draiwer wozwraschaet kod oshibki i ne daet otkrit fail na chtenie. Kak sledstwie - softina ne zapuskaema.
---Esli wlom muchat DDK i pisat draiwer, to pishem user level applkuhu--- b) kotoraja perehwatiwaet CreateProcess(), CreateProcessEx() i paru drugih wizowow i prowodit tot je analiz, chto i draiwer. Kompilim etu applikuhu w dll, kotoraya reeksportiruet drugie funkcii KERNEL32.dll, i podkliuchaem ee ko wsem processam. Kak podkliuchit ee k drugim processam: ispolzowat injection (ischem na gugle), guihooking nu ili CreateRemoteThread() i im podobnoe. ---Esli wlom pisat ul applikuhu, to pishem perehwatchik na urowne shell--- c) Analizator pishem wse rawno, delaem dll s API prowodnika (kotorij explorer), fakticheski perehwatiwaem popitiki zapustit progu explorerom s takih populyarnih mest kak desktop i.t.d. Kak oboiti wariant c: napisat prosteishuju applikuhu wiziwajushuju nujnuju cherez CreateProcess(). Obhodim wariant b: pishem applikuhu kak iz warianta c, no pered zapuskom nujnoi progi importiruem CreateProcess() imenno iz KERNEL32.dll, i imenno iz togo, kotorij lejit w winde :-). Obhodim wariant a: - pishem eshe odin draiwer (rawnosilno wikidiwaniju perwichnogo :-))) - ispolzuem DDK dlya dostupa k nujnomu draiweru napryamuju s zapretom perehwata (opisanno w odnom iz teh blogow ms, funkciya DeviceOpenDescriptorMapEx2() ;-))). - podmenit originalnij draiwer (esli mi zabili wstawit w nego zaschitu ot takih prodelok) Nu i samij dobrij wariant obhodyaschij prostenkij analizator na posledok: - upakowat originalnuju progu kakim nibud arhiwerom ;-). |
Цитата:
|
tolbazbI
Можно поправить значение в реестре: ключ: [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CDRom] паpаметp: Autorun тип: REG_DWORD значение: (0=отключено, 1=включено) Подробнее: Пуск>Выполнить>regedit открывается редактор реестра и ищи нужную ветку |
Цитата:
если этот пользователь использует CD-ROM только для музыки, то можно в устройствах сидюк отключить, а на установленные на HDD программы (на папки) запретить доступ. я понимаю, что это не совсем выход из положения, но пока тока так |
Цитата:
а сидюк мне нужен, иногда для установки чегонидь |
Цитата:
и вообще пользователь имеет свою учетную запись на ПК или вы под одной учетной записью работаете? |
Цитата:
|
Цитата:
1. так что создавай нового пользователя с ограниченными правами 2. запрещай доступ к проигрывателям 3. отключай CD самый простой вариант осенило: есть замечательная программка HideFolders (__http://imho.ws/showthread.php?t=32582&highlight=Hide+Folder) 1 ставишь прогу 2 указываешь папки, которые надо прятать (с проигрывателями) 3 помойму может и CD спрятать 4 задаешь пароль на отображение папок все |
| Часовой пояс GMT +4, время: 17:14. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.