частичное блокирование доступа к ПО - Обсуждение программ

01.09.2006, 09:53

С помощью какого ПО можно ограничить доступ к приложениям в Windows 2000 для своей учетной записи с правами локального админа на время отпуска при работе другого пользователя с моим логином?

Или с помощью какого ПО можно корректно поставить запрос пароля на *.exe и/или каталог в Win '2000 Pro?

Madness · 01.09.2006, 10:13

mr_jok
Если пользователь не слышал про права доступа, то можно убрать у себя вообще все права на доступ к папкам программ, запуск которых надо ограничить, администратор всегда их может себе вернуть.

Cartman · 01.09.2006, 10:27

mr_jok, глянь тут.
А конкретно вот это:

Цитата:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\\RestrictRun
Ограничение списка программ, которые пользователи могут запускать. Windows дает возможность ограничить список программ, которые могут быть запущены пользователями на рабочей станции. Установите значение параметра 'RestrictRun' равным '1' для использования данной функции или равной '0' для ее блокировки. Создайте этот параметр, если его не существует. Определите программы, которые должны запускаться, в ключе: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\RestrictRun. Создайте новый параметр
Тип: REGSZ для каждой программы, именуя их числами по возрастанию. Например: '1'='regedit.exe'; '2'='c:\program files\msoffice\winword.exe'... ВНИМАНИЕ
После задействования данного параметра, перед перезагрузкой, Вы ОБЯЗАТЕЛЬНО должны вписать в раздел RestrictRun программу regedit.exe или другую для работы с реестром. В противном случае Вы не сможете отключить данный параметр, и придется переустанавливать систему.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = включить) Групповая политика.

VanHelsing · 01.09.2006, 11:14

Cartman, не смешно

это же можно сделать через start > run > gpedit.msc. только:
If you enable this setting, users cannot run programs that you add to the list of disallowed applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs, such as Task Manager, that are started by the system process or by other processes. Also, if you permit users to gain access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: To create a list of disallowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe).

надеюсь, понятно, о чем речь. тем более, если под аком автора раздела заходить, а он админ, то админ в винде это вам не рут в никсе и может себе все права взять какие ему заблагорассудится

кстати, при любом запрете на любое приложение... его ведь и переименовать можно

имхо. дай лучше челу другой акк, а приложение, которое не хочешь, что бы запускал он закриптуй. а если ты на все *.exe поставишь, то при любом раскладе чел не залогинится, ехплохер тоже ехе

а еще лучше, напиши конкретно, что ты НЕ хочешь, что бы он запускал. и можно ли ему дать другой акк?

emil · 01.09.2006, 11:27

mr_jok можно поставить программу Desktop Lock Business, которая вообще запретит запуск программ, только тех что по списку. в итоге пользователь будет видеть голый рабочий стол и программы которые может запускать

VanHelsing · 01.09.2006, 12:23

имхо, при любом раскладе проги локающие другие проге (обычно это по названию файла) не могут запретить переименовать файл и запустить. а запретить переименовывать файлы, это не верная мысль

Cartman · 01.09.2006, 12:24

VanHelsing, в том то и дело, что это не запреты на определенные приложения, а разрешения. Если приложения не будет в списке - винда не позволит его запустить.

VanHelsing · 01.09.2006, 15:21

te zhe yaitsa, prostite, no vid s boku:
If you enable this setting, users can only run programs that you add to the List of Allowed Applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs such as Task Manager, which are started by the system process or by other processes. Also, if users have access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer.

Note: It is a requirement for third-party applications with Windows 2000 or later certification to adhere to this setting. Note: To create a list of allowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe).

razve chto razreshit' N-prog zapuskat' i zakryt' dostup k cmd

KomatoZo · 01.09.2006, 15:33

Можно, наверное, резюмировать:
1) встроенными средствами пользователю с административными полномочиями не запретишь что-либо запустить. То есть запретить можно, но он имеет возможность себе все вернуть в зад, если разбирается.
2) Можно какими-нибудь средствами третьих производителей запретить запускать существующие программы. Либо путем шифрации, либо каким-то еще. Но запретить администратору принести на флешке или просто поставить дополнительный софт - задача нереальная.
Отсюда:
1) Не давать ему админских прав. Создать для него отдельного юзверя. И запретить этому юзверю все, что необходимо.
2) Если п.1 не канает и если Ваш друг недостаточно остроумен, чтобы разобраться с GPO и реестром, то нужно следовать совету г-на Cartman или VanHelsing.
3) Если п.2 не канает, то единственный вариант - см п.1.

Madness · 01.09.2006, 16:15

KomatoZo
Про мой пост не забыл? Очень даже действенно. Не каждый пользователь догадается как ему попасть например в папку System Volume Information :)

KomatoZo · 01.09.2006, 16:23

Madness
Я не люблю защиту, стойкость которай сильно зависит от ума взломщика. Но это мои тараканы, так, что можно и так. =)

Madness · 01.09.2006, 16:38

KomatoZo
Ну если с такой колокольни смотреть, то физического доступа к компу с CD/usb достаточно чтоб стать на нем администратором со всеми вытакающими проблемами, не говоря уже про переустановку всего и вся. :)

KomatoZo · 01.09.2006, 16:58

Это намного проще отследить и потом, соответственно, сделать шею чистой. Впрочем если углубляться в такие дебри, то в любом мало-мальски стоящем учебнике написано, что тот кто имеет физический доступ к компу тот имеет к нему полный доступ. Аминь.

01.09.2006, 09:53	# 1
mr_jok Guest Сообщения: n/a	частичное блокирование доступа к ПО С помощью какого ПО можно ограничить доступ к приложениям в Windows 2000 для своей учетной записи с правами локального админа на время отпуска при работе другого пользователя с моим логином? Или с помощью какого ПО можно корректно поставить запрос пароля на *.exe и/или каталог в Win '2000 Pro?

01.09.2006, 10:13	# 2
Madness KpTeaM Регистрация: 31.10.2002 Адрес: Russia Пол: Male Сообщения: 3 261	mr_jok Если пользователь не слышал про права доступа, то можно убрать у себя вообще все права на доступ к папкам программ, запуск которых надо ограничить, администратор всегда их может себе вернуть. __________________ Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь

01.09.2006, 11:14	# 4
VanHelsing Junior Member Регистрация: 18.04.2005 Сообщения: 157	Cartman, не смешно это же можно сделать через start > run > gpedit.msc. только: If you enable this setting, users cannot run programs that you add to the list of disallowed applications. This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs, such as Task Manager, that are started by the system process or by other processes. Also, if you permit users to gain access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: To create a list of disallowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe). надеюсь, понятно, о чем речь. тем более, если под аком автора раздела заходить, а он админ, то админ в винде это вам не рут в никсе и может себе все права взять какие ему заблагорассудится кстати, при любом запрете на любое приложение... его ведь и переименовать можно имхо. дай лучше челу другой акк, а приложение, которое не хочешь, что бы запускал он закриптуй. а если ты на все *.exe поставишь, то при любом раскладе чел не залогинится, ехплохер тоже ехе а еще лучше, напиши конкретно, что ты НЕ хочешь, что бы он запускал. и можно ли ему дать другой акк? __________________

01.09.2006, 11:27	# 5
emil ::VIP:: Регистрация: 30.05.2002 Адрес: Палата № 6 Сообщения: 492	mr_jok можно поставить программу Desktop Lock Business, которая вообще запретит запуск программ, только тех что по списку. в итоге пользователь будет видеть голый рабочий стол и программы которые может запускать __________________ Всякий пьяный шкипер уповает на провидение. Но провидение иногда направляет корабли пьяных шкиперов на скалы

01.09.2006, 12:23	# 6
VanHelsing Junior Member Регистрация: 18.04.2005 Сообщения: 157	имхо, при любом раскладе проги локающие другие проге (обычно это по названию файла) не могут запретить переименовать файл и запустить. а запретить переименовывать файлы, это не верная мысль __________________

01.09.2006, 12:24	# 7
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	VanHelsing, в том то и дело, что это не запреты на определенные приложения, а разрешения. Если приложения не будет в списке - винда не позволит его запустить. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

01.09.2006, 15:21	# 8
VanHelsing Junior Member Регистрация: 18.04.2005 Сообщения: 157	te zhe yaitsa, prostite, no vid s boku: If you enable this setting, users can only run programs that you add to the List of Allowed Applications. This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs such as Task Manager, which are started by the system process or by other processes. Also, if users have access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: It is a requirement for third-party applications with Windows 2000 or later certification to adhere to this setting. Note: To create a list of allowed applications, click Show, click Add, and then enter the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe). razve chto razreshit' N-prog zapuskat' i zakryt' dostup k cmd __________________

01.09.2006, 15:33	# 9
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Можно, наверное, резюмировать: 1) встроенными средствами пользователю с административными полномочиями не запретишь что-либо запустить. То есть запретить можно, но он имеет возможность себе все вернуть в зад, если разбирается. 2) Можно какими-нибудь средствами третьих производителей запретить запускать существующие программы. Либо путем шифрации, либо каким-то еще. Но запретить администратору принести на флешке или просто поставить дополнительный софт - задача нереальная. Отсюда: 1) Не давать ему админских прав. Создать для него отдельного юзверя. И запретить этому юзверю все, что необходимо. 2) Если п.1 не канает и если Ваш друг недостаточно остроумен, чтобы разобраться с GPO и реестром, то нужно следовать совету г-на Cartman или VanHelsing. 3) Если п.2 не канает, то единственный вариант - см п.1. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

01.09.2006, 16:15	# 10
Madness KpTeaM Регистрация: 31.10.2002 Адрес: Russia Пол: Male Сообщения: 3 261	KomatoZo Про мой пост не забыл? Очень даже действенно. Не каждый пользователь догадается как ему попасть например в папку System Volume Information :) __________________ Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь

01.09.2006, 16:23	# 11
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Madness Я не люблю защиту, стойкость которай сильно зависит от ума взломщика. Но это мои тараканы, так, что можно и так. =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

01.09.2006, 16:38	# 12
Madness KpTeaM Регистрация: 31.10.2002 Адрес: Russia Пол: Male Сообщения: 3 261	KomatoZo Ну если с такой колокольни смотреть, то физического доступа к компу с CD/usb достаточно чтоб стать на нем администратором со всеми вытакающими проблемами, не говоря уже про переустановку всего и вся. :) __________________ Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь

01.09.2006, 16:58	# 13
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Это намного проще отследить и потом, соответственно, сделать шею чистой. Впрочем если углубляться в такие дебри, то в любом мало-мальски стоящем учебнике написано, что тот кто имеет физический доступ к компу тот имеет к нему полный доступ. Аминь. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.