Нужно запретить запуск файла в ХР - Операционные системы M$

voron · 07.04.2004, 17:16

Народ, подскажите плз, а то уже прижимают...

Как в ХР сделать так, чтобы файл с именем salint.exe нельзя было запустить на машине в независимости от местонахождения файла.

т.е. хоть он будет в c:\123\salint.exe хоть в d:\test\salint.exe, а он не запускался?

Блин, срочняк надо, а то по голове надают за то, что работники хреновы юзают эту софтину, которая какие-то отчеты бухгалтерше портит. 20 раз уже машины от нее чистил - они опять на дискете приносят, а переименовать у них ума не хватит.

watson · 07.04.2004, 17:21

зачем создавать в 1 разделе 2 темы? так не делают на форуме.пусть переименуют

voron · 07.04.2004, 17:55

watson

во блин!

это косяк, мужики, 100 пудово!

чесслово 1 раз создавал! даже текст один и тот же.

2moders удалите плз клон

FantomIL · 07.04.2004, 17:58

Да запрети ты всем, кроме тех кому можно, доступ к этой софтине и все дела.

Drill · 07.04.2004, 18:26

voron
Пуск - Панель управления - Администрирование - Локальная политика безопасности
В этой консоли: Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для хеша - Обзор и выбери файл, для которого создается правило - выбери Безопасность "Не разрешено" . Жми Ок. Все...

voron · 07.04.2004, 18:34

так дело в том, что сервака пока в сети нет (начальство кручу), на всех тачках стоит ХР и надо ручками на всех машинах эту софтину запретить для запуска, а как я не знаю

Добавлено через 3 минуты:
Drill
а косяк есть, они с дискеты копируют в разные места его. то на рабочий стол, то в мои документы...
отследить сложно. мне само имя файла надо запретить.

FantomIL · 07.04.2004, 18:37

Цитата:

отследить сложно. мне само имя файла надо запретить

Если блокировка идет по хешу, то, по идее, неважно где находится этот файл, даже неважно, как он называется. Система не должна его запускать.

Drill · 07.04.2004, 18:53

voron

Цитата:

а косяк есть, они с дискеты копируют в разные места его. то на рабочий стол, то в мои документы...

Ты создаешь правило хеша, а не правило пути, и как подметил FantomIL , Если блокировка идет по хешу, то неважно где находится этот файл, даже неважно, как он называется.

voron · 09.04.2004, 15:00

а если они будут юзать другую версию (ну, например, 2.0) , то уже эта фишка не прокатит?

Drill · 09.04.2004, 15:58

voron
Хеш переименованного или перемещенного в другую папку файла не изменяется. Однако, при любом изменении файла значение хеша изменяется, позволяя обойти ограничения. Тобишь,

Цитата:

если они будут юзать другую версию (ну, например, 2.0) , то уже эта фишка не прокатит

Для другой версии делаешь все то же, что и раньше...если каждый день будет появляться новая версия, то тебе остается только посочувствовать....

voron · 09.04.2004, 19:28

это косяк.

я ж не могу их пасти когда они что юзают и что приносят на флешках

что можно еще сделать (сейчас правило для хеша я уже сделал, но скоро они новую версию припрут 100 пудово) для тго, чтобы файл запретить по имени?

Drill · 13.04.2004, 20:52

Цитата:

voron
что можно еще сделать

можно сделать очень жестко:
Пуск - Панель управления - Администрирование - Локальная политика безопасности

В этой консоли:
1. Политики ограниченного использования программ - правой кнопкой мыши на Принудительный - в свойствах выбираешь "ко всем файлам программ, кроме библиотек" и "Для всех пользователей, кроме локальных администраторов" - Ок.

2. Политики ограниченного использования программ - Уровень безопасности - правой кнопкой мыши на Не разрешено - выбираешь пункт "По умолчанию" - Ок.

3. Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для пути :
в Путь вписываешь - %WINDIR%
в Уровень безопасности - Неограниченный

4. Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для пути :
в Путь вписываешь - %PROGRAMFILES%
в Уровень безопасности - Неограниченный

5. Каталоги %WINDIR% и %PROGRAMFILES% должны располагаться в разделе NTFS, для них ты определяешь права доступа только для админа.

ВСЁ...

Что произойдет?
Уровень безопасности по умолчанию запретит запуск любых прогамм из любого места для всех, кроме админа машины.
Для нормальной работы компа разрешен запуск программ из %WINDIR% и %PROGRAMFILES% (типа ворда, екселя и т.д.), но юзера не имеют прав на установку и удаление программ из этих каталогов.
Все концы отрублены, можешь спать спокойно...

Кстати, в домене это еще проще - создаешь объект групповой политики с такими свойствами и применяешь его к домену, не надо лазить на каждую машину....

graze · 08.11.2004, 18:10

А нет ли программ, которые бы автоматизировали бы этот процесс, например запрещают запуск любых процессов и библиотек, кроме из указанных папок, а в эти папки запрещают записывать что-либо?

Drill · 09.11.2004, 10:54

Цитата:

graze:
А нет ли программ, которые бы автоматизировали бы этот процесс

А зачем, если есть встроенные средства?

Цитата:

graze:
например запрещают запуск любых процессов и библиотек

Уровень безопасности по умолчанию запретит запуск любых прогамм (в том числе и библиотек, если очень надо) из любого места для всех, кроме админа машины

Цитата:

graze:
кроме из указанных папок

разрешен запуск программ из %WINDIR% и %PROGRAMFILES% (можешь прописать дополнительно какие тебе угодно каталоги)

Цитата:

graze:
а в эти папки запрещают записывать что-либо

юзера не имеют прав на установку и удаление программ из этих каталогов

graze · 09.11.2004, 15:26

Drill
просто с автоматизацией было бы удобней
а так этот способ катит нормально
только например, если я АВ или стену поставлю в режими Админа, они будут нормально работать в режиме Юзера?

Drill · 09.11.2004, 16:23

graze
ставишь в %PROGRAMFILES% (или в каталог, который прописываешь в правиле для пути ), и все будет нормально работать и под юзером...

09.11.2004, 19:06

то Drill
Круто.

Если просто запретить один файл, можно так.
gpedit.msc
-Конфигурация пользователя
-----Административные шаблоны
-----------Система : не запускать указанные приложения.

Там и прописывем то что нельзя запускать.
А так как сказал Drill вообще то и надо делать....

graze · 10.11.2004, 00:21

Drill
а вот например инет будет работать? Ведь папка временных файлов находится там, куда Юзер не имеет права записывать...

tolbazbI · 12.12.2005, 11:54

помогите поставить запрет на запуск музыкальных файлов с CD (mp3 и т.п.) и для программ которые идут в диске с этими файлами , например WinAmp

sas_s · 12.12.2005, 11:58

Цитата:

tolbazbI:
помогите поставить запрет на запуск музыкальных файлов с CD (mp3 и т.п.) и для программ которые идут в диске с этими файлами , например WinAmp

отключи autorun с CD-ROMа или когда вставляешь CD в привод держи нажатой клавишу SHIFT

07.04.2004, 17:16	# 1
voron ::VIP:: Регистрация: 14.08.2003 Адрес: kuban.imho.ws Сообщения: 2 567	Нужно запретить запуск файла в ХР Народ, подскажите плз, а то уже прижимают... Как в ХР сделать так, чтобы файл с именем salint.exe нельзя было запустить на машине в независимости от местонахождения файла. т.е. хоть он будет в c:\123\salint.exe хоть в d:\test\salint.exe, а он не запускался? Блин, срочняк надо, а то по голове надают за то, что работники хреновы юзают эту софтину, которая какие-то отчеты бухгалтерше портит. 20 раз уже машины от нее чистил - они опять на дискете приносят, а переименовать у них ума не хватит. __________________

07.04.2004, 17:21	# 2
watson ::VIP:: Регистрация: 10.10.2003 Адрес: Estonia Сообщения: 1 791	зачем создавать в 1 разделе 2 темы? так не делают на форуме.пусть переименуют __________________ Я вернулся

07.04.2004, 17:55	# 3
voron ::VIP:: Регистрация: 14.08.2003 Адрес: kuban.imho.ws Сообщения: 2 567	watson во блин! это косяк, мужики, 100 пудово! чесслово 1 раз создавал! даже текст один и тот же. 2moders удалите плз клон __________________ Последний раз редактировалось voron; 07.04.2004 в 18:04.

07.04.2004, 17:58	# 4
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Да запрети ты всем, кроме тех кому можно, доступ к этой софтине и все дела. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

07.04.2004, 18:26	# 5
Drill Member Регистрация: 14.04.2003 Адрес: Ukraine Пол: Male Сообщения: 376	voron Пуск - Панель управления - Администрирование - Локальная политика безопасности В этой консоли: Политики ограниченного использования программ - правой кнопкой мыши на Дополнительные правила и выбери Создать правило для хеша - Обзор и выбери файл, для которого создается правило - выбери Безопасность "Не разрешено" . Жми Ок. Все... __________________ На работе всегда выкладывайтесь на 100%! 12% в понедельник, 23% во вторник, 40% в среду, 20% в четверг и 5% в пятницу!

07.04.2004, 18:34	# 6
voron ::VIP:: Регистрация: 14.08.2003 Адрес: kuban.imho.ws Сообщения: 2 567	так дело в том, что сервака пока в сети нет (начальство кручу), на всех тачках стоит ХР и надо ручками на всех машинах эту софтину запретить для запуска, а как я не знаю Добавлено через 3 минуты: Drill а косяк есть, они с дискеты копируют в разные места его. то на рабочий стол, то в мои документы... отследить сложно. мне само имя файла надо запретить. __________________

09.04.2004, 15:00	# 9
voron ::VIP:: Регистрация: 14.08.2003 Адрес: kuban.imho.ws Сообщения: 2 567	а если они будут юзать другую версию (ну, например, 2.0) , то уже эта фишка не прокатит? __________________

09.04.2004, 19:28	# 11
voron ::VIP:: Регистрация: 14.08.2003 Адрес: kuban.imho.ws Сообщения: 2 567	это косяк. я ж не могу их пасти когда они что юзают и что приносят на флешках что можно еще сделать (сейчас правило для хеша я уже сделал, но скоро они новую версию припрут 100 пудово) для тго, чтобы файл запретить по имени? __________________

08.11.2004, 18:10	# 13
graze Junior Member Регистрация: 13.01.2003 Сообщения: 196	А нет ли программ, которые бы автоматизировали бы этот процесс, например запрещают запуск любых процессов и библиотек, кроме из указанных папок, а в эти папки запрещают записывать что-либо?

09.11.2004, 15:26	# 15
graze Junior Member Регистрация: 13.01.2003 Сообщения: 196	Drill просто с автоматизацией было бы удобней а так этот способ катит нормально только например, если я АВ или стену поставлю в режими Админа, они будут нормально работать в режиме Юзера?

09.11.2004, 16:23	# 16
Drill Member Регистрация: 14.04.2003 Адрес: Ukraine Пол: Male Сообщения: 376	graze ставишь в %PROGRAMFILES% (или в каталог, который прописываешь в правиле для пути ), и все будет нормально работать и под юзером... __________________ На работе всегда выкладывайтесь на 100%! 12% в понедельник, 23% во вторник, 40% в среду, 20% в четверг и 5% в пятницу!

09.11.2004, 19:06	# 17
Sorik Guest Сообщения: n/a	то Drill Круто. Если просто запретить один файл, можно так. gpedit.msc -Конфигурация пользователя -----Административные шаблоны -----------Система : не запускать указанные приложения. Там и прописывем то что нельзя запускать. А так как сказал Drill вообще то и надо делать.... Последний раз редактировалось Sorik; 09.11.2004 в 19:08.

10.11.2004, 00:21	# 18
graze Junior Member Регистрация: 13.01.2003 Сообщения: 196	Drill а вот например инет будет работать? Ведь папка временных файлов находится там, куда Юзер не имеет права записывать...

12.12.2005, 11:54	# 19
tolbazbI Junior Member Регистрация: 06.11.2004 Адрес: Россия, Башкортостан, Толбазы Сообщения: 67	помогите поставить запрет на запуск музыкальных файлов с CD (mp3 и т.п.) и для программ которые идут в диске с этими файлами , например WinAmp __________________ Депрессия - это когда включаешь интернет и не знаешь куда пойти..