Добрый день!
Ситуация такая: на работе имеется несознательный товарищЪ, который любит в рабочее время играть в ДОТУ. Я написал следующий скрипт для принудительного завершения процесса war3.exe (именно он "ответственен за ДОТУ):

taskkill /s kb07.automats.spbstu /u kb /p labPU /fi "imagename eq war3.exe" /f


Сам скрипт запихнул в планировщик на сервере и поставил интервал запуска каждые 5 минут. На первый взгляд все хорошо - процесс успешно убивался. Но уже потом, спустя где-то 1.5 часа работы скрипт неожиданно не сработал и товарищ успешно проиграл последние 40 минут рабочего времени.

Собственно вопрос вот какой: как можно модифицировать скрипт, чтобы он висел в памяти (не важно, сервера или локального ПК) и мониторил наличие вышеуказанного процесса. В случае его наличия процесс должен убиваться. Да, если скрипт будет крутиться на ПК пользователя, то его необходимо скрыть от его глаз (т.е. чтобы он не отображался в диспетчере задач).

Ну и еще: желательно, но не обязательно, чтобы скрипт был написан на cmd/bat или PowerShell

Написать-то можно. Но с глаз не скроешь: всё равно cmd.exe/wscript.exe/cscript.exe/wmiprvse.exe/XXXX.exe будут видны в памяти. Используйте групповую политику для задания белого списка разрешённых для исполнения приложений (откуда оно вообще взялось?).

P.S. kelevara, загрузите несознательного товарища работой, и у него не останется рабочего времени на несознательность.

Iska, работы у него хватает, что впрочем не мешает ему играть. Но это совсем другая история, как обычно говорят в подобных случаях =)

По поводу групповых политик - в обозримом будущем я так и собираюсь сделать. Пока что есть лишь обратный список - приложения, которые запрещены, причем запрещены по хешу (правда хеш несложно сменить).

Тогда может быть просто запустить скрипт на сервере (не через планировщик, а на постоянной основе) - в этом случае на локальной машине следов быть не должно, или я не прав?

Но это совсем другая история, »
Это как раз та самая история. Не исполнена работа — выговор (не за факт игры на рабочем месте в рабочее время!), не исполнена вторично — лишение премии. Поверьте, это очень быстро лечит.

Тогда может быть просто запустить скрипт на сервере (не через планировщик, а на постоянной основе) - в этом случае на локальной машине следов быть не должно, или я не прав? »
Правы. Но завтра он переименует «war3.exe» в «notepad.exe» и продолжит.

Iska, хмм, похоже. что придется все же несколько ускорить внедрение белого списка разрешенных программ.