Войти

Показать полную графическую версию : Запрет доступ к исполнение фалов ! Через групповой политики сделал но ...


dosim
06-06-2006, 18:28
Дорогие Админы,

Система Windows 2000 servr, AD.

я бы хотел настроит рабочие станции так, чтобы никакой юзер не смог запустит исполнимые файлы кроме word excel access outlook.
Я это настроел с помощью групповой политики, но умные юзеры переименует любой испонимый файл на winword.exe и пожалуста работай. Я слышал что SMS ом можно закрыть, но я установил СМС и настроел его и почитал книжки, там про запрету ничего нет. Вот помогите мне решит эти проблемы:

----- Юзеры могут только работать с вышеуказанным программами
---- Юзеры не смогли работат с флеш картами т.е. закрыть USB port



И еще насчет СМС 2003 а,
а можно на нем смотреть какой юзер какие программы запустил в течении дня ?

Спасибо заранее !!

foss
06-06-2006, 18:46
Пользуйся груповыми политиками.
User Configuration\Administrative Templates\System\Run only allowed Windows applications
Ивсе что надо :)

Dennis
06-06-2006, 18:53
dosim
Я это настроел с помощью групповой политики, но умные юзеры переименует любой испонимый файл на winword.exe и пожалуста работай.
Из этого следует что вы не все запретили :) Чем-то они переименовывают приложения. Вам нужно "убить" все меню, так чтобы в нем было только ваши приложения и "выключить компьютер". Соответственно иконки Мой компьютер - то же не должно быть...

Grub
07-06-2006, 07:18
Соответственно иконки Мой компьютер - то же не должно быть...
Тогда там вообще никаких иконок не должно быть. Ни Мои документы, ни Сетевого окр., ни Корзины и т.д.. Иначе из них можно на любой диск зайти. К тому же надо будет запретить вызов проводника с клавиатуры

dosim
а на счет СМС. Если это тот СМС про который я слышал, то да. Можно с его помошью просмотреть что запускалось на машине пользователя(ей).

dosim
07-06-2006, 09:06
Спасибо за ответ, но это уже слишком жесткая политика ! а другие програмы есть который запрещают испонение фалов кроме разрешенных. по хэш чтобы смотрел если юзер переименовал файл ?

dosim
07-06-2006, 10:51
Можно с его помошью просмотреть что запускалось на машине пользователя(ей). Как можно смотреть это на СМС ???

xoxmodav
07-06-2006, 13:31
Проверка запуска программ по их хеш-функции реализуется стандартными средствами Windows 2003 Server. Ищи, по-моему всё прячется в "Конфигурация пользователя\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ".

Только учти, что при любом изменении (обновлении или т.п.) программы перестанут запускаться и тебе придётся ручками новую хеш-функцию клепать.

dosim
07-06-2006, 17:14
Проверка запуска программ по их хеш-функции реализуется стандартными средствами Windows 2003 Server. Ищи, по-моему всё прячется в "Конфигурация пользователя\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ".

как можно настроит так, сперва запретить всех файлов, потом уже нужные разрешить на запуск????? и еще как можно закрыть USB ?

Dennis
08-06-2006, 10:03
и еще как можно закрыть USB ?
devlock (http://www.protect-me.com/ru/dl/)

xoxmodav
08-06-2006, 11:24
как можно настроить так, сперва запретить всех файлов, потом уже нужные разрешить на запуск?????

Сначала создай политику, а потом уже сам экспериментируй - там дальше всё довольно просто!

P.S. Кстати я забыл добавить, что эта настройка также есть и в "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ".




© OSzone.net 2001-2012