Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   как через групповые политики запретить запуск программы (http://forum.oszone.net/showthread.php?t=66481)

Alex6661 31-05-2006 07:22 444430
как через групповые политики запретить запуск программы
 
Как управлять стандартными прогами в WIn, не проблема, а если эти проги других производителей.

Blast 31-05-2006 08:39 444446
Как ограничить пользователя определенным перечнем программ разрешенных для запуска

sacredboy 11-12-2008 06:46 978071
А как можно запретить запуск portable программ?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

И еще, непонятен один момент отсюда, а именно
Цитата:
Вариант 2:
Пуск -> Выполнить -> Secpol.msc -> Политики ограниченного использования программ -> Дополнительные правила -> Правый клик в правом поле -> Создать правило для хэша -> Обзором задаём требуемый исполняемый файл -> Применить -> Затем снова Политики ограниченного использования программ -> в правом поле вызываем свойства объекта "Принудительный" (выделяем правым кликом), верхний чекбокс на ...кроме DLL, нижний на ...кроме локальных администраторов.
А где в свойствах объекта есть опция "Принудительный"?

leonty 11-12-2008 08:53 978096
"принудительный" находится не в свойствах объекта. Грубо говоря, установи курсор на Политики ограниченного использования программ и в поле Тип объекта появится Принудительный

sacredboy 12-12-2008 13:17 979304
C "Принудительным" разобрался. Теперь вопрос такой: каким образом указать приложение запрещенное для запуска пользователем если на контроллере домена это приложение не установлено (ввиду того, что оно исключительно пользовательское)? Ведь при создании правило по хешу нужно указать приложение.

И еще, если не трудно, просьба объяснить, как же все таки создать правило для только разрешенных приложений, так, чтобы пользователь не мог ничего запустить кроме разрешенных приложений.

sacredboy 14-12-2008 06:44 980508
Попробовал в GPO сделать так:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) В типе объекта принудительный выбрал: "Ко всем файлам программ" и "Для всех пользователей кроме локальных администраторов".
3) Никаких правил для разрешения не создал.
В итоге при попытке пользователя входа в систему происходит вход в систему и моментальный выход из нее.
Что нужно разрешить, чтобы пользователь хотя бы в систему мог войти?

Petya V4sechkin 14-12-2008 09:33 980550
sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.

sacredboy 15-12-2008 07:00 981174
А как можно запретить запуск portable программ и можно ли вообще?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

leonty 15-12-2008 08:33 981211
Цитата:
sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.
userinit.exe и explorer.exe не надо задавать отдельными правилами, ибо в правилах по умолчанию итак содержатся пути к эим файлам, разрешаюие их запуск.
Цитата:
3) Никаких правил для разрешения не создал.
эмн, ну ты хотя бы дефолтовые не трогал?
Цитата:
А как можно запретить запуск portable программ и можно ли вообще?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.
первое что пришло в голову, ну у тебя же при подключении флехи ей присваивается определенная буква, ну так вот запрети запуск програам по пути с этой буквой (я думаю у тя пользователи не в группе локальных админов и менять буквы диска они не могут).

sacredboy 15-12-2008 21:43 981881
Цитата:
Цитата leonty
userinit.exe и explorer.exe не надо задавать отдельными правилами, ибо в правилах по умолчанию итак содержатся пути к эим файлам, разрешаюие их запуск. »
Тем не менее, у меня почему то пользователя выкидывало из системы автоматом.
(При том, что я все запретил и ничего не разрешил).

Цитата:
Цитата leonty
первое что пришло в голову, ну у тебя же при подключении флехи ей присваивается определенная буква, ну так вот запрети запуск програам по пути с этой буквой (я думаю у тя пользователи не в группе локальных админов и менять буквы диска они не могут). »
Это тоже вариант, просто у групп пользователей разная разбивка винта (у кого то три раздела, у кого два винта). А бегать и вручную указывать букву для флэшки как то нехочется.

Почитал еще раз вот здесь. Очень помогло.
А сделал, следующее:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный"
В итоге, запускаются только программы из этих директорий и никакие другие.
При этом обычный пользователь естественно не может ничего в эти директории скопировать.

leonty 17-12-2008 08:48 982632
Цитата:
Цитата sacredboy
2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный" »
стоп! насколько мне известно, эти правила создаются по умолчанию при создании политики, разве не так?
sacredboy, ну а теперь то все работает? (:

sacredboy 18-12-2008 06:36 983661
Цитата:
Цитата leonty
стоп! насколько мне известно, эти правила создаются по умолчанию при создании политики, разве не так? »
Видимо не так ведь изначально вообще никаких правил нет. :)
А так вроде все работает.

Devils0411 10-07-2014 15:25 2374733
Код:
A: Вариант 1:
Войдите в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ и в реестре в разделе
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
параметр DisallowRun
значение 1
создать подраздел с таким же именем, в котором нужно создать строковые параметры, свой для каждой программы запрещенной для запуска, именуя их числами по возрастанию.

Например:
Имя параметра: 1
значение: iexplore.exe
Имя параметра: 2
значение: Winword.exe

Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.
А вариант блокировки для любого юзера есть?

WindowsNT 10-07-2014 18:32 2374823
http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/

Devils0411 10-07-2014 19:28 2374839
WindowsNT, Этот вариант рассматривается. Ситуация такая, что необходимо этот процесс автоматизировать. Конечно, вы скажите: "Поднимай AD - проблема исчезнет", и будете правы. Но этот вариант не подойдет, по определенным причинам. Когда в групповых политиках создаешь запрет на запуск определенной программы, в реестре появляется раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{0806a8ff-29fe-4f89-9592-0aa656523480}.
Выделенный жирным шрифтом раздел каждый раз меняется, если к примеру пересоздать правило. И соответственно данную запись через reg или cmd внесенную в реестр на другом компе, работать не будет.

WindowsNT 11-07-2014 14:47 2375207
SRP управляет этими ключами, да. Но идентификатор, насколько я помню, не имеет значения, ключ будет работать на любой машине.
Другое дело, что "чёрными списками" я не занимаюсь. Запрещаю вообще всё, затем добавляю разрешённые для запуска исключения по "белому списку" (codeidentifiers\262144)

Devils0411 11-07-2014 14:59 2375215
Цитата:
Цитата WindowsNT
насколько я помню, не имеет значения, ключ будет работать на любой машине. »
Могу вас разочаровать - не будет! Испытано лично на нескольких машинах.

James Marsh 11-07-2014 15:35 2375234
А что мешает вариант с реестром запихнуть в cmd и ярлык на него в автозагрузку закинуть?

Devils0411 14-07-2014 12:33 2376314
James Marsh, нашел более интересный вариант. Если есть мысли по оптимизации и коррекции, буду раз выслушать.
Код:
@Echo off
for /f "Tokens=1 Delims==" %%a in ('net localgroup "Пользователи"') Do if exist "%systemdrive%\Users\%%~a" set us=%%~a
for /f "Tokens=1 Delims==" %%b in ('net localgroup "Администраторы"') Do if exist "%systemdrive%\Users\%%~b" set ad=%%~b
for /f "Tokens=2 Delims==" %%c in ('WMIC UserAccount Where "Name="%us%"" Get SID /Value^') Do set SIDus=%%~c
for /f "Tokens=2 Delims==" %%d in ('WMIC UserAccount Where "Name="%ad%"" Get SID /Value^') Do set SIDad=%%~d
SET KEYus=HKEY_USERS\%SIDus%\Software\Microsoft\Windows\CurrentVersion\Policies
reg query %KEYus% /ve >nul
if errorlevel == 1 (
reg load HKLM\888 "%systemdrive%\Users\%us%\NTUSER.DAT"
SET KEYus=HKLM\888\Software\Microsoft\Windows\CurrentVersion\Policies
) else (echo)
SET KEYad=HKEY_USERS\%SIDad%\Software\Microsoft\Windows\CurrentVersion\Policies
REG ADD %KEYus%\Explorer /v DisallowRun /t REG_DWORD /d 00000001 /f
REG ADD %KEYus%\Explorer\DisallowRun /v 1 /t REG_SZ /d tor.exe /f
REG ADD %KEYad%\Explorer /v DisallowRun /t REG_DWORD /d 00000001 /f
REG ADD %KEYad%\Explorer\DisallowRun /v 1 /t REG_SZ /d tor.exe /f
reg query HKLM\888 /ve 2>nul
if errorlevel == 0 (
reg unload HKLM\888 2>nul
) else (echo)
pause
В данном случае блокирует запуск исполняющего файла tor.exe как для группы пользователи, так и администраторы. Фишка в том, что переименовать tor.exe не получится, иначе программа также не запустится.

WindowsNT 14-07-2014 18:34 2376420
Это всё будет неуправляемым и трудноподдерживаемым мероприятием. Либо конфигурируйте локальные политики вручную, либо копируйте всю папку System32\GroupPolicy со всеми чудесами.

Кста, а вот правила AppLocker экспортировать-импортировать можно отдельно.


Время: 10:08.

Время: 10:08.
© OSzone.net 2001-