Политики ограниченного использования программ
 

Здравствуйте.
Помогите разобраться с теорией. Имеется домен под управлением Windows Server 2008 R2. Клиенты - WinXP Prof SP3. Практически все пользователи работают под учетной записью с правами пользователя (не опытного, обычного).
Хочу внедирить политики ограниченного использования программ со следующими параметрами:
Уровень безопасности - неограниченный (Доступ программ к ресурсам определяется правами пользователя)
Применение ко всем файлам программ, для всех пользователей, кроме администраторов.
Из назначенных типов уберу ярлыки (LNK-файлы) и добавлю скрипты (KS-файлы)
В дополнительных правилах пропишу запрет на запуск из временных каталогов (%temp%, %tmp%, Temporary Internet Files).
Вопрос - а что будет при попытке установить/обновить программное обеспечение через "Установка программ" групповых политик? msi-инсталлятор распакуется во временный каталог и не сможет оттуда запуститься? Или я ошибаюсь?
Спасибо

параметры ПК? тогда ничего не будет - SRP не распространяется на SYSTEM.

cameron, да, софт распространяется через секцию "Конфигурация компьютера". Спасибо.
А если бы распространение было настроено через конфигурацию пользователя, то каким образом решалась бы проблема с обновлением? Перенесением софта в параметры компьютера или временным отключением политик ограниченного использования программ?

сперва вам пришлось бы решить проблему с тем, что в контексте пользователя MSI не установить по причине отстутствия прав на установку ПО.
моё мнение по данному вопросу простое - есть механизмы установки ПО в контексте УЗ ПК или через агентов (SCCM\Emco\etc), которыми и надо пользоваться, а не иметь головняк в виде разворачивания софта в контексте пользователя.

Michael,
ну и ещё, на вашем месте, я бы ещё раз подумала, какую цель я хочу достигнуть этими действиями

Цитата:

Цитата Michael Уровень безопасности - неограниченный (Доступ программ к ресурсам определяется правами пользователя) »

Цитата:

Цитата Michael В дополнительных правилах пропишу запрет на запуск из временных каталогов (%temp%, %tmp%, Temporary Internet Files). »

я предпочитаю ставить SRP в запрещено и указывать то, что разрешено.

упс... не подумал...
извиняюсь, а УЗ это что?? не соображу никак...

Учётная Запись

цель - защита от вирусов, передающихся по электронной почте.
Сотрудники работают под ограниченной учетной записью с правами пользователя, доступа в интрент практически нет, запуск программ со съемных носителей запрещен. Думаю достаточно.

Если идти по вашему варианту - на запуск что разрешаете? %ProgramFiles% и %WinDir% ?

И еще вопрос - почему в дополнительных правилах прописаны пути вида
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
и
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
а не
%SystemRoot%
и
%ProgramFiles%
соответственно?

в общем и целом да, хотя этот вариант недостаточно хорош - кое куда пользователь писать может :(
стараюсь указывать пути в именем файла или хеш оного.
этого я не знаю.

есть хорошее, почти готовое решение от MVP с ником WindowsNT (его ПРОТОКОЛ).
ознакомьтесь, крайне полезное чтиво.

cameron, спасибо за советы.
P.S. найдя решение от WindowsNT оказалось, что именно по нему я с этим вопросом и разбирался :)

Запреты запуска не ставьте, только дефолтное правило "запрещено всё".
Включите в реестре подробное журналирование (LogFileName), проще будет искать причину проблем в случае неожиданных блокировок.

Возникла проблема при использовании SRP.
Параметры политики следующие:
Применение - ко всем файлам программ, для всех пользователей, кроме администраторов.
Уровень безопасности по умолчанию - запрещено.
Дополнительные правила (для всех уровень безопасности неограниченный) - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, пять исключений по пути и три исключения по хешу.

В папке %ProgramFiles% создал подпапку для программы, дал на нее полные права пользователю, закинул туда portable-программу
После применения политики portable-программа перестала запускаться c ошибкой
"The application was unable to load a required virtual machine component. Please contact the publisher of this application for more information."
Причина ошибки именно SRP - если отменить политику или дать пользователю права админа, то все работает.
На компьютере в логах "Приложение" есть ошибка 865:
При этом не могу понять закономерности появления это ошибки - сегодня она вылезла 20 раз за 6 секунд и больше ее не было.
Непонятно почему вообще она появилась, когда есть правило для пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% с неограниченным уровнем? (значение этого ключа реестра равно "C:\WINDOWS", systeminfo говорит, что "Папка Windows: C:\WINDOWS").
Пробовал запустить эту программу на другом компьютере - также ошибка "The application was unable to load a required virtual machine component. Please contact the publisher of this application for more information." и ошибка 865 "Доступ к C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe был ограничен Администратором политикой ограниченного использования программ." также 20 раз, но в течении 3 секунд.
Куда копать? Делать еще одно исключение для mscorsvw.exe по пути?

Замените правило с переменной %SystemRoot% на точное C:\Windows\
Правило %ProgramFilesDir% замените на два точных C:\Program Files\ и C:\Program Files (x86)\

WindowsNT, нет, не помогло. После указания в исключениях путей "C:\Program Files\", "C:\Program Files (x86)\" и C:\Windows\" при запуске приложения все равно вылезает ошибка
"The app was unable to load a required virtual machine component. Please contact the publisher of this app for more information."

Сделайте папку C:\Windows\Logs\SRP и добавьте для неё разрешение Everyone: Modify
Установите HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\LogFileName = C:\Windows\Logs\SRP\SRP.log
Неудачно запустите программу и покажите все строки со словом Disallowed из лог-файла.