[Blast]

Как ограничить пользователя определенным перечнем программ разрешенных для запуска

[sacredboy]

А как можно запретить запуск portable программ?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

И еще, непонятен один момент отсюда, а именно

Цитата:

Вариант 2: Пуск -> Выполнить -> Secpol.msc -> Политики ограниченного использования программ -> Дополнительные правила -> Правый клик в правом поле -> Создать правило для хэша -> Обзором задаём требуемый исполняемый файл -> Применить -> Затем снова Политики ограниченного использования программ -> в правом поле вызываем свойства объекта "Принудительный" (выделяем правым кликом), верхний чекбокс на ...кроме DLL, нижний на ...кроме локальных администраторов.

А где в свойствах объекта есть опция "Принудительный"?

[leonty]

"принудительный" находится не в свойствах объекта. Грубо говоря, установи курсор на Политики ограниченного использования программ и в поле Тип объекта появится Принудительный

[sacredboy]

C "Принудительным" разобрался. Теперь вопрос такой: каким образом указать приложение запрещенное для запуска пользователем если на контроллере домена это приложение не установлено (ввиду того, что оно исключительно пользовательское)? Ведь при создании правило по хешу нужно указать приложение.

И еще, если не трудно, просьба объяснить, как же все таки создать правило для только разрешенных приложений, так, чтобы пользователь не мог ничего запустить кроме разрешенных приложений.

[sacredboy]

Попробовал в GPO сделать так:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) В типе объекта принудительный выбрал: "Ко всем файлам программ" и "Для всех пользователей кроме локальных администраторов".
3) Никаких правил для разрешения не создал.
В итоге при попытке пользователя входа в систему происходит вход в систему и моментальный выход из нее.
Что нужно разрешить, чтобы пользователь хотя бы в систему мог войти?

[Petya V4sechkin]

sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.

[sacredboy]

А как можно запретить запуск portable программ и можно ли вообще?
Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

[leonty]

Цитата:

sacredboy, хотя бы Userinit.exe, Explorer.exe и все, что в автозагрузке.

userinit.exe и explorer.exe не надо задавать отдельными правилами, ибо в правилах по умолчанию итак содержатся пути к эим файлам, разрешаюие их запуск.

Цитата:

3) Никаких правил для разрешения не создал.

эмн, ну ты хотя бы дефолтовые не трогал?

Цитата:

А как можно запретить запуск portable программ и можно ли вообще? Нужно, чтобы пользователи не могли запускать portable программы и флэш игры, которые они приносят на флэшках, но при этом не отрубая USB.

первое что пришло в голову, ну у тебя же при подключении флехи ей присваивается определенная буква, ну так вот запрети запуск програам по пути с этой буквой (я думаю у тя пользователи не в группе локальных админов и менять буквы диска они не могут).

[sacredboy]

Цитата leonty:

userinit.exe и explorer.exe не надо задавать отдельными правилами, ибо в правилах по умолчанию итак содержатся пути к эим файлам, разрешаюие их запуск. »

Тем не менее, у меня почему то пользователя выкидывало из системы автоматом.
(При том, что я все запретил и ничего не разрешил).

Цитата leonty:

первое что пришло в голову, ну у тебя же при подключении флехи ей присваивается определенная буква, ну так вот запрети запуск програам по пути с этой буквой (я думаю у тя пользователи не в группе локальных админов и менять буквы диска они не могут). »

Это тоже вариант, просто у групп пользователей разная разбивка винта (у кого то три раздела, у кого два винта). А бегать и вручную указывать букву для флэшки как то нехочется.

Почитал еще раз вот здесь. Очень помогло.
А сделал, следующее:
1) В уровне безопасности выбрал по умолчанию "Не разрешено"
2) Создал два правила для пути "%WINDIR% - Неограниченный" и "%PROGRAMFILES% - неограниченный"
В итоге, запускаются только программы из этих директорий и никакие другие.
При этом обычный пользователь естественно не может ничего в эти директории скопировать.