[exo]

Цитата alef2474:

Файервол должен защищать от запуска любых программ, кроме избранных (банков-клиентов, 1С, Гарант и т.п.) »

это не дело файрвола. тут смотрите: групповые политики \ пользователь \ политики \ Настройки Виндовс \ настройки безопасности \ политики ограничения программ.

Цитата alef2474:

он должен препятствовать открытию в Интернет Эксплорере любых сайтов, кроме банковских »

прокси сервер. Либо убелите шлюз по умолчанию, и пропишите статические маршруты к нужным сайтам.

Цитата alef2474:

Еще его настройки должны быть запаролены, чтобы бухгалтерша не лазила. »

права лок админа у неё уберите...

Цитата alef2474:

бесплатность »

всё делается средствами винды.

[alef2474]

Цитата exo:

Еще его настройки должны быть запаролены, чтобы бухгалтерша не лазила. » права лок админа у неё уберите... »

У нее сейчас права доменного пользователя, но были доменного админа, т.к. ей нужно устанавливать обновления и она - командир.
Скоро она обнаружит, что права обрезаны, и поднимет хай, будет увольнять. Лучше вернуть права, но поставить файервол.
Запароленность файервола вряд ли обязательно связана с правами пользователя.

Цитата exo:

Файервол должен защищать от запуска любых программ, кроме избранных (банков-клиентов, 1С, Гарант и т.п.) » это не дело файрвола. тут смотрите: групповые политики \ пользователь \ политики \ Настройки Виндовс \ настройки безопасности \ политики ограничения программ. »

Эти групповые политики, имхо, в windows как всегда недоработаны, только для рекламы, а мне нужно для дела. Также как есть якобы удаленная установка программ, а как тронешь - все сыро.Эти политики еще будут выдавать таблички, что "запретил администратор", молча не могут(один раз себе на голову попробовал) - тогда она меня пристрелит. Нужно, чтоб молча не запускалось и все.
Я читал, что в файерволах эти функции тоже бывают и там уж должны быть надежны.Я просто никогда не пользовался этими файерволами и прошу совета, в каком все есть, что надо.

Цитата exo:

Либо убелите шлюз по умолчанию, и пропишите статические маршруты к нужным сайтам. »

Это как это, где прописать, можете привести пример?(route -p -4 add ip-addressбанка мойgateway ? - такое разве работает?) Если убрать шлюз в настройках TCP/IP, то интернет сразу перестает работать.
Потом сайты банков и пр. прописаны не только в виде статических IP, но и в виде https://url в ИнтЭксплорере, и по нажатию там на ссылку бух перенаправляется, может, на банковский комп с другим ip-адресом.
Прокси - это типа шлюза, совмещенного с файерволом, должно быть еще сложнее, чем просто файервол.

Цитата exo:

всё делается средствами винды »

Хорошо бы, если б она могла все делать, как надо.

[exo]

Цитата alef2474:

т.к. ей нужно устанавливать обновления »

обновления чего? программы могут устанавливать Power Users

Цитата alef2474:

Скоро она обнаружит, что права обрезаны, и поднимет хай, будет увольнять. »

она ваш начальник?

Цитата alef2474:

Эти групповые политики, имхо, в windows как всегда недоработаны, только для рекламы, а мне нужно для дела. »

ну в таком случае, любой "фаервол", который вы ищите - ничем не отличается. тоже для рекламы...

Цитата alef2474:

(route -p -4 add ip-addressбанка мойgateway ? - такое разве работает?)»

да.

Цитата alef2474:

Прокси - это типа шлюза, совмещенного с файерволом, должно быть еще сложнее, чем просто файервол. »

прокси может быть не только шлюзом.

Цитата alef2474:

если б она могла все делать »

извините, а вы зачем? она будет делать вашу работу?
Сеть доменная?

[WindowsNT]

Цитата alef2474:

поднимет хай, будет увольнять. »

Соглашайтесь. Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот.

Цитата alef2474:

Эти групповые политики, имхо, в windows как всегда недоработаны »

Вы некомпетентны. Констатация факта.

[Iska]

Цитата WindowsNT:

Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот. »

Так и совершается круговорот воды специалистов в природе.

[alef2474]

Цитата exo:

обновления чего? программы могут устанавливать Power Users »

Обновления Гаранта, банковских программ и программы сдачи электр.отчетности
Потом Acrobat и Java все время предлагают обновляться.(http://www.gazeta.ru/business/2013/02/22/4977801.shtml)

Цитата exo:

она ваш начальник? »

Да, и хочет, чтоб у нее бессбойно-безвирусно работало, а лазит в интернет за музыкой и просто поболтать, ICQ, вредный mailruClient.

Цитата exo:

Сеть доменная? »

Сеть доменная. Gpedit надо на ее комп-е запускать или на сервере?

Цитата alef2474:

Потом сайты банков и пр. прописаны не только в виде статических IP, но и в виде https://url в ИнтЭксплорере, и по нажатию там на ссылку бух перенаправляется, может, на банковский комп с другим ip-адресом.

А как это статически маршрутом прописать?

Цитата WindowsNT:

Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот »

Они нанимают кого попало, кто меньше попросит.Может, Вы не понимаете сложности задачи или думаете, что на практике, как в книжках Майкрософт написано .

[exo]

Цитата alef2474:

Обновления Гаранта, банковских программ и программы сдачи электр.отчетности »

это всё работает у неё на компьютере? выделите один сервер для этого... Эта статья вам ну очень поможет.

Цитата alef2474:

Сеть доменная. Gpedit надо на ее комп-е запускать или на сервере? »

gpmc.msc на сервере, или на компе, где установлен RSAT.

Цитата alef2474:

А как это статически маршрутом прописать? »

а шлюзом у вас кто? вообще, как правило банковские он-лайн ресурсы редко меняют свои адреса. А если меняют - то уведомляют клиентов. По этому можете не имени прописать, а по адресу.

Цитата alef2474:

что на практике, как в книжках Майкрософт написано »

в большинстве случаев...

[alef2474]

Цитата exo:

это всё работает у неё на компьютере? »

да, это все работает у нее на компьютере под win7Prof, менять лицензию на сервер вряд ли захотят. win2008R2 и так есть в кач-ве DC. Отнимать права доменного админа не получается, т.к. банк.программа почему-то начинает работать тормозно.(это проблема кроме обновлений). Видимо ограничения надо какие-то на комп.накладывать.

Цитата exo:

а шлюзом у вас кто? »

Шлюзом - локадрес маршрутизатора.

[exo]

Цитата alef2474:

менять лицензию на сервер »

я вообще-т имел ввиду не лицензию, а отдельный сервер, по мимо контроллера домена.

Цитата alef2474:

Шлюзом - локадрес маршрутизатора. »

омг... я имею ввиду какое оборудование?