Посоветуйте файервол на бухкомпьютер
 

Посоветуйте, пожалуйста, файервол на бухгалтерский компьютер под Windows 7 Prof.
Файервол должен защищать от запуска любых программ, кроме избранных (банков-клиентов, 1С, Гарант и т.п.), он должен препятствовать открытию в Интернет Эксплорере любых сайтов, кроме банковских.
Еще его настройки должны быть запаролены, чтобы бухгалтерша не лазила.
Желателен протокол запуска программ и сайтов и бесплатность.

это не дело файрвола. тут смотрите: групповые политики \ пользователь \ политики \ Настройки Виндовс \ настройки безопасности \ политики ограничения программ.
прокси сервер. Либо убелите шлюз по умолчанию, и пропишите статические маршруты к нужным сайтам.
права лок админа у неё уберите...

всё делается средствами винды.

У нее сейчас права доменного пользователя, но были доменного админа, т.к. ей нужно устанавливать обновления и она - командир.
Скоро она обнаружит, что права обрезаны, и поднимет хай, будет увольнять. Лучше вернуть права, но поставить файервол.
Запароленность файервола вряд ли обязательно связана с правами пользователя.
Эти групповые политики, имхо, в windows как всегда недоработаны, только для рекламы, а мне нужно для дела. Также как есть якобы удаленная установка программ, а как тронешь - все сыро.Эти политики еще будут выдавать таблички, что "запретил администратор", молча не могут(один раз себе на голову попробовал) - тогда она меня пристрелит. Нужно, чтоб молча не запускалось и все.
Я читал, что в файерволах эти функции тоже бывают и там уж должны быть надежны.Я просто никогда не пользовался этими файерволами и прошу совета, в каком все есть, что надо.


Это как это, где прописать, можете привести пример?(route -p -4 add ip-addressбанка мойgateway ? - такое разве работает?) Если убрать шлюз в настройках TCP/IP, то интернет сразу перестает работать.
Потом сайты банков и пр. прописаны не только в виде статических IP, но и в виде https://url в ИнтЭксплорере, и по нажатию там на ссылку бух перенаправляется, может, на банковский комп с другим ip-адресом.
Прокси - это типа шлюза, совмещенного с файерволом, должно быть еще сложнее, чем просто файервол.

Хорошо бы, если б она могла все делать, как надо.

обновления чего? программы могут устанавливать Power Users
она ваш начальник?
ну в таком случае, любой "фаервол", который вы ищите - ничем не отличается. тоже для рекламы...
да.
прокси может быть не только шлюзом.
извините, а вы зачем? она будет делать вашу работу?
Сеть доменная?

Соглашайтесь. Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот.

Вы некомпетентны. Констатация факта.

Обновления Гаранта, банковских программ и программы сдачи электр.отчетности
Потом Acrobat и Java все время предлагают обновляться.(http://www.gazeta.ru/business/2013/02/22/4977801.shtml)

Да, и хочет, чтоб у нее бессбойно-безвирусно работало, а лазит в интернет за музыкой и просто поболтать, ICQ, вредный mailruClient.

Сеть доменная. Gpedit надо на ее комп-е запускать или на сервере?

А как это статически маршрутом прописать?

Цитата:

Цитата WindowsNT Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот »

Они нанимают кого попало, кто меньше попросит.Может, Вы не понимаете сложности задачи или думаете, что на практике, как в книжках Майкрософт написано .

это всё работает у неё на компьютере? выделите один сервер для этого... Эта статья вам ну очень поможет.
gpmc.msc на сервере, или на компе, где установлен RSAT.
а шлюзом у вас кто? вообще, как правило банковские он-лайн ресурсы редко меняют свои адреса. А если меняют - то уведомляют клиентов. По этому можете не имени прописать, а по адресу.

Цитата:

Цитата alef2474 что на практике, как в книжках Майкрософт написано »

в большинстве случаев...

да, это все работает у нее на компьютере под win7Prof, менять лицензию на сервер вряд ли захотят. win2008R2 и так есть в кач-ве DC. Отнимать права доменного админа не получается, т.к. банк.программа почему-то начинает работать тормозно.(это проблема кроме обновлений). Видимо ограничения надо какие-то на комп.накладывать.

Шлюзом - локадрес маршрутизатора.

я вообще-т имел ввиду не лицензию, а отдельный сервер, по мимо контроллера домена.
омг... я имею ввиду какое оборудование?

D-link. Вы хотите предложить еще замену на cisco со всеми проблемами ее настройки, чтоб удавиться?
Я и понял, что Вы предлагаете заменить ПО на бух.компе на серверное. Или зачем-то задублировать бух.комп?
Возьму книжку про gpmc, почитаю. Может что практическое найду.

Нет, чтоб запретить на этот комп-е надо все же запусткать gpedit.msc, я же не на сервере собираюсь ей запрещать.

Может кто знает, как изменить текст этой убийственной таблички на более нейтральный, не подставляющий сисадмина?
(там дословно говорится: "Эта программа заблокирована групповой политикой. Обращайтесь к сисадмину".)

прочитайте про групповые политики в домене...
я хотел узнать возможности вашего шлюза. ну раз у вас Длинк, то всё сразу становится понятно...

тогда бух программы будут в безопасности, а в интернетом она может и со своего компа пользоваться.

Вот опять Вы эти рекламные слова, как теоретики-"специалисты".
Если посмотреть внимательно, то разрекламированный AppLocker к win7Prof не относится.
И политики запрета запуска программ можно применить к объекту пользователь, группа, а не к компьютеру(одному в моем случае нужно и вполне доступному)
Опять же политики надо прописывать зачем-то на сервере, хотя на локкомпьютере удобнее(с указаниями путей), да и с сервера не открывается локполитика.
(Теоретики, конечно, оперируют сотнями-тысячами компьютеров в лесах, находящихся за рубежом. В сети и на oszone куча пустых разглагольствований о групповых политиках без конкретных примеров их применения - запрета конкретной программы хотя бы для группы компьютеров, где она в разных местах может быть установлена).

вот опять вы говорите отговорки, вместо того чтобы прочитать.
Удачи!