Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Запрет доступ к исполнение фалов ! Через групповой политики сделал но ... (http://forum.oszone.net/showthread.php?t=66899)

dosim 06-06-2006 18:28 447605
Запрет доступ к исполнение фалов ! Через групповой политики сделал но ...
 
Дорогие Админы,

Система Windows 2000 servr, AD.

я бы хотел настроит рабочие станции так, чтобы никакой юзер не смог запустит исполнимые файлы кроме word excel access outlook.
Я это настроел с помощью групповой политики, но умные юзеры переименует любой испонимый файл на winword.exe и пожалуста работай. Я слышал что SMS ом можно закрыть, но я установил СМС и настроел его и почитал книжки, там про запрету ничего нет. Вот помогите мне решит эти проблемы:

----- Юзеры могут только работать с вышеуказанным программами
---- Юзеры не смогли работат с флеш картами т.е. закрыть USB port



И еще насчет СМС 2003 а,
а можно на нем смотреть какой юзер какие программы запустил в течении дня ?

Спасибо заранее !!

foss 06-06-2006 18:46 447609
Пользуйся груповыми политиками.
User Configuration\Administrative Templates\System\Run only allowed Windows applications
Ивсе что надо :)

Dennis 06-06-2006 18:53 447611
dosim
Цитата:
Я это настроел с помощью групповой политики, но умные юзеры переименует любой испонимый файл на winword.exe и пожалуста работай.
Из этого следует что вы не все запретили :) Чем-то они переименовывают приложения. Вам нужно "убить" все меню, так чтобы в нем было только ваши приложения и "выключить компьютер". Соответственно иконки Мой компьютер - то же не должно быть...

Grub 07-06-2006 07:18 447751
Цитата:
Соответственно иконки Мой компьютер - то же не должно быть...
Тогда там вообще никаких иконок не должно быть. Ни Мои документы, ни Сетевого окр., ни Корзины и т.д.. Иначе из них можно на любой диск зайти. К тому же надо будет запретить вызов проводника с клавиатуры

dosim
а на счет СМС. Если это тот СМС про который я слышал, то да. Можно с его помошью просмотреть что запускалось на машине пользователя(ей).

dosim 07-06-2006 09:06 447771
Спасибо за ответ, но это уже слишком жесткая политика ! а другие програмы есть который запрещают испонение фалов кроме разрешенных. по хэш чтобы смотрел если юзер переименовал файл ?

dosim 07-06-2006 10:51 447823
Цитата:
Можно с его помошью просмотреть что запускалось на машине пользователя(ей).
Как можно смотреть это на СМС ???

xoxmodav 07-06-2006 13:31 447929
Проверка запуска программ по их хеш-функции реализуется стандартными средствами Windows 2003 Server. Ищи, по-моему всё прячется в "Конфигурация пользователя\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ".

Только учти, что при любом изменении (обновлении или т.п.) программы перестанут запускаться и тебе придётся ручками новую хеш-функцию клепать.

dosim 07-06-2006 17:14 448063
Цитата:
Проверка запуска программ по их хеш-функции реализуется стандартными средствами Windows 2003 Server. Ищи, по-моему всё прячется в "Конфигурация пользователя\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ".
как можно настроит так, сперва запретить всех файлов, потом уже нужные разрешить на запуск????? и еще как можно закрыть USB ?

Dennis 08-06-2006 10:03 448297
Цитата:
и еще как можно закрыть USB ?
devlock (http://www.protect-me.com/ru/dl/)

xoxmodav 08-06-2006 11:24 448335
Цитата:
как можно настроить так, сперва запретить всех файлов, потом уже нужные разрешить на запуск?????
Сначала создай политику, а потом уже сам экспериментируй - там дальше всё довольно просто!

P.S. Кстати я забыл добавить, что эта настройка также есть и в "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ".


Время: 03:01.

Время: 03:01.
© OSzone.net 2001-