[Elven]

В продакшене не пробовал, не разрешили начальники. Локально настраивал, и как для себя так оно вроде и очень даже замечательно, для пользователя было бы проблемнее, ну а про то что пользователи как им не запрещай все равно в какое-то гуано вляпаются:
- время от времени (от "раз в месяц" до "несколько раз в день") выходят обновления для одной из софтин. каждый пользователь должен их устанавливать самостоятельно посредством запуска EXE файла который естественно каждый раз разный, а уж о том куда каждый пользователь их складывает после скачивания это вообще отдельная песня, открыть же доступ на запуск любого файла например с диска D:, так смысл тогда вообще что-то настраивать?
- несколько программ которые управляются "из-за бугра" и к которым доступ есть буквально у трех или четырех человек. Как они изменяются я вообще без понятия, но то что изменяются - совершенно точно.
- наконец немаловажное: настраивать все это предстоит нам, а узкоспециальный софт ведут другие отделы.

начальников я убедить попробую, думаю раза с пятидесятого получится. Но для этого нужно настроить все вот это дело так, чтобы оно на 100.01% сработало правильно.

[Lunar Wolf]

Цитата Elven:

ну а про то что пользователи как им не запрещай все равно в какое-то гуано вляпаются: »

На предприятии на котором я работал у пользователей вообще проблем не было, а мне вот наскучило и пришлось уволиться

Я верно понимаю у Вас пользователи имеют права администратора на ПК?
Это не есть гуд.
В вашем случае будет достаточно сделать папку в которую сами пользователи писать не могут а с помощью GPO сделать копирования обновления в данную папку.
Все что остается пользователю это просто запустить exe
Скорее всего есть варианты и удобнее но я их сходу не придумал.
Вообще у разработчиков можно поинтересоваться возможностью sillent установки и msi пакета и сделать OU для развертывания обновлений.

В общем я не вижу особых проблем для использования SRP.

[Elven]

Lunar Wolf,

Цитата Elven:

права у пользователя как у пользователя (не админские, не продвинутый пользователь); »

. Апдейты ставятся на компьютеры на удаленных точках (на каждой от 2 до 10 машин) и на довольно дохлых каналах, в связи с чем файло заливается на один комп по FTP и уже оттуда забирается на остальные. Компьютеры ставились в разное время и потому живут с разными параметрами. Плохо представляю как заставить файл даже название которого трудно предсказать расбрасывался на разные компьютеры в разных подсетях, не говоря о том, что первые точки настраивались как попало, IP выдавались без всякой структуры и угадать что кому куда копировать - нет уж, увольте. По поводу silent mode, как и по поводу обновлений без участия пользователей - тот отдел который ведет эту программу утверждает что разработчики задумчиво чешут тыковки и многозначительно всматриваются в потолок вот уже третий если не четвертый год.

[Lunar Wolf]

Elven, Тогда может стоит заняться сетью и компьютерами?
А то вместо основных дел Вы занимаетесь каким-то файлом.
Так же возможно использовать SRP для всех пользователей которые не работают с данным ПО, а когда разберетесь с остальным то займетесь оставшимися пользователями.
Насчет имени файлы то возможно придется качать его в ручную, вот и все.

[Elven]

Lunar Wolf, вообще не понял с какой стороны заниматься сетью и компьютерами. Приводить к общему виду все компы на всех точках? Вот это-то как далеко не основное. Подсети точек различаются только третьим октетом, какая разница если на одной точке первый компьютер висит на x.x.x.11 а на второй x.x.y.21? на работе сети как и самих компьютеров это никак не влияет.
С этим софтом необходимо работать приблизительно 75% всех пользователей, можно, конечно, для остальных нарисовать отдельную GP с SRP, и пожалуй с этого и начнем, может быть, но основной проблемы это не решит.

[WindowsNT]

Цитата Elven:

открыть же доступ на запуск любого файла например с диска D:, так смысл тогда вообще что-то настраивать? »

Зато не будет "само" запускаться из кэша ИЕ, %temp% и прочих флешек.
И вот ещё одно — да, слово "безопасность" является синонимом слова "ограничения", как ни крути.

[Elven]

Так, давайте отвлечемся от SRP и запуска EXE, вы, господа хорошие, так технично увели разговор в сторону, что я даже ввязался в спор. Изначальный был вопрос про гадские ярлыки в которых прописан запуск через CMD. Предлагаете мне запретить запуск пользователем CMD? Меня заживо сожрут сразу три отдела, а четвертый будет стоять наготове держа в руках дубины, а в ногах берцы с железными нашлепками.

WindowsNT, насчет запуска из кэша, темпов и странных источников - согласен, таки это можно даже сразу в продакшн как блэк-лист и часть проблем разом закроется. Спасибо.

[WindowsNT]

Вы технично не замечаете, что ярлыки появляются в результате ЗАПУСКА исполняемого модуля зловредной программы, и этот запуск нужно ПРЕДОТВРАЩАТЬ, чтобы потом не бегать с криками "помогите, lockdir зашифровал документы и вымогает деньги за расшифровку".

Что именно исполняется из CMD, вы не показали. Но сам по себе CMD - всего лишь командный интерпретатор, поэтому вам сразу выдали готовый ответ, чем блокируется запуск левых программ. Не пробовали — идите настраивайте и пробуйте, вникайте в логику, почему эта защита работает.

[Elven]

Цитата WindowsNT:

Вы технично не замечаете, что ярлыки появляются в результате ЗАПУСКА исполняемого модуля зловредной программы, и этот запуск нужно ПРЕДОТВРАЩАТЬ »

Вот именно предотвращать и нужно запуск через ярлык. К сожалению содержимое ярлыка, за неимением оных, предоставить не могу. А вы мне старательно втираете, что нужно блокировать исполняемое файло. Да графикалюзеринтерфейс с EXE'шниками! Появляются ярлыки не из-за запуска EXE, что было бы логично предположить, а именно после запуска такого ярлыка (проверил на тестовой виртуалке). Весьма вероятно EXE файлы пытаются создаться и запуститься, но, очевидно, у них не хватает прав.

[WindowsNT]

Ярлыки создаются не вручную. Их делает вирус. Успешно отработавший ехе-файл вируса. Поэтому вам следует блокировать запуск неизвестных ехе-файлов. Так это работает.