[younghacker]

Хлопцы,

тут Lanwolf заикнулся о терминальном сервере.
у меня сейчас такая проблема.

как юзерам TS запретить запускать все кроме некоторых приложений по списку?

Баловаться правами NTFS - бесполезно. Программы очень здорово из сети стартуют. К томуже я напоролся на проблемы наследования прав без возможности запуска. Корневой каталог имеет такие права а дочерний уже на одну соствляющую меньше а третий только права админа и системы. Не думайте что я туплю с птичками наследования... Много раз пробовал.
И так и сяк никак. На третьем уровне пользователь даже каталог созать не может.

Мне кажется чтобы реально заблокировать запуск программ это должен быть какой-то системный сервис отслеживающий
функции createprocess и иже с ней, и контролирующий пути запуска модулей их имена и контрольные суммы.

Микрософт сделала терминальный сервер и не дала админу возможность ограничивать права юзеров на запуск программ?
Не писать же его самому.

Спасибо.

PS:
Я тут всех на бездисковые терминалы сажаю... Насильно.
Юзеры на своих компах свинячили не хочу чтобы терминальники завалили...

[Guest]

А что сложного - я уже Gina переделывал , единственное НО - в gin'e функций <20 , а в kernel32 > 200 (942 для XP SP1)
Так что надо, надо...
Хотя мне сейчас идею подсказали с хуками, придйтся правда эту ловушку от SYSTEM запускать - буду пробовать!

[netcat]

>aistlin писал:
А программа HackAny.exe разрешена?

Общее правило, если клиент, запустив cmd.exe (тут можно подставить любое имя, важен только запуск со своими правами), может напортачить, он напортачит. Например, если у клиента есть право редактировать в HKCR ветки с обработчиками расширений оболочки - он его так отредактирует, что сможет выполнить код от имени вошедшего в систему привилегированного пользователя. А какую программу он использует для редактирования - не ума админа это дело, если такой программы еще нет, то она может быть легко создана и запущена, имя у нее может быть любое.
>

Есть такой ключ:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Параметр: RestrictRun
Устанавливаешь параметр RestrictRun в 1 для использования.
Определяещь программы которые должны запускаться в ключе[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
далее создаешь новый параметр для каждой программы, например
'1'='c:\windows\notepad.exe'
'2'='c:\program files\msoffice\winword.exe'
...

После этого выполнятся будут те, и только те приложения которые ты укажешь.
Укажешь Word, и ничего кроме Worda на этой машине под этим пользователем работать не будет!!!

[Raistlin]

Цитата:

Есть такой ключ

Я пользуюсь аналогичным инструментом из групповой политики, хотя, правду сказать, гемору с этим больше, чем толку. Прав пользователей на запись в реестр и на диск (кроме их профилей, естественно) нет.
Хочу пояснить, почему один гемор. Во-первых, постоянно напарываешься на собственные ограничения, когда пытаешься сделать что-нибудь из-под пользователя. Во-вторых, одной из главных целей было запретить пользователям вешать картинки на рабочий стол (из ACDSee, например, можно повесить в обход запрета на запуск апплета :-) Панели управления) и играть в игрушки. Однако хрен там было! Вешают! И, хоть убей, не пойму как. Может, какой инетовский сервис для этого есть?

[netcat]

Сам с этим бился. Ничего не придумал.
Решил проблему кардинально: Удалил с тачек Paint, а ACDC вообще не ставил. Картинки на раб стол кидать стало неоткуда. Но подозреваю тебе такой способ не поможет

[Raistlin]

Paint, хм. Нету у них ни Paint'а, ни ACDSee :-). И вообще ничего нету! А ставят. Голь на выдумки щедра. Ладно... Завтра ещё покопаюсь.

Добавлено:

Цитата:

Не думайте что я туплю с птичками наследования...

По-моему, тупишь-таки . Подробнее-то не опишешь свою ситуацию? Не понимаю я, как это

Цитата:

Корневой каталог имеет такие права а дочерний уже на одну соствляющую меньше а третий только права админа и системы

[netcat]

Я тоже как то сталкивался с тем, что при изменении прав пользователей во вложенных каталогах творилось черт знает что.
Права или не изменялись, или изменялись только в некоторых папках. *После двух трех попыток выставлялось как надо. Причину так и ненашел.

На счёт рабочего стола.
1. Запрет на чтение desk.cpl
2. удаление Paint

После этого я на рабочих столах картинок не видел. Хотя помоему из IExplorera тоже можно чё хошь на рабочий стол кинуть.


Может у кого есть нормальное решение по этому вопросу?

[Raistlin]

Цитата:

Хотя помоему из IExplorera тоже можно чё хошь на рабочий стол кинуть

Вот-вот, как раз это завтра я и собирался проверить

Цитата:

Запрет на чтение desk.cpl

По-моему, через групповую политику правильнее.

Цитата:

Может у кого есть нормальное решение по этому вопросу?

Запрет на модификацию содержимого HKEY_CURRENT_USER\Control Panel\Desktop. Но я не знаю, есть ли средство сделать это из командной строки. Не руками же...

Добавлено:

Цитата:

если клиент, запустив cmd.exe (тут можно подставить любое имя, важен только запуск со своими правами), может напортачить, он напортачит

По моим наблюдениям, не совсем так: напортачит, если будет портачить с помощью чего-нибудь консольного. А произвольное GUI-приложение ему запустить не удастся.

[J Fox]

netcat
Raistlin
Чтоб запретить вешать на рабочий стол картинки, единственный способ это оставить только на чтение эту ветку реестра:
HKEY_CURRENT_USER\Control Panel\Desktop
больше сделать никак не получится, нету у Выни такой возможности...
Все програмки типа: [/b]ACDSee, Paint, IExplorer и прочие[/b] прописуют путь к файлику в этот ключ:
HKEY_CURRENT_USER\Control Panel\Desktop
"Wallpaper"="любое имя файла"
потом просто перезагружают оболочку... причем ACDSee умудряется ставить картинку для многих пользователей (проверено)... *Единственный способ, это взять написать свою програмульку, чтоб она следила за этим ключиком и если вдруг туда, что-то левое написано сразу меняла назад и перезагружала оболочку, думаю после нескольких попыток юзеру надоест долбаться с этим и он перестанет менять обои...

Добавлено:

А вот насчет запуска каких нибудь програм определенных, так во это все бред...
Обьясняю почему:
Во-первых: Допустим у тебя есть множество програм, с которыми работает пользователь, и допустим одна програмулька работает еще с несколькими екзешниками ( ну там ей нужно для своих нужд), так вот задолбаешся описывать все те екзешники которое используются у тебя...
Во-вторых: Берешь переименовуешь любое приложение в разрешеные для запуска приложения, и все... теперь ты можешь запускать сколько хочешь допустим свой "Quake 2", все равно допустим в процесах будет отображаться допустим "winword.exe" (если допустим ты переименовал в такое приложение)

Вообщем это бред... Так что решайте...


[s]Исправлено: J Fox, 9:58 26-11-2003[/s]

[Raistlin]

Цитата:

Единственный способ, это взять написать свою програмульку

Да? А сценарий входа с применением reg-файла вида

HKEY_CURRENT_USER\Control Panel\Desktop
"Wallpaper"=-

не катит?

Цитата:

задолбаешся описывать все те екзешники которое используются у тебя

Один раз поднапрячься -- и всё :-) Если список запускаемых пользователями приложений стабилен, то ничего особо сложного. Просто тут... как бы это выразиться... нужен системный подход, на который никогда не хватает времени, терпения и желания.

Цитата:

Берешь переименовуешь любое приложение в разрешеные для запуска приложения

Это уже само по себе требует некоторых мозгов, которые у пользователей -- редкость. Кроме того, на моих подопечных WXP-станциях пользователь должен будет сначала переписать то, что он хочет переименовать, в свой профиль. Больше нигде безобразничать у него прав нет.
В общем, мой вердикт в отношении этого параметра групповой политики таков -- не то, что хотелось бы, но иногда может быть полезно и необходимо. Например, на сервере терминалов.