Comments 47
А мне понравилось, хотя я не знал только о «Назначенных типах файлов». Спасибо.
Это комментарий, который автор статьи попросил меня добавить чтобы накрутить рейтинг и выйти в «Прямой эфир».
фтопку прямой эфир, статья на глагне :)
возможно мне просто везет, но я уже второй год сижу на семерке без антивируса и сторонних фаерволлов, и компьютер чист :)
и никаких особых манипуляций не проводил, разве-что авторан отключил.
возможно мне просто везет, но я уже второй год сижу на семерке без антивируса и сторонних фаерволлов, и компьютер чист :)
и никаких особых манипуляций не проводил, разве-что авторан отключил.
На самом деле я тоже так и сижу. Однако если пользователь компа не обладает чувством самосохранения, то эти правила его спасут не раз.
А откуда вы знаете что компьютер чист? :)
Можно использовать 2 пользователя: администратора и обычного пользователя. Ставим самый жесткий режим безопасности. Все, что запускаем часто выносим в исключения. Получаем достаточно защищенную систему.
Плюс ко всему у меня установлен Security Essentials. За полгода такой конфигурации вирусов замечено не было.
P.S.: тоже Windows 7 Proffesional.
Плюс ко всему у меня установлен Security Essentials. За полгода такой конфигурации вирусов замечено не было.
P.S.: тоже Windows 7 Proffesional.
В момент, когда я купил нетбук на Атоме, я понял, что даже Security Essentials тормозит :)
UFO just landed and posted this here
Я более полугода на нетбуке с XP пользуюсь учеткой с ограниченными правами — вирусов нет. Этот простой метод на самом деле работает)
Можно использовать 2 пользователя: администратора и обычного пользователя.
Башорговский боян про две учетки — «админ» и «пьяный админ»? Ну в Win7 примерно так и работает UAC.
UFO just landed and posted this here
UFO just landed and posted this here
В семерке админская учетка скрыта, пользователь сразу работает из-под ограниченной учетки. Плюс включены сразу права доступа NTFS — папочки Windows и Program Files (и не только) защищены от бесконтрольной записи.
недавно я ставил семерку (HB). в процессе оно предложило мне создать профайл. после установки и загрузки системы обнаружилось что созданный профайл — админский, и пользовательский профайл пришлось создавать ручками.
Не будет работать софт, который ставится в %appdata% и с помощью ClickOnce.
UFO just landed and posted this here
Да с Хромом и ClickOnce проблемки. Причем разрешение аппдаты не помогает кликванс приложениям почему-то
какой интересный костыль… а майкрософт о нем знает?
а с .bat и .cmd прокатывает? ну и за одно — с .vbs (которые как параметр к wscript и cscript передаются)
>>> gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов
Не нашел…
Не нашел…
Windows 7?
Ответил автору в ЛС как найти данный пункт. Если кому нибудь интересно — вот скриншот: habreffect.ru/files/4aa/196c49ebf/4.png
это тоже в политиках программ, в XP по крайней мере
можно разрешать *.lnk без всяких дополнительных телодвижений, программа из не системной папки не будет запущена даже по ярлыку
скопируйте на рабочий стол блокнот.ехе сделайте с него тут же ярлык и попробуйте запустить
скопируйте на рабочий стол блокнот.ехе сделайте с него тут же ярлык и попробуйте запустить
запуск программ блокируется не на уровне проводника а на уровне системы, если вы запустите разрешенную программу которая попытается запустить неразрешенную то она обломится точно так же как и вы
Запускается :)
а запрет на запуск включили? Политика ограниченного использования программ — Уровни безопасности — Не разрешено (по умолчанию)
У меня стоит запрет на запуск всего, что не в системных папках. Поэтому с рабочего стола запускаться не должно. Если разрешить запуск *.lnk, то таким образом можно запускать вообще любой файл, создав для него ярлык.
у меня не запускаются программы даже с ярлыка если программа находится не в системной папке, я сделал только следующее:
создал новые политики (изначально не было никаких), по умолчанию там запрещен запуск всех программ за исключением тех что в системных папках c:\windows и c:\program files
включил запрет на запуск по умолчанию
добавил одно правило пути — разрешить *.lnk
и больше ничего. вы возможно что то намутили
создал новые политики (изначально не было никаких), по умолчанию там запрещен запуск всех программ за исключением тех что в системных папках c:\windows и c:\program files
включил запрет на запуск по умолчанию
добавил одно правило пути — разрешить *.lnk
и больше ничего. вы возможно что то намутили
написал программу для поиска системных папок в которые ограниченный пользователь может записывать что либо dl.dropbox.com/u/3495491/secpol%20folder.py
результат работы на домашнем пк с winXP:
>>>
found path: c:\windows\Debug\WPD
found path: c:\windows\Registration\CRMLog
found path: c:\windows\Tasks
found path: c:\program files\Alwil Software\Avast4\DATA\moved
found path: c:\program files\Alwil Software\Avast4\DATA\report
found path: c:\program files\ophcrack\tables\NTHASH
>>>
c:\windows\Debug\WPD и c:\windows\Registration\CRMLog нормальные папки, пользователь может записать туда любую программу и запустить
c:\windows\Tasks — в этут папку можно записать что угодно, но в результате получается пустой файл, запустить оттуда программу нельзя (а точнее записать туда нельзя ничего кроме пустых файлов)
c:\program files\Alwil Software\Avast4\ папка антивируса аваст версии 4, возможно в пятой версии этого нет. нормальные папки, пользователь может записать туда любую программу и запустить
c:\program files\ophcrack\tables\NTHASH — NTHASH не папка а ссылка на папку (симлинк), сама папка находится в папке пользователя и он может туда писать. программы из этой папки не запускаются т.к. на самом деле они лежат не в системной папке
если прохлопать ушами то даже ограниченный пользователь сможет запускать свои программы несмотря на политику
результат работы на домашнем пк с winXP:
>>>
found path: c:\windows\Debug\WPD
found path: c:\windows\Registration\CRMLog
found path: c:\windows\Tasks
found path: c:\program files\Alwil Software\Avast4\DATA\moved
found path: c:\program files\Alwil Software\Avast4\DATA\report
found path: c:\program files\ophcrack\tables\NTHASH
>>>
c:\windows\Debug\WPD и c:\windows\Registration\CRMLog нормальные папки, пользователь может записать туда любую программу и запустить
c:\windows\Tasks — в этут папку можно записать что угодно, но в результате получается пустой файл, запустить оттуда программу нельзя (а точнее записать туда нельзя ничего кроме пустых файлов)
c:\program files\Alwil Software\Avast4\ папка антивируса аваст версии 4, возможно в пятой версии этого нет. нормальные папки, пользователь может записать туда любую программу и запустить
c:\program files\ophcrack\tables\NTHASH — NTHASH не папка а ссылка на папку (симлинк), сама папка находится в папке пользователя и он может туда писать. программы из этой папки не запускаются т.к. на самом деле они лежат не в системной папке
если прохлопать ушами то даже ограниченный пользователь сможет запускать свои программы несмотря на политику
Вы изобрели велосипед: AccessEnum
Хотел бы поправить. Типы файлов находятся в gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов
Sign up to leave a comment.
Настройка групповых политик ограниченного использования программ в Windows 7