Popik Aug 17 2010 at 13:11

Настройка групповых политик ограниченного использования программ в Windows 7

2 min

210K

System administration*

+49

Comments 47

MainNika Aug 17 2010 at 14:17

А мне понравилось, хотя я не знал только о «Назначенных типах файлов». Спасибо.

madnut Aug 17 2010 at 14:17

Это комментарий, который автор статьи попросил меня добавить чтобы накрутить рейтинг и выйти в «Прямой эфир».

Stalker_RED Aug 17 2010 at 14:24

фтопку прямой эфир, статья на глагне :)

возможно мне просто везет, но я уже второй год сижу на семерке без антивируса и сторонних фаерволлов, и компьютер чист :)

и никаких особых манипуляций не проводил, разве-что авторан отключил.

Popik Aug 17 2010 at 14:25

На самом деле я тоже так и сижу. Однако если пользователь компа не обладает чувством самосохранения, то эти правила его спасут не раз.

Stalker_RED Aug 18 2010 at 20:54

ну, без чувства самосохранения можно скачать какую-нить гадость, разрешить ей исполнение, и собственоручно запустить.

лично знаю два случая, когда люди отключали антивирус, ибо он «не дает мне запустить вот этот файл»

BReal Aug 18 2010 at 06:57

А откуда вы знаете что компьютер чист? :)

Stalker_RED Aug 18 2010 at 20:51

у меня на винте две семерки (почти одинаковые, да) вин хп и убунта.

и раз в несколько месяцев я таки загружаю хп, и запускаю нод.

Zrok Aug 17 2010 at 14:24

Можно использовать 2 пользователя: администратора и обычного пользователя. Ставим самый жесткий режим безопасности. Все, что запускаем часто выносим в исключения. Получаем достаточно защищенную систему.
Плюс ко всему у меня установлен Security Essentials. За полгода такой конфигурации вирусов замечено не было.

P.S.: тоже Windows 7 Proffesional.

Popik Aug 17 2010 at 14:26

В момент, когда я купил нетбук на Атоме, я понял, что даже Security Essentials тормозит :)

UFO landed and left these words here

Houston Aug 17 2010 at 15:11

Я более полугода на нетбуке с XP пользуюсь учеткой с ограниченными правами — вирусов нет. Этот простой метод на самом деле работает)

System32 Aug 18 2010 at 05:28

Можно использовать 2 пользователя: администратора и обычного пользователя.

Башорговский боян про две учетки — «админ» и «пьяный админ»? Ну в Win7 примерно так и работает UAC.

UFO landed and left these words here

Colobock Aug 17 2010 at 14:54

В семерке админская учетка скрыта, пользователь сразу работает из-под ограниченной учетки. Плюс включены сразу права доступа NTFS — папочки Windows и Program Files (и не только) защищены от бесконтрольной записи.

isden Aug 17 2010 at 15:36

недавно я ставил семерку (HB). в процессе оно предложило мне создать профайл. после установки и загрузки системы обнаружилось что созданный профайл — админский, и пользовательский профайл пришлось создавать ручками.

dtf Aug 17 2010 at 16:13

Профиль хоть и админский, но стоит учитывать, что при включённом UAC приложения запускаются с пользовательскими правами, и, в случае, если оно требует админских, винда уведомит всем известным надоедливым окошком. Тут вот проблема возникает в его надоедливости, потому UAC многие отключают…

yktoo Aug 17 2010 at 15:30

oxpa Aug 17 2010 at 17:52

nAggOHOK Aug 18 2010 at 10:52

Что это?

nAggOHOK Aug 18 2010 at 10:53

Всё… что-то туплю сегодня )))

oxpa Aug 18 2010 at 10:59

спасибо, развеселили ;)

Zagrebelion Aug 17 2010 at 15:35

Не будет работать софт, который ставится в %appdata% и с помощью ClickOnce.

UFO landed and left these words here

Zagrebelion Aug 17 2010 at 16:17

Бинарники кладутся в %userprofile%\AppData\Local\Apps, а в статье вроде как запретили запуск оттуда.

Zagrebelion Aug 17 2010 at 16:18

Впрочем, торможу: вроде как это и было целью — создать набор разрешённого софта, а всё остальное запретить.

Popik Aug 17 2010 at 16:20

Да с Хромом и ClickOnce проблемки. Причем разрешение аппдаты не помогает кликванс приложениям почему-то

UFO landed and left these words here

Fragster Aug 17 2010 at 15:53

какой интересный костыль… а майкрософт о нем знает?

Fragster Aug 17 2010 at 15:56

а с .bat и .cmd прокатывает? ну и за одно — с .vbs (которые как параметр к wscript и cscript передаются)

Popik Aug 17 2010 at 16:21

Если они добавлены в список расширений исполняемых файлов, то прокатывает. По умолчанию они там есть.

Fragster Aug 18 2010 at 16:44

я имею ввиду, если их оттуда удалить — на содержимое эти политики будут распространяться?

Popik Aug 19 2010 at 07:58

Не знаю :)
Если проверите — сообщите результат, мне тоже интересно

Stmf Aug 17 2010 at 16:25

>>> gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов

Не нашел…

Popik Aug 17 2010 at 16:31

Windows 7?

vit1251 Aug 17 2010 at 16:43

Наверное какой-нибудь Windows 7 Basic!?

Popik Aug 17 2010 at 17:25

Ответил автору в ЛС как найти данный пункт. Если кому нибудь интересно — вот скриншот: habreffect.ru/files/4aa/196c49ebf/4.png

ZhuchoG Aug 18 2010 at 01:30

это тоже в политиках программ, в XP по крайней мере

UFO landed and left these words here

Popik Aug 18 2010 at 07:15

Запускается :)

UFO landed and left these words here

Popik Aug 18 2010 at 09:24

У меня стоит запрет на запуск всего, что не в системных папках. Поэтому с рабочего стола запускаться не должно. Если разрешить запуск *.lnk, то таким образом можно запускать вообще любой файл, создав для него ярлык.

UFO landed and left these words here

DeeZ Sep 19 2010 at 11:30

Вы изобрели велосипед: AccessEnum

howeal Sep 30 2012 at 22:43

Хотел бы поправить. Типы файлов находятся в gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов