Comments 59
Насколько я помню, папка «c:\Users\%username%\AppData\Local\Apps» нужна некоторым приложениям.
Амиго и прочая дрянь может запуститься раньше скрипта, тем самым не даст удалить свою папку.
Добавить в скрипт запуск Unlocker'а.
> Просьба не говорить, что скрипт написан некрасиво, и всё можно сделать в цикле перебором по списку папок и пр… Он облегчен для наглядности простоты идеи в целом.
Но в цикле наглядность и простота никуда не теряются же. http://pastebin.com/vkqdg06K
Но в цикле наглядность и простота никуда не теряются же. http://pastebin.com/vkqdg06K
Амиго — злостная штука. Но как по мне, самый действенный способ смотреть, что устанавливаешь, а не просто нажимать, кнопку далее, и не загружать игры и прочую муру.
У меня Амиго установился с архивом какой-то очень нужной книги, которую больше нигде не нашла. В итоге и книги там не было и Амиго в наличии. Теперь просто внимательна к таким вещам.
У меня Амиго установился с архивом какой-то очень нужной книги, которую больше нигде не нашла. В итоге и книги там не было и Амиго в наличии. Теперь просто внимательна к таким вещам.
А Юнити за что? Он, вроде, не мусорит и не скрытничает?
На работе люди должны работать)))
На нем не только игры делают. Но это ваше дело.
Среднестатистическому офисному работнику и остальные области применения не нужны. А если реально нужны, то нужно обоснование, с которым этот вопрос решается в административном порядке.
Как много бездельников)))
Applocker, именно Applocker. Раньше думали — «кошмар-кошмар-кошмар», но нет, работает, и довольно просто сопровождается.
Я использовал на работе Software Restriction Policies (включаются через GPO), что позволило полностью запретить пользователям запускать исполняемые файлы, кроме списка заранее одобренных. Есть, конечно, некоторые неудобства — зато повышается безопасность.
Ну неудобства скорее административного плана. На самом деле, если человеку нужен еще какой софт, то пусть обосновывает и получает санкцию на установку/запуск. Безопасность прежде всего.
Тут вопрос в обновлении уже существующего программного обеспечения. В отличии от Applocker и его более гибких правил, некоторые программы, после обновления, надо заново заносить в список исключений (если эти программы не установлены в Program Files).
В принципе, и это решаемо. Даже можно и автоматизацию какую сделать.
Это очень легко решается. Убираем незамедлительно у всех админские права. Включаем SRP так же для всех (включая гендира) SRP работает начиная с ХР проф, не надо никаких Этерпрайзных Семерок. Запуск софта разрешен только из %WINDIR% и %ProgramFiles% (+x86). Юзер не может писать в указанные выше директории, следовательно не может запустить оттуда левую прогу. Из своего профиля, или из любого другого места, хоть обзапускайся, винда не разрешит. ВЕСЬ Софт разворачивается централизованно через LUP. Опционально: включаем централизованный мониторинг логов SRP с клиентских машин и весело наблюдаем за попытками бухгалтерии запустить очередной вирус «от налоговой». Спасает не только от всяких «Амигов», но и от любой заразы, даже неизвестной антивирусам.
Это всего один раз вникнуть в тему и на 99% снизить риск. Дополнительно запиливаем всем EMET с правилами (Popular и Recomended Software), чтобы повысить защиту софта от 0-day.
Ну а колхозить такие убивальщики… наверное интересно, но абсолютно неэффективно.
Добавлю, что все вышеуказанное с успехом работает у нас не первый год.
Это всего один раз вникнуть в тему и на 99% снизить риск. Дополнительно запиливаем всем EMET с правилами (Popular и Recomended Software), чтобы повысить защиту софта от 0-day.
Ну а колхозить такие убивальщики… наверное интересно, но абсолютно неэффективно.
Добавлю, что все вышеуказанное с успехом работает у нас не первый год.
UFO just landed and posted this here
pehat глазастая ;)
Если этот способ пойдет в массы, то инсталляторы подправят.
Если папка Name будет недоступна на запись, то инсталлятор будет использовать первую свободную папку с именем вида Name.N, например, Amigo.1.
Если папка Name будет недоступна на запись, то инсталлятор будет использовать первую свободную папку с именем вида Name.N, например, Amigo.1.
rmdir c:\Users\%username%\AppData\Local\Mail.Ru /s /q
В варианте
rmdir "%localappdata%\mail.ru" /s /q
было более универсально для всех ОС Windows, начиная с NT 6.0 (Vista).
Зачем весь этот геморой с созданием папок? не проще ли запретить запуск любых программ из папки c:\Users\%username%\AppData\Local? с помощью политики ограниченного использования программ, вот тут описано подробнее — habrahabr.ru/post/101971
тогда хром не встанет и много чего что устанавливается без админ привелегий
Так ведь в этом и смысл — установка должна производиться только админом и разрешения на запуск выставляться им же
c:\program files\python34\python.exe -c «import os; os.system('c:\\users\\vasya\\chrome.exe')»
такой трюк «политики ограниченного использования» отловят?
такой трюк «политики ограниченного использования» отловят?
Конечно нет. technet.microsoft.com/en-us/library/cc709689%28WS.10%29.aspx
Software restriction policies only restrict whether a program can be run from Windows Explorer, the Run command, a Command Prompt window, or Windows Script Host (wscript.exe). Programs started in other ways, such as by using perl.exe, cannot be restricted through software restriction policies.
к слову, хром существует в виде msi пакета (ссылка), из него по умолчанию ставится в Program Files (в зависимости от разрядности).
UFO just landed and posted this here
Можно поинтересоваться? -почему вы считаете использовать Яндекс браузер или Оперу безопаснее чем Google Chrome?
UFO just landed and posted this here
По доброй традиции хаба «Клиентская оптимизация» поинтересуюсь:
— автор, вам известно значение термина, давшего название упомянутому хабу?
— какое отношение этот топик имеет к предметной области, описываемой этим термином?
— автор, вам известно значение термина, давшего название упомянутому хабу?
— какое отношение этот топик имеет к предметной области, описываемой этим термином?
Sign up to leave a comment.
Избавляемся от Амиго, MailUpdater, Яндекс.Браузер и прочего