Popik 17 авг 2010 в 13:11

Настройка групповых политик ограниченного использования программ в Windows 7

2 мин

210K

Системное администрирование *

+49

Комментарии 47

MainNika 17 авг 2010 в 14:17

А мне понравилось, хотя я не знал только о «Назначенных типах файлов». Спасибо.

madnut 17 авг 2010 в 14:17

Это комментарий, который автор статьи попросил меня добавить чтобы накрутить рейтинг и выйти в «Прямой эфир».

Stalker_RED 17 авг 2010 в 14:24

фтопку прямой эфир, статья на глагне :)

возможно мне просто везет, но я уже второй год сижу на семерке без антивируса и сторонних фаерволлов, и компьютер чист :)

и никаких особых манипуляций не проводил, разве-что авторан отключил.

Popik 17 авг 2010 в 14:25

На самом деле я тоже так и сижу. Однако если пользователь компа не обладает чувством самосохранения, то эти правила его спасут не раз.

Stalker_RED 18 авг 2010 в 20:54

ну, без чувства самосохранения можно скачать какую-нить гадость, разрешить ей исполнение, и собственоручно запустить.

лично знаю два случая, когда люди отключали антивирус, ибо он «не дает мне запустить вот этот файл»

BReal 18 авг 2010 в 06:57

А откуда вы знаете что компьютер чист? :)

Stalker_RED 18 авг 2010 в 20:51

у меня на винте две семерки (почти одинаковые, да) вин хп и убунта.

и раз в несколько месяцев я таки загружаю хп, и запускаю нод.

Zrok 17 авг 2010 в 14:24

Можно использовать 2 пользователя: администратора и обычного пользователя. Ставим самый жесткий режим безопасности. Все, что запускаем часто выносим в исключения. Получаем достаточно защищенную систему.
Плюс ко всему у меня установлен Security Essentials. За полгода такой конфигурации вирусов замечено не было.

P.S.: тоже Windows 7 Proffesional.

Popik 17 авг 2010 в 14:26

В момент, когда я купил нетбук на Атоме, я понял, что даже Security Essentials тормозит :)

НЛО прилетело и опубликовало эту надпись здесь

Houston 17 авг 2010 в 15:11

Я более полугода на нетбуке с XP пользуюсь учеткой с ограниченными правами — вирусов нет. Этот простой метод на самом деле работает)

System32 18 авг 2010 в 05:28

Можно использовать 2 пользователя: администратора и обычного пользователя.

Башорговский боян про две учетки — «админ» и «пьяный админ»? Ну в Win7 примерно так и работает UAC.

НЛО прилетело и опубликовало эту надпись здесь

Colobock 17 авг 2010 в 14:54

В семерке админская учетка скрыта, пользователь сразу работает из-под ограниченной учетки. Плюс включены сразу права доступа NTFS — папочки Windows и Program Files (и не только) защищены от бесконтрольной записи.

isden 17 авг 2010 в 15:36

недавно я ставил семерку (HB). в процессе оно предложило мне создать профайл. после установки и загрузки системы обнаружилось что созданный профайл — админский, и пользовательский профайл пришлось создавать ручками.

dtf 17 авг 2010 в 16:13

Профиль хоть и админский, но стоит учитывать, что при включённом UAC приложения запускаются с пользовательскими правами, и, в случае, если оно требует админских, винда уведомит всем известным надоедливым окошком. Тут вот проблема возникает в его надоедливости, потому UAC многие отключают…

yktoo 17 авг 2010 в 15:30

oxpa 17 авг 2010 в 17:52

nAggOHOK 18 авг 2010 в 10:52

Что это?

nAggOHOK 18 авг 2010 в 10:53

Всё… что-то туплю сегодня )))

oxpa 18 авг 2010 в 10:59

спасибо, развеселили ;)

Zagrebelion 17 авг 2010 в 15:35

Не будет работать софт, который ставится в %appdata% и с помощью ClickOnce.

НЛО прилетело и опубликовало эту надпись здесь

Zagrebelion 17 авг 2010 в 16:17

Бинарники кладутся в %userprofile%\AppData\Local\Apps, а в статье вроде как запретили запуск оттуда.

Zagrebelion 17 авг 2010 в 16:18

Впрочем, торможу: вроде как это и было целью — создать набор разрешённого софта, а всё остальное запретить.

Popik 17 авг 2010 в 16:20

Да с Хромом и ClickOnce проблемки. Причем разрешение аппдаты не помогает кликванс приложениям почему-то

НЛО прилетело и опубликовало эту надпись здесь

Fragster 17 авг 2010 в 15:53

какой интересный костыль… а майкрософт о нем знает?

Fragster 17 авг 2010 в 15:56

а с .bat и .cmd прокатывает? ну и за одно — с .vbs (которые как параметр к wscript и cscript передаются)

Popik 17 авг 2010 в 16:21

Если они добавлены в список расширений исполняемых файлов, то прокатывает. По умолчанию они там есть.

Fragster 18 авг 2010 в 16:44

я имею ввиду, если их оттуда удалить — на содержимое эти политики будут распространяться?

Popik 19 авг 2010 в 07:58

Не знаю :)
Если проверите — сообщите результат, мне тоже интересно

Stmf 17 авг 2010 в 16:25

>>> gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов

Не нашел…

Popik 17 авг 2010 в 16:31

Windows 7?

vit1251 17 авг 2010 в 16:43

Наверное какой-нибудь Windows 7 Basic!?

Popik 17 авг 2010 в 17:25

Ответил автору в ЛС как найти данный пункт. Если кому нибудь интересно — вот скриншот: habreffect.ru/files/4aa/196c49ebf/4.png

ZhuchoG 18 авг 2010 в 01:30

это тоже в политиках программ, в XP по крайней мере

НЛО прилетело и опубликовало эту надпись здесь

Popik 18 авг 2010 в 07:15

Запускается :)

НЛО прилетело и опубликовало эту надпись здесь

Popik 18 авг 2010 в 09:24

У меня стоит запрет на запуск всего, что не в системных папках. Поэтому с рабочего стола запускаться не должно. Если разрешить запуск *.lnk, то таким образом можно запускать вообще любой файл, создав для него ярлык.

НЛО прилетело и опубликовало эту надпись здесь

DeeZ 19 сен 2010 в 11:30

Вы изобрели велосипед: AccessEnum

howeal 30 сен 2012 в 22:43

Хотел бы поправить. Типы файлов находятся в gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов

Зарегистрируйтесь на Хабре, чтобы оставить комментарий