Избавляемся от Амиго, MailUpdater, Яндекс.Браузер и прочего

[Ramires]

Насколько я помню, папка «c:\Users\%username%\AppData\Local\Apps» нужна некоторым приложениям.

[axeax]

Ага, в основном это игры

[Zagrebelion]

а ещё софт, которые распространяется через clickonce.

[fshp]

А ещё туда и обычные приложения могут устанавливаться не из-под админа.

[Delphinum]

Ставим все нужные приложения, затем забираем у папки права на запись (не трогаем вложенные папки).

[axeax]

в AppData еще логи и кофиги пишутся, и нужные программы могут ругаться на это

[fshp]

Поэтому проще снести? А если лог в это время пишется? Винда, в отличие от *NIX, не позволяет удалять открытые файлы.

[VaMpir]

Амиго и прочая дрянь может запуститься раньше скрипта, тем самым не даст удалить свою папку.

Добавить в скрипт запуск Unlocker'а.

[Olanonymous]

> Просьба не говорить, что скрипт написан некрасиво, и всё можно сделать в цикле перебором по списку папок и пр… Он облегчен для наглядности простоты идеи в целом.
Но в цикле наглядность и простота никуда не теряются же. http://pastebin.com/vkqdg06K

[axeax]

Спасибо, но говорю же, торопился спасти мир!) а на самом деле я в бате не силен, дольше бы искал синтаксисы массивов и циклов.

[ketrin7]

Амиго — злостная штука. Но как по мне, самый действенный способ смотреть, что устанавливаешь, а не просто нажимать, кнопку далее, и не загружать игры и прочую муру.
У меня Амиго установился с архивом какой-то очень нужной книги, которую больше нигде не нашла. В итоге и книги там не было и Амиго в наличии. Теперь просто внимательна к таким вещам.

[TokminD]

Речь идет про рабочую среду, где пользователи «не умеют» смотреть, что нажимают. Попадаются разные экземпляры. Самый жесткий случай в моей практике — это работница (в возрасте), которая хранила важные документы в корзине о_О К счастью у меня Амиго почти никто не устанавливает. Везёт видимо

[PoliTeX]

А Юнити за что? Он, вроде, не мусорит и не скрытничает?

[Wedmer]

На работе люди должны работать)))

[PoliTeX]

На нем не только игры делают. Но это ваше дело.

[Wedmer]

Среднестатистическому офисному работнику и остальные области применения не нужны. А если реально нужны, то нужно обоснование, с которым этот вопрос решается в административном порядке.

[axeax]

У нас школа, юнити просочился в кабинеты информатики

[Wedmer]

Школа/Офис — неважно. Списки могут быть разными. Но, кажется, уточнение вам надо было не мне писать, а в статье, или автору корня этой ветки.

[DemetrNieA]

А вдруг они на нём программируют?

[Wedmer]

Тогда преподаватели и сисадмин должны быть в курсе.

[Wedmer]

Кто из минусующих может предоставить пример, когда среднестатистическому офисному работнику нужен Unity?

[Wernisag]

Дополню. Если все таки кому действительно нужен Unity, в чем проблема подойти к вопросу персонально и снять ограничение

[fshp]

Например среднестатистический офисный работник является разработчиком и использует Unity?

[Wedmer]

Так никто и не ответил, но карму слили)

[Wedmer]

Как много бездельников)))

[gotch]

Applocker, именно Applocker. Раньше думали — «кошмар-кошмар-кошмар», но нет, работает, и довольно просто сопровождается.

[Ckorpion]

Еще более правильный способ. К сожалению AppLocker недоступен в Proffesional редакции Windows.

[gotch]

Вот жадины в Microsoft. Просто необъяснимо.
У нас Enterprise, даже не задумывался об этом. Есть, конечно же, SRP, но опыта эксплуатации нет.

[Ckorpion]

Я использовал на работе Software Restriction Policies (включаются через GPO), что позволило полностью запретить пользователям запускать исполняемые файлы, кроме списка заранее одобренных. Есть, конечно, некоторые неудобства — зато повышается безопасность.

[Wedmer]

Ну неудобства скорее административного плана. На самом деле, если человеку нужен еще какой софт, то пусть обосновывает и получает санкцию на установку/запуск. Безопасность прежде всего.

[Ckorpion]

Тут вопрос в обновлении уже существующего программного обеспечения. В отличии от Applocker и его более гибких правил, некоторые программы, после обновления, надо заново заносить в список исключений (если эти программы не установлены в Program Files).

[Wedmer]

В принципе, и это решаемо. Даже можно и автоматизацию какую сделать.

[yosemity]

Это очень легко решается. Убираем незамедлительно у всех админские права. Включаем SRP так же для всех (включая гендира) SRP работает начиная с ХР проф, не надо никаких Этерпрайзных Семерок. Запуск софта разрешен только из %WINDIR% и %ProgramFiles% (+x86). Юзер не может писать в указанные выше директории, следовательно не может запустить оттуда левую прогу. Из своего профиля, или из любого другого места, хоть обзапускайся, винда не разрешит. ВЕСЬ Софт разворачивается централизованно через LUP. Опционально: включаем централизованный мониторинг логов SRP с клиентских машин и весело наблюдаем за попытками бухгалтерии запустить очередной вирус «от налоговой». Спасает не только от всяких «Амигов», но и от любой заразы, даже неизвестной антивирусам.
Это всего один раз вникнуть в тему и на 99% снизить риск. Дополнительно запиливаем всем EMET с правилами (Popular и Recomended Software), чтобы повысить защиту софта от 0-day.
Ну а колхозить такие убивальщики… наверное интересно, но абсолютно неэффективно.
Добавлю, что все вышеуказанное с успехом работает у нас не первый год.

[jah]

pehat глазастая ;)

[jah]

Ренат, приношу свои извинения. Вы на маленькой аватарке кажетесь девушкой. Дело было вечером… Советовать сменить аватарку я не буду, но прошу понять ибо путаница произошла.

[Eefrit]

Ну вот, заинтриговали. Уже поменяли аватарку? А что раньше было?

[mtivkov]

Если этот способ пойдет в массы, то инсталляторы подправят.
Если папка Name будет недоступна на запись, то инсталлятор будет использовать первую свободную папку с именем вида Name.N, например, Amigo.1.

[alexsupra]

rmdir c:\Users\%username%\AppData\Local\Mail.Ru /s /q

В варианте
rmdir "%localappdata%\mail.ru" /s /q
было более универсально для всех ОС Windows, начиная с NT 6.0 (Vista).

[IIPu3PAK]

Зачем весь этот геморой с созданием папок? не проще ли запретить запуск любых программ из папки c:\Users\%username%\AppData\Local? с помощью политики ограниченного использования программ, вот тут описано подробнее — habrahabr.ru/post/101971

[shifttstas]

тогда хром не встанет и много чего что устанавливается без админ привелегий

[Inlore]

Так ведь в этом и смысл — установка должна производиться только админом и разрешения на запуск выставляться им же

[Zagrebelion]

c:\program files\python34\python.exe -c «import os; os.system('c:\\users\\vasya\\chrome.exe')»

такой трюк «политики ограниченного использования» отловят?

[Inlore]

Конечно нет. technet.microsoft.com/en-us/library/cc709689%28WS.10%29.aspx

Software restriction policies only restrict whether a program can be run from Windows Explorer, the Run command, a Command Prompt window, or Windows Script Host (wscript.exe). Programs started in other ways, such as by using perl.exe, cannot be restricted through software restriction policies.

[slonopotamus]

Надежная система, дааа.

[Lordick]

к слову, хром существует в виде msi пакета (ссылка), из него по умолчанию ставится в Program Files (в зависимости от разрядности).

[kvaps]

Можно поинтересоваться? -почему вы считаете использовать Яндекс браузер или Оперу безопаснее чем Google Chrome?

[Wernisag]

Вас не тревожит тот факт, что Яндекс браузер целиком и полностью основан на Хроме? Не считая оформления, они практически одинаковы.

[tundrawolf_kiba]

> движок браузера
Ну тут смотря что понимать под этим. Двжики рендеринга и Яваскрипта они юзают идентичные. А вот оболочку оба форкают от хромиума, гугл с небольшими изменениями, а Яндекс — с достаточно приличными.

[Wernisag]

Ну тогда уж не Debian, а CentOS. И в целом одно и тоже, только другой состав пакетов и уровень поддержки.

[onthefly]

По доброй традиции хаба «Клиентская оптимизация» поинтересуюсь:
— автор, вам известно значение термина, давшего название упомянутому хабу?
— какое отношение этот топик имеет к предметной области, описываемой этим термином?