Запретить запуск 3д игр и соцсети

Discussion in 'Безопасность и Анонимность' started by search74, 22 Apr 2010.

  1. search74

    search74 Member

    Joined:
    17 Jun 2008
    Messages:
    20
    Likes Received:
    24
    Reputations:
    0
    Имеется комп. класс (школа). На компах XP sp2. Между банками локалка и инет через шлюз. Задача - Запретить запуск 3д игр (особенно cs 1.6:D ) и соцсети. Вопрос - какие варианты можете предложить?
     
  2. KENT1994

    KENT1994 Elder - Старейшина

    Joined:
    25 Sep 2009
    Messages:
    75
    Likes Received:
    36
    Reputations:
    14
    поставить фильтр для соц сетей, а насчет игр хз
     
  3. AGENTWPC74

    AGENTWPC74 Member

    Joined:
    11 Nov 2009
    Messages:
    201
    Likes Received:
    37
    Reputations:
    5
    реестр поможет.
     
    2 people like this.
  4. MAQUEEN

    MAQUEEN RadioActivity

    Joined:
    27 Sep 2008
    Messages:
    422
    Likes Received:
    126
    Reputations:
    32
    можно оутпостом заблочить процесы, и внести в настройках запреты на посищение определённых сайтов.
    + на счет сайтов, добавь (которые нужно) в папку hosts и они открыватся не будут на терменале.
     
  5. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    гугли - Политики ограниченного использования программ
    можно вообще например поставить запрет запуска программ с диска d: (если там документы пользователя), отключить usb порты, добавлять в политику огр. использования хеши файлов контры и рано или поздно игрокам надоест тягаться в этом противостоянии

    upd:
    для фильтрации трафика надо думать и отталкиваться от того сколько есть денег на покупку софта (так легче) или времени на освоение freebsd под шлюз (ну или кому что нравится)
     
    #5 neprovad, 22 Apr 2010
    Last edited: 22 Apr 2010
  6. mr.Storm

    mr.Storm New Member

    Joined:
    11 Apr 2010
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    директ икс удали и все. Основные соцсети перенаправь через файл хост на какой нибудь фейк, по типу "У НАС В КЛАССЕ ЗАПРЕЩЕНО СИДЕТЬ ВКОНТАКТЕ" на всю страницу.. Или же фаервол, как писалось выше. кс не запустят, а в соцсетях все равно будут сидеть через прокси (если ума хватит)
     
    1 person likes this.
  7. RazyKK

    RazyKK Member

    Joined:
    9 Feb 2009
    Messages:
    127
    Likes Received:
    16
    Reputations:
    4
    прописать соц сети в hosts и сделать переадресацию на fake и в качестве наказания удалять страницу ВК)
     
  8. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Можно сделать практически встроенными сресдтвами Windows:
    1)Все должны работать под ограниченой учетной записью.
    2)Установить SP3+post updates
    3)У каждой школы есть набор ПО в которое входит Контент Фильтр им ограничить доступ к web части.
    4)Ограничение программ сделать через Политики ограниченного использования программ. Здесь и начинаются сложности в настройке,если придерживаться первого пункта ,то у пользователя не должно быть папок в которые он может писать и запускать приложение,это сразу сводит применение политики SRP на нет.
    Должно быть четкое структурирование файловой системы ,а в вашем случае достаточно будет разрешить использование Program Files и Windows ,исключая папку Temp и ограничение на папку с запланироваными заданиями,и spool.Политика по умолчанию должна быть все запрещено,кроме явного разрешения(White list).

    Подробнее можно прочитать http://technet.microsoft.com/en-us/library/bb457006.aspx

    SRP - достаточно сложна и во многих случаях не безопасна с настройками по умолчанию.Поэтому надо отнестить серьезно к ней.Тем более на не пропатченой системе есть дыры в самой SRP.Так же политику нельзя экпортировать ,поэтому на каждом компьютере придеться создавать вручную,кроме доменой среды.
     
    #8 SpangeBoB, 22 Apr 2010
    Last edited: 22 Apr 2010
    3 people like this.
  9. gold-goblin

    gold-goblin Elder - Старейшина

    Joined:
    26 Mar 2007
    Messages:
    917
    Likes Received:
    174
    Reputations:
    3
    опенджеел никто не запрещал...
     
  10. search74

    search74 Member

    Joined:
    17 Jun 2008
    Messages:
    20
    Likes Received:
    24
    Reputations:
    0
    1

    Первое что хочу, это поблагодарить всех отписавшихся. :)
    Второе: Стоит лицензионный софт - Win xp sp2 и покупной касперский 6.0, а также офис 2007. На покупку любых предложенных программ, бухгалтерия не дает добро (бюджет ограниченный).
    Третье: Выделял юзерам ограниченные учетки. Запреты в файле hosts на соцсети + прогу на дельфе сляпал чтоб отрубала браузер при заходе на соц сеть. В общем, всего этого хватило на неделю, прихожу, а там уже пасс админа снесли))) видимо школьники щаз такие крутые стали, гуглят :)
    Четвертое: хочу снять приводы со всех банок, отключить порты usb на мордах, а сзади хотелось бы как то залочить, чтоб только мышку usbную видел комп. Так же интересная идея со сменой имя учетки "Администратор", путем создания левой с ограниченными правами (чтоб её долбили). Ну и политики, буду изучать как время будет.

    upd Гуглил щаз и наткнулся на интересную прогу:
    Программа Shadow User спасет вас.
    Если правильно замаскировать - всё будет просто замечательно
    Как раз от таких юных деятелей призвана защищать.
    Проверял на ПТУшных студентах - у них складывается впечатление, что за ними всю пакость кто-то усердно убирает
    Принцип работы программы - как в кино "День сурка". Перезагрузил комп - всё вернулось на свои места.

    Теперь остается вопрос в бесплатном аналоге ;)
     
    #10 search74, 24 Apr 2010
    Last edited: 24 Apr 2010
  11. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    В корне не правильные действия поэтому результат на лицо.

    1)Почему досих пор нет Sp3+post update?
    2)Зачем вообще что-то покупать?
    3)Третий пунк вообще полный бред.
    4)Пароль на встроенного администратора наверно не удосужились поставить?На BIOS пароль тоже?
    5)Про администратора из 4 пунка опять бред.Про снятие вы не думаете о последствиях,что вас не будет и потом кто это включать будет?

    Для отключения USB программным путем:
    http://support.microsoft.com/kb/823732/ru

    Но лучше воспользоваться методами из статьи:
    http://support.microsoft.com/kb/555324
     
  12. Игорь

    Игорь Member

    Joined:
    5 Sep 2006
    Messages:
    39
    Likes Received:
    14
    Reputations:
    0
    Запрет соц сетей - выставить в роутере (маршрутизаторе) запрет на посещение сайтов содержащих в имени слова или названия сайтов (функция родительский контроль - Parental Control)
    Запретить просто так все не получиться. Есть два варианта.
    Первый вариант - это запрет через реестр конкретных программ.
    Второй вариант - это запрет всех программ, кроме разрешенных.
     
  13. search74

    search74 Member

    Joined:
    17 Jun 2008
    Messages:
    20
    Likes Received:
    24
    Reputations:
    0
    Spange, спс за критику))

    1. Sp3+post update есть, небыло времени его устанавливать (редко там появляюсь).
    2. ну не ставить же пиратки, был опыт с обэпом
    3. не догнал
    4. Пароль на встроенного админа (id1) был сразу установлен, а вот на биос нет, из-за чего и результат.
    5. в общем не догнал, о каких последствиях идет речь. Вообще, на счет "Администратора", вычитал в статейке:
    Интересненько
     
  14. search74

    search74 Member

    Joined:
    17 Jun 2008
    Messages:
    20
    Likes Received:
    24
    Reputations:
    0
    Кто мешает школьнику переименовать half-life.exe в WINWORD.exe? Как бэ не катит способ...
     
  15. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Зачем что-то покупать если решаеться встроенными средствами.Кроме вашего id1 сущетсвует еще один с именем Администратор,вот на него пароль нужно поставить и отключить за не надобностью(в безопасном режиме все равно автоматически активируется).

    Что касается статьи ,если удалось запустить брут на системе ,то не какого труда не составит вычислить пользователя с SID 500 - Администратор(на всех системах одинаково).

    Вы ничитаете ,что вам пишут поэтому выбираете не рациональный путь.

    Сказали же использовать политику запрещения программ.
     
  16. search74

    search74 Member

    Joined:
    17 Jun 2008
    Messages:
    20
    Likes Received:
    24
    Reputations:
    0
    SpangeBoB, спасибо, не буду писать лишнего, а лучше разберусь с политиками :)
     
  17. strecher

    strecher New Member

    Joined:
    22 Nov 2005
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    Обход политик - любой файл который надо запустить переименовывается в notepad.exe и запускается. Запись в Program Files обходится просто - тут даже объяснять не надо, мест куда что-нить можно установить полно, все не запретишь. Обход любых ограничений в инете - proxy.org . Попробуй, сам поймешь.

    Для пароля админа - http://ophcrack.sourceforge.net/ на ХР пароль достанет в секунды. Тем более есть проги которые просто пароль стирают, без подбора.

    А против игр - видео драйверы удали и hardware acceleration поставь на ноль чтоб хоть окна не тормозили. Никакой OpenGL не поможет.

    Плюс доменный админ и доменные политики. Против инета поможет четкий файрвол, скорей даже где-нить на рутере.
     
  18. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Пользователь не может писать в Program Files,Windows. Остальные пути просто запрещаются и переименовывайте сколько угодно свой notepad,он не как не попадет без прав администратора в в папки указанные выше.Кто вам разрешит запустить всякие proxy и настраивать их?

    Для запуска http://ophcrack.sourceforge.net будете разбирать компьютер и сбрасывать пароль на BIOS?

    С играми полное ололо из ваших же соображений,раз можно запускать ,что попало,то с какого перепугу я не могу поставить,включить?

    PS. Советую не голословить если плохо понимаете ,как работает SRP.
     
  19. strecher

    strecher New Member

    Joined:
    22 Nov 2005
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    Извини если что не так сказал, говорю по личному опыту.

    Notepad для примера

    Я же вижу, не пробовал. Там устанавливать ни чего не надо. Просто список сайтов с web-based прокси.

    Разве что ты запретил F10/F12/F* для выбора запускающего устройства.

    Все таки драйверы в 'Мои Документы' не установишь.

    Есть так же Faronics Deep Freeze, тоже не бесплатно, но есть триал версия. Дома советую не устанавливать. День сурка смог сбросить только с очень большими усилиями. ;)
     
  20. SpangeBoB

    SpangeBoB Elder - Старейшина

    Joined:
    12 Jul 2008
    Messages:
    1,680
    Likes Received:
    393
    Reputations:
    102
    Вам крупно повезло и человек не понимал работу SRP и прав NTFS.

    Легко режется контент-фильтром.

    Это отключается в первую очередь,как и загрузка со всего остального кроме HDD.


    В предыдущем посту вы легко обходили запись в Program Files,то папка Windows чем будет отличаться по сложности =))))))))
     
    #20 SpangeBoB, 24 Apr 2010
    Last edited: 24 Apr 2010