Имеется комп. класс (школа). На компах XP sp2. Между банками локалка и инет через шлюз. Задача - Запретить запуск 3д игр (особенно cs 1.6 ) и соцсети. Вопрос - какие варианты можете предложить?
можно оутпостом заблочить процесы, и внести в настройках запреты на посищение определённых сайтов. + на счет сайтов, добавь (которые нужно) в папку hosts и они открыватся не будут на терменале.
гугли - Политики ограниченного использования программ можно вообще например поставить запрет запуска программ с диска d: (если там документы пользователя), отключить usb порты, добавлять в политику огр. использования хеши файлов контры и рано или поздно игрокам надоест тягаться в этом противостоянии upd: для фильтрации трафика надо думать и отталкиваться от того сколько есть денег на покупку софта (так легче) или времени на освоение freebsd под шлюз (ну или кому что нравится)
директ икс удали и все. Основные соцсети перенаправь через файл хост на какой нибудь фейк, по типу "У НАС В КЛАССЕ ЗАПРЕЩЕНО СИДЕТЬ ВКОНТАКТЕ" на всю страницу.. Или же фаервол, как писалось выше. кс не запустят, а в соцсетях все равно будут сидеть через прокси (если ума хватит)
прописать соц сети в hosts и сделать переадресацию на fake и в качестве наказания удалять страницу ВК)
Можно сделать практически встроенными сресдтвами Windows: 1)Все должны работать под ограниченой учетной записью. 2)Установить SP3+post updates 3)У каждой школы есть набор ПО в которое входит Контент Фильтр им ограничить доступ к web части. 4)Ограничение программ сделать через Политики ограниченного использования программ. Здесь и начинаются сложности в настройке,если придерживаться первого пункта ,то у пользователя не должно быть папок в которые он может писать и запускать приложение,это сразу сводит применение политики SRP на нет. Должно быть четкое структурирование файловой системы ,а в вашем случае достаточно будет разрешить использование Program Files и Windows ,исключая папку Temp и ограничение на папку с запланироваными заданиями,и spool.Политика по умолчанию должна быть все запрещено,кроме явного разрешения(White list). Подробнее можно прочитать http://technet.microsoft.com/en-us/library/bb457006.aspx SRP - достаточно сложна и во многих случаях не безопасна с настройками по умолчанию.Поэтому надо отнестить серьезно к ней.Тем более на не пропатченой системе есть дыры в самой SRP.Так же политику нельзя экпортировать ,поэтому на каждом компьютере придеться создавать вручную,кроме доменой среды.
1 Первое что хочу, это поблагодарить всех отписавшихся. Второе: Стоит лицензионный софт - Win xp sp2 и покупной касперский 6.0, а также офис 2007. На покупку любых предложенных программ, бухгалтерия не дает добро (бюджет ограниченный). Третье: Выделял юзерам ограниченные учетки. Запреты в файле hosts на соцсети + прогу на дельфе сляпал чтоб отрубала браузер при заходе на соц сеть. В общем, всего этого хватило на неделю, прихожу, а там уже пасс админа снесли))) видимо школьники щаз такие крутые стали, гуглят Четвертое: хочу снять приводы со всех банок, отключить порты usb на мордах, а сзади хотелось бы как то залочить, чтоб только мышку usbную видел комп. Так же интересная идея со сменой имя учетки "Администратор", путем создания левой с ограниченными правами (чтоб её долбили). Ну и политики, буду изучать как время будет. upd Гуглил щаз и наткнулся на интересную прогу: Программа Shadow User спасет вас. Если правильно замаскировать - всё будет просто замечательно Как раз от таких юных деятелей призвана защищать. Проверял на ПТУшных студентах - у них складывается впечатление, что за ними всю пакость кто-то усердно убирает Принцип работы программы - как в кино "День сурка". Перезагрузил комп - всё вернулось на свои места. Теперь остается вопрос в бесплатном аналоге
В корне не правильные действия поэтому результат на лицо. 1)Почему досих пор нет Sp3+post update? 2)Зачем вообще что-то покупать? 3)Третий пунк вообще полный бред. 4)Пароль на встроенного администратора наверно не удосужились поставить?На BIOS пароль тоже? 5)Про администратора из 4 пунка опять бред.Про снятие вы не думаете о последствиях,что вас не будет и потом кто это включать будет? Для отключения USB программным путем: http://support.microsoft.com/kb/823732/ru Но лучше воспользоваться методами из статьи: http://support.microsoft.com/kb/555324
Запрет соц сетей - выставить в роутере (маршрутизаторе) запрет на посещение сайтов содержащих в имени слова или названия сайтов (функция родительский контроль - Parental Control) Запретить просто так все не получиться. Есть два варианта. Первый вариант - это запрет через реестр конкретных программ. Второй вариант - это запрет всех программ, кроме разрешенных.
Spange, спс за критику)) 1. Sp3+post update есть, небыло времени его устанавливать (редко там появляюсь). 2. ну не ставить же пиратки, был опыт с обэпом 3. не догнал 4. Пароль на встроенного админа (id1) был сразу установлен, а вот на биос нет, из-за чего и результат. 5. в общем не догнал, о каких последствиях идет речь. Вообще, на счет "Администратора", вычитал в статейке: Интересненько
Зачем что-то покупать если решаеться встроенными средствами.Кроме вашего id1 сущетсвует еще один с именем Администратор,вот на него пароль нужно поставить и отключить за не надобностью(в безопасном режиме все равно автоматически активируется). Что касается статьи ,если удалось запустить брут на системе ,то не какого труда не составит вычислить пользователя с SID 500 - Администратор(на всех системах одинаково). Вы ничитаете ,что вам пишут поэтому выбираете не рациональный путь. Сказали же использовать политику запрещения программ.
Обход политик - любой файл который надо запустить переименовывается в notepad.exe и запускается. Запись в Program Files обходится просто - тут даже объяснять не надо, мест куда что-нить можно установить полно, все не запретишь. Обход любых ограничений в инете - proxy.org . Попробуй, сам поймешь. Для пароля админа - http://ophcrack.sourceforge.net/ на ХР пароль достанет в секунды. Тем более есть проги которые просто пароль стирают, без подбора. А против игр - видео драйверы удали и hardware acceleration поставь на ноль чтоб хоть окна не тормозили. Никакой OpenGL не поможет. Плюс доменный админ и доменные политики. Против инета поможет четкий файрвол, скорей даже где-нить на рутере.
Пользователь не может писать в Program Files,Windows. Остальные пути просто запрещаются и переименовывайте сколько угодно свой notepad,он не как не попадет без прав администратора в в папки указанные выше.Кто вам разрешит запустить всякие proxy и настраивать их? Для запуска http://ophcrack.sourceforge.net будете разбирать компьютер и сбрасывать пароль на BIOS? С играми полное ололо из ваших же соображений,раз можно запускать ,что попало,то с какого перепугу я не могу поставить,включить? PS. Советую не голословить если плохо понимаете ,как работает SRP.
Извини если что не так сказал, говорю по личному опыту. Notepad для примера Я же вижу, не пробовал. Там устанавливать ни чего не надо. Просто список сайтов с web-based прокси. Разве что ты запретил F10/F12/F* для выбора запускающего устройства. Все таки драйверы в 'Мои Документы' не установишь. Есть так же Faronics Deep Freeze, тоже не бесплатно, но есть триал версия. Дома советую не устанавливать. День сурка смог сбросить только с очень большими усилиями.
Вам крупно повезло и человек не понимал работу SRP и прав NTFS. Легко режется контент-фильтром. Это отключается в первую очередь,как и загрузка со всего остального кроме HDD. В предыдущем посту вы легко обходили запись в Program Files,то папка Windows чем будет отличаться по сложности =))))))))
