Ați scris corect despre politica de limitare a lansării programelor (Politica de restricționare a software-ului sau SRP / App Locker). Voi încerca să clarific esența soluției problemei.
Principalul lucru pe care trebuie să-l faceți este să utilizați NTFS ACL pentru a bloca utilizatorii de la executarea programelor oriunde pot scrie fișiere și folosind SRP pentru a restrânge drepturile sistemului de operare pentru a rula programe numai prin directoare de directoare pe care utilizatorii nu le pot scrie. În general, ar trebui să li se permită să ruleze programe numai din Fișiere de program și Windows, dar este interzisă rularea de la sistemdrive: \ Windows \ tmp și systemdrive: \ Windows \ blablabla \ spooler
Pentru a face acest lucru, trebuie să înțelegeți ce drepturi NTFS trebuie să le moșteniți. Toate discurile din sistem pe care există programe care pot rula programe - faceți NTFS. Cel mai bine este să rulați întotdeauna programele numai în fișierele program, în timp ce utilizatorii acestor programe nu ar trebui să aibă niciodată permisiuni de scriere pentru directoarele de sistem.
Orice manipulare cu NTFS și ACL ar trebui să fie efectuată de o persoană care înțelege ce face!
Câteva remarci.
SRP și / sau AppLocker nu este disponibil în toate distribuțiile Windows. Este clar că MS este o mașină pentru a face bani. Dar SRP afectează în mod direct baza de bază a securității informatice a sistemelor de operare Windows și pentru mine nu pare logic să adăugați UAC, dar nu permiteți protejarea sistemului folosind SRP pe cel mai ieftin sistem Windows OEM. Înainte de apariția SRP, am folosit programul minunat TrustNoExe. Este liber să pună sub forma unui serviciu care are liste alb și negru. Pe noile distribuții de Windows, nu am experimentat-o, dar ar putea închide diferența de securitate în Windows unde există NTFS, dar nu există nici un SRP.
SRP nu este un panaceu. Din păcate, programul care poate executa script-uri, cum ar fi Word, Excel, etc pot fi folosite pentru injectarea de cod executabil străin, astfel încât să puteți încerca să ridice privilegii prin utilizarea bine-cunoscute și nu atât de vulnerabilă.
În plus, această abordare vă va permite să renunțați la programul antivirus dacă nu puneți fără minte niciun software necunoscut și chiar cunoscut.
HJK. Ați spus corect: începeți în numele unui alt utilizator. Pentru ferestre: runas / user: guglemugle "c: \ fișiere de program \ goglechrome \ chrome.exe"
pentru linux: su --login guglemugle -c "/home/guglemugle/google.sh"
Trebuie să înțelegeți în mod clar că tot ce puteți de la "contul" dvs., poate și orice program lansat din contul dvs.
Pentru Google, nu a fost rumă în înregistrările dvs există două recomandări:
1) Nu puneți deloc. O urmez. Nu aveți nevoie de motorul de căutare al altcuiva pentru a sta în calculatorul meu. Există și alte browsere. Ele nu sunt mai bune, dar cel puțin în aparență este "o altă eparhie".
2) Pune, dar "sparge-ti degetele". Am pus cromul din contul de admin, citit cu atenție toate butoanele și link-urile în momentul instalării. Îndepărtăm pe cei care încearcă să vă ofere un fel de serviciu sau să vă îmbunătățiți, pe cheltuiala dumneavoastră, pozițiile lor de monopol. După instalare, ștergem tot ce a pus în secret în serviciile: sc delete googlobla-bla-bla.
Mergem la proprietățile NTFS ale fișierelor Program și eliminăm toate drepturile tuturor utilizatorilor. Lăsați doar administratorii, sistemul și adăugați guglemugle utilizatorului local (trebuie să îl aveți în prealabil) cu drepturile de a "citi și a alerga". Acest lucru încercăm să ne asigurăm că nimeni nu poate executa crom exceptând guglemugle. Facem un dosar de echipă
guglemugle.cmd face o scurtătură la el, aruncați-l pe desktop.
Desigur, veți avea nevoie de un dosar pentru partajarea fișierelor. Fie (guglemugle) dosar zamapte prin intersecții de directoare (dar setati drepturile corecte) sau conectați printr-o rețea la o utilizare netă a sesiunii (vă conectați în folderul sesiune de Google, și nu invers!) Sau folderul Public sau Standart în Windows sau pentru a crea exemplul lui C: \ _ AXTUNG_GOOGLE_ și ajustați pentru a descărca dosar crom. Amintiți-vă că guglemugle trebuie să aibă acces acolo fără a introduce parola „uchotki“.
În general, asta este! Acum, acest piper nu poate urca pe fișierele altor utilizatori, iar în cutia sa de nisip există doar zgură legat de Internet. Serviciile sunt eliminate, el nu poate scoate în secret discul și pune tot ce dorește și el însuși se scutură într-o cutie de nisip separată. Dar el poate vedea starea desktop-ului. Vrei să nu vezi? Rulați pe un desktop virtual separat. De exemplu, ferestre server fără sudură, când aplicația vă este livrată ca o fereastră, și nu ca desktop. Apoi continuăm cu virtualizarea. Dar acesta este un subiect separat și foarte interesant.
Avertisment: Când începeți dintr-o altă sesiune, unele aplicații întâmpină dificultăți atunci când încearcă să deschidă aplicația Explorer și alte aplicații care rulează în contextul unei alte sesiuni. Acest lucru este tratat numai printr-o sesiune de terminal sau o aplicație alternativă.
younghacker. vă mulțumesc pentru explicația foarte detaliată!
younghacker. Încântat! (mai mult ar fi ca tine)
veți vedea în memorie numai 0xDEADFACE
Da, doar - fă-o coajă de browser.
Alt-Control-Del -> Task Manager -> Fugi ce vreau.
managerul să redenumească, să interzică începerea în registru etc.
Alexxander sa gândit interesant, mulțumesc. Și unde să săpați pentru a înțelege cum să faceți browser-ul o coajă?
alexxandr Da, grozav. Voi încerca cu siguranță, mulțumesc!
HJK. aceasta este o opțiune proastă.
Ctrl + O - și aici este accesul la sistemul de fișiere.
Dar dacă restricționați drepturile ntf-urilor (cel puțin pentru a opri orice acces, chiar și a citi, din directorul rădăcină și a adăuga o politică de utilizare limitată a programelor - aprox.
Articole similare
Trimiteți-le prietenilor: