10.02.2017 09:43
OlegON
 
У одного клиента по мере текучки кадров раз в год случается обострение и новый сисадмин, обнаружив, что на серверах БД почему-то нет антивируса, вкрячивает туда Касперского. Уже нет никаких сил. Раза три сносил, причем, меня он, понятно, спросить не удосуживается, а я узнаю об установке по очередным проблемам с базой. Самое смешное, что в 3х случаях из 4х админ сладко спал, а выкорчевывал сбоящий антивирус я, поскольку какая-нибудь инвентаризация работать не могла.

Возникла идея как-то вакцинировать систему, чтобы установить этого зловреда без моей помощи было нельзя. Поскольку я не единственный админ и работаю по удаленке, то пароль админа отобрать не могу. Может, создать какую-то ветку реестра и отобрать права на запись и смену владельца? Но как узнать кому? Машины недоменные, с большой историей, поэтому групп и админов там до хрена. Какие-то еще идеи, что можно сделать из консоли и в автоматическом режиме?
10.02.2017 12:03
baggio
 
запретить запуск в DEP?
10.02.2017 12:05
baggio
 
Код:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun


В этом ключе список exe-файлов. Тип значения - string, имя - от 1 до скока надо, значение - "имя.exe"

Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Включаем здесь, добавляя параметр RestrictRun типа REG_DWORD и присвоить ему значение "1".
Должно получиться что-то вроде вот этого:

Цитата:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="winword.exe"
"2"="excel.exe"
10.02.2017 12:21
grannie
 
Маленькое уточнение - это будет список РАЗРЕШЁННЫХ для запуска программ. И таки желательно первым в списке ставить regedit.exe ж)
10.02.2017 12:46
KirillHome
 
Глупость, скорее всего - но самому создать каталог (а то и скрытый файл в Programm Files) с нужным именем и запретить правами файловой системы что-то с ним делать?
10.02.2017 13:03
baggio
 
а поставить в другой каталог конечно нельзя...
10.02.2017 13:19
OlegON
 
С политиками, конечно, интересная тема. Там были и запрещенные, поскольку разрешенные с базой упаришься перечислять...
10.02.2017 13:21
Occul
 
Есть только сомнения, что это сработает при запуске сервиса.
10.02.2017 13:40
student
 
Цитата:
OlegON С политиками, конечно, интересная тема.
в свое время интересовался подобным (вин 7) - достало мейл.ру :( осталась ссылка на мануал с картинками

если не в масть - прибей сообщение :)
10.02.2017 14:08
OlegON
 
Цитата:
Crack Есть только сомнения, что это сработает при запуске сервиса.
Правильно...
Цитата:
Эта политика ограничивает только выполнение программ, запускаемых процессом проводника Windows. Она не запрещает выполнять программы, такие как "Диспетчер задач", которые запускаются с помощью системного процесса или с помощью иных процессов. Кроме того, если пользователям разрешен доступ к окну командной строки, CMD.EXE, то эта политика не запрещает им запускать из окна командной строки те программы, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите "Показать". В диалоговом окне "Вывод содержимого", в столбце "Значение" введите имя исполняемого файла приложения (например, Winword.exe, Poledit.exe, Powerpnt.exe).
из соответствующей справки. Вопрос остается открытым...
Часовой пояс GMT +3, время: 16:55.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.