Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Операционные системы > Windows
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 20.02.2020, 08:43   #1
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию Настройка безопасности пользователей Windows

Здравствуйте. Основной вопрос в последней строчке, всё остальное - предыстория, часть которой не имеет особого отношения к вопросу, важное отмечено ЖИРНЫМ КАПСОМ.

Есть настроенный RDP (Windows 7) с учётными записями под управление, необходимо для работы в 1С.
Есть определённые трудности с настройками безопасного доступа:
- большинство "правильных" настроек идёт через групповые политики, и не только в этом проблема;
- групповые политики работают на ВСЕ учётные записи (в т. ч. на админов), разграничение - танцы с бубном;
- необходим исправный доступ в систему, и чтение/запись файлов 1С - выполнение программы, сохранение данных программы все дела;
- общая лень и отсутствие времени всё это настраивать.

Казалось бы. Политики групповые, а настроить правила на группу - достаточно сложно.
И дальше будет понятно, что gpedit.msc не везде справляется со своими задачами.

Из настроек я запретил перенаправление устройств по RDP (диски-флешки и т. п.), так же буфер обмена и т. д. Это в групповых политиках.
Ещё закрыл доступ в браузеры - вкладка "Безопасность" для папок хрома и Internet Explorer (для второго нужно дополнительно поменять владельца).

Получилось достаточно просто: не получится ничего принести или унести - так как все банальные пути закрыты (буфер обмена и браузеры).
Но есть ещё один путь, о котором далее.

Пользователь может управлять подключениями.
В частности он может отключить Wi-Fi соединение, но не в этом проблема - комп будет работать через провод (отключить само подключение он не может).
Остаётся возможность создать какой нибудь VPN, и слить всё туда. Или принести что нибудь оттуда. Посредством проводника.

Я понимаю что обыватели не умеют и/или не знают об этом, а более продвинутые предпочитают использовать сторонние приложения вроде OpenVpn или ещё что нибудь.

-----
Думал сначала запретить проводник (справку и диспетчер задач тоже), но тогда у пользователя вообще ничего не загружается.
Тогда я подумал добавить батник в автозагрузку
Код:
taskkill /F /IM explorer.exe /FI "USERNAME eq RemoteUser"
И ярлык запуска 1С, плюс запрет на taskmgr.exe и HelpPane.exe.
Но пришёл к выводу что этот же explorer.exe можно запустить из common dialog (open/save) самого 1С.

Как вариант развития этого метода - написать программу, которая будет мониторить процессы пользователя, и убивать explorer.exe. Но мало того что зашквар, так ещё и неудобства остаются.
Из неудобств пользователя:
- не видно язык ввода;
- нельзя завершить сеанс;
- не получится запустить 1С в случае падения или случайного закрытия, нужно закрыть удалённое управление и ждать пять минут пока не завершится сеанс (я так настроил) или просить админа нажать "Выход из системы", диспетчер задач вкладка пользователи

Так что закрытие и запрет этих вещей - превентивные меры, но в результате бесполезные (или нужен костыль), а неудобств полно - как для пользователя, так и для админа настраивать всё это на каждого нового пользователя =).
-----

ВАЖНО
Есть такая политика "Запрет доступа к мастеру новых подключений", и либо она не работает, либо работает не как надо ...
Код:
Центр управления сетями и общим доступом -> Настройка нового подключения или сети
Здесь можно создать новое подключение, независимо от настройки политики.

ВАЖНО
Ещё нашёл вот такой мануал - http://windata.ru/windows-xp/faq-xp/...yh-soedineniy/.
Но у меня в реестре я не нашёл подраздел "Persistent Connections". Его нужно создать ? И будет ли он работать как надо при создании ... (UPD по сссылке вижу что это про XP)

Вопрос - как запретить пользователю создавать подключения ?
Подпись ? Не, не слышал ...

Последний раз редактировалось OmegaBerkut; 20.02.2020 в 09:36.
OmegaBerkut вне форума Ответить с цитированием
Старый 20.02.2020, 09:04   #2
waleri
Старожил
 
Регистрация: 13.07.2012
Сообщений: 6,493
По умолчанию

Цитата:
Сообщение от OmegaBerkut Посмотреть сообщение
Остаётся возможность создать какой нибудь VPN, и слить всё туда
Для этого требуются права администратора.
Не давайте права администратора налево и направо и проблем не будет.
Ограничивать подключения смысла нет - против этого есть брандмауер. Запретите выходящие соединения к неизвестным адресам и все.
waleri вне форума Ответить с цитированием
Старый 20.02.2020, 09:08   #3
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию

Цитата:
Сообщение от waleri Посмотреть сообщение
Для этого требуются права администратора.
Яж протестировал пока писал этот опус.
Два часа только текст выдумывал.
Можно всё создать и подключиться под пользователем. Права админа не выдавал.
Цитата:
Сообщение от waleri Посмотреть сообщение
Запретите выходящие соединения к неизвестным адресам
Это тоже достаточно интересная идея. Только блокировать всё - точно не вариант (беда будет), а что такое "неизвестные адреса" - я пока не понял.
Как это можно настроить для пользователя ? Запретить все выходящие соединения но только пользователю ?
Подпись ? Не, не слышал ...

Последний раз редактировалось OmegaBerkut; 20.02.2020 в 09:36.
OmegaBerkut вне форума Ответить с цитированием
Старый 20.02.2020, 10:27   #4
waleri
Старожил
 
Регистрация: 13.07.2012
Сообщений: 6,493
По умолчанию

Цитата:
Сообщение от OmegaBerkut Посмотреть сообщение
Можно всё создать и подключиться под пользователем.
Это не VPN. VPN работает через сетевой адаптер и установить его без админ прав нельзя.

Цитата:
Сообщение от OmegaBerkut Посмотреть сообщение
а что такое "неизвестные адреса"
Это адреса, которые не входят в список нужных для работы.


Цитата:
Сообщение от OmegaBerkut Посмотреть сообщение
Как это можно настроить для пользователя
В настройках указывать пользователя, для которого это относиться.
Я бы не стал с этим париться и запретил бы для всех.
Если админу что-то понадобиться админ всегда может поменять/отключить нужную настройку.
waleri вне форума Ответить с цитированием
Старый 20.02.2020, 10:53   #5
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию

Цитата:
Сообщение от waleri Посмотреть сообщение
Это не VPN. VPN работает через сетевой адаптер и установить его без админ прав нельзя.
При создании через
Код:
Центр управления сетями и общим доступом -> Настройка нового подключения или сети
создаётся сетевой адаптер (в "Изменение параметров адаптера").
Это спокойно делается под пользователем. И так же спокойно поднимается подключение.

Цитата:
Сообщение от waleri Посмотреть сообщение
Это адреса, которые не входят в список нужных для работы.
У нас таких скажем так, нет. Часто работники ищут информацию в гугле, а значит белый список у нас "открытый".

Цитата:
Сообщение от waleri Посмотреть сообщение
В настройках указывать пользователя, для которого это относиться.
Не увидел такой настройки правила брандмауэра. Может не там искал ? Ткните носом плиз.

Цитата:
Сообщение от waleri Посмотреть сообщение
Если админу что-то понадобиться админ всегда может поменять/отключить нужную настройку.
У нас есть админ - то есть я, а есть человек, который должен быть админом (начальник), но в эти вопросы либо не будет вникать, либо настучит мне по шапке за то что сайт в гугле не открывается.

=)
Подпись ? Не, не слышал ...
OmegaBerkut вне форума Ответить с цитированием
Старый 20.02.2020, 10:56   #6
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию

В догонку: пользователь должен быть ограничен только по RDP.
На хосте (не на сервере) он может творить чё ему вздумается.
И за свои косяки на хосте - получать по шапке будет уже пользователь.
Подпись ? Не, не слышал ...

Последний раз редактировалось OmegaBerkut; 20.02.2020 в 10:59.
OmegaBerkut вне форума Ответить с цитированием
Старый 20.02.2020, 11:38   #7
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию

Продумал два варианта.

1. Запретить выход на любые адреса с любыми портами, и полностью разрешить выход на доверенный сервер (VPN), который будет использоваться как основной шлюз с дальнейшим выходом в интернет, и запретить это подключение другим пользователям.
Это будет работать как надо, но дбавляется промежуточное звено, а значит минус аптайм. Если доведётся - нарисую сюда схему того что у меня уже есть.

2. Разновидность варианта с программой, которая мониторит и убивает explorer.exe, только не самописная программа, а задача в планировщике. Допустим каждые пять секунд выполнять команду
Код:
taskkill /F /IM explorer.exe /FI "USERNAME eq RemoteUser"
Но и тут нюанс: помимо выше указанных неудобств администрирования и пользования - вопрос как сделать что бы не появлялось окно командной строки taskeng.
Ибо каждые пять секунд оно будет сбивать фокус.
И, - можно ли в триггерах задать запуск определённой программы ??
Подпись ? Не, не слышал ...

Последний раз редактировалось OmegaBerkut; 20.02.2020 в 11:42.
OmegaBerkut вне форума Ответить с цитированием
Старый 20.02.2020, 12:29   #8
waleri
Старожил
 
Регистрация: 13.07.2012
Сообщений: 6,493
По умолчанию

Цитата:
Сообщение от OmegaBerkut Посмотреть сообщение
На хосте (не на сервере) он может творить чё ему вздумается.
Ну так запретите все адреса на сервере, а если надо рыться в гугле - пусть роется с хоста...

Цитата:
Сообщение от OmegaBerkut Посмотреть сообщение
Разновидность варианта с программой, которая мониторит и убивает explorer.exe
Зачем такие сложности? Запретите explorer.exe для запуска и все, только это есть шелл, так что убивать/запрещать его не стоит, да и не понятно зачем.
waleri вне форума Ответить с цитированием
Старый 20.02.2020, 22:41   #9
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию

Цитата:
Сообщение от waleri Посмотреть сообщение
Зачем такие сложности? Запретите explorer.exe для запуска и все
Не собираюсь я этого делать, хотя для полной "корпоративности" - идея интересная и полезная.
Может как нибудь когда нибудь реализую.

Цитата:
Сообщение от waleri Посмотреть сообщение
запретите все адреса на сервере
На сервере работает админ как на обычном ПК.
Подпись ? Не, не слышал ...
OmegaBerkut вне форума Ответить с цитированием
Старый 20.02.2020, 22:41   #10
OmegaBerkut
Спокойный псих
Участник клуба
 
Аватар для OmegaBerkut
 
Регистрация: 19.03.2013
Сообщений: 1,538
По умолчанию

Цитата:
Сообщение от waleri Посмотреть сообщение
Зачем такие сложности? Запретите explorer.exe для запуска и все
Не собираюсь я этого делать, хотя для полной "корпоративности" - идея интересная и полезная.
Может как нибудь когда нибудь реализую.

Цитата:
Сообщение от waleri Посмотреть сообщение
запретите все адреса на сервере
На сервере работает админ как на обычном ПК.
Подпись ? Не, не слышал ...
OmegaBerkut вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
имена пользователей Windows Pein95 Win Api 8 10.11.2013 16:49
[ОБУЧЕНИЕ] Настройка всесторонней анонимности и безопасности Teodor Bodler Безопасность, Шифрование 2 16.02.2013 17:53
Центр безопасности Windows+Антивирус Артемского ProgMaster Общие вопросы Delphi 9 18.02.2012 14:02
Журналы безопасности Windows Sparky Безопасность, Шифрование 3 11.10.2009 10:39