|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
20.02.2020, 08:43 | #1 |
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
Настройка безопасности пользователей Windows
Здравствуйте. Основной вопрос в последней строчке, всё остальное - предыстория, часть которой не имеет особого отношения к вопросу, важное отмечено ЖИРНЫМ КАПСОМ.
Есть настроенный RDP (Windows 7) с учётными записями под управление, необходимо для работы в 1С. Есть определённые трудности с настройками безопасного доступа: - большинство "правильных" настроек идёт через групповые политики, и не только в этом проблема; - групповые политики работают на ВСЕ учётные записи (в т. ч. на админов), разграничение - танцы с бубном; - необходим исправный доступ в систему, и чтение/запись файлов 1С - выполнение программы, сохранение данных программы все дела; - общая лень и отсутствие времени всё это настраивать. Казалось бы. Политики групповые, а настроить правила на группу - достаточно сложно. И дальше будет понятно, что gpedit.msc не везде справляется со своими задачами. Из настроек я запретил перенаправление устройств по RDP (диски-флешки и т. п.), так же буфер обмена и т. д. Это в групповых политиках. Ещё закрыл доступ в браузеры - вкладка "Безопасность" для папок хрома и Internet Explorer (для второго нужно дополнительно поменять владельца). Получилось достаточно просто: не получится ничего принести или унести - так как все банальные пути закрыты (буфер обмена и браузеры). Но есть ещё один путь, о котором далее. Пользователь может управлять подключениями. В частности он может отключить Wi-Fi соединение, но не в этом проблема - комп будет работать через провод (отключить само подключение он не может). Остаётся возможность создать какой нибудь VPN, и слить всё туда. Или принести что нибудь оттуда. Посредством проводника. Я понимаю что обыватели не умеют и/или не знают об этом, а более продвинутые предпочитают использовать сторонние приложения вроде OpenVpn или ещё что нибудь. ----- Думал сначала запретить проводник (справку и диспетчер задач тоже), но тогда у пользователя вообще ничего не загружается. Тогда я подумал добавить батник в автозагрузку Код:
Но пришёл к выводу что этот же explorer.exe можно запустить из common dialog (open/save) самого 1С. Как вариант развития этого метода - написать программу, которая будет мониторить процессы пользователя, и убивать explorer.exe. Но мало того что зашквар, так ещё и неудобства остаются. Из неудобств пользователя: - не видно язык ввода; - нельзя завершить сеанс; - не получится запустить 1С в случае падения или случайного закрытия, нужно закрыть удалённое управление и ждать пять минут пока не завершится сеанс (я так настроил) или просить админа нажать "Выход из системы", диспетчер задач вкладка пользователи Так что закрытие и запрет этих вещей - превентивные меры, но в результате бесполезные (или нужен костыль), а неудобств полно - как для пользователя, так и для админа настраивать всё это на каждого нового пользователя =). ----- ВАЖНО Есть такая политика "Запрет доступа к мастеру новых подключений", и либо она не работает, либо работает не как надо ... Код:
ВАЖНО Ещё нашёл вот такой мануал - http://windata.ru/windows-xp/faq-xp/...yh-soedineniy/. Но у меня в реестре я не нашёл подраздел "Persistent Connections". Его нужно создать ? И будет ли он работать как надо при создании ... (UPD по сссылке вижу что это про XP) Вопрос - как запретить пользователю создавать подключения ?
Подпись ? Не, не слышал ...
Последний раз редактировалось OmegaBerkut; 20.02.2020 в 09:36. |
20.02.2020, 09:04 | #2 |
Старожил
Регистрация: 13.07.2012
Сообщений: 6,331
|
Для этого требуются права администратора.
Не давайте права администратора налево и направо и проблем не будет. Ограничивать подключения смысла нет - против этого есть брандмауер. Запретите выходящие соединения к неизвестным адресам и все. |
20.02.2020, 09:08 | #3 |
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
Яж протестировал пока писал этот опус.
Два часа только текст выдумывал. Можно всё создать и подключиться под пользователем. Права админа не выдавал. Это тоже достаточно интересная идея. Только блокировать всё - точно не вариант (беда будет), а что такое "неизвестные адреса" - я пока не понял. Как это можно настроить для пользователя ? Запретить все выходящие соединения но только пользователю ?
Подпись ? Не, не слышал ...
Последний раз редактировалось OmegaBerkut; 20.02.2020 в 09:36. |
20.02.2020, 10:27 | #4 |
Старожил
Регистрация: 13.07.2012
Сообщений: 6,331
|
Это не VPN. VPN работает через сетевой адаптер и установить его без админ прав нельзя.
Это адреса, которые не входят в список нужных для работы. В настройках указывать пользователя, для которого это относиться. Я бы не стал с этим париться и запретил бы для всех. Если админу что-то понадобиться админ всегда может поменять/отключить нужную настройку. |
20.02.2020, 10:53 | #5 | ||
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
Цитата:
Код:
Это спокойно делается под пользователем. И так же спокойно поднимается подключение. У нас таких скажем так, нет. Часто работники ищут информацию в гугле, а значит белый список у нас "открытый". Не увидел такой настройки правила брандмауэра. Может не там искал ? Ткните носом плиз. Цитата:
=)
Подпись ? Не, не слышал ...
|
||
20.02.2020, 10:56 | #6 |
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
В догонку: пользователь должен быть ограничен только по RDP.
На хосте (не на сервере) он может творить чё ему вздумается. И за свои косяки на хосте - получать по шапке будет уже пользователь.
Подпись ? Не, не слышал ...
Последний раз редактировалось OmegaBerkut; 20.02.2020 в 10:59. |
20.02.2020, 11:38 | #7 |
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
Продумал два варианта.
1. Запретить выход на любые адреса с любыми портами, и полностью разрешить выход на доверенный сервер (VPN), который будет использоваться как основной шлюз с дальнейшим выходом в интернет, и запретить это подключение другим пользователям. Это будет работать как надо, но дбавляется промежуточное звено, а значит минус аптайм. Если доведётся - нарисую сюда схему того что у меня уже есть. 2. Разновидность варианта с программой, которая мониторит и убивает explorer.exe, только не самописная программа, а задача в планировщике. Допустим каждые пять секунд выполнять команду Код:
Ибо каждые пять секунд оно будет сбивать фокус. И, - можно ли в триггерах задать запуск определённой программы ??
Подпись ? Не, не слышал ...
Последний раз редактировалось OmegaBerkut; 20.02.2020 в 11:42. |
20.02.2020, 12:29 | #8 |
Старожил
Регистрация: 13.07.2012
Сообщений: 6,331
|
Ну так запретите все адреса на сервере, а если надо рыться в гугле - пусть роется с хоста...
Зачем такие сложности? Запретите explorer.exe для запуска и все, только это есть шелл, так что убивать/запрещать его не стоит, да и не понятно зачем. |
20.02.2020, 22:41 | #9 |
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
Не собираюсь я этого делать, хотя для полной "корпоративности" - идея интересная и полезная.
Может как нибудь когда нибудь реализую. На сервере работает админ как на обычном ПК.
Подпись ? Не, не слышал ...
|
20.02.2020, 22:41 | #10 |
Спокойный псих
Участник клуба
Регистрация: 19.03.2013
Сообщений: 1,538
|
Не собираюсь я этого делать, хотя для полной "корпоративности" - идея интересная и полезная.
Может как нибудь когда нибудь реализую. На сервере работает админ как на обычном ПК.
Подпись ? Не, не слышал ...
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
имена пользователей Windows | Pein95 | Win Api | 8 | 10.11.2013 16:49 |
[ОБУЧЕНИЕ] Настройка всесторонней анонимности и безопасности | Teodor Bodler | Безопасность, Шифрование | 2 | 16.02.2013 17:53 |
Центр безопасности Windows+Антивирус Артемского | ProgMaster | Общие вопросы Delphi | 9 | 18.02.2012 14:02 |
Журналы безопасности Windows | Sparky | Безопасность, Шифрование | 3 | 11.10.2009 10:39 |