Написахте относно програмите на истинските правилата за ограничаване (Software Ограничаване на политиката или SRP / App шкафче). Опитвам се малко, за да се изясни същността на проблема.
Основното нещо да направите, е да използвате NTFS ACL за блокиране на потребителите възможността за стартиране на програми от всяка точка, където те могат да горят файлове и да използвате SRP да ограничава правата на операционни системи за стартиране на програми само каталог, в който потребителите не могат да пишат. Като цяло, трябва да се допуска за стартиране на програми само от Program Files и Windows, но не е позволено да се изчерпи SystemDrive: \ Windows \ TMP и SystemDrive: \ Windows \ blablabla \ спулер
За да направите това, което трябва да разберете какви са техните права NTFS наследство. Всички устройства в една система, в която има програми, които могат да работят на програмата - да се направи NTFS. Винаги е добре да стартирате програмата бяха само в Program Files с потребителите на тези програми никога не трябва да има права за запис в системните каталози.
Всяка манипулация на ACL и NTFS трябва да притежава човек, който разбира какво да правя!
Няколко забележки.
SRP и / или AppLocker не е налична във всички дистрибуции на Windows. Ясно е, че МС е машина за печелене на пари. Но SRP влияе директно върху основата на основите на компютърната сигурност на операционни системи Windows и за мен не изглежда логично да добавите UAC, но не даде възможност да се защити системата, използвайки SRP най-евтин система OEM Windows. Преди появата на SRP аз се радва на голяма програма TrustNoExe. Той е свободен да се сложи услуги има бели и черни списъци. В новата версия на Windows дистрибуции, аз не го усещам, но може да намали разликата в Windows сигурност, когато има NTFS, но не и SRP.
SRP не е панацея. За съжаление програмата, които могат да изпълняват скриптовете като Word, Excel и др може да се използва за инжектиране на чужд изпълним код, така че може да се опита да издигне привилегии чрез използване на добре познати и не толкова уязвима.
Освен това, този подход ще ви позволи да се откаже от анти-вирус, освен ако не небрежно сложи някакъв непознат и дори на добре познатия софтуер.
HJK. Ти казваш е вярно: Изпълнявай като друг потребител. За прозорци: runas / потребител: guglemugle "C: \ Program Files \ goglechrome \ chrome.exe"
за Linux: су --login guglemugle -c "/home/guglemugle/google.sh"
Вие трябва ясно да се разбере, че всичко, което можете да на си "uchotki" може всяка програма работи на вашия акаунт.
За да не guglhrom рови си обяви, имам две препоръки:
1) Не я тури всички. Аз я последва. Няма нужда от други търсачки, за да седне на компютъра ми. Има и други браузъри. Те са не по-добре, но поне на външен вид е "друга епархия."
2) Поставете но "zalomat пръсти." Сложете хром върху uchotki администратор, внимателно да четете всички бутони и можем да кредитираме по време на инсталацията. Премахване на тези, които се опитват да vtyuhat някои услуги или да се подобри резултата си за монополно положение. След като инсталирате премахнете всичко, което той тайно инструктирани в областта на услугите: SC изтриване googlobla-дрън-дрън.
Отиди до NTFS свойства Program Files папки и премахва всички права за всички потребители. Тема само за администратори, система и добавяне на локален потребител guglemugle (тя трябва да започне по-рано) с правата да "чете и изпълнява". Това се постига, че никой не може да работи с Chrome освен guglemugle. Да командва файл
guglemugle.cmd го направи пряк път, хвърлят на вашия работен плот.
Разбира се, че се нуждаем от папката за споделяне на файлове. Или го (guglemugle) папка zamapte през кръстовищата на директориите (но да зададете правилните права), или да се свържете в мрежа до нетно използване на сесия (можете да включите във вашата сесия папка на Google, а не обратното!) Или публичната папка или стандартно в Windows или да създадете неговия пример C: \ _ AXTUNG_GOOGLE_ и се приспособи към Свали хром папка. Не забравяйте, че трябва да има достъп guglemugle там, без да въвеждате парола "uchotki".
Като цяло, това е всичко! Сега, тази пипер няма да може да се изкачи на файлове на друг потребител, а в неговия пясък само вързани с шлака от Интернет. Услуги отстранени тя няма да бъде в състояние да се тайно разрови диск и сложи всичко, което той иска, и той се включи в отделно пясък. Но той можеше да види състоянието на работния плот. Искаш ли да се види? Работят с отделна виртуална десктоп. Например безшевни прозорци терминален сървър, когато заявлението се доставят до вас в кутия, а не като работен плот. И тогава ние се движат към виртуализация. Но това е много интересна тема.
Забележка: Ако ви свършат на други сесии, някои приложения имат проблеми, когато се опитате да отворите изследовател и други приложения, изпълнявани в контекста на друга сесия. Това може да се лекува само чрез терминал сесия, или алтернативно приложение.
younghacker. Благодаря ви за много подробно обяснение!
younghacker. Радвам се! (В ще бъде по-скоро като вас)
ще видите в паметта само 0xDEADFACE
Това е просто - да черупка на браузъра за него.
Alt-дел контрол -> Task Manager -> Искам да изпълня.
Мениджър за преименуване, деактивиране на стартиране на системния регистър и т.н.
Alexxander интересна идея, благодаря ви. А къде да се копае, за да разбера как да се направи корпуса на браузъра?
alexxandr да, страхотно. Аз ще се опитам, благодаря ти!
HJK. това е лош вариант.
Ctrl + O - и това достъп до файловата система.
Но ако се ограничава правата на NTFS (поне zaprntit всеки достъп, дори и при четене от главната директория и да добавите политиките за ограничаване на софтуера - ок.
Свързани статии