Hogyan lehet megölni egy vendégfiók jogát, így csak a böngészőt futtathatja
Helyesen írtál a programok elindításának korlátozásáról (Szoftverkorlátozási házirend vagy SRP / Alkalmazáskezelő). Megpróbálom tisztázni a probléma megoldásának lényegét.
A legfontosabb dolog az NTFS ACL, hogy blokkolja a felhasználók képesek futtatni programokat bárhonnan, ahol tudnak éget a fájlokat, és használja az SRP, hogy korlátozzák a jogait operációs rendszer programok futtatásához csak Katalógus, amelyben a felhasználók nem tud írni. Általánosságban elmondható, hogy lehetővé kell tenni, hogy a programok futtatásához csak a Program Files és a Windows, de nem szabad, hogy elfogy a systemdrive: \ Windows \ tmp és systemdrive: \ Windows \ blablabla \ kezelő
Ehhez meg kell értened, hogy az NTFS-k milyen jogokat örökölnek. A rendszer minden olyan lemezén, amelyen vannak programok, amelyek futtathatják a programokat - NTFS. A legjobb, ha mindig csak programfájlokban futtatnak programokat, ezeknek a programoknak a felhasználóknak soha nem kell írni a rendszerkönyvtárakhoz.
Bármely manipulációt NTFS és ACL eszközzel végeznie kell, aki megérti, mit csinál!
Néhány megjegyzés.
Az SRP és / vagy az AppLocker nem minden Windows-eloszlásban elérhető. Nyilvánvaló, hogy az MS pénzt kereső gép. De SRP közvetlenül érinti az alapja a számítógépes biztonság alapjait Windows operációs rendszerek és nekem nem tűnik logikusnak, hogy adjunk UAC, de nem adja meg a lehetőséget, hogy megvédje a rendszert a SRP a nagyon olcsó OEM Windows rendszert. Az SRP megjelenése előtt használtam a csodálatos TrustNoExe programot. Szabadon lehet egy olyan szolgáltatás formájában, amely fehér és fekete listát tartalmaz. Az új Windows disztribúciók, én nem érzem, de ez lezárja a szakadékot a Windows biztonsági ahol NTFS, de nem SRP.
Az SRP nem csodaszer. Sajnos a programot, aki végre tud hajtani szkriptek, mint a Word, Excel, stb használható injekció külföldi végrehajtható kódot, így próbálja felemelni a jogosultságokat jól ismert, és nem olyan sérülékeny.
Ráadásul ez a megközelítés lehetővé teszi, hogy elhagyja a víruskereső programot, ha nem idézi fel ismeretlen és még ismert szoftvereket sem.
HJK. Igazságosan elmondta: egy másik felhasználó nevében kezdődik. Windows: runas / user: guglemugle "c: \ programfájlok \ goglechrome \ chrome.exe"
linux: su --login guglemugle -c "/home/guglemugle/google.sh"
Egyértelműen értenie kell, hogy minden, amit a "számlájáról", az Önről és bármelyik programról a fiókjából indíthat.
A Google nem romlott a nyilvántartásában két ajánlás:
1) Ne tegye azt egyáltalán. Követem. Nem kell valaki más keresőmotorja, hogy üljön a számítógépembe. Vannak más böngészők is. Nem jobbak, de legalább megjelenésükben "egy másik egyházmegyé".
2) Tedd, de "repedj az ujjaidat". A krómot a rendszergazdai fiókból tüntettük fel, figyelmesen elolvassuk a telepítéskor használt gombokat és linkeket. Elveszítjük azokat, akik valamilyen szolgáltatást akarnak vmit tenni, vagy a költségükön javítják monopóliumhelyzetüket. A telepítés után mindent törölünk, amit titokban a szolgáltatásokba helyeztek: sc delete googlobla-bla-bla.
A programfájlok mappájának NTFS tulajdonságait megyünk, és eltávolítjuk az összes jogosultságot minden felhasználónak. Hagyja csak az adminisztrátorokat, a rendszert, és adja hozzá a helyi felhasználói grafikát (előre meg kell adnia) az "olvasás és futtatás" jogával. Ezzel megpróbáljuk biztosítani, hogy senki sem tud krómot vezetni, kivéve a szivárványt. Készítsen egy csapat fájlt
guglemugle.cmd készítsen parancsikont, dobja az asztalra.
Természetesen szükséged lesz egy mappára fájlok megosztására. Vagy zamapte meg (guglemugle) mappát a mappa csomópontok (de meg a megfelelő jogokkal), vagy csatlakoztassa a hálózaton keresztül a munkamenet net use (csatlakoztassa az ülésen mappát a Google, és nem fordítva!) Vagy a Nyilvános mappában vagy standart Windows, vagy hozzon létre ő például C: \ _ AXTUNG_GOOGLE_ és állítsa a letöltéshez mappát. Ne feledje, hogy guglemugle kell férnie nélkül ott a jelszó megadása után „uchotki”.
Általában ez az! Most ez a bors nem mászhat más felhasználók fájljaira, és homokozójában csak az internetről kötött salak van. A szolgáltatásokat el kell távolítani, mert nem tud titokban megragadni a lemezt, és mindent megtenni, amit ő akar, és ő maga is rázza egy külön homokozóba. De láthatja az asztal állapotát. Nem akarsz látni? Futtathat egy külön virtuális asztalon. Például a Seamless terminál szerver ablakok, amikor az alkalmazás megjelenik Önnek egy ablakként, nem pedig asztali számítógépként. És akkor továbblépünk a virtualizációra. De ez egy különálló és nagyon érdekes téma.
Figyelmeztetés: Ha egy másik munkamenetből indul, egyes alkalmazások nehézségekbe ütköznek, amikor megpróbálják megnyitni az explorer és más alkalmazások egy másik munkamenet keretében futó alkalmazásokat. Ezt csak egy terminál munkamenet vagy egy alternatív alkalmazás kezeli.
younghacker. köszönöm a nagyon részletes magyarázatot!
younghacker. Nagyon örülök! (több lenne, mint te)
csak a memóriában látható a 0xDEADFACE
Igen, csak - csináld böngészõgéptõl.
Alt-Control-Del -> Feladatkezelő -> Futtassuk, amit akarok.
a menedzser átnevezi, megtiltja a nyilvántartásban való elkezdést stb.
Alexxander érdekesnek találta, köszönöm. És hol kell ásni, hogy megértsük, hogyan lehet a böngészőt shell-ként csinálni?
alexxandr Igen, remek. Határozottan próbálom, köszönöm!
HJK. ez egy rossz lehetőség.
Ctrl + O - és itt van a fájlrendszerhez való hozzáférés.
De ha korlátozzák a jogait ntfs (legalábbis zaprntit semmilyen kapcsolat, még olvasni a gyökér könyvtárat és adjuk hozzá a szoftver házirendek - kb.