Как "закрыть всё" кроме VN ?

[Thiblack]

Взято из темы Про Linux

2. Охрана имеет доступ к консоли сервера, но кроме VN там ничего не крутится.
Требуемые действия - запустить vn сервисом, сделать autologon в операционку учеткой с ограниченными правами, в которой отключен shell, запрещен запуск всего, кроме vn. Закрыть файрволлом все входящие порты, кроме требуемых VN и rdp/radmin/vnc/netop/dameware/etc, запретить все исходящие соединения. Отключить autorun. В особо тяжелых случаях отключить все usb, кроме уже используемых. Опять же - как туда попадет зараза?

Возникли вопросы:

1. Как запустить VN сервисом стандартными средствами?
2. Учётка в которой отключен shell - что имеется ввиду? Запрет запуска explorer.exe (права пользователя)? Или есть варианты с настройкой реестра?
3. Если отключен шелл зачем запрещать запуск всего кроме VN?

Вообщем интересен опыт как "закрыть всё" кроме VN.
ОС - WinXP.

[Vibat]

del

[Stranger]

Взято из темы Про Linux

2. Охрана имеет доступ к консоли сервера, но кроме VN там ничего не крутится.
Требуемые действия - запустить vn сервисом, сделать autologon в операционку учеткой с ограниченными правами, в которой отключен shell, запрещен запуск всего, кроме vn. Закрыть файрволлом все входящие порты, кроме требуемых VN и rdp/radmin/vnc/netop/dameware/etc, запретить все исходящие соединения. Отключить autorun. В особо тяжелых случаях отключить все usb, кроме уже используемых. Опять же - как туда попадет зараза?

Возникли вопросы:

1. Как запустить VN сервисом стандартными средствами?
2. Учётка в которой отключен shell - что имеется ввиду? Запрет запуска explorer.exe (права пользователя)? Или есть варианты с настройкой реестра?
3. Если отключен шелл зачем запрещать запуск всего кроме VN?

Вообщем интересен опыт как "закрыть всё" кроме VN.
ОС - WinXP.

1. В инструкции по инсталляции VideoNet на странице 39 в пункте 4.1.1 описан штатный вариант запуска VideoNet сервисом.
2. Имелся ввиду вариант с настройкой в реестре.
3. Если не отключить, например, task manager, то можно запустить все, что заблагорассудится. Есть и иные варианты по запуску чего-либо с изначально отключенным shell'ом в VideoNet.

[Thiblack]

1. В инструкции по инсталляции VideoNet на странице 39 в пункте 4.1.1 описан штатный вариант запуска VideoNet сервисом.
2. Имелся ввиду вариант с настройкой в реестре.
3. Если не отключить, например, task manager, то можно запустить все, что заблагорассудится. Есть и иные варианты по запуску чего-либо с изначально отключенным shell'ом в VideoNet.

1. уже применил. Да надо читать мануалы...
2. подскажите как, а то сам найти не могу.
3. можно подробнее про иные варианты с отключенным шеллом и таскменеджером

[Stranger]

2. подскажите как, а то сам найти не могу.
3. можно подробнее про иные варианты с отключенным шеллом и таскменеджером

2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - для всех пользователей. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - для конкретного пользователя.
3. Не думаю, что обсуждение на форуме таковых вариантов будет правильным.

[Vibat]

del

[Stranger]

Не пойму, почему плохо обсуждать альтернативные оболочки. Это чем-то незаконно ?

Вероятно, я что-то пропустил. Кто сказал, что обсуждать альтернативные оболочки - плохо?
Imho, в этом топике Вы первый, кто вообще упомянул что-либо об альтернативных оболочках.

[Vibat]

del

[Stranger]

Безусловно Владимир - пропустил. На этом месте было меё сообщение про утилиту BlackBox, которую удалили без моего согласия, размещение я спросил у её автора Максима Туманова. Если и далее будут удалять без видимых на то причин, я предупреждаю, к этому отношусь очень болезненно. Не нравиться - напишите почему, но на форуме.

Виктор, мне кажется, что происходит подмена понятий.

Во-первых, упомянутая Вами утилита не является "альтернативной оболочкой", она именно отключает штатную оболочку (explorer) и производит дополнительный ряд манипуляций по ограничению возможностей конкретного пользователя в операционной системе.

Во-вторых, в определенных и не всегда редких ситуациях, использование этой утилиты не приносит желаемого результата. Насколько я помню, Вы сами были тому свидетелем. Думаю, что распространять данную утилиту, как глобальную панацею, выложив ее на форуме - неправильно.

[Vibat]

Спасибо за обстоятельный и честный ответ. Подтверждаю, дважды слетал профиль юзера под BlackBox. Лечиться удалением профиля. Неподготовленным пользователям также не рекомендую пользоваться данной утилитой.

[Thiblack]

Stranger спасибо за советы.
Про шелл... отсюда HKLM вырезал сюда HKCU для учётки админа вставил - у юзера пропала панель задач и рабочий стол.

Диспетчер задач для юзеров закрыл в групповых политиках.

Программый контроль включил.

Всё замечательно работает.

Осталась одна дырка - Win+U о которой упоминал Vibat в стертых сообщениях...
Очень радует что microsoft так заботится о людях с ограниченными возможностями...
...поставил запрещающие права на utilman.exe - вроде не запускается.

Флешки закрыл - реестр + права на файлы драйверов.

Ничего не забыл?

2Vibat на досуге посмотрю что такое BB.

[Vibat]

del

[dr0m0k]

в политика есть еще запрет на запуск чего либо кроме указанного софта...

[Vibat]

del

[Thiblack]

Вот такой вопрос.
Все замечательно работает под "урезанным" юзером ? taskmgr.exe не запускается ..
И как быстро и оперативно вернуться под Администратора винды ?
Да мало ли, я всегда чего-то забывал.
Оставлять или нет окно приветсвия ? Если оставлять, то не решает задачу видеонаблюдения по сбою электропитания.
Точно ли закрыл USB ? вынут HASP вставят флэшку ( вроде в ОС начиная с Vista , можно у групповых политиках определять USB устройство по ID )
Много останеться таких скользких моментов ..
На BIOS пароль , на ящик замок, и всё на дуб приковать цепями

Запуск же и работа VideoNet от пользователя с ограниченными правами вполне возможны. Для этого необходимо следующее:

1. Полный доступ пользователя к каталогу, куда установлен VideoNet.
2. Полный доступ пользователя к тому ресурсу, куда производится сохранение архива.
3. Полный доступ пользователя к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\PENTACON (для VideoNet до 8.4 включительно), либо к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\SKYROS (для VideoNet 8.5 и более новых).

- открыл программе то что она просит.
- окно приветствия убрал = в окне по (Ctrl+Alt+Del) Безопасность Windows диспетчер недоступен, по Ctrl+Shift+Esc - вызов диспетчера система сообщает о том что функция отключена Администратором.
- автологон пользователя через "control userpasswords2" + автологон видеонет.
- быстро и оперативно под Администратора? Ctrl+Alt+Del - выход из системы.

- Про флеш:
* убрал права с файлов:
* %SystemRoot%\Inf\Usbstor.pnf
* %SystemRoot%\Inf\Usbstor.inf
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USbStor и выбрал там переменную Start поменял значение на "4" - USB накопители отключены.
* закрыл права на ветку реестра всем, даже system, кроме учётки администратора
* при этом USB клавиатуру и мышь и ключ можно вставить в любой порт - работают.

Политика запрета запуска других программ? - считаю перебор при такой обрезке.
На BIOS пароль - конечно стоит!
Комп в ящик под замок - зря смеётесь! В групповых политиках не запретишь охране откручивать провода от плат захвата!!! но это уже вопрос вредительства.

Очень хорошо поговорили, давайте продолжим про скользкие моменты?

Tweak-XP интересная программа, но мне удобнее ручками.

[Vibat]

Похоже хорошая работа
Давай только уточним:
Диспетчер задач , он же Windows Task Manager
может запускаться 4мя способами
- Ctrl+Shift+Esc
- Ctrl+Alt+Del
- правый клик мыши по панели задач, выбрать соотв. пункт
- выполнить taskmgr.exe
После запуска можно как запустить какие-либо приложения, так и перелогиниться Админом. Возможно я что-то непонимаю ..

[dr0m0k]

2 Thiblack: интересно про отколючение флешек... запомню - пригодится... я ж всё собираюсь утилу написать, которая это всё делает одним махом, но всё никак не закончу

сам не пользуюсь ТвикXP - ставлю запрет на запуск в реестре... а если не использовать запрет, то могу сказать как запускать произвольный софт - заходишь в конфигурацию, там жмешь в меню "?" и выбираешь один из пунктов, которые обращаются в интернет - это приводит к запуску Internet Explorer, ну а в нём вместо адреса пишешь с: и вот тебе обычный "Проводник". Конечно, способ не простой, но вполне работоспособный...

[Vibat]

del

[dr0m0k]

Потому с недавних пор мы (фирма где я работаю) вообще оставляем компы незащищенными. Накосячил - ПЛАТИ !

согласен! защищаю только когда просят, а чаще тоже оставляю - надо же как-то себе гарантировать поступление финансов на будущее

[Pasha-Vov]

А как сбросить пароль Администратора VideoNet ?

[Vibat]

delete

[Slav]

Для этого нужно иметь 150 сообщений на нашем форуме.
Потом обращайся - легко.

На самом деле можно сбросить пароль администратора в Videonet?

[rnd]

если есть сохраненная конфигурация под рукой

[Vibat]

del

[BigMax]

Виктор - это жесть
Ваши шутки могут быть не всем понятны (иногда сам не могу понять вы серьезно или нет).
Пароль Администратора - узнать, заменить на новый, если забыли старый и т.п. НЕЛЬЗЯ!