Форум VideoNet

Взято из темы Про Linux

Stranger писал(а):2. Охрана имеет доступ к консоли сервера, но кроме VN там ничего не крутится.
Требуемые действия - запустить vn сервисом, сделать autologon в операционку учеткой с ограниченными правами, в которой отключен shell, запрещен запуск всего, кроме vn. Закрыть файрволлом все входящие порты, кроме требуемых VN и rdp/radmin/vnc/netop/dameware/etc, запретить все исходящие соединения. Отключить autorun. В особо тяжелых случаях отключить все usb, кроме уже используемых. Опять же - как туда попадет зараза?

Возникли вопросы:

1. Как запустить VN сервисом стандартными средствами?
2. Учётка в которой отключен shell - что имеется ввиду? Запрет запуска explorer.exe (права пользователя)? Или есть варианты с настройкой реестра?
3. Если отключен шелл зачем запрещать запуск всего кроме VN?

Вообщем интересен опыт как "закрыть всё" кроме VN.
ОС - WinXP.

del

Thiblack писал(а):Взято из темы Про Linux

Stranger писал(а):2. Охрана имеет доступ к консоли сервера, но кроме VN там ничего не крутится.
Требуемые действия - запустить vn сервисом, сделать autologon в операционку учеткой с ограниченными правами, в которой отключен shell, запрещен запуск всего, кроме vn. Закрыть файрволлом все входящие порты, кроме требуемых VN и rdp/radmin/vnc/netop/dameware/etc, запретить все исходящие соединения. Отключить autorun. В особо тяжелых случаях отключить все usb, кроме уже используемых. Опять же - как туда попадет зараза?

Возникли вопросы:

1. Как запустить VN сервисом стандартными средствами?
2. Учётка в которой отключен shell - что имеется ввиду? Запрет запуска explorer.exe (права пользователя)? Или есть варианты с настройкой реестра?
3. Если отключен шелл зачем запрещать запуск всего кроме VN?

Вообщем интересен опыт как "закрыть всё" кроме VN.
ОС - WinXP.

1. В инструкции по инсталляции VideoNet на странице 39 в пункте 4.1.1 описан штатный вариант запуска VideoNet сервисом.
2. Имелся ввиду вариант с настройкой в реестре.
3. Если не отключить, например, task manager, то можно запустить все, что заблагорассудится. Есть и иные варианты по запуску чего-либо с изначально отключенным shell'ом в VideoNet.

Stranger писал(а):1. В инструкции по инсталляции VideoNet на странице 39 в пункте 4.1.1 описан штатный вариант запуска VideoNet сервисом.
2. Имелся ввиду вариант с настройкой в реестре.
3. Если не отключить, например, task manager, то можно запустить все, что заблагорассудится. Есть и иные варианты по запуску чего-либо с изначально отключенным shell'ом в VideoNet.

1. уже применил. Да надо читать мануалы...
2. подскажите как, а то сам найти не могу.
3. можно подробнее про иные варианты с отключенным шеллом и таскменеджером

Thiblack писал(а):2. подскажите как, а то сам найти не могу.
3. можно подробнее про иные варианты с отключенным шеллом и таскменеджером

2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - для всех пользователей. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - для конкретного пользователя.
3. Не думаю, что обсуждение на форуме таковых вариантов будет правильным.

del

Vibat писал(а):Не пойму, почему плохо обсуждать альтернативные оболочки. Это чем-то незаконно ?

Вероятно, я что-то пропустил. Кто сказал, что обсуждать альтернативные оболочки - плохо?
Imho, в этом топике Вы первый, кто вообще упомянул что-либо об альтернативных оболочках.

del

Vibat писал(а):Безусловно Владимир - пропустил. На этом месте было меё сообщение про утилиту BlackBox, которую удалили без моего согласия, размещение я спросил у её автора Максима Туманова. Если и далее будут удалять без видимых на то причин, я предупреждаю, к этому отношусь очень болезненно. Не нравиться - напишите почему, но на форуме.

Виктор, мне кажется, что происходит подмена понятий.

Во-первых, упомянутая Вами утилита не является "альтернативной оболочкой", она именно отключает штатную оболочку (explorer) и производит дополнительный ряд манипуляций по ограничению возможностей конкретного пользователя в операционной системе.

Во-вторых, в определенных и не всегда редких ситуациях, использование этой утилиты не приносит желаемого результата. Насколько я помню, Вы сами были тому свидетелем. Думаю, что распространять данную утилиту, как глобальную панацею, выложив ее на форуме - неправильно.

Спасибо за обстоятельный и честный ответ. Подтверждаю, дважды слетал профиль юзера под BlackBox. Лечиться удалением профиля. Неподготовленным пользователям также не рекомендую пользоваться данной утилитой.

Stranger спасибо за советы.
Про шелл... отсюда HKLM вырезал сюда HKCU для учётки админа вставил - у юзера пропала панель задач и рабочий стол.

Диспетчер задач для юзеров закрыл в групповых политиках.

Программый контроль включил.

Всё замечательно работает.

Осталась одна дырка - Win+U о которой упоминал Vibat в стертых сообщениях...
Очень радует что microsoft так заботится о людях с ограниченными возможностями...
...поставил запрещающие права на utilman.exe - вроде не запускается.

Флешки закрыл - реестр + права на файлы драйверов.

Ничего не забыл?

2Vibat на досуге посмотрю что такое BB.

del

в политика есть еще запрет на запуск чего либо кроме указанного софта...

del

Vibat писал(а):Вот такой вопрос.
Все замечательно работает под "урезанным" юзером ? taskmgr.exe не запускается ..
И как быстро и оперативно вернуться под Администратора винды ?
Да мало ли, я всегда чего-то забывал.
Оставлять или нет окно приветсвия ? Если оставлять, то не решает задачу видеонаблюдения по сбою электропитания.
Точно ли закрыл USB ? вынут HASP вставят флэшку ( вроде в ОС начиная с Vista , можно у групповых политиках определять USB устройство по ID )
Много останеться таких скользких моментов ..
На BIOS пароль , на ящик замок, и всё на дуб приковать цепями

Stranger писал(а):Запуск же и работа VideoNet от пользователя с ограниченными правами вполне возможны. Для этого необходимо следующее:

1. Полный доступ пользователя к каталогу, куда установлен VideoNet.
2. Полный доступ пользователя к тому ресурсу, куда производится сохранение архива.
3. Полный доступ пользователя к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\PENTACON (для VideoNet до 8.4 включительно), либо к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\SKYROS (для VideoNet 8.5 и более новых).

- открыл программе то что она просит.
- окно приветствия убрал = в окне по (Ctrl+Alt+Del) Безопасность Windows диспетчер недоступен, по Ctrl+Shift+Esc - вызов диспетчера система сообщает о том что функция отключена Администратором.
- автологон пользователя через "control userpasswords2" + автологон видеонет.
- быстро и оперативно под Администратора? Ctrl+Alt+Del - выход из системы.

- Про флеш:
* убрал права с файлов:
* %SystemRoot%\Inf\Usbstor.pnf
* %SystemRoot%\Inf\Usbstor.inf
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USbStor и выбрал там переменную Start поменял значение на "4" - USB накопители отключены.
* закрыл права на ветку реестра всем, даже system, кроме учётки администратора
* при этом USB клавиатуру и мышь и ключ можно вставить в любой порт - работают.

Политика запрета запуска других программ? - считаю перебор при такой обрезке.
На BIOS пароль - конечно стоит!
Комп в ящик под замок - зря смеётесь! В групповых политиках не запретишь охране откручивать провода от плат захвата!!! но это уже вопрос вредительства.

Очень хорошо поговорили, давайте продолжим про скользкие моменты?

Tweak-XP интересная программа, но мне удобнее ручками.

Похоже хорошая работа
Давай только уточним:
Диспетчер задач , он же Windows Task Manager
может запускаться 4мя способами
- Ctrl+Shift+Esc
- Ctrl+Alt+Del
- правый клик мыши по панели задач, выбрать соотв. пункт
- выполнить taskmgr.exe
После запуска можно как запустить какие-либо приложения, так и перелогиниться Админом. Возможно я что-то непонимаю ..

2 Thiblack: интересно про отколючение флешек... запомню - пригодится... я ж всё собираюсь утилу написать, которая это всё делает одним махом, но всё никак не закончу

сам не пользуюсь ТвикXP - ставлю запрет на запуск в реестре... а если не использовать запрет, то могу сказать как запускать произвольный софт - заходишь в конфигурацию, там жмешь в меню "?" и выбираешь один из пунктов, которые обращаются в интернет - это приводит к запуску Internet Explorer, ну а в нём вместо адреса пишешь с: и вот тебе обычный "Проводник". Конечно, способ не простой, но вполне работоспособный...

del

Vibat писал(а): Потому с недавних пор мы (фирма где я работаю) вообще оставляем компы незащищенными. Накосячил - ПЛАТИ !

согласен! защищаю только когда просят, а чаще тоже оставляю - надо же как-то себе гарантировать поступление финансов на будущее

А как сбросить пароль Администратора VideoNet ?

delete

Vibat писал(а):Для этого нужно иметь 150 сообщений на нашем форуме.
Потом обращайся - легко.

На самом деле можно сбросить пароль администратора в Videonet?

если есть сохраненная конфигурация под рукой

del

Виктор - это жесть
Ваши шутки могут быть не всем понятны (иногда сам не могу понять вы серьезно или нет).
Пароль Администратора - узнать, заменить на новый, если забыли старый и т.п. НЕЛЬЗЯ!