Блокировка запуска екзешника
Имеется необходимость блокировки запуска определённого *.exe файла.
При этом необходимо сохранить его в системе.
Как это сделать наиболее простым способом? (в винде, в 7)
Вариант карантина в антивирусе возможен, но не желателен.
Всё найденное в нете - описывает блокировку всех нерезрешённых *.exe а не этого отдельно
При этом необходимо сохранить его в системе.
Как это сделать наиболее простым способом? (в винде, в 7)
Вариант карантина в антивирусе возможен, но не желателен.
Всё найденное в нете - описывает блокировку всех нерезрешённых *.exe а не этого отдельно
Эм... Насколько мне помнится в реестре можно прописать, каким прогам отказывать в запуске (правда если переименовать exe файл, то его можно будет запустить)... Я даже в своё время в универе предлагал такое сделать, а то одногруппники совсем оборзевали - играли в "котр страйк" в период сдачи лаб, курсовых и пр., но мою просьбу преподы проигнорировали. :mad:
P.S. Файрвол тоже блокирует... ;)
P.S. Файрвол тоже блокирует... ;)
SRP настройте. для данного конкретного пути запретив запуск
кстати, а кто мешает снять разрешение исполнения файла в NTFS?
Так в приведённой тобой статье вроде то самое и описывается:)
Самое главное–не дать пользователю права менять разрешения
Самое главное–не дать пользователю права менять разрешения
squirL, помогло :)
SergPas, скорее всего у вас речь шла о запрете всего неразрешённого, так?
SergPas, скорее всего у вас речь шла о запрете всего неразрешённого, так?
Цитата: alex-kniaz
SergPas, скорее всего у вас речь шла о запрете всего неразрешённого, так?
А.Климов, И.Чеботарев; К.Тарасов Реестр Windows:
Цитата:
Разрешения на запуск приложений, кроме указанных в списке
Можно решить обратную задачу и указать список запрещенных к запуску приложений. Надо открыть раздел HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer и создать там ключ DisallowRun типа DWORD со значением 1. Затем надо создать подраздел с этим же именем и в нем указать список запрещенных программ в виде строковых параметров. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe. Например:
"1" - "calc.exe"
"2" - "thebat.exe"
"3" - "hl.exe"
Эта настройка действует на программы, который запускает процесс от Windows Explorer, но не защищает от запуска этих программ при помощи Диспетчера задач (Task Manager), который запускается системным процессом или другими процессами. Также эти программы можно запустить через командную строку Cmd.exe.Запрет на запуск редактора реестраВы можете запретить запуск редактор реестра. Для этого в разделе HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System нужно добавить ключ типа DWORD DisableRegistryTools со значением 1. Запуск редактора реестра будет запрещен, однако останется возможность вносить изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файла.Запрет на запуск диспетчера задач Windows
Хм... Решение с реестром не очень удачный вариант. Куда лучше NTFS и SRP, как указал squirL, но опять-таки это эффективно только тогда, когда пользователь, для которго создается правило, не входит в группу администраторов.
Если подумать, то единственный стопроцентный вариант (если пользователь не админ. от него ничего не спасёт) запрещать всё неразрешённое. Иначе более-менее сообразительный пользователь просто переиминует EXE-файл. Конечно, можно ещё написать программу, которая будет, скажем, проверять контрольную сумму файла перед запуском. Такой способ обойти будет труднее. Но и он не преодалим. Достаточно изменить какой-нибудь неиспользуемый байт в заголовке программы и контрольная сумма изменится. Итог: от умного пользователя с ограниченными правами спасёт только запрет всего не разрешённого, а от админа не спасёт вообще ни что.
У нас в конторе в домене стоит правило автоматом запускать аутлук и пандион (корпоративную аську), однажды меня это достало и я выставил права на эти 2 экзешника только для определенного юзера, остальным запретил, с тех пор ляпота.
1. в нормальных конторах - юзеры не админы.
2. по поводу переименования - правила SRP позволяют блокировку по хэшу
2. по поводу переименования - правила SRP позволяют блокировку по хэшу