|
|
|
|
|
Заадминистрить насмерть! | ☑ | ||
|---|---|---|---|---|
|
0
Злопчинский
12.03.11
✎
03:27
|
Требуется сделать "кассовый комп"
Требуется его заадминистрить вусмерть - запускается только 1Ска. никкой работы под админом. максимально урезанные права на все что можно. в принципе это все понятно как сделать. . но! . "наружу" комп общается только файлами обмена. никакой сети. обмен только через флешку. . ХОЧЕТСЯ: чтобы можно было втыкать только флешку - ничего другого кроме этой флешки, усбишного сканера и усбишной клавы в портs УСБ чтобы "не читалось". Вдобавок хочется, чтобы (на уровне ОС!) можно было втыкать только вполне определенную флешку (серийный номер флешки? ид? или еще как). . что подскажет многоуважаемый пипл? как ограничить перечень устрйоств которые инсталлирует система при втыкании усб-чегототам? |
|||
|
1
ilkoder
12.03.11
✎
03:47
|
Как то у нас админ все флешки всем запретил... Там какой-то файлик надо удалить, и чтоб у юзера не было прав на системные папки естественно. И еще можно при старте в реестре прописать не старт explorer.exe а свой файлик (как вирусы обычно делают) Ну или хотя бы просто автостартовать 1с, а при выходе всю систему выключать нафиг :)
|
|||
|
2
Злопчинский
12.03.11
✎
04:56
|
(1) вот как запретитьт флешки, но разрешить например сканер ШК?
|
|||
|
3
miki
12.03.11
✎
04:56
|
За бабосы - годный ещё со времен, когда в политиках виндовоза не хватало штатных средств порулить USB девайсами - DeviceLock:
http://www.devicelock.com/ru/dl/ цитатко: " <...> Для каждого пользователя или группы задать свой "белый" список устройств, доступ к которым будет всегда разрешен. Устройства можно идентифицировать по модели и по уникальному серийному номеру. <...> " За бесплатно - изучить структуру реестра в части HKLM\SYSTEM\CurrentControlSet\Enum\USB HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR Примеры для порулить подсмотреть можно тут: "Анатолий Демидович. USBMaster. Рулим флешками в офисе": http://procoder.info/index.php/all/10/161-usbmaster |
|||
|
4
miki
12.03.11
✎
04:58
|
(2)если без ограничений по s/#, то делается штатными политиками.
Другое дело, что pid, vid, серийник можно флехе поменять без особого труда... |
|||
|
5
Torquader
12.03.11
✎
13:49
|
(4) Те, кто могут поменять серийник, могут и разделы реестра изменить. Да и загрузка с USB-диска решает все такие "проблемы".
Самое главное, что всё равно пользователю остаётся диспетчер задач, из которого он может запустить какое-нибудь приложение. Кроме того, 1С сама по себе "дырявая", так что надо ещё и интерфейс 1С "урезать" до неузнаваемости. P.S. все комбинации клавиш, кроме Ctrl+Alt+Del перехватываются на ура специальными программами и отключаются, а для этой "магической" нужно переписывать GINA.DLL - у Microsoft на это даже пример есть. |
|||
|
6
YauheniL
12.03.11
✎
13:51
|
(2) Подменить драйвер на флеш-накопитель?
|
|||
|
7
KRV
12.03.11
✎
13:54
|
чтобы исключить флешки - воткни модем жпрс и общайся через почту файлами, а имя ящика, чтобы не выболтать, забудь.. потом можно все усб-дырки залепить жувачкой :)))
|
|||
|
8
Rie
12.03.11
✎
13:57
|
(5) Изменить раздел реестра - надо права иметь.
Запуск приложения - можно прибить групповой политикой. |
|||
|
9
MaxS
12.03.11
✎
14:02
|
Зависит от производительности компьютера.
основная ОС - линукс запускается и автоматически запускает виртуальную ОС Windows на полный экран. Комбинации клавиш будет перехватывать линукс, который и решает что можно а что нельзя передать виндам. Вставляем флешку, её перехватывает линукс. Винда обменивается с виртуальной сетевой папкой, связанной с флешкой. |
|||
|
10
Torquader
12.03.11
✎
14:06
|
(9) Проще собрать нормальный POS на Linux и вообще не вспоминать, что и куда в Windows "засовывается".
(8) Разделы реестра пользователя всегда доступны на изменение, а запуск сценариев и очень сложно отключить (если бы это отключалось, то вирусов бы не было). |
|||
|
11
Rie
12.03.11
✎
14:10
|
(10) Ограниченным использованием программ можно запретить запуск практически всего (вплоть до explorer). Оставить только голую 1С (даже без возможности выбрать файл для открытия - поскольку explorer отключен). И в придачу к ней - "читателя специальной флешки".
|
|||
|
12
wuff
12.03.11
✎
14:11
|
> остаётся диспетчер задач
пользователю можно отключить, а себе оставить... |
|||
|
13
Холст
12.03.11
✎
14:25
|
а еще залить смолой комп внутри, чтобы свой СД привод не вставили
|
|||
|
14
Dirk Diggler
12.03.11
✎
15:21
|
(2) вот это элементарно. кури службу usbstor.
|
|||
|
15
Dirk Diggler
12.03.11
✎
15:25
|
винда какая?
1) поставить запуск usbstor вручную 2) при вставке флешки она запускается, на запуск вешаешь запуск задачи(встроенный планировщик в семерке/висте, nncron в других), которая проверяет флеху и удаляет её из системы с пом. devcon, если чо. проверку флешки сам сообразишь. |
|||
|
16
Dirk Diggler
12.03.11
✎
15:28
|
еще, через опу гланды - ставишь 1С в виртуалку, к ней подключаешься с локального же компа по rdp, в гостевой службе отрубаешь usbstor, но даешь использовать usb напрямую. итог - сканеры работают, а диск сопоставляется терминальным клиентом )
|
|||
|
17
Strogg
12.03.11
✎
15:49
|
Сканер можно тупо сделать невынимаемым. Или пломбу какую-нить сообразить :-)
|
|||
|
18
Скользящий
12.03.11
✎
15:57
|
||||
|
19
YauheniL
12.03.11
✎
15:59
|
(17) Все остальные USB слоты эпоксидкой залить
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|