Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| |
А чем вариант с Юзером плох? Или нельзя такого создать. 26.08.05 10:49 Число просмотров: 2157
Автор: ClickMe Статус: Незарегистрированный пользователь
|
VMWare конечно хороший вариант, полазил по сайтам а потом RollBack. Но речь не только о IE (это одно из первых применений). Скажем есть у тебя Wordовкое файло с макросами или еще какое, антивирус будет орать отключи ему Макросы нафиг. И что ж мне теперь, что бы все таки запустить эти макросы не боясь ставить Word под виртуалкой потом открывать редактировать и копировать обратно. Или скажем есть сорцы какой либо проги, большие сорцы. Ты не знаешь есть ли там деструктивный код. И опять ставим Visual Studio под VMWare работаем там, а потом RollBack. А потом плеваться что из-за того что RollBack стер все что сделал и ты забыл сохранить. Еще ситуация есть: сеть компов, не самых крутых чтобы на них летала VMWare и что же на них делать, что бы юзеры могли нормально лазит по сайтам не руша каждый раз систему, видь только один черт знает куда они полезут. Ставить везде VMWare?
Но неужели не проще сказать операционке, что можно делать проге а что нет? Ну раз не проге так юзеру из под которого она запущена? Напримет юзер для IE должен читать файлы и реестр необходимые для запуска IE, писать только в свой каталог и раздел реестра HKEY_CURRENT_USER. Помоему этого достаточно для безопастной работы или нет?
|
<beginners>
|
Юзер для IE 26.08.05 00:45
Автор: ClickMe Статус: Незарегистрированный пользователь Отредактировано 26.08.05 01:49 Количество правок: 2
|
Хачу обезопасить себя от глюков и дырок ослика IE для личного пользования, но отказываться от его использования не хачу, скачивать хот-фиксы и последние версии тож лень (да и трафик на него жалко). Я подумал, что раз IE дыра то надо запускать её из под юзера который ничего не могет разрушить в системе. Создать батник для запуска его из любого юзера не составило проблемы. Проблемы в настройки прав юзера. Пока что он просто вхож в группу Гости.
Но зайдя под этим юзером, я обнаружел что он может создавать/удалять файлы, да изменять их тоже, т.е. по крайней мере, вирь под этим юзером спокойно заразит исполняемые файлы на компе.
Вопросы:
У меня несколько логических дисков, одни FAT другие NTFS. На NTFS я могу дать запрет на доступ ко всем файлам кроме избранных, на FAT нет, возможно ли ему всетаки это запретить?. Но даже если я переведу все на NTFS остается дисковод и CD-ROM которые этот юзер может читать (да прочие устройства Принтеры и т.д, которые этот вирь может заставить сходить с ума). И достатчно ли ему запретить доступ к файлам, какие у великого и многоуважеемое ALL есть советы по поводу что ему и как запретить?
Может кто страдал уже создание пользователя под которым можно смело запускать проги не боясь в них наличия вирусов и прочей гадости, поделитесь опытом плиз, и извените если ваше творение попало под определение "гадость" -)
ОС - Windows XP.
IE 6.0
Всем заранее спасибо :)
|
|
Если уж так хочется, то достижимое и надежное решение IMHO... 26.08.05 13:06
Автор: leo <Леонид Юрьев> Статус: Elderman
|
Если уж так хочется, то достижимое и надежное решение IMHO только одно - либо отдельный , либо виртуальный компьютер.
Возьмите Miscrosoft Virtual PC 2004, установите на виртуальную машину WinXP или что душе угодно.
Вариант с ограничением прав создаст массу головной боли, и скорее всего придется долго искать компромисс между надежностью "защиты" и удобством работы с IE.
|
| |
Насчет виртуальной машины. Виртуалка тяжело для компа,... 26.08.05 13:35
Автор: ClickMe Статус: Незарегистрированный пользователь
|
Насчет виртуальной машины. Виртуалка тяжело для компа, столько памяти отдать IE? А если я захочу изолировать два IE друг от друга. Мне две виртуалки запускать? Горазде легче держать двух юзеров.
> Вариант с ограничением прав создаст массу головной боли, и > скорее всего придется долго искать компромисс между > надежностью "защиты" и удобством работы с IE. А можно чуточку конкретней, ну хоть один пример. Головная боль есть согласен.. ибо мне не понятно как юзеру пока запретить доступ к устройствам (принтеру, и т.п.) логическим FAT дискам и т.д. Но помоему это боль только у не знающего человека может возникнуть. Если разобраться как это сделать и вцелом представлять себе набор прав который вообще есть в системе то по моему можно нормально работать.
Далее если уж будет совсем геморно предусмотреть в XP все. То у меня есть список что ему надо запретить (имею в виду IEUserа) и пока я не знаю как это сделать:
1) Доступ на запись к любым накопителям, кроме заданного каталога.
2) Реестр (но тут я уже разобрался, там можно давать права)
3) Доступ к устройствам принтеру и т.д. Даже динамик ему хочу запретить использовать.
И все. Мне этого хватит, и врядли какой либо деструктивный код сможет в таком окружение что то сделать. Остался вопрос как настроить 1) и 3). А так же что еще к этим пунктам лучше было бы добавить.
|
| |
Как вариант ShadowUser на обычной машине 26.08.05 13:14
Автор: amirul <Serge> Статус: The Elderman
|
Но у него ОЧЕНЬ неудобный интерфейс.
|
|
Еще возникла мысля... что можно автоматизированно составлять... 26.08.05 12:52
Автор: ClickMe Статус: Незарегистрированный пользователь
|
Еще возникла мысля... что можно автоматизированно составлять набор прав необходимых юзеру. Я говорю об этом пока не зная как это реализовать, но идея такова. Если предположить что архитектура в системе такая: у юзера есть набор возможностей, а так же у объектов систем есть список юзеров и их прав. То система обязанна проверять права юзера при совершении каких то дейтсвий или доступа к объектам. Было бы естественно если бы это реализовывалось одной функцией которая возвращает "Разрешено" или "Запрещено" на запрос наличия у юзера необходимых возможностей или прав. Так вот если каким либо образом перехватить вызов этой функции (я ж могу творить с системой что хочу, можно и dll пропатчить временно), то запускаем из под IEUser IE и остлеживаем какие прова запрашивает код из-под юзера IEUser, составляем список. Потом этот юзеру IEUser запрешается все, и дают только права из составленного списка.
Вопрос в том возможно ли в принципе, то о чем я говорю или нет. Если да то где можно почитать о организации системы секьюрности в Windows NT5.x, может уже кто копал подобную тему.
|
| |
Возможно, но вся секьюрите проверяется в ядре 26.08.05 13:13
Автор: amirul <Serge> Статус: The Elderman
|
> Вопрос в том возможно ли в принципе, то о чем я говорю или
В ПРИНЦИПЕ возможно все. Вопрос лишь в том насколько это геморройно. Все проверки прав доступа производятся в функции SepAccessCheck(), а проверка привилегий - в функции SepPrivilegeCheck(). Как видно они приватные (не экспортируются). Одна из возможных проблем - в эти функции передается SECURITY_DESCRIPTOR объекта, а не сам объект, так что для того, чтобы сохранить запрошенные права/привелегии придется отслеживать все дескрипторы безопасности в системе. Там могут возникнуть дополнительные проблемы.
> нет. Если да то где можно почитать о организации системы > секьюрности в Windows NT5.x, может уже кто копал подобную > тему.
В MSDN. Практически все, что есть в Win32 напрямую уходит в ядро
|
| | |
Поверим что это возможно будем копать... 26.08.05 14:20
Автор: ClickMe Статус: Незарегистрированный пользователь
|
> В ПРИНЦИПЕ возможно все. Вопрос лишь в том насколько это > геморройно. Поверим что это возможно будем копать...
> функции SepAccessCheck(), а проверка привилегий - в функции > SepPrivilegeCheck(). Как видно они приватные (не > экспортируются). Одна из возможных проблем - в эти функции > передается SECURITY_DESCRIPTOR объекта, а не сам объект, > так что для того, чтобы сохранить запрошенные > права/привелегии придется отслеживать все дескрипторы > безопасности в системе. Там могут возникнуть дополнительные > проблемы. Спасиб.. приму к сведению когда буду разбираться с секьюрность в Windе, давно пора. У меня еще где то книга валялась по базоваму API Windows вот и пригодится.
> В MSDN. Практически все, что есть в Win32 напрямую уходит в > ядро Да ето то понятно, но и в MSDN найти обзорную статью с которой стоит начать тоже занятие.. Я уж лучше сначала порою нет на поиск русско язычных статей про огранизачию секьюрности в целом в Windе. Что бы хоть понимать что в MSDN понимается под конкретными определениями.
|
|
Если у меня есть подазрения к сайту (а это часто бывают варезные сайты) я хожу на них в виртуальной машине. Дешево и сердито:-) 26.08.05 09:41
Автор: Garick <Yuriy> Статус: Elderman
|
|
| |
А чем вариант с Юзером плох? Или нельзя такого создать. 26.08.05 10:49
Автор: ClickMe Статус: Незарегистрированный пользователь
|
VMWare конечно хороший вариант, полазил по сайтам а потом RollBack. Но речь не только о IE (это одно из первых применений). Скажем есть у тебя Wordовкое файло с макросами или еще какое, антивирус будет орать отключи ему Макросы нафиг. И что ж мне теперь, что бы все таки запустить эти макросы не боясь ставить Word под виртуалкой потом открывать редактировать и копировать обратно. Или скажем есть сорцы какой либо проги, большие сорцы. Ты не знаешь есть ли там деструктивный код. И опять ставим Visual Studio под VMWare работаем там, а потом RollBack. А потом плеваться что из-за того что RollBack стер все что сделал и ты забыл сохранить. Еще ситуация есть: сеть компов, не самых крутых чтобы на них летала VMWare и что же на них делать, что бы юзеры могли нормально лазит по сайтам не руша каждый раз систему, видь только один черт знает куда они полезут. Ставить везде VMWare?
Но неужели не проще сказать операционке, что можно делать проге а что нет? Ну раз не проге так юзеру из под которого она запущена? Напримет юзер для IE должен читать файлы и реестр необходимые для запуска IE, писать только в свой каталог и раздел реестра HKEY_CURRENT_USER. Помоему этого достаточно для безопастной работы или нет?
|
| | |
Я не оспариваю решение с ограничением юзверя. Но есть несколько но... 26.08.05 11:29
Автор: Garick <Yuriy> Статус: Elderman
|
Любое усиление по безопасности потребует расхода ресурсов
Если зажать пользователя, то Вам прийдется проводить пилоты по установке обновлений (вин, ИЕ, другого сотфа). тк не факт, что после обновления не потребуется коррекция прав. Заблокировать работу офиса после установки обновления до момента "нахождения" нужного ключа в политике совсем не вариант. Отказаться от обновлений - то же не самый лучший выход.
Есть ли у вас ресурсы для таких пилотов, это притом что проверять прийдется не только ОС и ИЕ, но иногда настолько специфический софт, что кроме названия, что делает, как загрузить и выгрузить админ может и не знать:-)
Образы диска. Есть софт для достаточно быстрого и простого восстановления после сбоев. в тч и корпоративные. Хранение документов (грубо говоря) на сетевых ресурсах. ИМХО дешевле обеспечить централизованное хранение/бекапировани/избыточность/безопасность. Да и вирусы хранилищам не страшны. на них могут лежать зараженные файлы, но что бы активировать вирус на хранилище - надо открыть файл на хранилище, а будет это сделано или нет зависит от админа(ов) и это вопрос больше организационный, чем технический.
|
| | | |
Не спорю. Тут как раз ищется решение самое незначительное по... 26.08.05 12:36
Автор: ClickMe Статус: Незарегистрированный пользователь
|
> Любое усиление по безопасности потребует расхода ресурсов Не спорю. Тут как раз ищется решение самое незначительное по расходу ресурсов: Трафика, Машинного Времени, Админстративных.
> Если зажать пользователя, то Вам прийдется проводить пилоты > по установке обновлений (вин, ИЕ, другого сотфа). тк не > факт, что после обновления не потребуется коррекция прав. ??? Еще раз на всякий случай повторю что пока необходимо сделать:
Пользователь создаетсяисключительнодля запуска IE через 'runas'. С остальным софтом (пока) люди работают скажем из под Users. И если я смогу создать такого юзера в принципе то я подумаю как это можно автоматизировать и т.п.
Вопрос в том, могу ли я изолировать IE с помощью этого юзера? Хотя бы одну конкретную версию. Если да то смысл переустанавливать IE на новую версию возникнет только когда в нем будет какая то новая фича без которой не возможен будет просмотр сайтов. Ну появится какае то новая технология. Но я считаю что это будет достаточно редким явление. Но допустим я из под админа, ставлю для всех юзеров на компе Update explora. Неужели из-за этой установки у юзера (IEUser) появится больше прав в системе. Я не думаю так. Или так оно и есть?
Теперь второе. Допустим нужен SP для работы какого либо софта. (NT4.0 без SP6 сейчас уже невозможно юзать ни одна прога не пашет). Опять же я не понимаю с какой стати его установка даст какие то новые права пользователю. Или Вы имеете в виду, что в винде нельзя сделать политику запрещено все то что не разрешено? И при установке чего либо набор прав может измениться и юзеру по дефаулту новый права будут даны? Или может все таки эти права даются только встроенным группам, может лучше подумать как обойти автоматическое назначение этих прав. Не может же все быть так плохо с безопстностью.
> Заблокировать работу офиса после установки обновления до > момента "нахождения" нужного ключа в политике совсем не > вариант. Отказаться от обновлений - то же не самый лучший > выход. Я откажусь от обновления если все настроено нормально и они могут все это порушить. Ставить обновление можно только при крайней необходимости.
> Есть ли у вас ресурсы для таких пилотов, это притом что > проверять прийдется не только ОС и ИЕ, но иногда настолько > специфический софт, что кроме названия, что делает, как > загрузить и выгрузить админ может и не знать:-) Не знаю, IMHO у меня есть представление что делают и что им можно делать о практически всех программах установленных на компе. Только не понимаю что вообще может юзер и как огранизовать политику запрещено все то что не разрешено в XP. Ну скажем я до сих пор не понимаю как закрыть ему доступ на FAT32 диск.
> Образы диска. Есть софт для достаточно быстрого и простого > восстановления после сбоев. в тч и корпоративные. Хранение > документов (грубо говоря) на сетевых ресурсах. ИМХО дешевле > обеспечить централизованное > хранение/бекапировани/избыточность/безопасность. Я рассуждаю о мерах предотвращения краха системы, Вы о мерах сохранности данных после этого краха (да и кто то говорил о ресурсах). Второе гуд конечно, но совсем без мер предотвращения нельзя не спосет от гневных сообщений что с вашего компа идет спам или зараженные файлы или сканируются порты. Вы что предлагаете смиться и жить с вирусами, зная что ваши данные сохранены на какой то момент времени.
|
| | | | |
РЕ:Не спорю. Тут как раз ищется решение самое незначительное по... 26.08.05 13:31
Автор: Garick <Yuriy> Статус: Elderman
|
> Не спорю. Тут как раз ищется решение самое незначительное > по расходу ресурсов: Трафика, Машинного Времени, ИМХО не минимального, а оптимального. При минимальном бюджете (расходе ресурсов) будет и безопасность минимальной!
> ??? Еще раз на всякий случай повторю что пока необходимо > сделать: > Пользователь создаетсяисключительнодля запуска IE через > 'runas'. С остальным софтом (пока) люди работают скажем из > под Users. И если я смогу создать такого юзера в принципе > то я подумаю как это можно автоматизировать и т.п. > Вопрос в том, могу ли я изолировать IE с помощью этого > юзера? Хотя бы одну конкретную версию. Если да то смысл > переустанавливать IE на новую версию возникнет только когда > в нем будет какая то новая фича без которой не возможен > будет просмотр сайтов. Ну появится какае то новая > технология. Но я считаю что это будет достаточно редким > явление. Но допустим я из под админа, ставлю для всех > юзеров на компе Update explora. Неужели из-за этой > установки у юзера (IEUser) появится больше прав в системе. Я грил не о автоподнятии прав при установке обновлений, а о возможной (и иногда не быстрой процедуре) необходимости админу руками поднять некоторые права для нормальной работы юзверю после обновления
> Я откажусь от обновления если все настроено нормально и они > могут все это порушить. Ставить обновление можно только при > крайней необходимости. Крайняя необходимость (критические хотфиксы) появляются достаточно часто. тк на то они и дыры, что находятся после выхода ОС/СП/хотфиксов и сразу были не заметны.
> Не знаю, IMHO у меня есть представление что делают и что им > можно делать о практически всех программах установленных на > компе. Только не понимаю что вообще может юзер и как > огранизовать политику запрещено все то что не разрешено в > XP. Ну скажем я до сих пор не понимаю как закрыть ему > доступ на FAT32 диск. на фат никак, эта ФС не расчитана на разграничение доступа по станадарту, используйте НТФС. Я допустим мало шарю в студия с++, .нет, САП, аутоКАД, архиКАД... Тяжеловата найти спеца по всем этим продуктам одновременно, тк надо обладать хорошими знаниями в предметной области, а эти области мало пересекаются.
> Я рассуждаю о мерах предотвращения краха системы, Вы о > мерах сохранности данных после этого краха (да и кто то > говорил о ресурсах). Второе гуд конечно, но совсем без мер > предотвращения нельзя не спосет от гневных сообщений что с > вашего компа идет спам или зараженные файлы или сканируются > порты. Вы что предлагаете смиться и жить с вирусами, зная > что ваши данные сохранены на какой то момент времени. Мне глубоко плевать на систему, восстановление ОС с образа ну минут 10. Даже если я преустановлю "ручками" за полдня - это меньшая цена чем потеря проекта за полгода-год нескольких десятков человек, а то и больше.
По вопросу трафика я предостерегся, купил анлим (потратил ресурсы не только денежные, но свои трудовые, прессенгуя прова и выбивая хорошие условия:-)). И теперь мне все равно какой левый трафик ходит (не в ущерб безопасности и регламентного мониторинга статистики!) и ИМХО прову также пофиг. С вирусами я не предлагаю жить спокойно, просто есть регламенты по проверке на вирусы не в бизнесс время централизованно и автоматизированно. Да и трендмикро корпоративный стоит.
Мой вывод: самое главное бизнесс инфа, а инструменты ее получения/обработки (ОС например) - вторично. И максимальное внимание надо сосредоточить на безопасном хранении этой инфы.
|
| | | | | |
ок. Лично я ищу не оптимальное решение, а более легковесное... 26.08.05 14:01
Автор: ClickMe Статус: Незарегистрированный пользователь Отредактировано 26.08.05 14:04 Количество правок: 1
|
>ИМХО не минимального, а оптимального. При минимальном
>бюджете (расходе ресурсов) будет и безопасность
>минимальной!
ок. Лично я ищу не оптимальное решение, а более легковесное. Т.е. что бы можно запустить 10 IE изолированных друг от друга и от остальных программ. 10 Юзеров я считаю более легковесным решением. Т.е. пока я делаю это под себя.
> Я грил не о автоподнятии прав при установке обновлений, а о > возможной (и иногда не быстрой процедуре) необходимости > админу руками поднять некоторые права для нормальной работы > юзверю после обновления Извени, я с таким явлением никогда не сталкивался (может из-за того что работают постаянно под Админом). И все таки даже если это так я лучше добавлю прав. Мне не лень. Если это надо будет сделать на 100 компах.. а напишу прогу.
> Крайняя необходимость (критические хотфиксы) появляются > достаточно часто. тк на то они и дыры, что находятся после > выхода ОС/СП/хотфиксов и сразу были не заметны. Хотфиксы. Для сетевой атаки на комп - поставить файрболл. Для исполняющихся программ ограничение прав. И зачем мне тогда хотфиксы если они не для подсистемы безапасности?
> на фат никак, эта ФС не расчитана на разграничение доступа > по станадарту, используйте НТФС. Использую, но я же писал, есть хотябы CDFS (CD-ROM). Точно не как нельзя.. может можно как нить на весь диск сразу. Система у меня стоит на NTFS. Если нельзя так ограничивать права (скажем к устройствам), то конечно XP имеет дуратскую систему безапстности и все.
> студия с++, .нет, САП, аутоКАД, архиКАД... Тяжеловата найти > спеца по всем этим продуктам одновременно, тк надо обладать > хорошими знаниями в предметной области, а эти области мало > пересекаются. Зато легко сказать, что все им не нужен доступ на запись большого количества файлов на компе. На выход в нет. (Кроме из собственных и файлов проектов). Им не нужны разделы реестра RunOnce и прочее а если нужно то мне хотелось бы их обломить.
> Мне глубоко плевать на систему, восстановление ОС с образа > ну минут 10. Даже если я преустановлю "ручками" за полдня - Есть целое направление программ которые портять оборудование на компе, на это тоже плевать?
Или что провайдер закроет вам выход в нет за СПАМ и Open Relay.
> Мой вывод: самое главное бизнесс инфа, а инструменты ее > получения/обработки (ОС например) - вторично. И > максимальное внимание надо сосредоточить на безопасном > хранении этой инфы. С выводом согласен.
|
| | | | | | |
"это надо будет сделать на 100 компах.. а напишу прогу." Уже есть - АД на вин серверах и групповая политика:-) Да, и о АД и ГП советую почитать... 26.08.05 14:21
Автор: Garick <Yuriy> Статус: Elderman Отредактировано 26.08.05 14:22 Количество правок: 1
|
> Извени, я с таким явлением никогда не сталкивался (может > из-за того что работают постаянно под Админом). И все таки > даже если это так я лучше добавлю прав. Мне не лень. Если > это надо будет сделать на 100 компах.. а напишу прогу. Когда развернете АД и по дефолту все юзвери будут на компах с минимальными правами - поймете о "тюнинге" групповых политик под софт. Та же ася про (не лайт) требует или адвансед юзверя или админа на локальном компе.
> Для исполняющихся программ ограничение прав. И зачем мне > тогда хотфиксы если они не для подсистемы безапасности? Они именно для систем безопасности. "Украшательные" хотфиксы не идут со статусом "критический". Почитайте на МС о политике выпуска обновлений.
> > на фат никак, эта ФС не расчитана на разграничение > доступа > > по станадарту, используйте НТФС. > Использую, но я же писал, есть хотябы CDFS (CD-ROM). Точно > не как нельзя.. может можно как нить на весь диск сразу. > Система у меня стоит на NTFS. Если нельзя так ограничивать > права (скажем к устройствам), то конечно XP имеет дуратскую > систему безапстности и все. На устройства можно поставить ограничения в политиках безопасности, в часности по УСБ портам - ищите в форуме.
> Зато легко сказать, что все им не нужен доступ на запись > большого количества файлов на компе. На выход в нет. (Кроме > из собственных и файлов проектов). Им не нужны разделы > реестра RunOnce и прочее а если нужно то мне хотелось бы их > обломить. Если бы так просто. Например тот же новый архикад требует квиктайм, причем в хитрой конфигурации (не минимальной). Еще и подгонять политики под квик тайм надо.
> Есть целое направление программ которые портять > оборудование на компе, на это тоже плевать? Первый раз слышу (байки "бабушка на двое сказала" или "чижык-пыжик" на дисководе:-) не в счет) Примеры плиз.
> Или что провайдер закроет вам выход в нет за СПАМ и Open > Relay. Не закроет. мы типа бизнес партнеры (вынужденные: нам нужен инет, ему деньги) и вопросы использования трафика решаются совместно. релей кста закрыт:-) только почта в свои/из_своих домены. со спамом сложнее. опять в черном списке из за рассылок маркетингового отдела. Агенты антиспамботов следят за активностью по ИП и при превышении среднестатистического кол-ва писем, заносят в списк, но как это объяснить маркетологам, им нужна ведь премия за увеличения продаж:-) Запретить нельзя, станешь врагом народа и фирмы:-)) Так что антиспамботы то же не идеальны. Вопрос решается.
|
| | | | | | | |
Нашел можно, не в Policy в Computer Management->..->Объект->Properties. 26.08.05 15:18
Автор: ClickMe Статус: Незарегистрированный пользователь
|
Но тестить на устойчивость на рабочем компе не решаюсь. Вечером дома и опопробую. Жаль все таки нельзя просто перечислить что юзеру можно, а все остально запретить.
|
| | | | | | | |
ясно.. ну тогда HotFixы придется ставить. 26.08.05 14:54
Автор: ClickMe Статус: Незарегистрированный пользователь
|
> Они именно для систем безопасности. "Украшательные" > хотфиксы не идут со статусом "критический". Почитайте на МС > о политике выпуска обновлений. ясно.. ну тогда HotFixы придется ставить.
> На устройства можно поставить ограничения в политиках > безопасности, в часности по УСБ портам - ищите в форуме. Поищу.
> Если бы так просто. Например тот же новый архикад требует > квиктайм, причем в хитрой конфигурации (не минимальной). > Еще и подгонять политики под квик тайм надо. Я не ищу панацею, мне хочется пока сделать вполне конкретные настройки для юзера. И выяснить являются ли они достаточными. Первое вроде я сделаю если научусь конфигурить прова на устройства. Второе думаю тут скажут и еще попробую побродить под ним по сомнительным сайтам TestDrive так сказать. ActiveX там наразрешаю запускать и прочее и посмотрим на деле выдержит ли система.
> Первый раз слышу (байки "бабушка на двое сказала" или > "чижык-пыжик" на дисководе:-) не в счет) Примеры плиз. Примеров нет, только со слов сам в этом не шарю. Ну Биос то точно можно перешить. Но с другой стороны никто тебе уверено не скажет что нет таких прог. Скажем именно под твой винт -) А следовательно смысл от них зашитится имеет.
> Не закроет. мы типа бизнес партнеры (вынужденные: нам нужен > инет, ему деньги) и вопросы использования трафика решаются > совместно. релей кста закрыт:-) только почта в Да пора за СПАМ штрафовать :-)
|
| | | | | | | | |
Я сильно сомневаюсь, что существуют вирусы способные испортить мой финт физически... 26.08.05 15:10
Автор: Garick <Yuriy> Статус: Elderman
|
> > Первый раз слышу (байки "бабушка на двое сказала" или > > "чижык-пыжик" на дисководе:-) не в счет) Примеры плиз. > Примеров нет, только со слов сам в этом не шарю. Ну Биос то > точно можно перешить. Но с другой стороны никто тебе > уверено не скажет что нет таких прог. Скажем именно под > твой винт -) А следовательно смысл от них зашитится имеет. Самсунг САТА у меня стоит, модель как то и не помню тк он не вызывает у меня подозрений. Как вариант вирус может забить свободное место на диске, но это не критично, тот же ЕРД диск поможет прибить лишнее. Еще возможно активная нагрузка на определенную часть области винта, но это сразу будет заметно (на серверах ежеденевные регламентные мониторные работы) по неадекватности работы системы. И будут приняты меры.
> Да пора за СПАМ штрафовать :-) Не хочется флеймить, спам не тема этой ветки, но не все так просто, как кажется. Закрыли здесь тему про спам?:-)
|
|
|