Вам вірно написали про політики обмеження запуску програм (Software Restriction Policy або SRP / App Locker). Спробую трохи прояснити суть рішення проблеми.
Головне що потрібно зробити це за допомогою NTFS ACL заблокувати користувачам можливість запускати програми з усіх усюд куди вони можуть записати файли і за допомогою SRP обмежити операционке права запускати програми тільки каталогами каталогами в які користувачі не можуть писати. У загальному випадку повинно бути дозволено запускати програми тільки з Program Files і Windows, але заборонено запускати з systemdrive: \ Windows \ tmp і systemdrive: \ Windows \ blablabla \ spooler
Для цього потрібно розуміти, що таке права NTFS їх успадкування. Всі диски в системі на яких є програми які можна запускати програми - зробити NTFS. Найкраще завжди щоб запускаються програми були тільки в Program Files при цьому користувачі цих програм ніколи не повинні мати прав записи в системні каталоги.
Будь-які маніпуляції з NTFS і ACL повинен проводити людина яка розуміє що робить!
Кілька зауважень.
SRP і / або AppLocker є не у всіх дистрибутивах Windows. Зрозуміло, що MS це машина із заробляння грошей. Але SRP безпосередньо зачіпає основу основ комп'ютерної безпеки операційних систем Windows і для мене виглядає не зовсім логічним додати UAC але не дати можливість захищати систему за допомогою SRP на найдешевшої OEM Windows системі. До появи SRP я користувався чудовою програмою TrustNoExe. Вона безкоштовна ставиться у вигляді сервісу має білі і чорні списки. На нових дистрибутивах Windows я її не відчував, але вона могла б закрити пролом в безпеці Windows де є NTFS але немає SRP.
SRP це не панацея. На жаль програми вміють виконувати скрипти наприклад Word, Excel і т д можна використовувати для інжекції стороннього коду,, а значить можна намагатися підняти привілеї використовуючи відомі і не дуже уразливості.
Крім цього такий підхід дозволить вам відмовитися від антивірусів якщо не будете бездумно ставити всякий невідомий і навіть відомий софт.
hjk. Вам вірно кажуть: запуск від імені іншого користувача. Для windows: runas / user: guglemugle "c: \ program files \ goglechrome \ chrome.exe"
для linux: su --login guglemugle -c "/home/guglemugle/google.sh"
Ви повинні чітко розуміти що все що можете Ви від своєї "учеткі", може і будь-яка програма запущена від вашого облікового запису.
Щоб гуглхром не копирсався в ваших записах є дві рекомендації:
1) Не ставити його зовсім. Я їй дотримуюся. Нема чого чужому пошуковику сидіти в моєму комп'ютері. Є й інші браузери. Вони не краще але хоч на вигляд це "інша єпархія".
2) Поставити але "заламати пальці". Ставимо хром від учеткі адміна, уважно читаючи все кнопочки і ссилочку в момент інсталяції. Прибираємо ті які намагаються втюхати якийсь сервіс або поліпшити за ваш рахунок свої монопольні позиції. Після установки видаляємо все що він наставив таємно в сервіси: sc delete googlobla-bla-bla.
Йдемо в NTFS властивості папки Program files і знімаємо всі права всім користувачам. Ми залишаємо тільки адмінам, системі і додаємо локального користувача guglemugle (його потрібно завести заздалегідь) з правами "читати і запускати". Цим ми добиваємося щоб ніхто не зміг запустити хром крім guglemugle. Робимо командний файлик
guglemugle.cmd робимо на нього ярлик, кидаємо на робочий стіл.
Звичайно ж вам знадобиться і папка для обміну файлами. Або замапьте його (guglemugle) папку через directory junctions (але поставте правильно права) або підключіть через мережу в свою сесію net use (ви під'єднуєте в свою сесію папку гугла, а не навпаки!) Або користуйтеся Public папками або стандартні в винде, або створіть свою наприклад C: \ _ AXTUNG_GOOGLE_ і налаштуйте туди Download папку хрому. Пам'ятайте що guglemugle повинен мати туди доступ без введення паролів вашої "учеткі".
Загалом то все! Тепер цей перець не зможе лазити по файлах інших користувачів, а в його пісочниці є тільки шлак стягнутий з інтернету. Сервіси видалені він не зможе таємно шаріться по диску і ставити все що йому заманеться, а він сам витрусити в окрему пісочницю. Але він зможе бачити стан робочого столу. Хочете щоб не бачив? Запускайте на окремому віртуальному робочому столі. Наприклад Seamless terminal server windows, коли додаток доставляється до вас у вигляді вікна, а не у вигляді робочого столу. А далі ми переходимо до віртуалізації. Але це окрема і дуже цікава тема.
Увага: При запуску з іншої сесії у деяких додатків виникають складнощі при спробі відкрити explorer і інші додатки запущені в контексті іншої сесії. Це лікується тільки через термінальну сесію або альтернативним додатком.
younghacker. дякую за дуже докладні пояснення!
younghacker. Захоплений! (По-більше б таких як Ви)
you'll see in memory only 0xDEADFACE
Так просто - зробити для нього браузер оболонкою.
Альт-контрол-справ -> Диспетчер завдань -> Запускай що хочу.
диспетчер перейменувати, заборонити запуск в реєстрі, etc.
Alexxander думка цікава, спасибі. А куди копати, щоб зрозуміти, як зробити браузер оболонкою?
alexxandr так, здорово. Я обов'язково спробую, дякую!
hjk. це поганий варіант.
Ctrl + O - і ось доступ до файлової системи.
Але якщо обмежити права ntfs (як мінімум запрнтіть будь-який доступ, навіть читання, з кореневих каталогів і додати політику обмеженого використання програм - ок.