Заблокировать доступ ко всему, кроме интернета. Как?
9378
35
Всем доброго дня суток.
периодически попадаются на глаза "терминалы", в которых можно просматривать информацию только с одного сайта. Нет панели пуск, не работают горячие клавиши и т.д.

Вот и возник вопрос, а как можно сделать так, чтобы обеспечить на компе доступ только на один сайт, чтобы нельзя было закрыть браузер или запустить любую другую программу?

Предположим, планируется поставить отдельный комп-терминал, чтобы покупатели могли просматривать каталог товаров, но нужно обезопаситься и запретить делать что-либо иное.

Есть готовые решения, под какой операционной системой это можно делать и каковы способы реализации возможны.

П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.

Спасибо заранее за Ваши идеи.
РеХаус
Навскидку вижу пару решений.

1. Если в организации есть сервер, то в качестве терминала можно поставить тонкого клиента который будет подключаться к серваку и запускать единственное расшариное приложение ака браузер. В качестве браузера использовать IE. Для пользователя (логин), который будет коннектится к серваку, групповыми политиками выставить нужную ссылку на сайт в качестве сраницы поумолчанию, и запретить вывод строки для ввода адреса, а также доступы к контекстным меню и прочим "дыркам".

2. Поставить линукс и вместо оконного менеджела, из иксов, запускать браузер. Сделать страницу поумолчанию, убрать, опять же, строку ввода, и запретить менять конфиги.

П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.
Тут все от видюхи зависит, она должна иметь 2 выхода и дрова должны уметь зеркалить первый экран на второй.
Mozepiy
Я не стал советовать групповую политику, т.к. явно видно, что человек ищет внешнюю прогу, где тыкнул в пять галочек - и готово.
ТикТак
В политиках, какраз, эти галочки и ставятся.
Mozepiy
2. Поставить линукс
Для многих уже этого достаточно :улыб:

Это из серии "самая лучшая противоугонка в штата - МКПП" :biggrin:
Mozepiy
Да, видимо хорошее решение, тонкий клиент, только поддерживает ли он 2 монитора? мне пока не попадалось. Пока это решение мне нравится, спасибо.
ТикТак
Про внешнюю прогу - скорее не получится. Пробовал поискать решения, но, к сожалению ничего подобного, только какими-то обходными путями и за деньги. Т.е. тот же ... но за дополнительные деньги. А про сервер приемлемое решение показалось.

Кстати, похоже с тонкими клиентами проблем не будет. если еще поискать...
ССЫЛКА
РеХаус
Парни, серьезно, какие групповые политики? Какие отдельные проги? Какие тонкие клиенты?
Вы часто экскаватором садите клубнику?

Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
РеХаус
Мы тонких собираем на базе атомов, вот к примеру мать с двумя видео - Intel D2500CC, ее можно засунуть в мелкий корпус, который крепится к задней стенке монитора. В качестве софта использовать например PoniX, получаем бездискового тонкого клиента за разумные деньги.
IEEE
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
И бегать каждые пять минут чтобы запустить закрытый юзером браузер ? Я молчу про "пытливые умы", которые будут пытаться "положить" систему. Этож публичный комп, а не корпоративного пользователя, которому в случае чего, порукам настучать можно.
IEEE
не совсем понял каким образом тогда будут ограничены доступы к остальным функциям операционной системы на рабочих местах, например горячих клавиш, штатных программ, доступа к настройкам и т.д.

Если это все в вашем предложении подразумевается, то возможно ли будет обратиться к Вам за помощью в реализации?
РеХаус
В настройках rdp клиента указывается, что при подключении запускается конкретная программа, а при выходе из этой программы закрывается и rdp. Вроде так.
Mozepiy
Так и каким же чудесным образом тонкий клиент избавит от всех этих напастей, его так же нужно настраивать как и обычный компьютер.
IEEE
Так и каким же чудесным образом тонкий клиент избавит от всех этих напастей
Потому, что там кактаковой оси нет, есть ядро с графикой и rdp клиент.

его так же нужно настраивать как и обычный компьютер.
Ничего там настраивать ненужно. В конфиге указывается к какому серваку цепляться и все.
Mozepiy
Окей, подключились в Windows сервер'у с лицензионным ключом на N подключений (сколько, кстати, сейчас стоит 10 лицензий?) и дальше что, я все также могу делать все что угодно, ходить куда угодно. В чем профит?
IEEE
сколько, кстати, сейчас стоит 10 лицензий?
Зависет от способа лицензирования, в среднем, примерно, cal+ts обойдется в 2500 на пользователя.

я все также могу делать все что угодно, ходить куда угодно. В чем профит?
Профит в том, что нету там рабочего стола, есть только конкретное приложение, в терминах win 2008/2012 это SharedApp, в терминах win 2003 это среда служб терминалов. Закрыв приложение, мы закрываем сеанс (никтож нам не мешает при закрытии, рестартовать сессию). Отрубая меню и прочие рюшечки, мы ограничиваем действия пользователей. Хоткеи рубятся на уровне rdp клиента. Навыходе получаем неубиваемую систему.
РеХаус
Можно поискать софт "для компьютерных клубов", так и называется. Обычно там как раз решаются эти вот задачи.
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.

Хотя идея с тонким клиентом и серваком интересная, научиться только горячие клавиши все отрубать (Alt-F4 - закроется Explorer и сеанс завершится?).
Ну а уж ограничить только 1 сайтом - это проще простого: хошь прокси накрутить, хошь ДНС, хошь политиками самого эксплорера (типа "родительский контроль"). Ну и адресную строку с глаз убрать, все равно не нужна.

А клавиатура этому компу точно нужна? или предполагается поиск по ключевым словам?
KSergey
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.
cmd-сценарий накатать и всех делов
ia
Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)
Mozepiy
Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)
Ага, с правами гостя и еще дополнительно порезанными правами на файлуху/реестр?
нуну.
А так да, про это я и говорил.
KSergey
Даже из под гостя можно запустить косынку .) Помнится, народ както изгалялся и умудрялся в платежных терминалах ее запускать, и играца.
Mozepiy
Тогда
а) мы приходи к необходимости уточнения толкованию термина "обойти". Я подразумевал, что удастся изменить указанную запись;
б) я таки верю в мощь администрирования/программирования винды, отдельные же случаи говорят нам лишь о том, что не все ходы были отрезаны авторами соотв. запилок.
KSergey
Я подразумевал, что удастся изменить указанную запись
Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
Mozepiy
Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
Ну все, начались побасенки.

Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
Еще раз, как вы это сделаете с правами гостя? ну зачем байки, предназначенные для бабушек у подъезда, пересказывать по пятому кругу?

Да и потом, бронированную дверь тоже можно взорвать. Это говорит о том, что дверь ненадежная?
KSergey
Еще раз, как вы это сделаете с правами гостя?
Вам провести мастеркласс ? Сколько вы готовы заплатить за обучение ?

ну зачем байки, предназначенные для бабушек у подъезда
Бабушек интересует интимная жизнь соседий, хайтек, им неинтересен.

Да и потом, бронированную дверь тоже можно взорвать.
Варворство и шумно, вдобавок, куда проще ее вскрыть.
Mozepiy
В политиках, какраз, эти галочки и ставятся.
Перечислите по пунктам?
Mozepiy
Вам провести мастеркласс ?
А вы сможете? Есть кое-какие сомнения. И вторая фраза Сколько вы готовы заплатить за обучение ? эти сомнения конкретно усиливает.
Варворство и шумно, вдобавок, куда проще ее вскрыть.
Еще раз: Это говорит о том, что дверь ненадежная?
ТикТак
Перечислите по пунктам?
Часть в Конфигурация компьютера - Административные шаблоны - Компоненты windows - Intersnet Explorer,
Другая часть Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Intersnet Explorer.
ТикТак
А вы сможете?
Подобный опыт есть, можете продолжать сомневаться, дело ваше.

Это говорит о том, что дверь ненадежная?
Это говорит о том, что дверь надежна на N%, где N<100 и обратно пропорциональна мастерству вскрывающего.
ТикТак
Я просил по пунктам.
Откройье оснастку и посмотрите сами.
Mozepiy
кстати, а как через GPO сконфигурировать вот такие случаи ?
Mad_Dollar
Физический доступ к встроенному компьютеру всегда должен быть ограничен. Вот и вся GPO.
И вроде так можно настроить запуск только определенных программ, с полными путями и хешами.
Mad_Dollar
Яж конкретно в своем посте указал, что это касается исключительно IE.