Заблокировать доступ ко всему, кроме интернета. Как?
9376
35
Всем доброго дня суток.
периодически попадаются на глаза "терминалы", в которых можно просматривать информацию только с одного сайта. Нет панели пуск, не работают горячие клавиши и т.д.
Вот и возник вопрос, а как можно сделать так, чтобы обеспечить на компе доступ только на один сайт, чтобы нельзя было закрыть браузер или запустить любую другую программу?
Предположим, планируется поставить отдельный комп-терминал, чтобы покупатели могли просматривать каталог товаров, но нужно обезопаситься и запретить делать что-либо иное.
Есть готовые решения, под какой операционной системой это можно делать и каковы способы реализации возможны.
П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.
Спасибо заранее за Ваши идеи.
периодически попадаются на глаза "терминалы", в которых можно просматривать информацию только с одного сайта. Нет панели пуск, не работают горячие клавиши и т.д.
Вот и возник вопрос, а как можно сделать так, чтобы обеспечить на компе доступ только на один сайт, чтобы нельзя было закрыть браузер или запустить любую другую программу?
Предположим, планируется поставить отдельный комп-терминал, чтобы покупатели могли просматривать каталог товаров, но нужно обезопаситься и запретить делать что-либо иное.
Есть готовые решения, под какой операционной системой это можно делать и каковы способы реализации возможны.
П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.
Спасибо заранее за Ваши идеи.
Навскидку вижу пару решений.
1. Если в организации есть сервер, то в качестве терминала можно поставить тонкого клиента который будет подключаться к серваку и запускать единственное расшариное приложение ака браузер. В качестве браузера использовать IE. Для пользователя (логин), который будет коннектится к серваку, групповыми политиками выставить нужную ссылку на сайт в качестве сраницы поумолчанию, и запретить вывод строки для ввода адреса, а также доступы к контекстным меню и прочим "дыркам".
2. Поставить линукс и вместо оконного менеджела, из иксов, запускать браузер. Сделать страницу поумолчанию, убрать, опять же, строку ввода, и запретить менять конфиги.
1. Если в организации есть сервер, то в качестве терминала можно поставить тонкого клиента который будет подключаться к серваку и запускать единственное расшариное приложение ака браузер. В качестве браузера использовать IE. Для пользователя (логин), который будет коннектится к серваку, групповыми политиками выставить нужную ссылку на сайт в качестве сраницы поумолчанию, и запретить вывод строки для ввода адреса, а также доступы к контекстным меню и прочим "дыркам".
2. Поставить линукс и вместо оконного менеджела, из иксов, запускать браузер. Сделать страницу поумолчанию, убрать, опять же, строку ввода, и запретить менять конфиги.
П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.Тут все от видюхи зависит, она должна иметь 2 выхода и дрова должны уметь зеркалить первый экран на второй.
Я не стал советовать групповую политику, т.к. явно видно, что человек ищет внешнюю прогу, где тыкнул в пять галочек - и готово.
В политиках, какраз, эти галочки и ставятся.
2. Поставить линуксДля многих уже этого достаточно
Это из серии "самая лучшая противоугонка в штата - МКПП"
Да, видимо хорошее решение, тонкий клиент, только поддерживает ли он 2 монитора? мне пока не попадалось. Пока это решение мне нравится, спасибо.
Про внешнюю прогу - скорее не получится. Пробовал поискать решения, но, к сожалению ничего подобного, только какими-то обходными путями и за деньги. Т.е. тот же ... но за дополнительные деньги. А про сервер приемлемое решение показалось.
Кстати, похоже с тонкими клиентами проблем не будет. если еще поискать...
ССЫЛКА
Кстати, похоже с тонкими клиентами проблем не будет. если еще поискать...
ССЫЛКА
Сейчас читают
где купить атомайзер и как перелить туалетную воду
21778
39
Киргизия. Мятеж? Переворот?
6122
40
О чём говорят мужчины-3 ( only man)
5515
21
Парни, серьезно, какие групповые политики? Какие отдельные проги? Какие тонкие клиенты?
Вы часто экскаватором садите клубнику?
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
Вы часто экскаватором садите клубнику?
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
Мы тонких собираем на базе атомов, вот к примеру мать с двумя видео - Intel D2500CC, ее можно засунуть в мелкий корпус, который крепится к задней стенке монитора. В качестве софта использовать например PoniX, получаем бездискового тонкого клиента за разумные деньги.
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.И бегать каждые пять минут чтобы запустить закрытый юзером браузер ? Я молчу про "пытливые умы", которые будут пытаться "положить" систему. Этож публичный комп, а не корпоративного пользователя, которому в случае чего, порукам настучать можно.
не совсем понял каким образом тогда будут ограничены доступы к остальным функциям операционной системы на рабочих местах, например горячих клавиш, штатных программ, доступа к настройкам и т.д.
Если это все в вашем предложении подразумевается, то возможно ли будет обратиться к Вам за помощью в реализации?
Если это все в вашем предложении подразумевается, то возможно ли будет обратиться к Вам за помощью в реализации?
jack_solovey
v.i.p.
В настройках rdp клиента указывается, что при подключении запускается конкретная программа, а при выходе из этой программы закрывается и rdp. Вроде так.
Так и каким же чудесным образом тонкий клиент избавит от всех этих напастей, его так же нужно настраивать как и обычный компьютер.
Так и каким же чудесным образом тонкий клиент избавит от всех этих напастейПотому, что там кактаковой оси нет, есть ядро с графикой и rdp клиент.
его так же нужно настраивать как и обычный компьютер.Ничего там настраивать ненужно. В конфиге указывается к какому серваку цепляться и все.
Окей, подключились в Windows сервер'у с лицензионным ключом на N подключений (сколько, кстати, сейчас стоит 10 лицензий?) и дальше что, я все также могу делать все что угодно, ходить куда угодно. В чем профит?
сколько, кстати, сейчас стоит 10 лицензий?Зависет от способа лицензирования, в среднем, примерно, cal+ts обойдется в 2500 на пользователя.
я все также могу делать все что угодно, ходить куда угодно. В чем профит?Профит в том, что нету там рабочего стола, есть только конкретное приложение, в терминах win 2008/2012 это SharedApp, в терминах win 2003 это среда служб терминалов. Закрыв приложение, мы закрываем сеанс (никтож нам не мешает при закрытии, рестартовать сессию). Отрубая меню и прочие рюшечки, мы ограничиваем действия пользователей. Хоткеи рубятся на уровне rdp клиента. Навыходе получаем неубиваемую систему.
Можно поискать софт "для компьютерных клубов", так и называется. Обычно там как раз решаются эти вот задачи.
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.
Хотя идея с тонким клиентом и серваком интересная, научиться только горячие клавиши все отрубать (Alt-F4 - закроется Explorer и сеанс завершится?).
Ну а уж ограничить только 1 сайтом - это проще простого: хошь прокси накрутить, хошь ДНС, хошь политиками самого эксплорера (типа "родительский контроль"). Ну и адресную строку с глаз убрать, все равно не нужна.
А клавиатура этому компу точно нужна? или предполагается поиск по ключевым словам?
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.
Хотя идея с тонким клиентом и серваком интересная, научиться только горячие клавиши все отрубать (Alt-F4 - закроется Explorer и сеанс завершится?).
Ну а уж ограничить только 1 сайтом - это проще простого: хошь прокси накрутить, хошь ДНС, хошь политиками самого эксплорера (типа "родительский контроль"). Ну и адресную строку с глаз убрать, все равно не нужна.
А клавиатура этому компу точно нужна? или предполагается поиск по ключевым словам?
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.cmd-сценарий накатать и всех делов
Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)
Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)Ага, с правами гостя и еще дополнительно порезанными правами на файлуху/реестр?
нуну.
А так да, про это я и говорил.
Даже из под гостя можно запустить косынку .) Помнится, народ както изгалялся и умудрялся в платежных терминалах ее запускать, и играца.
Тогда
а) мы приходи к необходимости уточнения толкованию термина "обойти". Я подразумевал, что удастся изменить указанную запись;
б) я таки верю в мощь администрирования/программирования винды, отдельные же случаи говорят нам лишь о том, что не все ходы были отрезаны авторами соотв. запилок.
а) мы приходи к необходимости уточнения толкованию термина "обойти". Я подразумевал, что удастся изменить указанную запись;
б) я таки верю в мощь администрирования/программирования винды, отдельные же случаи говорят нам лишь о том, что не все ходы были отрезаны авторами соотв. запилок.
Я подразумевал, что удастся изменить указанную записьЕсли уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.Ну все, начались побасенки.
Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.Еще раз, как вы это сделаете с правами гостя? ну зачем байки, предназначенные для бабушек у подъезда, пересказывать по пятому кругу?
Да и потом, бронированную дверь тоже можно взорвать. Это говорит о том, что дверь ненадежная?
Еще раз, как вы это сделаете с правами гостя?Вам провести мастеркласс ? Сколько вы готовы заплатить за обучение ?
ну зачем байки, предназначенные для бабушек у подъездаБабушек интересует интимная жизнь соседий, хайтек, им неинтересен.
Да и потом, бронированную дверь тоже можно взорвать.Варворство и шумно, вдобавок, куда проще ее вскрыть.
В политиках, какраз, эти галочки и ставятся.Перечислите по пунктам?
Вам провести мастеркласс ?А вы сможете? Есть кое-какие сомнения. И вторая фраза Сколько вы готовы заплатить за обучение ? эти сомнения конкретно усиливает.
Варворство и шумно, вдобавок, куда проще ее вскрыть.Еще раз: Это говорит о том, что дверь ненадежная?
Перечислите по пунктам?Часть в Конфигурация компьютера - Административные шаблоны - Компоненты windows - Intersnet Explorer,
Другая часть Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Intersnet Explorer.
А вы сможете?Подобный опыт есть, можете продолжать сомневаться, дело ваше.
Это говорит о том, что дверь ненадежная?Это говорит о том, что дверь надежна на N%, где N<100 и обратно пропорциональна мастерству вскрывающего.
Я просил по пунктам.Откройье оснастку и посмотрите сами.
Mad_Dollar
guru
кстати, а как через GPO сконфигурировать вот такие случаи ?
KSergey
guru
Физический доступ к встроенному компьютеру всегда должен быть ограничен. Вот и вся GPO.
И вроде так можно настроить запуск только определенных программ, с полными путями и хешами.
И вроде так можно настроить запуск только определенных программ, с полными путями и хешами.
Mozepiy
v.i.p.
Яж конкретно в своем посте указал, что это касается исключительно IE.