Заблокировать доступ ко всему, кроме интернета. Как?
9379
35
Всем доброго дня суток.
периодически попадаются на глаза "терминалы", в которых можно просматривать информацию только с одного сайта. Нет панели пуск, не работают горячие клавиши и т.д.
Вот и возник вопрос, а как можно сделать так, чтобы обеспечить на компе доступ только на один сайт, чтобы нельзя было закрыть браузер или запустить любую другую программу?
Предположим, планируется поставить отдельный комп-терминал, чтобы покупатели могли просматривать каталог товаров, но нужно обезопаситься и запретить делать что-либо иное.
Есть готовые решения, под какой операционной системой это можно делать и каковы способы реализации возможны.
П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.
Спасибо заранее за Ваши идеи.
периодически попадаются на глаза "терминалы", в которых можно просматривать информацию только с одного сайта. Нет панели пуск, не работают горячие клавиши и т.д.
Вот и возник вопрос, а как можно сделать так, чтобы обеспечить на компе доступ только на один сайт, чтобы нельзя было закрыть браузер или запустить любую другую программу?
Предположим, планируется поставить отдельный комп-терминал, чтобы покупатели могли просматривать каталог товаров, но нужно обезопаситься и запретить делать что-либо иное.
Есть готовые решения, под какой операционной системой это можно делать и каковы способы реализации возможны.
П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.
Спасибо заранее за Ваши идеи.
Навскидку вижу пару решений.
1. Если в организации есть сервер, то в качестве терминала можно поставить тонкого клиента который будет подключаться к серваку и запускать единственное расшариное приложение ака браузер. В качестве браузера использовать IE. Для пользователя (логин), который будет коннектится к серваку, групповыми политиками выставить нужную ссылку на сайт в качестве сраницы поумолчанию, и запретить вывод строки для ввода адреса, а также доступы к контекстным меню и прочим "дыркам".
2. Поставить линукс и вместо оконного менеджела, из иксов, запускать браузер. Сделать страницу поумолчанию, убрать, опять же, строку ввода, и запретить менять конфиги.
1. Если в организации есть сервер, то в качестве терминала можно поставить тонкого клиента который будет подключаться к серваку и запускать единственное расшариное приложение ака браузер. В качестве браузера использовать IE. Для пользователя (логин), который будет коннектится к серваку, групповыми политиками выставить нужную ссылку на сайт в качестве сраницы поумолчанию, и запретить вывод строки для ввода адреса, а также доступы к контекстным меню и прочим "дыркам".
2. Поставить линукс и вместо оконного менеджела, из иксов, запускать браузер. Сделать страницу поумолчанию, убрать, опять же, строку ввода, и запретить менять конфиги.
П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.Тут все от видюхи зависит, она должна иметь 2 выхода и дрова должны уметь зеркалить первый экран на второй.
Я не стал советовать групповую политику, т.к. явно видно, что человек ищет внешнюю прогу, где тыкнул в пять галочек - и готово.
В политиках, какраз, эти галочки и ставятся.
2. Поставить линуксДля многих уже этого достаточно
Это из серии "самая лучшая противоугонка в штата - МКПП"
Да, видимо хорошее решение, тонкий клиент, только поддерживает ли он 2 монитора? мне пока не попадалось. Пока это решение мне нравится, спасибо.
Про внешнюю прогу - скорее не получится. Пробовал поискать решения, но, к сожалению ничего подобного, только какими-то обходными путями и за деньги. Т.е. тот же ... но за дополнительные деньги. А про сервер приемлемое решение показалось.
Кстати, похоже с тонкими клиентами проблем не будет. если еще поискать...
ССЫЛКА
Кстати, похоже с тонкими клиентами проблем не будет. если еще поискать...
ССЫЛКА
Сейчас читают
Windows 10
203057
216
Затмение разума?
18233
137
Если Вас заинтересовала женщина, то....
15363
167
Парни, серьезно, какие групповые политики? Какие отдельные проги? Какие тонкие клиенты?
Вы часто экскаватором садите клубнику?
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
Вы часто экскаватором садите клубнику?
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
Мы тонких собираем на базе атомов, вот к примеру мать с двумя видео - Intel D2500CC, ее можно засунуть в мелкий корпус, который крепится к задней стенке монитора. В качестве софта использовать например PoniX, получаем бездискового тонкого клиента за разумные деньги.
Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.И бегать каждые пять минут чтобы запустить закрытый юзером браузер ? Я молчу про "пытливые умы", которые будут пытаться "положить" систему. Этож публичный комп, а не корпоративного пользователя, которому в случае чего, порукам настучать можно.
не совсем понял каким образом тогда будут ограничены доступы к остальным функциям операционной системы на рабочих местах, например горячих клавиш, штатных программ, доступа к настройкам и т.д.
Если это все в вашем предложении подразумевается, то возможно ли будет обратиться к Вам за помощью в реализации?
Если это все в вашем предложении подразумевается, то возможно ли будет обратиться к Вам за помощью в реализации?
jack_solovey
v.i.p.
В настройках rdp клиента указывается, что при подключении запускается конкретная программа, а при выходе из этой программы закрывается и rdp. Вроде так.
Так и каким же чудесным образом тонкий клиент избавит от всех этих напастей, его так же нужно настраивать как и обычный компьютер.
Так и каким же чудесным образом тонкий клиент избавит от всех этих напастейПотому, что там кактаковой оси нет, есть ядро с графикой и rdp клиент.
его так же нужно настраивать как и обычный компьютер.Ничего там настраивать ненужно. В конфиге указывается к какому серваку цепляться и все.
Окей, подключились в Windows сервер'у с лицензионным ключом на N подключений (сколько, кстати, сейчас стоит 10 лицензий?) и дальше что, я все также могу делать все что угодно, ходить куда угодно. В чем профит?
сколько, кстати, сейчас стоит 10 лицензий?Зависет от способа лицензирования, в среднем, примерно, cal+ts обойдется в 2500 на пользователя.
я все также могу делать все что угодно, ходить куда угодно. В чем профит?Профит в том, что нету там рабочего стола, есть только конкретное приложение, в терминах win 2008/2012 это SharedApp, в терминах win 2003 это среда служб терминалов. Закрыв приложение, мы закрываем сеанс (никтож нам не мешает при закрытии, рестартовать сессию). Отрубая меню и прочие рюшечки, мы ограничиваем действия пользователей. Хоткеи рубятся на уровне rdp клиента. Навыходе получаем неубиваемую систему.
Можно поискать софт "для компьютерных клубов", так и называется. Обычно там как раз решаются эти вот задачи.
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.
Хотя идея с тонким клиентом и серваком интересная, научиться только горячие клавиши все отрубать (Alt-F4 - закроется Explorer и сеанс завершится?).
Ну а уж ограничить только 1 сайтом - это проще простого: хошь прокси накрутить, хошь ДНС, хошь политиками самого эксплорера (типа "родительский контроль"). Ну и адресную строку с глаз убрать, все равно не нужна.
А клавиатура этому компу точно нужна? или предполагается поиск по ключевым словам?
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.
Хотя идея с тонким клиентом и серваком интересная, научиться только горячие клавиши все отрубать (Alt-F4 - закроется Explorer и сеанс завершится?).
Ну а уж ограничить только 1 сайтом - это проще простого: хошь прокси накрутить, хошь ДНС, хошь политиками самого эксплорера (типа "родительский контроль"). Ну и адресную строку с глаз убрать, все равно не нужна.
А клавиатура этому компу точно нужна? или предполагается поиск по ключевым словам?
Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.cmd-сценарий накатать и всех делов
Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)
Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)Ага, с правами гостя и еще дополнительно порезанными правами на файлуху/реестр?
нуну.
А так да, про это я и говорил.
Даже из под гостя можно запустить косынку .) Помнится, народ както изгалялся и умудрялся в платежных терминалах ее запускать, и играца.
Тогда
а) мы приходи к необходимости уточнения толкованию термина "обойти". Я подразумевал, что удастся изменить указанную запись;
б) я таки верю в мощь администрирования/программирования винды, отдельные же случаи говорят нам лишь о том, что не все ходы были отрезаны авторами соотв. запилок.
а) мы приходи к необходимости уточнения толкованию термина "обойти". Я подразумевал, что удастся изменить указанную запись;
б) я таки верю в мощь администрирования/программирования винды, отдельные же случаи говорят нам лишь о том, что не все ходы были отрезаны авторами соотв. запилок.
Я подразумевал, что удастся изменить указанную записьЕсли уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.Ну все, начались побасенки.
Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.Еще раз, как вы это сделаете с правами гостя? ну зачем байки, предназначенные для бабушек у подъезда, пересказывать по пятому кругу?
Да и потом, бронированную дверь тоже можно взорвать. Это говорит о том, что дверь ненадежная?
Еще раз, как вы это сделаете с правами гостя?Вам провести мастеркласс ? Сколько вы готовы заплатить за обучение ?
ну зачем байки, предназначенные для бабушек у подъездаБабушек интересует интимная жизнь соседий, хайтек, им неинтересен.
Да и потом, бронированную дверь тоже можно взорвать.Варворство и шумно, вдобавок, куда проще ее вскрыть.
В политиках, какраз, эти галочки и ставятся.Перечислите по пунктам?
Вам провести мастеркласс ?А вы сможете? Есть кое-какие сомнения. И вторая фраза Сколько вы готовы заплатить за обучение ? эти сомнения конкретно усиливает.
Варворство и шумно, вдобавок, куда проще ее вскрыть.Еще раз: Это говорит о том, что дверь ненадежная?
Перечислите по пунктам?Часть в Конфигурация компьютера - Административные шаблоны - Компоненты windows - Intersnet Explorer,
Другая часть Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Intersnet Explorer.
А вы сможете?Подобный опыт есть, можете продолжать сомневаться, дело ваше.
Это говорит о том, что дверь ненадежная?Это говорит о том, что дверь надежна на N%, где N<100 и обратно пропорциональна мастерству вскрывающего.
Я просил по пунктам.Откройье оснастку и посмотрите сами.
Mad_Dollar
guru
кстати, а как через GPO сконфигурировать вот такие случаи ?
KSergey
guru
Физический доступ к встроенному компьютеру всегда должен быть ограничен. Вот и вся GPO.
И вроде так можно настроить запуск только определенных программ, с полными путями и хешами.
И вроде так можно настроить запуск только определенных программ, с полными путями и хешами.
Mozepiy
v.i.p.
Яж конкретно в своем посте указал, что это касается исключительно IE.