Jump to content

Recommended Posts

Posted (edited)

На уровне GPO заблокировано. Но есть много недоменных удаленных компов на которых стоит KES под управлением KSC.

Посмотрел политику, только контроль устройств нашел и там можно запрет на устройство организовать.

А хотят авторан только запретить.

Edited by Dmitry Orlov
Posted (edited)

Да, в этом вам поможет компонент Контроль приложений ?

 

1. В политике перейдите в соответствующий раздел, Включите компонент, закройте замки.

выберите вариант работы "Список запрещенных" и действие "Применять"

добавите правило

Спойлер

image.png.6c2f2c4c7ba062d4e3d87461a3495414.png

 

2. Для работы правила нужна созданная категория, которое будет описывать некий набор программ по определенным атрибутам, ее можно добавить в разделе дополнительно заранее

Спойлер

image.png.ee3535eb2bb1188918238b2c03e15975.png

но можно сразу из правила создать новую

Спойлер

image.png.18b7f3297fb2b7de6c1866da19ed1ce3.png

 

3. Создаем категорию

Спойлер

image.png.da2b8701b795ade9db15524d9221b8e6.png

Спойлер

image.png.5b360771ec06509268878366ea7d3924.png

Спойлер

image.png.c8940195479f8026afe1d0fb8ae91b4e.png

Выбираем "тип носителя" и жмем Далее

Спойлер

image.png.e2770952b46b6ac2d9d0d87d41df816b.png

на следующем шаге задаем исключения, но в этом случаи нам это не нужно, жмем Далее

после завершения мастера нас вернет в наше правило, выставляем действия и добавим описания

Спойлер

image.png.e929673472c8faf51174cb4c26aa6026.png

все готово ...проверяем

Спойлер

image.thumb.png.ee48040dd521afc1a19ebdde41e9e17e.png

 

 

Однако ... надо понимать что запуск будет запрещен СО ВСЕХ съемных носителей - USB, CD, DVD итд

при этом если файл будет скопирован на рабочий стол ...но прекрасно запустится.

надеюсь ответил на ваш вопрос ? ?

Edited by ElvinE5
Posted
53 минуты назад, ElvinE5 сказал:

надо понимать что запуск будет запрещен СО ВСЕХ съемных носителей - USB, CD, DVD итд

по этому я бы посоветовал топикстартеру отключить автозапуск через реестр, распространив выполняющий эту процедуру, файл .cmd на все устройства, где это необходимо, а еще можно его этот файл закинуть в автозагрузку всех пользователей

  • Like 1
Posted (edited)

ElvinE5

Спасибо, очень подробно, но речь не про старт с носителя, а про автостарт! В принципе, можно сделать запрет на доступ к файлу autostart.ini. Хотя тоже не совсем корректно так делать, ИМХО.

Aftalik

Это уже сделано, а про распространение через bat\cmd думал, да. Подходит, конечно, хотя не и совсем удобно. Но я просто ожидал увидеть галку в политике KES.

Edited by Dmitry Orlov
Posted (edited)

-

Edited by ElvinE5
Posted (edited)
36 минут назад, Dmitry Orlov сказал:

Но я просто ожидал увидеть галку в политике KES.

это и есть автостарт ... все что попытается запустится будет заблокировано.

 

36 минут назад, Dmitry Orlov сказал:

Но я просто ожидал увидеть галку в политике KES.

не на все есть волшебные кнопки "сделать зашибись", функционал есть ... но требует больше чем 1 действие.

 

странно задублировалось ...не могу удалить ?

Edited by ElvinE5
Posted
2 минуты назад, ElvinE5 сказал:

это и есть автостарт ... все что попытается запустится будет заблокировано.

Ну это не совсем так, как работает запрет автостарта через GPO и что я имел в виду под автостартом. Это чистой воды запрет старта со съемного носителя.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...