Hmm, provaj pomoću registry-ja (DisallowRun). http://support.microsoft.com/?kbid=323525

P.S http://www.elitesecurity.org/poruka/482868

_{[Ovu poruku je menjao VRKY dana 31.03.2006. u 21:26 GMT+1]}

OK, hvala, ali sad me muči ono čega sam se i bojao. Naime što je sa onim programima koje pokreće explorer.exe. U biti, da malo preformuliram pitanje. Imam malu mrežu. 3 klijenta i server. E sada, je li moguće spriječiti pokretanje programa na serveru kojima se može izaći na internet, da bih spriječio surfanje na radnom mjestu. A koliko sam vidio dovoljno je pokrenuti win explorer i voila, internet je tu.

P.S. Ovaj dio sa NTFS dozvolama mi nije baš jasan.

Hvala

_{[Ovu poruku je menjao Miroslav Soko dana 31.03.2006. u 21:43 GMT+1]}

Rijesio sam problem na slijedeći način vrlo jednostavno. U connections tabu IE-a sam stavio nepostojeci proxy, zatim zabranio admin privilegije i onemogucio mijenjanje opcija IE-a. Interneta nema. Ako ko uoči rupu u rješenju ne bi bilo loše da objavi.

Pa, recimo da neko direktno u registry-u promeni proxy...

imaš li neki firewall na tom serveru? ili možda router? najbolje rešenje je zatvaranje http/https portova.

Zaboravio sam reci da sam zabranio i pristup registry-ju.



Da, to bi bilo dobro rjesenje ali malo komplicirano za ovakvu namjenu.

Heh, ako si ovo uradio samo preko polise, zaboravi na to. To zabranjuje samo Regedit.exe i regedt32.exe ali bilo koji drugi registry editor ce raditi. Cak moze napraviti i .vbs skript koji ce menjati Registry (i pri tome skinuti zabranu za sam Regedit).

Naravno, mozes podesavati permission-e na relevantne delove Registry-a ali je to prilican posao. A ako imaju admin privilegije na tim racunarima preuzece vlasnistvo, resetovati permission-e i opet si na starom.

Poslusaj Aleksandra i insaliraj i podesi firewall, ali zabrani i ostali saobracaj, ako zatvoris samo 80 i 443 portove, mogu koristiti proxy koji ima 8080 (sto je ubedljivo najcesci slucaj) ali i neke druge portove. Ako nemaju sta da traze na netu, zabrani sve. U svakom slucaju tu ide zabrana po principu "zabrani sve pa dopusti ono sto je dozvoljeno".

Ne znam koliko bi bilo uspešno (da li može da se zaobiđe), ali da li bi radilo kada bi se jednostavno izbrisao default gateway i onda zabranilo da menjaju properties od mrežne konekcije? Tada bi i dalje mogli da vide server ali ne bi mogli da izlaze na net.

Da pojednostavim - ako imaju admin privilegije na svojim racunarima, ne mozes im nista sve dok na serveru (router-u) ne napravis zabranu.

A sta u slucaju da nemaju administratorske privilegije, odn. rade pod limited nalogom? Ovo sa permission dozvolama na pojedinim dijelovima registry-ja me jako zanima pa ako nije problem opisi ukratko. Iako cu izgleda ici na firewall rjesenje.

Ako su limited onda ce biti dovoljno da zabranis menjanje tih vrednosti u Registry-u ali je to jurnjava jer moras traziti gde je sta. Medjutim, trebalo bi da probas jer mislim da ako su limited nece moci po default-u da menjaju. Treba proveriti.
Sto se tice permission-a, isto je kao sa fajlovima - desni klik na kljuc, Permissions..., i tu dodajes user-e, grupe i odredjujes im dozvole/zabrane. Takodje i tu vazi "deny rules" tj. ako imas na jedan nacin podesunu zabranu na nesto za nekog a na jedan dozvolu - zabrana nadjacava.