Permitir que um usuário do Windows execute apenas 2 aplicativos

2

Estou usando o Windows 8 Pro . Estou tentando criar uma conta do Windows muito limitada. A conta terá apenas:

  1. Acesso à área de trabalho remota

  2. Shell foi substituído por nosso próprio aplicativo interno

  3. Acesso ao único cliente de FTP (atualmente FileZilla ) que nosso aplicativo interno lançará para eles (envia informações de login na linha de comando)

Eu não quero que eles sejam capazes de executar outros aplicativos. Desativei o gerenciador de tarefas e substituí o shell, de modo que a única maneira de executar outros aplicativos no momento é de FileZilla , já que ele permite "abrir" um EXE (executado) ou outros arquivos que abrem outros aplicativos.

Eu testei o Editor de diretivas de grupo e, pelo que posso dizer, não é permitido que um usuário administrador execute aplicativos ... mas não afeta usuários não-administradores. Eu vi HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun , mas eu preciso de uma lista branca, não de preto, e também acho que só funciona para processos que o Explorer inicia, não para outros aplicativos como FileZilla .

Eu gostaria que a lista negra usasse o caminho completo do EXE também, não apenas o nome. Desde que os usuários terão capacidade de FTP, e capacidade de renomear arquivos (nada no sistema ou pastas de arquivos de programa, porém, uma vez que esta é uma conta limitada).

Eu também tentei ir até a raiz da unidade C e adicionar uma permissão " Deny execute/traverse " no nível do sistema de arquivos, mas recebi muitos erros sobre o acesso negado em muitas pastas como c:\windows e até mesmo coisas em %código%. Então eu comecei a ir para cada sub-pasta e adicionar essa permissão, mas foi demorando muito e eu ainda estava recebendo muitos erros de acesso negado (eu estava fazendo isso de uma conta de administrador).

Atualização - com a resposta aceita, mais as informações que encontrei aqui , eu consegui o que precisava.

Start the MMC (Microsoft Management Console). Type mmc into the Start menu search box or command prompt window or you may use the “Run…” feature.

Select File andchoose Add/Remove Snap-in… from the drop-down menu.

The Add or Remove Snap-ins dialog box will appear. On the left-hand pane, highlight Group Policy Object Editor and click Add >;.

The Select Group Policy Object dialog box will now appear. Click the Browse… button. Switch to the Users tab and select Non-Administrators in the list. Click OK.

The Group Policy Object should now display, “Local ComputerNon-Administrators.” Click Finish.

Depois que consegui definir políticas para o usuário único, seguindo as etapas acima, precisei acessar "Modelos de administrador - > Sistema - > Executar apenas aplicativos do Windows especificados". Eu já tinha tentado isso, mas estava faltando a parte sobre como editar políticas para apenas um usuário, não "usuários admin apenas" (o que parece ser um padrão estranho para mim).

    
por eselk 13.09.2013 / 02:07

2 respostas

6

Para entender melhor o que todo mundo já disse, a maneira "correta" de fazer isso é por meio do GPO. Você pode querer olhar para o pacote " Cenários comuns de diretiva de grupo usando o GPMC " , é um conjunto de scripts de política de grupo para bloquear estações de trabalho em várias situações. Eu acredito que você está procurando pelo script do AppStation.

O GPMC não é mais usado, mas os scripts ainda são ótimos modelos para pontos de partida para isso.

AppStation

The AppStation scenario is used when you require highly restricted configurations with only a few applications. Use this scenario in “vertical” applications such as marketing, claims and loan processing, and customer-service scenarios.

The AppStation scenario has the following characteristics:

  • Allows minimal customization by the user.
  • Allows users to access a small number of applications appropriate to their job role.
  • Does not allow users to add or remove applications.
  • Supports free-seating.
  • Provides a simplified desktop and Start menu.
  • Users have restricted write access to the local computer and can only write data to their user profile and to redirected folders.
  • Is highly secure.

TaskStation

Use the TaskStation scenario when you need the computer dedicated to running a single application, such as on a manufacturing floor, as an entry terminal for orders, or in a call center.

The TaskStation scenario is similar to the AppStation scenario, with the following changes:

  • It has only one application installed, which automatically starts when the user logs on.
  • No desktop or Start menu is present.

Kiosk

Use this scenario in a public area, such as in an airport where passengers check in and view their flight information. Because the computer is normally unattended, it needs to be highly secure.

The Kiosk scenario has the following characteristics:

  • Is a public workstation.
  • Runs only one application.
  • Uses only one user account and automatically logs on. The system automatically resets to a default state at the start of each session.
  • Runs unattended.
  • Is highly secure.
  • Is simple to operate, with no logon procedure.
  • Does not allow users to make changes to the default user or system settings.
  • Does not save data to the disk.
  • Is always on (the user cannot log off or shut down the computer).

A workstation that uses the Kiosk scenario is similar to a TaskStation, but users are anonymous in that they all share a single user account that automatically logs on at computer startup. This is achieved by modifying the Kiosk machine in a manner described later in this document. No customizations can be made and no user state is preserved.

Although user sessions are usually anonymous, the user can log on to an application-specific account, such as to a Web-based application through Internet Explorer (assuming Internet Explorer is the “kiosk application” launched at startup).

The dedicated application could be a Line of Business (LOB) application, an application hosted in Internet Explorer, or another application, such as one available in Microsoft Office. The default application should not be Windows Explorer or any other shell-like application. Windows Explorer allows more access to the computer than is appropriate for a Kiosk computer. Be sure the command prompt is disabled and Windows Explorer cannot be accessed from any application you use for this purpose.

Applications used for kiosk scenarios should be carefully checked to ensure they do not contain “back doors” that allow users to circumvent system policies. For example, they should not allow users access to applications that access the file system. Ideally, you should only use applications that comply with “The Application Specification for Windows 2000”, are Certified for Windows, and that check for Group Policy settings before giving users access to prohibited features. Older applications will not normally be Group Policy-aware, so try to disable any features that allow users to bypass administrative policy.

The registry entries Run and RunOnce are disabled in the Kiosk scenario through associated policy settings.

    
por 13.09.2013 / 06:00
1

A melhor maneira de fazer isso seria por meio de uma diretiva de restrição de software de GPO como Zoredache comentou , mas se você não tiver um domínio, o editor de GPO local não será tão poderoso nem tão útil para você.

A maneira mais fácil (embora não perfeita) de realizar isso seria fazer o seguinte:

  • Instale aplicativos de terceiros (como o Filezilla e seu programa proprietário) em uma pasta na raiz de C:/ , como C:/Apps . Dê suas permissões de usuário para esta pasta.
  • Negar acesso ao seu usuário para as pastas C:/Program Files e C:\Program Files (x86) .
  • Remova todas as pastas e atalhos do menu Iniciar e deixe as entradas apenas para os aplicativos aprovados ou removerem completamente o menu Iniciar e usarem somente ícones da área de trabalho .
por 13.09.2013 / 05:28