DropMyRights

[shalex]

О DropMyRights рассказала Saule в топике "Важно знать!"

http://www.softboard.ru/index.php?showtopic=37015

Но поскольку это была лишь маленькая и совсем не основная частица в огромном объеме полезной информации топика, я решил что лучше не засорять его своим вопросом, а вынести отдельно. Если не прав - перенесите.

Saule

Если же возиться с профилями совсем не хочется, как вариант, попробуйте использовать бесплатную программу от Microsoft - DropMyRights, которая позволяет понизить права используемых вами приложений, оставив только те, которые есть у ограниченного пользователя (это актуально именно для браузера, т.к. в таком режиме его работы компьютерные паразиты уже не смогут скопировать себя на диск или изменить реестр, как они это делают обычно).

Попробовал воспользоваться советом применительно к IE. Получил в ответ сообщение DropMyRights.exe:

"Точка входа в процедуру SaferCreateLevel не найдена в библиотеке DLL ADVAPI32.dll."

Возможно дело в том, что изначально установленная указанная системная dll-ка (система Win2k) изменялась в последующем одним из обновлений, связанных с безопасностью от Майкрософт (KB835732). И выходит, что применение в системе DropMyRights для любого приложения при обновленной dll-ке делается невозможным.

В общем - не получилось. Если кто-то видит причину в другом - поделитесь соображениями.

[Saule]

В общем - не получилось. Если кто-то видит причину в другом - поделитесь соображениями.

Дело в том, что возможность использовать DropMyRights по сути есть только в Windows XP и Windows Server 2003, так как только в них реализована SAFER (Software Restriction Policies) - политика ограничения использования программ, которая ввела гораздо более развитую систему контроля над выполнением файлов. В Windows 2000 этой политики еще просто нет

Поэтому очень извиняюсь, что не сделала в теме пометку о том, что вариант с DropMyRights подходит только для XP и 2003 (сейчас это сделаю).

_________

P.S. В Windows 2000 есть другая программа, входившая в состав Windows 2000 Resource Kit - appsec.exe (Application Security). Скачать можно отсюда + хот-фикс. Правда, она позволяет всего лишь запретить запуск каких-либо отдельных программ через создание списка доверенных приложений. Но мало ли, может быть кому-нибудь пригодится.

Плюс еще нечто похожее: Trust-No-Exe.

[shalex]

Saule - спасибо за разъяснение. Придется деинсталлировать, ибо пока комфортно ощущаю себя и на Win2000. :)

P.S. В Windows 2000 есть другая программа, входившая в состав Windows 2000 Resource Kit - appsec.exe (Application Security). Скачать можно отсюда + хот-фикс. Правда, она позволяет всего лишь запретить запуск каких-либо отдельных программ через создание списка доверенных приложений

Я в топике посвященному Avast задал вопрос по DCOM (настройка Distributed COM вызывается: Пуск - Выполнить - ввести dcomcnfg).

Насколько я понимаю, если использовать эту системную функцию можно запретить запуск перечисленных там DCOM-приложений (и служб), например IE (а на стр. "Безопасность по умолчанию" - и остальных) путем создания учетной записи (произвольно выбраной) и установкой пароля.

Причем и запись и пароль для доступа и для запуска каждого приложения или службы можно устанавливать при желании для каждого свои (кстати, может быть решением для тех, кто озабочен доступом своих малолетних наследников к специфическим интернетресурсам :) ).

Наверное этот путь лучше чем установка дополн. программ.

Хотелось бы послушать тех, кто уже использовал эту функцию. Я на нее обратил внимание случайно (заинтересовался Web-экраном Avast-а).

PS: кстати, насчет:

в них реализована SAFER (Software Restriction Policies) - политика ограничения использования программ, которая ввела гораздо более развитую систему контроля над выполнением файлов. В Windows 2000 этой политики еще просто нет

настройками для каждой учетной записи можно задать разный тип доступа к приложению:

чтение

полный доступ

спецдоступ

[shalex]

Saule

Срубили вы под корень мою попытку углубиться в изучение возможностей DCOM . И очень благодарен вам за это .

Тему можно закрыть.

Если можно - пожелание:

таких сервисов (моделей, протоколов,...) как DCOM, не только не нужных простому юзеру, но еще и потенциально опасных, в системе наверное много. Они не на виду и о них обычный пользователь узнает или случайно на них наступив, или (что намного хуже) - когда нужно уже лечить систему.

Почему бы не перечислить их в одном из "Важных" топиков?

[Saule]

Если можно - пожелание:

таких сервисов (моделей, протоколов,...) как DCOM, не только не нужных простому юзеру, но еще и потенциально опасных, в системе наверное много. Они не на виду и о них обычный пользователь узнает или случайно на них наступив, или (что намного хуже) - когда нужно уже лечить систему.

Почему бы не перечислить их в одном из "Важных" топиков?

Вы правы.

Список служб Windows, которые рекомендуется отключить

Windows Worms Doors Cleaner

[sobibor]

Добрый вечер. Прочитал Вашу инструкцию о функции DropMyRights и сразу возник вопрос: открываю свойства Explorer , но там только вкладки "общие, версия, совместимость,сводка"...Объект/Target нет. Подскажите.

[Matias]

Дописывать путь к DMR следует в поле "Объект", которое расположено на вкладке "Ярлык".

[sobibor]

опять неудача. прописал путь: С:\Program Files\Drop My Rights\DropMyRights.exe Files\Internet Explorer\iexplore.exe" , а в ответ-"Имя конечного файла "C:\Program" задано неправильно. Проверьте правильность заданного пути и имени файла". Что ей не понравилось в конечном файле? :)

[Matias]

Правильный путь должен быть таким - "С:\MSDN\DropMyRights\DropMyRights.exe" "C:\Program Files\Internet Explorer\iexplore.exe"

Edited June 12, 2012 by Matias

[sobibor]

точно так ввел, итог-имя конечного файла задано неправильно "С:\MSDN\DropMyRights\DropMyRights.exe". уже переустановил Dropmyrights, то же самое. :)

[sobibor]

Вроде разобрался, надо просто С:\MSDN\DropMyRights\DropMyRights.exe тоже в кавычки брать :) :)

[Matias]

Готовый набор ярлыков для запуска различных приложений с пониженными правами. Эти ярлыки будут работать, если DMR установлена в C:\Program Files\DropMyRights. В набор включены ярлыки для запуска следующих программ: Firefox, Thunderbird, Outlook Express, Internet Explorer, Windows Media Player, Microsoft Word.

Edited December 29, 2010 by Matias

[Udgin]

DropMyRights, которая позволяет понизить права используемых вами приложений, оставив только те, которые есть у ограниченного пользователя (это актуально именно для браузера, т.к. в таком режиме его работы компьютерные паразиты уже не смогут скопировать себя на диск или изменить реестр, как они это делают обычно).

У меня в кеш браузера вирусы попадают, наверно здесь имелось в виду за пределы кеша?

[Dann]

У меня в кеш браузера вирусы попадают, наверно здесь имелось в виду за пределы кеша?

В кеш браузер копирует, не вирус. Вирус на диск из под браузера копировать не сможет, не будет прав. По наследованию.

В кеш всё попадает, там не админские права, там профиль, права не распространяются.

В виндовую папку не даст.

Имелось в виду что не смогут работать так, как работали б с правами, "как они это делают обычно". Как ограниченная учетка.