Имеется комп. класс (школа). На компах XP sp2. Между банками локалка и инет через шлюз. Задача - Запретить запуск 3д игр (особенно cs 1.6:D ) и соцсети. Вопрос - какие варианты можете предложить?

поставить фильтр для соц сетей, а насчет игр хз

реестр поможет.

можно оутпостом заблочить процесы, и внести в настройках запреты на посищение определённых сайтов.
+ на счет сайтов, добавь (которые нужно) в папку hosts и они открыватся не будут на терменале.

гугли - Политики ограниченного использования программ
можно вообще например поставить запрет запуска программ с диска d: (если там документы пользователя), отключить usb порты, добавлять в политику огр. использования хеши файлов контры и рано или поздно игрокам надоест тягаться в этом противостоянии

upd:
для фильтрации трафика надо думать и отталкиваться от того сколько есть денег на покупку софта (так легче) или времени на освоение freebsd под шлюз (ну или кому что нравится)

директ икс удали и все. Основные соцсети перенаправь через файл хост на какой нибудь фейк, по типу "У НАС В КЛАССЕ ЗАПРЕЩЕНО СИДЕТЬ ВКОНТАКТЕ" на всю страницу.. Или же фаервол, как писалось выше. кс не запустят, а в соцсетях все равно будут сидеть через прокси (если ума хватит)

прописать соц сети в hosts и сделать переадресацию на fake и в качестве наказания удалять страницу ВК)

Можно сделать практически встроенными сресдтвами Windows:
1)Все должны работать под ограниченой учетной записью.
2)Установить SP3+post updates
3)У каждой школы есть набор ПО в которое входит Контент Фильтр им ограничить доступ к web части.
4)Ограничение программ сделать через Политики ограниченного использования программ. Здесь и начинаются сложности в настройке,если придерживаться первого пункта ,то у пользователя не должно быть папок в которые он может писать и запускать приложение,это сразу сводит применение политики SRP на нет.
Должно быть четкое структурирование файловой системы ,а в вашем случае достаточно будет разрешить использование Program Files и Windows ,исключая папку Temp и ограничение на папку с запланироваными заданиями,и spool.Политика по умолчанию должна быть все запрещено,кроме явного разрешения(White list).

Подробнее можно прочитать http://technet.microsoft.com/en-us/library/bb457006.aspx

SRP - достаточно сложна и во многих случаях не безопасна с настройками по умолчанию.Поэтому надо отнестить серьезно к ней.Тем более на не пропатченой системе есть дыры в самой SRP.Так же политику нельзя экпортировать ,поэтому на каждом компьютере придеться создавать вручную,кроме доменой среды.

директ икс удали и все.
опенджеел никто не запрещал...

Первое что хочу, это поблагодарить всех отписавшихся. :)
Второе: Стоит лицензионный софт - Win xp sp2 и покупной касперский 6.0, а также офис 2007. На покупку любых предложенных программ, бухгалтерия не дает добро (бюджет ограниченный).
Третье: Выделял юзерам ограниченные учетки. Запреты в файле hosts на соцсети + прогу на дельфе сляпал чтоб отрубала браузер при заходе на соц сеть. В общем, всего этого хватило на неделю, прихожу, а там уже пасс админа снесли))) видимо школьники щаз такие крутые стали, гуглят :)
Четвертое: хочу снять приводы со всех банок, отключить порты usb на мордах, а сзади хотелось бы как то залочить, чтоб только мышку usbную видел комп. Так же интересная идея со сменой имя учетки "Администратор", путем создания левой с ограниченными правами (чтоб её долбили). Ну и политики, буду изучать как время будет.

upd Гуглил щаз и наткнулся на интересную прогу:
Программа Shadow User спасет вас.
Если правильно замаскировать - всё будет просто замечательно
Как раз от таких юных деятелей призвана защищать.
Проверял на ПТУшных студентах - у них складывается впечатление, что за ними всю пакость кто-то усердно убирает
Принцип работы программы - как в кино "День сурка". Перезагрузил комп - всё вернулось на свои места.

Теперь остается вопрос в бесплатном аналоге ;)

Первое что хочу, это поблагодарить всех отписавшихся. :)
Второе: Стоит лицензионный софт - Win xp sp2 и покупной касперский 6.0, а также офис 2007. На покупку любых предложенных программ, бухгалтерия не дает добро (бюджет ограниченный).
Третье: Выделял юзерам ограниченные учетки. Запреты в файле hosts на соцсети + прогу на дельфе сляпал чтоб отрубала браузер при заходе на соц сеть. В общем, всего этого хватило на неделю, прихожу, а там уже пасс админа снесли))) видимо школьники щаз такие крутые стали, гуглят :)
Четвертое: хочу снять приводы со всех банок, отключить порты usb на мордах, а сзади хотелось бы как то залочить, чтоб только мышку usbную видел комп. Так же интересная идея со сменой имя учетки "Администратор", путем создания левой с ограниченными правами (чтоб её долбили). Ну и политики, буду изучать как время будет.
В корне не правильные действия поэтому результат на лицо.

1)Почему досих пор нет Sp3+post update?
2)Зачем вообще что-то покупать?
3)Третий пунк вообще полный бред.
4)Пароль на встроенного администратора наверно не удосужились поставить?На BIOS пароль тоже?
5)Про администратора из 4 пунка опять бред.Про снятие вы не думаете о последствиях,что вас не будет и потом кто это включать будет?

Для отключения USB программным путем:
http://support.microsoft.com/kb/823732/ru

Но лучше воспользоваться методами из статьи:
http://support.microsoft.com/kb/555324

Запрет соц сетей - выставить в роутере (маршрутизаторе) запрет на посещение сайтов содержащих в имени слова или названия сайтов (функция родительский контроль - Parental Control)
Запретить просто так все не получиться. Есть два варианта.
Первый вариант - это запрет через реестр конкретных программ.
Второй вариант - это запрет всех программ, кроме разрешенных.

Spange, спс за критику))

1. Sp3+post update есть, небыло времени его устанавливать (редко там появляюсь).
2. ну не ставить же пиратки, был опыт с обэпом
3. не догнал
4. Пароль на встроенного админа (id1) был сразу установлен, а вот на биос нет, из-за чего и результат.
5. в общем не догнал, о каких последствиях идет речь. Вообще, на счет "Администратора", вычитал в статейке:
Учетная запись администратора чаще всего становится целью различного рода атак и домогательств со стороны злоумышленников. Это и понятно: имеющий права администратора получает полную власть над компьютером. Немного повысить уровень зашиты этой записи можно просто изменив ее имя при помощи control userpasswords2. Затем следует вновь создать учетную запись с именем администратора (это будет приманка) и дать ей минимальные права, добавив в группу гостей. Задайте длинный пароль для фиктивной записи, и пусть попробуют его взломать.

Для отключения USB программным путем:
http://support.microsoft.com/kb/823732/ru
Но лучше воспользоваться методами из статьи:
http://support.microsoft.com/kb/555324

Интересненько

Запретить просто так все не получиться. Есть два варианта.
Первый вариант - это запрет через реестр конкретных программ.
Второй вариант - это запрет всех программ, кроме разрешенных.
Кто мешает школьнику переименовать half-life.exe в WINWORD.exe? Как бэ не катит способ...

Spange, спс за критику))

1. Sp3+post update есть, небыло времени его устанавливать (редко там появляюсь).
2. ну не ставить же пиратки, был опыт с обэпом
3. не догнал
4. Пароль на встроенного админа (id1) был сразу установлен, а вот на биос нет, из-за чего и результат.
5. в общем не догнал, о каких последствиях идет речь. Вообще, на счет "Администратора", вычитал в статейке:

Интересненько
Зачем что-то покупать если решаеться встроенными средствами.Кроме вашего id1 сущетсвует еще один с именем Администратор,вот на него пароль нужно поставить и отключить за не надобностью(в безопасном режиме все равно автоматически активируется).

Что касается статьи ,если удалось запустить брут на системе ,то не какого труда не составит вычислить пользователя с SID 500 - Администратор(на всех системах одинаково).

Вы ничитаете ,что вам пишут поэтому выбираете не рациональный путь.

Сказали же использовать политику запрещения программ.

SpangeBoB, спасибо, не буду писать лишнего, а лучше разберусь с политиками :)

Обход политик - любой файл который надо запустить переименовывается в notepad.exe и запускается. Запись в Program Files обходится просто - тут даже объяснять не надо, мест куда что-нить можно установить полно, все не запретишь. Обход любых ограничений в инете - proxy.org . Попробуй, сам поймешь.

Для пароля админа - http://ophcrack.sourceforge.net/ на ХР пароль достанет в секунды. Тем более есть проги которые просто пароль стирают, без подбора.

А против игр - видео драйверы удали и hardware acceleration поставь на ноль чтоб хоть окна не тормозили. Никакой OpenGL не поможет.

Плюс доменный админ и доменные политики. Против инета поможет четкий файрвол, скорей даже где-нить на рутере.

Обход политик - любой файл который надо запустить переименовывается в notepad.exe и запускается. Запись в Program Files обходится просто - тут даже объяснять не надо, мест куда что-нить можно установить полно, все не запретишь. Обход любых ограничений в инете - proxy.org . Попробуй, сам поймешь.

Для пароля админа - http://ophcrack.sourceforge.net/ на ХР пароль достанет в секунды. Тем более есть проги которые просто пароль стирают, без подбора.

А против игр - видео драйверы удали и hardware acceleration поставь на ноль чтоб хоть окна не тормозили. Никакой OpenGL не поможет.

Плюс доменный админ и доменные политики. Против инета поможет четкий файрвол, скорей даже где-нить на рутере.
Пользователь не может писать в Program Files,Windows. Остальные пути просто запрещаются и переименовывайте сколько угодно свой notepad,он не как не попадет без прав администратора в в папки указанные выше.Кто вам разрешит запустить всякие proxy и настраивать их?

Для запуска http://ophcrack.sourceforge.net будете разбирать компьютер и сбрасывать пароль на BIOS?

С играми полное ололо из ваших же соображений,раз можно запускать ,что попало,то с какого перепугу я не могу поставить,включить?

PS. Советую не голословить если плохо понимаете ,как работает SRP.

Извини если что не так сказал, говорю по личному опыту.

Пользователь не может писать в Program Files,Windows. Остальные пути просто запрещаются и переименовывайте сколько угодно свой notepad,он не как не попадет без прав администратора в в папки указанные выше.


Notepad для примера

Кто вам разрешит запустить всякие proxy и настраивать их?

Я же вижу, не пробовал. Там устанавливать ни чего не надо. Просто список сайтов с web-based прокси (http://proxy.org/cgi_proxies.shtml).

Для запуска http://ophcrack.sourceforge.net будете разбирать компьютер и сбрасывать пароль на BIOS?

Разве что ты запретил F10/F12/F* для выбора запускающего устройства.

С играми полное ололо из ваших же соображений,раз можно запускать ,что попало,то с какого перепугу я не могу поставить,включить?

Все таки драйверы в 'Мои Документы' не установишь.

Программа Shadow User спасет вас.

Есть так же Faronics Deep Freeze (http://www.faronics.com/en/DownloadEvaluationEditions.aspx), тоже не бесплатно, но есть триал версия. Дома советую не устанавливать. День сурка смог сбросить только с очень большими усилиями. ;)

Извини если что не так сказал, говорю по личному опыту.
Notepad для примера
Вам крупно повезло и человек не понимал работу SRP и прав NTFS.


Я же вижу, не пробовал. Там устанавливать ни чего не надо. Просто список сайтов с web-based прокси (http://proxy.org/cgi_proxies.shtml).
Легко режется контент-фильтром.


Разве что ты запретил F10/F12/F* для выбора запускающего устройства.
Это отключается в первую очередь,как и загрузка со всего остального кроме HDD.



Все таки драйверы в 'Мои Документы' не установишь.

В предыдущем посту вы легко обходили запись в Program Files,то папка Windows чем будет отличаться по сложности =))))))))

В предыдущем посту вы легко обходили запись в Program Files,то папка Windows чем будет отличаться по сложности =))))))))

Зачем к словам придираешься))) ? Я не обходил запись в Program Files. Я просто устанавливал софт в мои документы, называл notepad и запускал.

Легко режется контент-фильтром.

Для этого я файлвол и предлагал.

DownloadEvaluationEditions.aspx]Faronics Deep Freeze[/URL], тоже не бесплатно, но есть триал версия. Дома советую не устанавливать. День сурка смог сбросить только с очень большими усилиями. ;)
Жаль что не фри :)

Файервол есть у нас бесплатный? Говорили все решается встроенными средствами...

Для школ создан бесплатный контент-фильтр http://www.skf.edu.ru/

Спанч, еще раз спасибо)))

А мне скажите как этот skf.edu.ru обойти :( Правда я и не пытался, но вроде там просто доступ к ограниченным сайтам, поэтому никак наверно, но если есть что - скажите. Подписался