קודם-כל סליחה, זה יהיה ארוך,

אני מנסה ליצור מחשב "ייעודי" כך שאני אוכל לשים אותו במקום מרכזי פתוח למשתמשים, בלי שיוכלו להרוס אותו.
המחשב הוא מחשב stand alone המריץ חלונות XPSP2 (לא בר-שינוי)
אין התקנה של תוכנות נוספות (לצורך העניין) וכל ההגבלות (אנשי הפינגווין - לעצום את העיניים) הן על בסיס מערכת ההפעלה עצמה.

- בין היתר חסמתי הפעלה של command prompt בכול צורה אפשרית (הסבר למה זה קריטי - בהמשך).
כאשר חלונות יוצר פרופיל חדש, למשתמש שנוצר בשבילו הפרופיל יש הרשאות full control.
- תיקיית המשתמש לא מקבלת הרשאות בירושה מ documents and settings, כך שלתת הגבלת deny על התיקייה הזו חסר ערך.
- רעיון שחשבתי עליו הוא לאפשר למשתמשים לעבוד עם cacls וכך ברגע שמשמתש עושה login הוא מבטל לעצמו את כל ההרשאות מלבד הרשאת קריאה (ובגלל שהוא לא אדמין, הוא לא יוכל לקחת בעלות וכו')
הביצוע היה באמצעות יצירת קובץ batch שעושה את כל השינויים הדרושים.
הבעייה היא שכאשר מפעילים סקריפט (מסתבר, לצערי), ולא משנה באיזו צורה, אם זה לחיצה כפולה, startup, אפילו באמצעות start /b, חלונות משתמש ב cmd כדי להריץ את הסקריפט.
אבל ה CMD, כאמור, על כל גירסאותיו, מבוטל.
גם סקריפטים (vbs, js) פועלים תחת cmd.
גם להריץ ישירות cacls דרך GPO לא פועל, כי הוא מנסה לרוץ תחת cmd.
אפליקציות חלונאיות סטייל iexplore לא פועלות דרך cmd, אז איתן אין בעייה.

השאלה שלי היא:
יש למישהו רעיון איך לבצע את שינוי הרשאות הNTFS בצורה אחרת שאינה סקריפט?
או לחלופין להפעיל סקריפטים תחת אפליקציות חלונאיות? (גם cscript ו wscript מבוטלים)
אני לא רוצה לפתוח visual studio וליצור אפליקציית MFC... באמת שלא

תודה לעונים!

אפליקציה חלונאית משמע executables? (קובץ exe)

האמת שאני לא ממש מתמצא ב-vbs, אבל בזמנו היה bat2exe
ובחיפוש זריז ראיתי שיש vbs2exe.

אבל זה עדיין ירוץ תחת cmd...
אפליקציה חלונאית משמע אפליקציה שהפלט שלה לא נשלח ל command prompt

תגיד מה המטרה של המחשב?

מה זה להרוס? האם המחשב הוא לאינטרנט בלבד? או?

מה אתה בעצם יותר רוצה לחסום?

אם אתה רוצה למנוע מאנשים לפתוח כל סוג של קובץ(ולא אכפת לך מהמחשב)
אז ככך:
התחל
המחשב שלי
כלים>אפשרויות תיקיה
סוגי קבצים
שם תבחר את סוג הקובץ EXE GIF BAT משאתה רוצה
עכשיו תלחץ מתקדם ושם יש לך את הפעולות שם אתה יכול לקבוע מה יהיה בלחצן הימני כשלוחצים על הקובץ ומה הברירת מחדל כשלוצים על הקובץ

עוד רעיון
אני מתכנת אז אם תיתן לי עוד פרטים אני יכול להכין תוכנה שכאשר אנשים לוחצים על קובץ קופץ הודעה או משהוא כזה

Your signature did not follow Fresh's signatures policy, therefore it was automatically erased. Please see the E-Mail which has been sent to you, to learn how to fix this.

בדקתי קצת את הנושא וגיליתי כמה דברים מעניינים:

יצרתי קובץ bat והפכתי אותו לexe עם גירסת הדמו של התוכנה שנמצאת כאן.
אם שמרתי אותו כקובץ exe שתואם לגרסאות ווינדוס השונות הוא אכן לא
רץ, ונתן את ההודעה הרגילה שהאפשרות בוטלה ע"י ה-administrator.
אבל, אם שמרתי אותו כקובץ exe בסגנון ms-dos 6, הפעולה כן בוצעה.

ויותר מזה: אם בקובץ bat שהפכתי ל-exe הייתה פקודת call לקובץ bat
רגיל אחר, קובץ ה-bat כן רץ.

קבצי ה-bat שיצרתי הכילו פקודות פשוטות של יצירת תיקיות העתקת קבצים ומחיקות,
אז אולי ולא יעבדו פעולות אחרות. אבל עצם זה שפקודת call לקובץ bat רגיל כן עובדת,
אז אולי באמת אפשר לעשות הכל...

יכול להיות שעליתי על Vulnerability
?

קבצים מסוג זה רצים על ידי wowexec שעוטף אותם, וכן, מהיכרותי עם איך שהדבר הזה פועל, לא מן הנמנע שיש סיכוני אבטחה רציניים בכך.

ולפותח האשכול - לא ניתן להקשיח את חלונות עד כדי כך. נשמע שאתה מחפש (למרבה החרדה שלך) פתרון מבוסס לינוקס עם SELinux או grsec.

נמאס לכם לזכור סיסמאות? לחצו כאן!

נסה לבצע קריאה לקובץ WIN כמו CALC ולראות מה קורה

ה-calc נפתח. למה?

כי כמו ששימי אמר , קבצי DOS ישנים רצים ע"י סביבה וירטואלית
ורציתי לראות מה קורה כשמנסים להפעיל קובת WIN32 מתוך קובץ כזה
אם זה ככה, אתה יכול להריץ את WSCRIPT מהקובץ שלך ופשוט להריץ קובץ VBS ונגמרה הבעיה שלך

תחנת משהו יעודי וזהו

http://www.answers.com/topic/ntfs-permissions

ציטוט:

mp3lll תגיד מה המטרה של המחשב? מה זה להרוס? האם המחשב הוא לאינטרנט בלבד? או? מה אתה בעצם יותר רוצה לחסום?

המחשב מיועד לעמוד במקום מרכזי ולשרת בחינם משתמשים (לתקופה כמה שיותר ארוכה).
המחשב פתוח לאינטרנט, אבל מוגדר שיוכל לגלוש לאתר מאוד ספציפי בלבד (לדוגמה - גלישה רק למערכת הפורומים של פרש), ואני לא רוצה שנצטרך כל כמה זמן להגיע אל המחשב כדי לתחזק אותו, אפילו אם יגיע איזה wiz-kid שמצא סקריפט מגניב ברשת שעושה משהו.

ציטוט:

b1arak אם אתה רוצה למנוע מאנשים לפתוח כל סוג של קובץ(ולא אכפת לך מהמחשב) אז ככך: התחל המחשב שלי כלים>אפשרויות תיקיה סוגי קבצים שם תבחר את סוג הקובץ EXE GIF BAT משאתה רוצה עכשיו תלחץ מתקדם ושם יש לך את הפעולות שם אתה יכול לקבוע מה יהיה בלחצן הימני כשלוחצים על הקובץ ומה הברירת מחדל כשלוצים על הקובץ עוד רעיון אני מתכנת אז אם תיתן לי עוד פרטים אני יכול להכין תוכנה שכאשר אנשים לוחצים על קובץ קופץ הודעה או משהוא כזה

הדבר היחידי שהמתמשים יוכלו להפעיל הוא דפדפן (שימי, תחזיק חזק) אקספלורר, אין שום אופצייה להפעיל שום תוכנה אחרת, לא wowexec, לא cmd, לא כלום, וזה לא חסום רק ברמת windows explorer, כך ששימוש בדרכים "עוקפות" כמו הפעלת תוכנות דרך wordpad לא יעזרו.
לגבי התכנות, יש מאחורי כמה שנים של תיכנות (כן כן, אני מהבודדים שעשו את ההסבה הלא הגיונית מתכנות לתחזוקה), אז תודה על ההצעה, אבל אין צורך

ציטוט:

yman36 בדקתי קצת את הנושא וגיליתי כמה דברים מעניינים:

שימי כבר ענה לך.
וכמו שכבר אמרתי למעלה, הכול חסום (גם wowexec), כך ששוב, זה לא עוזר לי הרבה

ציטוט:

The IceMan תחנת משהו יעודי וזהו http://www.answers.com/topic/ntfs-permissions ... אם זה ככה, אתה יכול להריץ את WSCRIPT מהקובץ שלך ופשוט להריץ קובץ VBS ונגמרה הבעיה שלך

זה הרעיון שחשבתי עליו, אבל שוב, אני עצלן
חוץ מזה, אם אני מאפשר הרצה של סקריפט ספציפי שאני כותב, לך תדע אם מישהו לא ימצא באג (או שכבר מצאו) בvb או vc שנותן לך לשתול פקודות בתוך קובץ בינארי, ואז תיאורטית כל ההגדרות שלי יכולות ללכת לזבל, כי דרך הקובץ הזה כן אפשר יהיה להריץ דברים...
אפשר להגיע עם זה להרבה מקומות בעיתיים

גם wscript חסום

ציטוט:

שימי ... ולפותח האשכול - לא ניתן להקשיח את חלונות עד כדי כך. נשמע שאתה מחפש (למרבה החרדה שלך) פתרון מבוסס לינוקס עם SELinux או grsec.

לא מלמדים כלב זקן תכסיסים חדשים, ולא משנים תפיסת עולם של ארגונים גדולים (אפילו אם הם לא צבא)
הדרישה היא לחלונות XP, בעיקר בגלל שהאתר הספציפי הזה עובד רק עם אקספלורר (ובינינו - גם עם konqurer, או איך שלא כותבים את זה), כך שהרעיון שלך אולי נחמד, יעיל ונכון - אבל לא לגיטימי


קצת תשובות כלליות, לשאלות שעלולות להישאל:
1. לא, אני לא יכול להציע לרכוש רכיב חומרתי שיתקין image בכול עליה מחודשת של המחשב (וככה שיידפקו את המחשב כמה שרוצים, גם-ככה באתחול הבא זה ייפתר)
2. לא, אין גישה פיזית למחשב
3. אני אשמח אם נתרכז ברעיונות לשינוי ברירות המחדל של הרשאות NTFS ליצירת תיקיית משתמש חדש, כי לדעתי חסמתי את כל האפשרויות מלבד באגים פנימיים של חלונות (חלק קטן שלהם) ומקרים בהם המשתמש ישחית את הפרופיל משתמש שלו, כי במקרים כאלו חלונות פשוט יוצר פרופיל חדש...
4. אל תחשבו על להשאיר back door ואל תפסלו רעיונות שעלולים למנוע גישה למשתמש אדמיניסטרטיבי, רגע לפני שהמחשב עוזב את הידיים שלי כל משתמש שאינו המשתמש הייעודי מבוטל, ולאף אחד לא תהייה אפשרות להחזיר אותו לשימוש.
בשביל זה משתמשים ב ghost

תודה.

לגבי רכיב חומרה שמשחר IMAGE אולי אין לך אפשרות אבל מה לגבי תוכנה ?

http://www.faronics.com/html/deepfreeze.asp

מקסימום אני אציע להם שוב, אבל עדיין הייתי רוצה למצוא פתרון לבעייה המקורית, עכשיו זה מעניין אותי

Shared_Computer_Toolkit_ENU.msi

UPHClean-Setup.msi

אתה יכול להוריד את זה באתר של השרלטנים

אמנם יש לי רק שעה לעבוד על המחשב מחר כדי לסיים את הנעילה שלו, אבל אני בטח אשתמש בתוכנה הראשונה שהצעת לגרסאות הבאות, לפי התיאור זה נשמע לא רע בכלל.
תודה.