Ограничение доступа к Интету для выбранных локальных уч. записей

← →
Джо © (2006-04-04 17:05) [0]

Собственно, можно ли осуществить сабж стандартными средствами Windows XP Professional? Ну, и если можно, то как :)
Имеется в виду постоянное соединение с Интернетом, не модемное.

← →
Jeer © (2006-04-04 17:47) [1]

осталось выяснить, что означает ограничение (скорость, время доступа, подмножество сайтов, etc)

← →
isasa © (2006-04-04 17:51) [2]

А брандмауэр не смотрел?
(Деверсанты, жена, дети?)

← →
Джо © (2006-04-04 17:52) [3]

> [1] Jeer © (04.04.06 17:47)

Нет, просто интересует возможность организовать отключение какой-то из Network Connections для выбранных учетных записей. Я в этих материях разбираюсь плоховато, поэтому, сорри, видимо плохо объясняю "на пальцах".

← →
McSimm © (2006-04-04 17:54) [4]

я не нашел.
включаю вручную :)

← →
McSimm © (2006-04-04 17:55) [5]

и выключаю перед выходом из профиля / выключением компьютера

← →
Джо © (2006-04-04 17:55) [6]

> [2] isasa © (04.04.06 17:51)
> А брандмауэр не смотрел?

Да со стандартным ничего такого не придумал, а желательно ничего не "воротить" сверх-сложного. В принципе, как решить задачу "криво" я представляю, достаточно разрешения нужным образом расставить для iexplore.exe & opera.exe etc. Но нет ли нормального способа? (Я подозреваю, что нет).

← →
McSimm © (2006-04-04 17:59) [7]

> решить задачу "криво"

нет, этот способ например мне никак не годится, даже если научится расставлять права на ieexplorer, так чтобы explorer продолжал нормально работать :)
слишком много "etc", причем не только на компьютере, но и в сети снаружи.

а следить в мое отсутствие за попытками тех или иных etc чего-то с кем-то соединится некому

← →
Джо © (2006-04-04 18:01) [8]

> [7] McSimm © (04.04.06 17:59)

Да, решение с пермишенами для NTFS весьма "половинчато", если можно так выразиться. Я поэтому и спрашиваю, мож кто чего подскажет универсальное :)

← →
Джо © (2006-04-04 18:05) [9]

В общем, ты прав, установка прав доступа для iexplore.exe ничего не дала, я мог бы и сам догадаться :(

← →
LexxX © (2006-04-04 18:05) [10]

Джо © (04.04.06 17:05)
Собственно, можно ли осуществить сабж стандартными средствами Windows XP Professional?

Можно создать профиль оборудования и разрешить/запретить различным службам и оборудованию работать в каждом профиле. Это как вариант.

← →
Игорь Шевченко © (2006-04-04 18:07) [11]

Джо © (04.04.06 17:05)

Я извиняюсь (сам не в курсе), а настройки встроенного firewall - они на все учетные записи распространяются или для каждой записи свои ?

← →
Джо © (2006-04-04 18:07) [12]

> [10] LexxX © (04.04.06 18:05)

Интересная идея. А как можно связать учетную запись с профилем оборудования?

← →
Джо © (2006-04-04 18:10) [13]

> [11] Игорь Шевченко © (04.04.06 18:07)
> Джо © (04.04.06 17:05)
>
> Я извиняюсь (сам не в курсе), а настройки встроенного firewall
> - они на все учетные записи распространяются или для каждой
> записи свои ?

Дык на все, вроде.

← →
Игорь Шевченко © (2006-04-04 18:14) [14]

Джо © (04.04.06 18:10) [13]

Стандартными средствами вроде нельзя (подсказали знающие люди).

← →
McSimm © (2006-04-04 18:17) [15]

>настройки встроенного firewall
общие.
и настройки экрана тоже, к большому неудобству (это тоже входит в ритуал начала / окончания работы).

OutPost мне тоже не удалось приспособить.

← →
Джо © (2006-04-04 18:17) [16]

> [14] Игорь Шевченко © (04.04.06 18:14)
> Стандартными средствами вроде нельзя (подсказали знающие
> люди).

Ясно, спасибо.

Но если у кого-то есть идеи в пределах сабжа — с благодарностью выслушаю :)

← →
isasa © (2006-04-04 18:22) [17]

Как вариант, писать скрипт с WMI и отключать ненужные интерфейсы в зависимости от сеанса пользователя.
Кроме этого, смутно вспоминаю, в Kerio Winroute Firewall что-то было?

← →
LexxX © (2006-04-04 18:24) [18]

Джо © (04.04.06 18:07) [12]
А как можно связать учетную запись с профилем оборудования?

Не знаю... :(
Сам мучился подобной проблемой на работе, когда в мое отсутствие девочка-практикантка выкачивала весь трафик. Я целый день искал способы ограничения трафика или запрета выхода в интернет, но безуспешно. В конце концов удалил нафиг ее профиль с машины :))

← →
Джо © (2006-04-04 18:26) [19]

> [17] isasa © (04.04.06 18:22)
> Как вариант, писать скрипт с WMI и отключать ненужные интерфейсы
> в зависимости от сеанса пользователя.

Гм... интересно :)

> Kerio Winroute Firewall что-то было?

Бог его знает, не пользуюсь.

← →
isasa © (2006-04-04 18:31) [20]

Джо © (04.04.06 18:26) [19]
Кстати, таки да. Можно оформить как *.vbs, и запускать cscript.exe(wscript.exe). А можно вставить в проект Дельфи библиотеку типов, со всеми вытекающими.
Ну и на ключ Run сеанса злобного usera

← →
LexxX © (2006-04-04 18:31) [21]

isasa © (04.04.06 18:22) [17]
Как вариант, писать скрипт с WMI

А есть ли информация по написанию подобных скриптов?

← →
isasa © (2006-04-04 18:37) [22]

:)
Вот тут можно посмотреть
http://www.delphikingdom.com/asp/viewitem.asp?catalogid=698

← →
Чапаев © (2006-04-04 18:38) [23]

Как вариант... Выставить пользователю неправильные настройки браузера (например, 127.0.0.1:1234 в качестве прокси-сервера), а затем запретить этому пользователю их менять. Не уверен, удастся ли так сделать не в домене.

← →
Джо © (2006-04-04 18:44) [24]

> isasa ©

Отличная идея, но никак не могу наковырять в этом WMI работу с сетевыми интерфейсами. Никто не знает навскидку хоть от кудова плясать?

← →
isasa © (2006-04-04 18:54) [25]

Попробуй поискать в MSDN. Ключевые слова
Win32_NetworkAdapter, Win32_NetworkAdapterConfiguration, Win32_NetworkAdapterSetting

← →
VirEx © (2006-04-04 18:57) [26]

Win32_NetworkAdapter
Win32_NetworkAdapterConfiguration

← →
VirEx © (2006-04-04 18:59) [27]

http://kladovka.net.ru/index.cgi?pid=list&rid=251

← →
Джо © (2006-04-04 19:01) [28]

> [25] isasa ©
> [26] VirEx ©

Спасибо!

Предложу свои варианты.
Идеи заключаются в следующем:

1)
Программа сидит в памяти (без трэя) или в трэи, которая зарегистрировала себя под системным процессом (как точно это сделать на Delphi - не знаю, но знаю что можно :) ) и следит за действиями пользователя.
Под слежкой за действиями пользователя подразумевается:
- поиск окна с названием: "Подключение к <имя провайдера>". Если человек грамотный, он может переименовать это соединение и подключиться, так что надо брать первые 13 символов для проверки: "Подключение к"
- при нахождении этого окна ... (тут уже ваше дело: отослать сообщение на закрытие окна + спросить пароль. Если пароль верный, то подключиться к провайдеру самому - из Delphi. Или же просто закрыть найденное окно)

2)
Для подключения к интернету запускается специальная windows-кая программа (как её название - не помню...). Если знать название этой программы, то можно написать прогу, которая будет закрывать эту программу.

ИЛИ же - прописать имя этой программы в реестре.
Reg-файл:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisallowRun"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\D isallowRun] "1"="ИМЯ_ЗАПРЕЩЁННОЙ_НА_ЗАПУСК_ПРОГРАММЫ"
Вместо цифры 1 - может быть другая цифра - зависит от количества записей в этом разделе

> [25] isasa © (04.04.06 18:54)
> [26] VirEx © (04.04.06 18:57)

Эх, какая хорошая идея была :( Нашел в MSDN даже готовый скрипт отключения интерфейсов, работает прекрасно. Но: к сожалению, под ограниченной учетной записью ничего не отключает :(

Я в свое время поступал следующим образом:
на файрволе запрещаю выход для всех кроме Opera.exe, а на нее устанавливаю права NTFS.

> [31] atruhin © (04.04.06 19:26)
> Я в свое время поступал следующим образом:
> на файрволе запрещаю выход для всех кроме Opera.exe, а
> на нее устанавливаю права NTFS.

Это жестоко :)

>>Эх, какая хорошая идея была
Дак может наоборот в своем сеансе подключать на входе, на выходе отключать?

>>Это жестоко :)
Почему? Для всех я конечно утрировал :), Opera, The bat, TC, антивирус, но суть понятна, чем решение не устраивает?

> [33] atruhin © (04.04.06 19:29)
> >>Эх, какая хорошая идея была
> Дак может наоборот в своем сеансе подключать на входе, на
> выходе отключать?

Надо подумать...

Такс, идея вроде хорошая :)
Сделал 2 скрипта, net_off и net_on.
Первый поставил на выполнение в планировщик (When my computer starts) с паролем адм. учетной записи. Второй поставил на мой аккаунт (When I logon).
Осталось дело за малым. Куда бы net_off прописать для автоматического выполнения при лог-оффе моей учетной записи...

Джо © (04.04.06 19:58) [36]

Создай cmd-файл, в котором первой строкой будет выполнение твоего скрипта, а воторой - выключение машины.

> [37] LexxX © (04.04.06 20:03)
> Джо © (04.04.06 19:58) [36]
>
> Создай cmd-файл, в котором первой строкой будет выполнение
> твоего скрипта, а воторой - выключение машины.

А зачем перед выключением машины отрубать сет. интерфейсы. Power-off их и так отключит :) Наверное, ты имел в виду "перед лог-оффом"?

Джо © (04.04.06 20:19) [38]

А использовать
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] - старт ОС
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] - сеанс ?

И, насколько вспоминаю, :) в диспетчере можно задавать учетную запись, под которой выполняется задание.
Это не обязательно тнкущая.
Хакаем это дело правильно. :)

> [39] isasa © (04.04.06 20:48)

Да я уже с планировщиком разобрался. Все работает отлично, спасибо :)
А необходимость при лог-офе или Win+L запускать net_off это не такая уж страшная вешь :)
С реестром ковыряться нехота, с планировщиком удобнее, IMHO.

Если кому понадобится, вот тексты скриптов. Работает только с DHCP. Скопировано из MSDN, второй подправил.

------------
net_off.vbs:
------------strComputer = "." Set objWMIService = GetObject( _ "winmgmts:\\" & strComputer & "\root\cimv2") Set colNetCards = objWMIService.ExecQuery _ ("Select * From Win32_NetworkAdapterConfiguration " _ & "Where IPEnabled = True") For Each objNetCard in colNetCards objNetCard.ReleaseDHCPLease() Next

-----------
net_on.vbs----------- strComputer = "." Set objWMIService = GetObject( _ "winmgmts:\\" & strComputer & "\root\cimv2") Set colNetCards = objWMIService.ExecQuery _ ("Select * From Win32_NetworkAdapterConfiguration " _ & "Where IPEnabled = True") For Each objNetCard in colNetCards objNetCard.RenewDHCPLease() Next

Первый скрипт поставил в планировщик на When my computer starts, указав учетную запись администратора.
Второй — на When I logon.

Ограничение доступа к Интету для выбранных локальных уч. записей Найти похожие ветки