Posted on

Запрет на установку говна

@Echo Off
:: Перечисляем пути для обработки
Set ForbiddenDirs[]=^
“%SystemDrive%\Users\%UserName%\AppData\Local\Mail.Ru”,^
“%SystemDrive%\Users\%UserName%\AppData\Local\MailRu”,^
“%SystemDrive%\Users\%UserName%\AppData\Local\Unity”,^
“%SystemDrive%\Users\%UserName%\AppData\Local\Amigo”,^
“%SystemDrive%\Users\%UserName%\AppData\Local\Apps”
:: Удаляем существующие папки, создаём новые и выставляем права
For %%A In (%ForbiddenDirs[]%) Do (
RD “%%~A” /S /Q
MD “%%~A”
Echo y|cacls “%%~A” /C /G domain.ru\adminuser:F
)

“Дальше всё просто — ставим запуск этого файла в логон скрипты, или в назначенные задания (для пользователя при входе в систему), и наслаждаемся результатом! ”
https://habrahabr.ru/post/269321/

Но товарищ yosemity высказался о более грамотной политике, и я полностью с ним согласен:

“Это очень легко решается. Убираем незамедлительно у всех админские права. Включаем SRP так же для всех (включая гендира) SRP работает начиная с ХР проф, не надо никаких Этерпрайзных Семерок. Запуск софта разрешен только из %WINDIR% и %ProgramFiles% (+x86). Юзер не может писать в указанные выше директории, следовательно не может запустить оттуда левую прогу. Из своего профиля, или из любого другого места, хоть обзапускайся, винда не разрешит. ВЕСЬ Софт разворачивается централизованно через LUP. Опционально: включаем централизованный мониторинг логов SRP с клиентских машин и весело наблюдаем за попытками бухгалтерии запустить очередной вирус «от налоговой». Спасает не только от всяких «Амигов», но и от любой заразы, даже неизвестной антивирусам.
Это всего один раз вникнуть в тему и на 99% снизить риск. Дополнительно запиливаем всем EMET с правилами (Popular и Recomended Software), чтобы повысить защиту софта от 0-day.
Ну а колхозить такие убивальщики… наверное интересно, но абсолютно неэффективно.
Добавлю, что все вышеуказанное с успехом работает у нас не первый год.”

Вот бомба:

“gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и httpss ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов.
Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.
Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).”

https://habrahabr.ru/post/101971/

И проверить всё AccessEnum

Плюсом я бы к запускаемым добавит js, jsn, vbs и т.п., чтобы убить шифровальщиков и т.п.

А если настроить еще и автоперенос и автоклин темпов через ГПО возможно – вообще супер получится!

Posted on

VMware vSphere Client на контроллер домена

Рабочее решение:
VMware-viclient-all-5.5.0-1281650.exe /VSKIP_OS_CHECKS=”1″

https://acisi.livejournal.com/83315.html

А способ, предложенный на vmgu работал у меня косо: если я писал VMware-viclient.exe /v “SKIP_OS_CHECKS=1”, то инсталлер вылетал с ошибкой “1152 Error extracting to the temporary location”.

Короч, спасибо некоему acisi.livejournal.com :-)

Posted on

Изменить место хранения профиля пользователя Windows

Взято отсюда: https://itteh.org/?p=469

1. Создайте новую папку, которая будет использоваться для хранения профилей.
2. Скопируйте все существующие профили из папки %systemdrive%\DocumentsandSettings в только что созданную папку. (Обратите внимание, что при копировании с файловой системы NTFS на файловую систему NTFS необходимо воспользоваться командой XCOPY и параметром командной строки /o, что позволит сохранить списки контроля доступа, связанные с каждым файлом.)
3. Запустите редактор системного реестра (REGEDIT.EXE) и перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList.
4. Дважды щелкните на записи ProfileDirectory.
5. Введите путь к новой папке и щелкните на кнопке OK.

XCOPY /H /O /T /E /B /Y c:\users d:\users

Занятно, я mklink юзал, но этот вариант лучше, потому что позволяет сразу все менять. Спасибо автору :-)

Default user’s temps:
HKEY_USERS\Environment\

Default System temps:
HKLM\System\ControlSetXXX\Control\Session Manager\
HKLM\System\CurrentControlSet\Control\Session Manager\

Change environment valiables in Group Policy:

  1. Open the Group Policy Management Console . Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit .
  2. In the console tree under Computer Configuration or User Configuration , expand the Preferences folder, and then expand the Windows Settings folder.
  3. Right-click the Environment node, point to New , and select Environment Variable .

https://technet.microsoft.com/en-us/library/cc772047(v=ws.11).aspx

Posted on

Полезные команды CMD Windows + контекст .BAT файлов

Узнать модель материнской платы из cmd:

wmic baseboard get product,Manufacturer,version,serialnumber

https://x-flame.ru/kak-uznat-model-materinskoj-platy-cherez-cmd/

Узнать подробности видимых WiFi сетей:

netsh wlan show networks mode=bssid

Запустить программу из .bat файла с параметрами:<

start "" "c:\program files\Microsoft Virtual PC\Virtual PC.exe" -pc MY-PC -launch
In other words, give it an empty title before the name of the program to fake it out.

https://stackoverflow.com/questions/154075/using-the-start-command-with-parameters-passed-to-the-started-program

Save output to file:

command.name > fileName.txt

Remove text from file:

findstr /v /i /L /c:"Mabrur" text.txt >out.txt

/v means “lines that do not contain
/i means “case-insensitive”.
*all lines containing the /L literal string Mabrur, whether it is as product or some other column, or is part of a longer string will be excluded.

https://stackoverflow.com/questions/49569889/how-to-delete-some-line-from-txt-file-using-batch

Posted on

Disable beep Windows 8/8.1/10/2012

net stop beep
sc config beep start= disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Beep

Start = 0x00000000
HKEY_CURRENT_USER\Control Panel\Sound
beep = no
Posted on

CryptoPRO 3.6 & 3.9 bug hangs TermService

Долго я бился с проблемой зависания сервера терминалов на одном сервере.

Пробелма проявляет себя так: в случайный момент сервер перестает пускать пользователей, которые подключаются по RDP. Ошибка у пользователей гласит о проблемах с сервером лицензий.  Если перезапустить TermService, то все начинает работать как надо, но опять до непредсказуемого момента.

 

Я решил это так:

Создал задание, которое при событии 20497 из источника TerminalServices-RemoteConnectionManager  лога Microsoft-Windows-TerminalServices-RemoteConnectionManager запускает следующий скрипт:

taskkill /F /FI “SERVICES eq TermService”
ping 127.0.0.1 -n 4
net start TermService /y
ping 127.0.0.1 -n 4
exit

Это, конечно, костыль страшный, но пока такой вариант единственно приемлемый на том сервере.

 

Несколько других вариантов решения проблемы, таких как отключение шифрования ГОСТ или перехода на версию КриптоПро 4.0 описаны здесь:

https://forum.ru-board.com/topic.cgi?forum=8&topic=51566&start=120#20

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8146&p=3