Проблема: очень просто обойти K9 Web Protection, переименовав файл в каталог Windows\System32 в Windows 7.

Вопрос: Как запретить пользователю с правами администратора переименовывать указанный файл в указанном каталоге, обходя таким образом K9 Web Protection? ИЛИ, если я не могу этого сделать, как мне разрешить обычному пользователю устанавливать программы.

1 ответ1

3

Я на самом деле не могу придумать надежного способа сделать это, как я боюсь.

Возможно, кто-то с лучшими знаниями в области безопасности Windows знает способ, но, насколько мне известно, пользователь с правами администратора на компьютере, не принадлежащем к домену (автономный), может делать все, что захочет, если он знает, что делает.

Вы можете попытаться обмануть Windows, добавив файл в список, используемый функцией защиты файлов Windows. Но я понятия не имею, насколько это возможно. Определенный человек все равно сможет удалить файл, если действительно захочет.


Что касается второй части вопроса: ты не можешь, я боюсь. Не на отдельном ПК.

Если вам действительно нужна защита на одном или нескольких компьютерах, вам нужно сделать их частью домена Windows. Домены Windows могут применять политики безопасности многих видов. Это включает в себя необходимое программное обеспечение и службы для работы, защищенные файлы и папки, ограниченные права администратора и так далее. Чтобы сделать это, вам нужно запустить хотя бы один физический или виртуальный сервер, а также стоимость лицензии тоже.


Однако для ваших целей гораздо лучшим вариантом, позволяющим избежать запуска всего домена Windows, было бы создание "прозрачного прокси". По сути, вы настраиваете свой маршрутизатор или брандмауэр так, чтобы он только перенаправлял трафик в Интернет, если он проходит через ваш прокси. Вы запускаете свои фильтры на прокси. Любой, кто пытается обойти прокси, не подключается ни к чему полезному. Настройте DHCP (либо через маршрутизатор, либо через прокси-сервер), чтобы при подключении ПК к вашей сети автоматически "шлюз по умолчанию" указывал на прокси-сервер и, возможно, также фильтровал все запросы DNS через него. Конечно, вам все еще нужен запасной компьютер для этого, и он может быть разумным, если трафик в Интернет большой.

ОБНОВЛЕНИЕ: после прочтения прозрачного прокси другого потока, на который есть ссылка, я вижу, что ваша другая проблема была связана с отсутствием поддержки SSL в TinyProxy. Так что не используйте это, если можете. Если у вас есть компьютер, который вы можете настроить в качестве прокси-сервера, то лучше всего это сделать, вам нужно два порта Ethernet. Даже старый ноутбук справится с этой задачей, добавив в качестве второй карты адаптер Ethernet PCMCIA или USB. На десктопе было бы легко, многие десктопы уже фактически имеют порты Ethernet. Найдите в Google информацию о том, как настроить SQUID в Linux или даже Windows (если необходимо) в качестве прозрачного прокси. С этой настройкой у вас не будет проблем с проксированием и фильтрацией SSL-соединений.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .