לאפשר רק תוכנות מסיומת על מחשב

chocolate

@yossiz אמר בלאפשר רק תוכנות מסיומת על מחשב:

@chocolate אמר בלאפשר רק תוכנות מסיומת על מחשב:

כולל אדג'ש ?

כנראה שלא....

עדיין תוכנות לדוגמה wmp יימשיכו לעבוד

בדקתי, ו[כמובן] אתה צודק... הצלחת להבין למה?

על איזה 10 אתה מנסה?

yossiz

windows 10 pro 1803
לא הצלחתי להפעיל applocker כנראה כי צריך גירסת enterprise
@chocolate סליחה שאני משגע אותך בלי לעזור לך באמת, הנושא פשוט מעניין אותי...

chocolate

@yossiz אמר בלאפשר רק תוכנות מסיומת על מחשב:

@chocolate סליחה שאני משגע אותך בלי לעזור לך באמת, הנושא פשוט מעניין אותי...

אין על מה, זה הדרך היחיד ללמוד הדברים האלו
אני אולי אלך על כיוון של k9 להאדג'ש בצירוף הסרת כל האפליקציות הלא נצרכים להגדרת uca שלא יהיה אפשרות להתקין תוכנות חדשות

yossiz

@a0533057932 אמר בלאפשר רק תוכנות מסיומת על מחשב:

@chocolate אם אינני טועה יש בווינדוס 10 אפשרות לפתוח משתמש קיוסק שבו ניתן לבחור איזה תוכנות יעבדו זה לא יעזור לך?

כנראה התכוונת לזה:
https://docs.microsoft.com/en-us/windows/configuration/kiosk-single-app
לכאורה לא יעזור ל@chocolate

shraga

@yossiz
איך נחלצת?...

chocolate

מצאתי את זה

chocolate

ב"ה הצלחתי עם ההדרכה הנ"ל
ובאדג'ש הכנסתיMicrosoftEdgeCP.exe

chocolate

פוסט זה נמחק!

yossiz

@chocolate אמר בלאפשר רק תוכנות מסיומת על מחשב:

ב"ה הצלחתי עם ההדרכה הנ"ל
ובאדג'ש הכנסתיMicrosoftEdgeCP.exe

זה הכרתי, יש אפילו תוכנה גראפית זו עם כמה אופציות נוספות. הבעיה בזה שצריך להפעיל אותו בנפרד על כל EXE, אין דרך לחסום הכל חוץ מכמה תוכנות.

yossiz

@shraga אמר בלאפשר רק תוכנות מסיומת על מחשב:

איך נחלצת?...

רציתי לשמוע מה אחרים היו עושים במקומי...

אני לקחתי את הדרך הקלה ולא הכי מתוחכמת ועשיתי איתחול לסביבת ה-recovery משם פתחתי regedit ייבאתי את ה-hive של פרופיל המשתמש שלי, וערכתי אותו ידני. אני בטוח שיש דרכים אחרות. מה שהפתיע אותי זה שהעלאת הרשאות למנהל היה חסום וזה חוסם הרבה אופציות.
ד. א., אם זה מעניין אותך, תבדוק את זה - זה תוכנה שכולל בתוכו 52 (!!) דרכים להעלות הרשאות בדרכים עקיפות. חלק מהדרכים עדיין עובדים בווינדוס הכי עדכני.

chocolate

@yossiz אמר בלאפשר רק תוכנות מסיומת על מחשב:

זה הכרתי, יש אפילו תוכנה גראפית זו עם כמה אופציות נוספות. הבעיה בזה שצריך להפעיל אותו בנפרד על כל EXE, אין דרך לחסום הכל חוץ מכמה תוכנות.

אבל אין לי עוד אופציה

yossiz

@chocolate מה אתה עושה נגד האפשרות שמישהו יביא firefox portable?

chocolate

@yossiz אמר בלאפשר רק תוכנות מסיומת על מחשב:

@chocolate מה אתה עושה נגד האפשרות שמישהו יביא firefox portable?

הבו עצה

chocolate

בדקתי וזה חוסם גם הרצת CHROME וכדו' מUSB

aiib

@chocolate אמר בלאפשר רק תוכנות מסיומת על מחשב:

GPEDIT

אתה מתכוון לGPO?

chocolate

@aiib אמר בלאפשר רק תוכנות מסיומת על מחשב:

@chocolate אמר בלאפשר רק תוכנות מסיומת על מחשב:

GPEDIT

אתה מתכוון לGPO?

כן, אותו דבר

chocolate

השאלה הוא מה עוד אני צריך לחסום, חסמתי כבר הדפדפנים, cmd, powershell, אאוטלוק,
איזה עוד אפליקציות?

yossiz

@chocolate אמר בלאפשר רק תוכנות מסיומת על מחשב:

בדקתי וזה חוסם גם הרצת CHROME וכדו' מUSB

גם אם שינית את השם ל-winword.exe למשל?

chocolate

@yossiz אמר בלאפשר רק תוכנות מסיומת על מחשב:

@chocolate אמר בלאפשר רק תוכנות מסיומת על מחשב:

בדקתי וזה חוסם גם הרצת CHROME וכדו' מUSB

גם אם שינית את השם ל-winword.exe למשל?

אז זה יעבוד (גם דפדפן רגיל)

chocolate

נהיה יותר ויותר מוזר,
אני מצליח לייצר פוליסי שלא עוזר לשנות השם, פה
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
לחסום אפילקצייה מסיומת אני מצליח בDisallow Run , ולאפשר רק תוכנות מסיומת (שזה מה שאני צריך) ע"י Restrict Runכשאני בחשבון מנהל זה לא עושה כלום, וכשאני בחשבון רגיל הוא משפיע רק על חשבון המנהל, (@yossiz הרגשתי לכמה דקות איך זה כשרק notepad (ואדז'ג שמשום מה יותר חזק מהכול) עובד )