Погода: −8 °C
23.11−11...−6пасмурно, без осадков
24.11−7...−1пасмурно, небольшой снег
НГС.Форум /Компьютеры Интернет Связь / Околокомпьютерные темы /

Заблокировать доступ ко всему, кроме интернета. Как?

  • Всем доброго дня суток.
    периодически попадаются на глаза "терминалы", в которых можно просматривать информацию только с одного сайта. Нет панели пуск, не работают горячие клавиши и т.д.

    Вот и возник вопрос, а как можно сделать так, чтобы обеспечить на компе доступ только на один сайт, чтобы нельзя было закрыть браузер или запустить любую другую программу?

    Предположим, планируется поставить отдельный комп-терминал, чтобы покупатели могли просматривать каталог товаров, но нужно обезопаситься и запретить делать что-либо иное.

    Есть готовые решения, под какой операционной системой это можно делать и каковы способы реализации возможны.

    П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.

    Спасибо заранее за Ваши идеи.

  • Навскидку вижу пару решений.

    1. Если в организации есть сервер, то в качестве терминала можно поставить тонкого клиента который будет подключаться к серваку и запускать единственное расшариное приложение ака браузер. В качестве браузера использовать IE. Для пользователя (логин), который будет коннектится к серваку, групповыми политиками выставить нужную ссылку на сайт в качестве сраницы поумолчанию, и запретить вывод строки для ввода адреса, а также доступы к контекстным меню и прочим "дыркам".

    2. Поставить линукс и вместо оконного менеджела, из иксов, запускать браузер. Сделать страницу поумолчанию, убрать, опять же, строку ввода, и запретить менять конфиги.

    В ответ на: П.С. Может быть это важно, но должен быть второй монитор с дублированием экрана.
    Тут все от видюхи зависит, она должна иметь 2 выхода и дрова должны уметь зеркалить первый экран на второй.

    Knowledge itself is a power (F.Bacon)

  • Я не стал советовать групповую политику, т.к. явно видно, что человек ищет внешнюю прогу, где тыкнул в пять галочек - и готово.

  • В политиках, какраз, эти галочки и ставятся.

    Knowledge itself is a power (F.Bacon)

  • В ответ на: 2. Поставить линукс
    Для многих уже этого достаточно :улыб:

    Это из серии "самая лучшая противоугонка в штата - МКПП" :biggrin:

  • Да, видимо хорошее решение, тонкий клиент, только поддерживает ли он 2 монитора? мне пока не попадалось. Пока это решение мне нравится, спасибо.

  • Про внешнюю прогу - скорее не получится. Пробовал поискать решения, но, к сожалению ничего подобного, только какими-то обходными путями и за деньги. Т.е. тот же ... но за дополнительные деньги. А про сервер приемлемое решение показалось.

    Кстати, похоже с тонкими клиентами проблем не будет. если еще поискать...
    ССЫЛКА

  • Парни, серьезно, какие групповые политики? Какие отдельные проги? Какие тонкие клиенты?
    Вы часто экскаватором садите клубнику?

    Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.

    Исправлено пользователем IEEE (26.06.13 10:09)

  • Мы тонких собираем на базе атомов, вот к примеру мать с двумя видео - Intel D2500CC, ее можно засунуть в мелкий корпус, который крепится к задней стенке монитора. В качестве софта использовать например PoniX, получаем бездискового тонкого клиента за разумные деньги.

    Knowledge itself is a power (F.Bacon)

  • В ответ на: Отдельная подсеть, которая может смотреть только в прозрачный прокси-сервер, который уже знает что и как делать. Делов на полчаса.
    И бегать каждые пять минут чтобы запустить закрытый юзером браузер ? Я молчу про "пытливые умы", которые будут пытаться "положить" систему. Этож публичный комп, а не корпоративного пользователя, которому в случае чего, порукам настучать можно.

    Knowledge itself is a power (F.Bacon)

  • не совсем понял каким образом тогда будут ограничены доступы к остальным функциям операционной системы на рабочих местах, например горячих клавиш, штатных программ, доступа к настройкам и т.д.

    Если это все в вашем предложении подразумевается, то возможно ли будет обратиться к Вам за помощью в реализации?

  • да-да... Все верно.

  • В настройках rdp клиента указывается, что при подключении запускается конкретная программа, а при выходе из этой программы закрывается и rdp. Вроде так.

    Как жить, если в наших сердцах уже не люди возле нас?...

  • Так и каким же чудесным образом тонкий клиент избавит от всех этих напастей, его так же нужно настраивать как и обычный компьютер.

  • В ответ на: Так и каким же чудесным образом тонкий клиент избавит от всех этих напастей
    Потому, что там кактаковой оси нет, есть ядро с графикой и rdp клиент.

    В ответ на: его так же нужно настраивать как и обычный компьютер.
    Ничего там настраивать ненужно. В конфиге указывается к какому серваку цепляться и все.

    Knowledge itself is a power (F.Bacon)

  • Окей, подключились в Windows сервер'у с лицензионным ключом на N подключений (сколько, кстати, сейчас стоит 10 лицензий?) и дальше что, я все также могу делать все что угодно, ходить куда угодно. В чем профит?

  • В ответ на: сколько, кстати, сейчас стоит 10 лицензий?
    Зависет от способа лицензирования, в среднем, примерно, cal+ts обойдется в 2500 на пользователя.

    В ответ на: я все также могу делать все что угодно, ходить куда угодно. В чем профит?
    Профит в том, что нету там рабочего стола, есть только конкретное приложение, в терминах win 2008/2012 это SharedApp, в терминах win 2003 это среда служб терминалов. Закрыв приложение, мы закрываем сеанс (никтож нам не мешает при закрытии, рестартовать сессию). Отрубая меню и прочие рюшечки, мы ограничиваем действия пользователей. Хоткеи рубятся на уровне rdp клиента. Навыходе получаем неубиваемую систему.

    Knowledge itself is a power (F.Bacon)

  • ок, теперь ясно.

  • Можно поискать софт "для компьютерных клубов", так и называется. Обычно там как раз решаются эти вот задачи.
    Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.

    Хотя идея с тонким клиентом и серваком интересная, научиться только горячие клавиши все отрубать (Alt-F4 - закроется Explorer и сеанс завершится?).
    Ну а уж ограничить только 1 сайтом - это проще простого: хошь прокси накрутить, хошь ДНС, хошь политиками самого эксплорера (типа "родительский контроль"). Ну и адресную строку с глаз убрать, все равно не нужна.

    А клавиатура этому компу точно нужна? или предполагается поиск по ключевым словам?

    Исправлено пользователем KSergey (26.06.13 14:43)

  • В ответ на: Технически (если про винду говорить) просто подменяется ... как-то зовется, забыл, в общем вместо explorer.exe (интернет эксплорер тут ни при чем) запускается свой менеджер ну и прочие всякие финты.
    cmd-сценарий накатать и всех делов

    Теле2 Opera Nissan Cedric

  • Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)

    Knowledge itself is a power (F.Bacon)

  • В ответ на: Ненадо никаких сценариев, достаточно в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять параметр Shell с explorer.exe на чтото самописное, или на iexplorer.exe чтоб сразу стартовал браузер. Вот только такое, лично я, обойду за пару минут или даже меньше .)
    Ага, с правами гостя и еще дополнительно порезанными правами на файлуху/реестр?
    нуну.
    А так да, про это я и говорил.

  • Даже из под гостя можно запустить косынку .) Помнится, народ както изгалялся и умудрялся в платежных терминалах ее запускать, и играца.

    Knowledge itself is a power (F.Bacon)

  • Тогда
    а) мы приходи к необходимости уточнения толкованию термина "обойти". Я подразумевал, что удастся изменить указанную запись;
    б) я таки верю в мощь администрирования/программирования винды, отдельные же случаи говорят нам лишь о том, что не все ходы были отрезаны авторами соотв. запилок.

  • В ответ на: Я подразумевал, что удастся изменить указанную запись
    Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.

    Knowledge itself is a power (F.Bacon)

  • В ответ на: Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
    Ну все, начались побасенки.

    В ответ на: Если уж задаца такой целью, то можно. Как не защищаяй, не ограничивай, а присутствие 0day уязвимостей никто не отменял. Причем эти уязвимости нефиксяца годами, в качестве примера, все таже подмена скринсейвера на cmd, досихпоржеж работает. Да, нужны некоторые права и темболее знания, но есть способы запускать некоторые приложения от пользователя system, и через это обходить ограничения. Как это осуществить на целевой системе, дело десятое, повторюсь, былоб желание.
    Еще раз, как вы это сделаете с правами гостя? ну зачем байки, предназначенные для бабушек у подъезда, пересказывать по пятому кругу?

    Да и потом, бронированную дверь тоже можно взорвать. Это говорит о том, что дверь ненадежная?

  • В ответ на: Еще раз, как вы это сделаете с правами гостя?
    Вам провести мастеркласс ? Сколько вы готовы заплатить за обучение ?

    В ответ на: ну зачем байки, предназначенные для бабушек у подъезда
    Бабушек интересует интимная жизнь соседий, хайтек, им неинтересен.

    В ответ на: Да и потом, бронированную дверь тоже можно взорвать.
    Варворство и шумно, вдобавок, куда проще ее вскрыть.

    Knowledge itself is a power (F.Bacon)

  • В ответ на: В политиках, какраз, эти галочки и ставятся.
    Перечислите по пунктам?

  • В ответ на: Вам провести мастеркласс ?
    А вы сможете? Есть кое-какие сомнения. И вторая фраза Сколько вы готовы заплатить за обучение ? эти сомнения конкретно усиливает.
    В ответ на: Варворство и шумно, вдобавок, куда проще ее вскрыть.
    Еще раз: Это говорит о том, что дверь ненадежная?

  • В ответ на: Перечислите по пунктам?
    Часть в Конфигурация компьютера - Административные шаблоны - Компоненты windows - Intersnet Explorer,
    Другая часть Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Intersnet Explorer.

    Knowledge itself is a power (F.Bacon)

  • Я просил по пунктам.

  • В ответ на: А вы сможете?
    Подобный опыт есть, можете продолжать сомневаться, дело ваше.

    В ответ на: Это говорит о том, что дверь ненадежная?
    Это говорит о том, что дверь надежна на N%, где N<100 и обратно пропорциональна мастерству вскрывающего.

    Knowledge itself is a power (F.Bacon)

  • В ответ на: Я просил по пунктам.
    Откройье оснастку и посмотрите сами.

    Knowledge itself is a power (F.Bacon)

  • кстати, а как через GPO сконфигурировать вот такие случаи ?

    Non solum oportet, sed etiam necessese est

  • Физический доступ к встроенному компьютеру всегда должен быть ограничен. Вот и вся GPO.
    И вроде так можно настроить запуск только определенных программ, с полными путями и хешами.

  • Яж конкретно в своем посте указал, что это касается исключительно IE.

    Knowledge itself is a power (F.Bacon)

Записей на странице:

Перейти в форум

Модераторы: