73
Вся история заключается в том, что запретить установку программ в домене средствами GPO в принципе можно, и в таком случае при установке будет запрошен логин/пароль учетной записи с нужными правами. Но вот незадача — программы вроде указанных в названии статьи (+менеджер браузеров, Unity Player и прочее) устанавливаются в папку пользователя и успешно работают в системе. Найден очень простой (статья всего на 1 страничку) способ избавиться от Амиго раз и навсегда! Кому интересно, прошу под кат.
Гугл по этой теме выдает статьи, где описан алгоритм запрета на установку программ по сертификату издателя. Способ хороший, но трудоёмкий, и сертификаты могут меняться, и вытащить их из установщика проблемно… в итоге у меня так и не получилось его реализовать. Мой алгоритм очень простой:
Мы знаем, что «любимые» всеми админами программы устанавливаются в папку c:\Users\%username%\AppData\Local (поправьте, если есть еще скрытые места). Вот и пришла мне в голову мысль о том, что если создать папки с названиями ненужных нам программ самим, и убрать им нафиг все ntfs права, получится, что программа просто не сможет установиться в нужную папку.
Итак, сей скрипт:
::удаляем папки если они уже есть
rmdir c:\Users\%username%\AppData\Local\Mail.Ru /s /q
rmdir c:\Users\%username%\AppData\Local\MailRu /s /q
rmdir c:\Users\%username%\AppData\Local\Unity /s /q
rmdir c:\Users\%username%\AppData\Local\Amigo /s /q
rmdir c:\Users\%username%\AppData\Local\Apps /s /q
::создаем папки
mkdir c:\Users\%username%\AppData\Local\Mail.Ru
mkdir c:\Users\%username%\AppData\Local\MailRu
mkdir c:\Users\%username%\AppData\Local\Unity
mkdir c:\Users\%username%\AppData\Local\Amigo
mkdir c:\Users\%username%\AppData\Local\Apps
::устанавливаем права (заменяем все существующие на новые)
echo y|cacls c:\Users\%username%\AppData\Local\Mail.Ru /C /G domain.ru\adminuser:F
echo y|cacls c:\Users\%username%\AppData\Local\MailRu /C /G domain.ru\adminuser:F
echo y|cacls c:\Users\%username%\AppData\Local\Unity /C /G domain.ru\adminuser:F
echo y|cacls c:\Users\%username%\AppData\Local\Amigo /C /G domain.ru\adminuser:F
echo y|cacls c:\Users\%username%\AppData\Local\Apps /C /G domain.ru\adminuser:F
Как видно, список программ в примере небольшой (Mail.Ru и MailRu — это от игр мэила и спутника, UnityPlayer, Амиго, Apps — что-то нехорошее я там увидел).
Список можно пополнять любыми замеченными программами, создающими свою папку, главное знать название такой папки. Есть еще куча гадостей, вроде Менеджера Браузеров, нихром, бромиум и прочего. Пока к нам такое не попало, не могу узнать названия папок, но всё в Ваших руках!
Дальше всё просто — ставим запуск этого файла в логон скрипты, или в назначенные задания (для пользователя при входе в систему), и наслаждаемся результатом! Работает в Win7 100%, Амиго, например, даже не выдает никаких ошибок, просто не устанавливается.
p.s. Амиго и прочая дрянь может запуститься раньше скрипта, тем самым не даст удалить свою папку. Чтобы всё было четко, нужно переписать скрипт таким образом, чтобы он сканил все папки всех пользователей компьютера на предмет «плохишей» и ставить его на выполнение при запуске компьютера. Меня переполняют эмоции, скорее хотел написать статью, так что скрипт доделывайте сами до нужного состояния.
p.s.s. Просьба не говорить, что скрипт гавно написан некрасиво, и всё можно сделать в цикле перебором по списку папок и пр… Он облегчен для наглядности простоты идеи в целом.
Это пост с
Хабры
yaplakal.com