Запрет изменения типа запуска служб

[pup51k 5]

Всем доброго!

Появилась необходимость запретить пользователям менять тип запуска определенной службы. В теории это легко сделать, запретив редактирование параметр реестра "Start" в ветке "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Имя_службы]". Благо для этих целей как нельзя лучше подходит "Application and Device Control", но...

Запретив доступ к параметру "Start" для всех приложений, мы блокируем доступ к этому ключу установщику программы, чью службу мы и пытаемся "защитить". Добавление в исключения установщик (с наследованием) результатов не принесло, так как в логах пишется, что инициатор записи реестра приложение services.exe, а уж его в исключения ставить нельзя, иначе пропадает смысл всей затеи. Родилась идея запретить ни доступ к параметру, а изменение его значения на "3" и "4". Казалось бы выход! Но и здесь "но...".

После долгих экспериментов, оказалось, что такой подход срабатывает только со строковыми значениями, а "Start" - DWORD.

Дальше только вопросы: какая альтернатива или как правильно работать с DWORD-значениями?

Есть идеи - предлагайте.

[WindowsNT 100]

Всем доброго!

Появилась необходимость запретить пользователям менять тип запуска определенной службы. В теории это легко сделать, запретив редактирование параметр реестра "Start" в ветке "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[Имя_службы]". Благо для этих целей как нельзя лучше подходит "Application and Device Control", но...

Вы что-то путаете.

Пользователи не обладают правами на переконфигурацию типа запуска служб. Такими привилегиями обладают только системные администраторы, которым для управления системой и выдаётся административная учётная запись.

[Shell 301]

pup51k,

коленочное решение - а если тупо скрипт сделать политикой в SEP и менять значение реестра каждые 5-10-15-30 мин? Или умнее скрипт - проверять значение реестра и если не удовлетворяет - писать в лог алерт и менять?

P.S. если это групповой политикой AD нельзя по каким то соображениям сделать.

[pup51k 5]

Пользователи не обладают правами на переконфигурацию типа запуска служб. Такими привилегиями обладают только системные администраторы, которым для управления системой и выдаётся административная учётная запись.

Вы правы, но речь шла не об учетной группе "Пользователь", а о пользователях корпоративной локальной сети в общем, которые на своих компьютерах являются Администраторами. Суть не в этом, хотя это и добавляет проблем. В первую очередь все же интересует выше обозначенный вопрос.

[pup51k 5]

pup51k,

коленочное решение - а если тупо скрипт сделать политикой в SEP и менять значение реестра каждые 5-10-15-30 мин? Или умнее скрипт - проверять значение реестра и если не удовлетворяет - писать в лог алерт и менять?

P.S. если это групповой политикой AD нельзя по каким то соображениям сделать.

Не было бы вопроса, если б была AD. И давайте абстрагируемся от структуры сети, прав пользователей и т.д., будем считать, что я пытаюсь познать тонкости работы SEP, так прошу, объясните мне, как работать с реестром с параметрами отличными от строковых. Может я в будущем еще миллион задач придумаю, так буду знать как поступить.

[WindowsNT 100]

Вы правы, но речь шла не об учетной группе "Пользователь", а о пользователях корпоративной локальной сети в общем, которые на своих компьютерах являются Администраторами. Суть не в этом, хотя это и добавляет проблем. В первую очередь все же интересует выше обозначенный вопрос.

Не знаю, почему в вашей корпоративной сети пользователи являются Администраторами, это ненормально и вообще шокирует. Есть фундаментальное правило, аксиома: вы НЕ МОЖЕТЕ защититься от администратора. Он — Администратор.

Ничего в такой ситуации вам не поможет, безопасность невозможна. Пользователи всегда и безоговорочно смогут обойти любые ваши запреты. В том числе отключить любые сервисы, и никакие наколенные поделки не помогут. Не держите Администраторов за дураков.

[Strannik 30]

В Safe mode компонент Application and Device Control не работает. Смысл затеи не теряется из-за этого?

[pup51k 5]

WindowsNT, Strannik,

Уж что от предков досталось с тем и работаем. Текущее состояние дел, проблемы с этим связанные и перспективы развития - не тот вопрос, на который я здесь хотел бы получить ответ, неужто не очевидно!

Без обид, но такое ощущение, что сыпать прописными истинами и указывать на и так явные недостатки метода, здесь важнее, чем разобрать, казалось бы, интересный вопрос работы SEP'а, а ветка ведь для этого.

Будьте добры, отнеситесь к примеру со службой именно как к ПРИМЕРУ, это же так просто...

[pup51k 5]

Что ж, сам спросил - сам и отвечу.

Всего час ушел на перебор всех возможных вариантов, правильный ответ - перед искомым DWORD-значением надо ставить "0х", т.е. в моем случае "0х3" и "0х4".

Вопрос можно считать закрытым.