Боюсь показаться банальным, но по-моему ты неправильно подходишь к решению задачи.

А можешь рассказать, зачем?

Enkryptor Хорошо переформулирую - "Запрет на создание копий ActiveX" , если с папками я еще могу понять и что-то сделать, то тут совсем туплю

Что такое «запуск папок»? Каким образом создание папки с символом «{» вызывает проблемы с безопасностью? Что такое "копии ActiveX"? гугл по этим словам ничего не находит, из чего я могу сделать вывод, что это выдуманный термин.

зачем? Юзер создает копии активексов, допустим "Выполнить", "Свойства папки" и т.п. Вроде пока шалости, но кто его знает что он дальше будет создавать, список индетификаторов можно ведь и дома посмотреть.

По-моему, запретить запись на системные папки - идеальный вариант.

Потому что нормальных способов ограничить создание папок с определенными именами я не знаю.

Что такое «копии активексов», а главное, как это влияет на безопасность? опиши модель угроз

копии ActiveXEnkryptor Самое безобидное : создать папку - имя
1.{645FF040-5081-101B-9F08-00AA002F954E} создайте гденидь и посмотрите что получится

Ты забыл написать, как это вредит безопасности. Из того, что Проводник интерпретирует эту папку не как папку, а как нечто иное, не следует, что система даст Проводнику доступ к любому указанному объекту. Это просто другой вид интерфейса, не более.

ActiveX тут не при чём, кстати.

Посмотрели? А теперь если у вас Windows откройте раздел реестра гденидь на параметре CLSID и посмотрите что там можно создать таким способом, хорошо хоть не все, но очень многое...

ActiveX тут не при чём, кстати "*.{CLISD}" это способ создания копии зарегестрированных ActiveX. Есть еще дополнительные способы запуска этих объектов, но я писать не буду, на всяк случай

Да епт... Можешь ответить на вопрос нормально — как, по твоему, это вредит безопасности? Никакой эскалации привилегий тут не происходит. В этом смысле точно такую же "угрозу безопасности", если не большую, представляет, к примеру, возможность у пользователя создавать vbs файлы.

модель угроз Вот именно это Я хочу понять, а пока не понял запретить. Пока мерещится возможность неконтролируемого доступа. Дело даже не в безопасности, как таковой, а сколько может поломать ламер с помощью этого, так типа шутка, а мне потом разгребать это все.

"*.{CLISD}" это способ создания копии зарегестрированных ActiveX. Есть еще дополнительные способы запуска этих объектов, но я писать не буду, на всяк случай

Боюсь показаться грубым, но мне кажется, что ты не полно представляешь вещи, о которых берёшься рассуждать. Я понимаю, ты недавно узнал, что если создать файл с CLSID в имени, то Проводник может обработать его по-особенному.

Однако, неграмотно из этого знания сразу делать вывод об "угрозе безопасности" и уж тем более (!) решать эту "проблему" запретом создания папок и файлов с определёнными символами в имени. Почитай специализированные форумы, техническую литературу — ты увидишь, что, во-первых, средств решения такой задачи (запрет создания папок с определёнными символами) никто не разрабатывал за их ненужностью, а во-вторых, такое поведение Проводника не считается небезопасным.

То есть, ты исходишь из неверных предпосылок. Ты уже сделал вывод о том, как всё есть «на самом деле», а теперь хочешь, чтобы тебе посоветовали, как решать эту «проблему». Такой диалог никогда не придёт к решению, т.к. предполагаемой тобой «проблемы» не существует, так что и решать тут нечего.

Пока мерещится возможность неконтролируемого доступа.

Не могу удержаться, чтобы не советовать почитать толковых книжек об основах администрирования Windows или любой другой ОС. Ибо доступ в ОС регулируется на уровне приложения, а не на уровне интерфейса пользователя. То есть, к примеру, пользователь не может создать папку в запрещённом месте не потому, что ему не показывают кнопку "создать папку", а потому, что ОС возвращает ошибку программе (любой! в том числе Проводнику), запущенной от имени этого пользователя, вызывающей системную функцию "создать папку".

По поводу того, что может поломать ламер. Пользователи у вас могут запустить произвольную экзешку? Если да, то это в теории ещё может создать проблемы с безопасностью. А так — всё, что может сделать Проводник, запущенный от имени пользователя (в т.ч. с участием хитроназванных папок), сможет сделать и другая программа. Даже если запретить ламеру всё-всё, он всё равно может навредить в сфере своей компетенции, удаляя свои документы, внося заведомо ложные правки и т.п. Технически это конечно можно предупредить бэкапами, но лучше решать такую проблему на административном уровне.

ты недавно узнал, что если создать файл с CLSID в имени Верно, увидел на скриншоте.делать вывод об "угрозе безопасности" Возможно, не угроза, но я хочу понять чем это грозит. Я исхожу из того, что лучше запретить, а потом решать, насколько это может навредить.

Отвечу так. Fomarkin, я так понял, в твои прямые обязанности входит обеспечение работоспособности средств компьютерной техники. В этом случае я бы предостерёг тебя от очень возможного факапа в будущем. Нет, серьёзно.

Приведу пример. Допустим, был бы способ запретить ОС создавать папки с точкой в имени, и ты бы применил этот способ для решения придуманной тобой «проблемы». Потом через месяц (когда про эти хитроназванные папки уже все забыли) пользователь жалуется на глюки — архив у него не распаковывается, или программа не устанавливается, или не ставится обновление на 1С. А причиной, после долгого копания, окажется то, что архиватор не может создать папку 72364.tmp во временном каталоге, потому что в её имени есть точка. Причём до этой причины ты скорее всего не докопаешься, а решишь эту проблему переустановкой системы (а там снова можно будет создавать «неправильные» папки... и так далее по кругу).

Но это абстрактный пример. На практике же такой подход — «не знаю, что это и для чего надо, но на всякий случай поправлю» — крайне опасен. Это же относится ко всяким твикерам, программам для «очистки» системы, ускорителям интернета и т.п. Работает — не трогай! Захотел потрогать — сначала выясни, что это, для чего надо, и как оно работает. Ведь не случайно данная программа себя так «проблемно» ведёт, чай не дураки писали. Пока ты считаешь себя умнее разработчиков ПО, это будет вызывать проблемы.

Какие именно проблемы возможны с таким подходом:
1. потеря данных
2. трата своего личного времени на решение несуществующих проблем
3. создание новых проблем с ОС
4. снижение производительности ОС
5. простой техники, потеря рабочего времени сотрудников

я хочу понять чем это грозит

Сравнительно — ничем.

С какими вещами я сравниваю? Ну, намного страшнее в плане безопасности следующее (в произвольном порядке):
1. Доступ в интернет у пользователей
2. Отсутствие строгих ограничений на запуск ПО (только из данного набора)
3. Доступ к флэшкам, компакт-дискам
4. Возможность загрузить компьютер с флэшки или компакт-диска
5. Хранение документов пользователя на его компьютере
6. Отсутствие резервных копий всех документов всех пользователей за длительный период
7. Отсутствие зеркалирования на сервере, хранящем документы/базы
8. Отсутствие ИБП на рабочих местах
9. Отсутствие антивирусов на рабочих местах, возможность у пользователя отключить антивирус
10. Возможность соединений между пользовательскими компьютерами, выключенный файрволл


Если у тебя все пункты из вышеперечисленных (намного более серьёзные!) уже поправлены — что ж, можно взяться и за CLSID. Например, запретить пользователям запускать Проводник — это решит проблему.

Fomarkin, а серьёзно, ты, Косарь и Паломник Оптимизма — не одно и то же лицо?

Enkryptor программа не устанавливается Пользователю запрещено почти все, если ему разрешить устанавливать программы...Вообщем свою "проблему" я все равно решу, тем или иным способом, спасибо, что просветили. чай не дураки писали Вы всегда в этом уверены?

Enkryptor Fomarkin, а серьёзно, ты, Косарь и Паломник Оптимизма Что это за хамство? Если Вы не можете ответить на конкретный вопрос как запретить для конкретного юзера создание и (возможно) переименование и запуск файлов и папок по маске то могли бы и не отвечать. А теоретизировать и приводить рекомендации Майкрософт, не интересно, как я понимаю в "живую", с людьми вы не работали и решаете проблемы теоретически.

свою "проблему" я все равно решу, тем или иным способом

Ну что ж, пока ты всё знаешь — ты ничему не научишься. Хочешь экспериментировать — пожалуйста, контора не моя, не жалко. Но с результатами этих экспериментов я лично разбираться не стал бы.


чай не дураки писали
Вы всегда в этом уверены?

В данном случае, как и вообще с продукцией крупных компаний — да. Если программа работает не так, как должна, значит так произошло по каким-то известным компании причинам, а не потому что так сделали дураки по своему недомыслию. Все неудобства и проблемы ПО того же Майкрософт обычно растут откуда-то — из маркетинговой политики, например. В том числе и неисправленные баги. (не в смысле что там баги специально делают, а в смысле что на их исправление требуются ресурсы, а ресурсы в крупном проекте всегда ограничены)


Вообще на будущее, я думаю, стоит такие записи не просто отмечать соответствующим тэгом, а сразу за них бы и банить. Объясню почему — решения «проблемы» в этом случае найти всё равно нельзя, сам автор вопроса всегда останется недоволен (конечно, ему же не ответили на его вопрос, а либо проигнорировали, либо начали читать какую-то непонятную мораль), ценности для сообщества как для базы знаний всё равно нет. Так что вместо того, чтобы без толку сраться, лучше просто сразу в игнор.

Если Вы не можете ответить на конкретный вопрос то могли бы и не отвечать.

Обожаю этот ответ. Безотказный аргумент на любые справедливые возражения после спрашивания какой-нибудь х*йни.

Про такой способ ведения «диалога» я уже писал в 2007 году:
techsupport.diary.ru/p35415651.htm

Продолжать его в таком тоне более не хочу.

Вообще на будущее, я думаю, стоит такие записи не просто отмечать соответствующим тэгом, а сразу за них бы и банитьEnkryptor стук, стук?

Enkryptor Кстати, почему ты думаешь, что Паломник и Косарь - одно лицо?)

Ну, его я, честно говоря, для кучи приплёл...
просто он тоже с завидным упорством писал много невнятных «проблем» — techsupport.diary.ru/?tag=382663
и тоже где-то сисадминит, вроде

Enkryptor ))
а косаря я случайно встретил на еееписишном форуме - он отвечал на мой вопрос, было прикольно)

Ну или хотя бы куда копать.

вы можете написать свой драйвер файловой системы, реализовав в нём произвольную логику. кроме того антивирусы вот например могут запрещать определённые изменения ФС, изучите где именно они сидят и садитесь туда же (правда не факт что там будет информация о пользователе).

готовых программ или ключей реестра для этого нет и никогда не будет, вы хотите странного и оголтело стоите на ручнике например. вам сколько лет?

Проблема решена.
Скрытие, отображение и загрузка в пользовательский интерфейс объектов ActiveX
достаточно тонко настраиваится в реестре (годных к созданию дубликатов не много,
ок. 20, естественно при отключеном "Выполнить")
Отследить создание папки вида "*.{"&[36 char]&"}" (синтаксис от балды, думаю понятно)
мне нужно было только 1 раз для сбора улик, решилось запретом на удаление папок
в %Userprofile% и мониторингом с помощью WMI его ж. Сработало.
PS:Enkryptor Таки не понял, привилегии System в NT-системах,
Вы считаете багом или маркетинговой политикой Microsoft?
Вы кагбе нам намекаете, что "пришлите SMS", это антикризисный сбор средств в пользу этой компании?
По моему ничем необоснованое заявление.