Pull to refresh

Comments 11

Существуют ли какие-нибудь более реальные примеры использования этой фичи?
Например проверять — установлены ли «плохие» программы, прописано ли что-то лишнее в автозапуске.
Зачем открывать удаленный доступ по RPC и создавать очень серьезную дыру в безопасности в виде возможности удаленно редактировать реестр? Всем реестром можно управлять при помощи GP, о которых в статье и идет речь, а если каким параметром реестра и нельзя будет по умолчанию управлять, то создается свой шаблон GP — и уже можно.
С ситуацией из примера (Skype for Business, параметры Away/Idle) не сработало, а изначально ради этого все и затевалось. То есть GP создать можно (указав нужное время), но пользователь сможет спокойно изменить время в настройках программы (при этом в реестре останется изначальное значение), и указанные пользователем параметры будут действовать до перезапуска S4B.

Описанным же способом отследить эти изменения получилось
Ну, s4b в этом плане не самый удачный по управляемости вариант, у него нет возможности большую часть настроек железно задать в принципе. Но стоит учесть прежде всего то, что изначально (когда еще назывался Office Communicator) это был продукт, дополняющий стек Outlook + Exchange, и сейчас таковым является, ничего не изменилось в его концепции. Я это к тому, что расписание статусов ему нужно отправлять в виде события в календаре на Exch, и это единственный правильно идеологический вариант всей указанной выше связки MS, да и по логике time management тоже :)
Но это все лирика. При разрешенном удаленном вызове процедур доступ к реестру не самое большое зло. Посмотрите лучше, что можно натворить при помощи psexec, знания командной строки, в умелых да и не очень руках.
Точно так же пользователь может изменить исполняемый файл Lync, чтобы значение timeout читалось не из реестра, а было указано в коде. И запускать модифицированный файл с рабочего стола.

Очень смешно было в интернет-кафе, где в политиках запрещён запуск regedit и taskmgr, но можно было принести и запустить свои пропатченные версии, которые игнорируют настройки реестра.
Думаю, что не каждая кухарка сможет модифицировать исполняемый файл. В отличие от изменения просто в настройках.
Описанным же способом отследить эти изменения получилось
Ну, получилось. А что дальше? Технически нельзя запретить пользователю менять настройку, а он меняет, потому что «так удобнее».
Контроль антивируса — не отключен ли, обновился ли на всех устройствах

Параметры блокировки экрана (тоже вопрос безопасности, в принципе)

Firewall

Я это делаю через wmi. Без явного доступа к

Лучше на всех машинах включить winrm.
А также параллельно опрашивать машины.
Следить за исключениями в коде.
Не использовать get-wmiobject у него нет time out.

Sign up to leave a comment.

Articles