Вкл/Выкл Политики безопасности

@oleg_botanik · Регистрация: 14.08.2009

Студворк — интернет-сервис помощи студентам

Доброго времени суток.

Необходимо вкл/выкл политику безопасности (конкретную, зная ее имя).

Либо создавать и удалять политику (если нельзя включать выключать)

Нашел команду ipseccmd (видимо доп. команда), справки по ней cmd мне не дал
Нашел команду secedit.

Но не понял как их использовать относительно моей задачи.

При вкл/выкл политики безопасности (назначить и снять) в реестре появляется запись с ключом (уникальный номер политики по всей видимости) и обновляется (дважды, что ли) ключ, который хранит последнее значение генератора случайных чисел (так написано во всяком случае)

Конечно можно добавлять и удалять данный ключ в реестр с соответствующим значением, но может есть более простой способ?

@oleg_botanik · 05.06.2014, 17:04 **[ТС]**

И так было время, попробовал.

1. Научился добавлять и удалять нужный ключ реестра
- в редакторе реестра запись появляется и удаляется как нужно*
- в консоли в оснастке появляется и убирается значок зеленого ключика (ну или не ключика)*
- результата ноль (т.е. запись есть, а правило не работает)
* обновление происходит, когда щелкаю мышкой (выбираю) другой раздел и снова тот

2. Команда ipseccmd не найдена, скачал и установил средства поддержки и снова не нашел ipseccmd

3. При попытке использовать команду secedit открывается раздел справки (новым графическим окном) и сообщается мол используй gpupdate, пробовал и его после добавления ключа реестра писать, но результата ноль.

Может быть есть какая-то команда обновления политики безопасности IP или я неправильно использую gpupdate?

Dragokas · 05.06.2014, 19:51

Обновления политики не всегда можно произвести через gpupdate.
Там включаются в процесс другие системные механизмы.

Простейший вариант - перезагрузить систему.

@oleg_botanik · 06.06.2014, 11:45 **[ТС]**

предыстория или задание как оно есть:

задача: начальник попросил сделать ему возможность отключать некоторые пк (в лок. сети) от интернета, но при этом почта и sip point (ip-телефония) должны работать

решение 1: посоветовали сервис/программку SkyDNS (очень удобный и простой интерфейс), но она позволяет блокировать только имена серверов (порты не позволяет) и еще и по ip не позволяет, с почтой то все просто, а вот sip как я понял до начала звонка не знает с каким сервером будет связываться

решение 2: проблему решает стоящий на сервере kerio control, но начальнику доступ к админке не дашь, т.к. может не туда нажать и плохо будет.

решение 3: вот понял как политикой безопасности ограничить порты 80 и 443, думал написать простенькое приложение, которое бы выполняло команду на удаленном пк (или на текущем с установкой параметров на удаленном) вкл/выкл политику.

Соответственно перезагружать удаленный пк это не лучший выход из ситуации

Если политики при ручном редактировании реестра могут не обновляться, может быть посоветуете какое-нибудь альтернативное средство, которое решило бы мою проблему?

Dragokas · 06.06.2014, 12:26

Чем плох Windows Firewall ?

Bash
1
2
netsh advfirewall firewall add rule name="deny80_out" protocol=TCP dir=out localport=80 action=block
netsh advfirewall firewall add rule name="deny80_in" protocol=TCP dir=in localport=80 action=block

@oleg_botanik · 06.06.2014, 12:35 **[ТС]**

Забыл сказать удаленный пк WinXP (еще и комплектация зверь по-моему)
Но я все же попробовал - не сработало (причем без advfirewall также пробовал) - команда не найдена
Насколько я понял Firewall WinXP по умолчанию должен блокировать все, а правила только разрешают программу или порт. А если без правила порт открыт, то его уже не закрыть. Правильно ли я все понял с WinXP или что-то упустил, что-то не знаю?

*для справки пробую я не на удаленном, а на VirtualBox (но также WinXP)

Dragokas · 06.06.2014, 14:13

Сообщение от oleg_botanik

Забыл сказать удаленный пк WinXP (еще и комплектация зверь по-моему)

Для XP синтаксис другой.
Попробуйте:

Bash
1
netsh firewall delete portopening protocol=all port=80

Сообщение от oleg_botanik

Насколько я понял Firewall WinXP по умолчанию должен блокировать все, а правила только разрешают программу или порт.

Да.
В Windows Vista и выше можно задавать более детализированные правила с указанием направления трафика,
а также правила запрета (имеют приоритет) перед правилами разрешения.

Сообщение от oleg_botanik

А если без правила порт открыт, то его уже не закрыть.

Firewall заблокирует трафик, если нет разрешающего правила для этого порта,
+ выдаст оповещение пользователю с вопросом "Разрешить" или "Запретить".

Все это справедливо, если на ПК не установлен другой Firewall, в т.ч. в составе антивирусных решений,
где правила могут формироваться иначе. При этом встроенный брандмауер обычно отключается.

@oleg_botanik · 10.06.2014, 11:30 **[ТС]**

1. Код пробовал - не помог
2. SIP (ну или SIP point) видимо использует HTTP или HTTPS протоколы, поэтому блокировать их мне нет смысла

3. Подумал о таком варианте:

написать программку, которая висит в трее (или даже там не висит и работает в фоновом режиме), каждые 5-10 секунд смотрит открыта ли программа (браузеры) и закрывает их, если открыта

возникли вопросы:

1. Как поместить bat-файл в фоновый процесс или хотя бы в трей
2. Как лучше устроить постоянное сканирование запущенных процессов (видел в интернете способ ping'овать, чтобы устроить задержку, но не думаю, что это лучшее решение) и не будет ли проверка каждые 5-10 секунд вилять на быстродействие пк?

Dr_Quake · 10.06.2014, 13:17

Не надо самодеятельности такого уровня. SRP.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@oleg_botanik 0 / 0 / 0 Регистрация: 14.08.2009 Сообщений: 9

	Вкл/Выкл Политики безопасности 03.06.2014, 14:44. Показов 1745. Ответов 8 Метки нет (Все метки) Доброго времени суток. Необходимо вкл/выкл политику безопасности (конкретную, зная ее имя). Либо создавать и удалять политику (если нельзя включать выключать) Нашел команду ipseccmd (видимо доп. команда), справки по ней cmd мне не дал Нашел команду secedit. Но не понял как их использовать относительно моей задачи. При вкл/выкл политики безопасности (назначить и снять) в реестре появляется запись с ключом (уникальный номер политики по всей видимости) и обновляется (дважды, что ли) ключ, который хранит последнее значение генератора случайных чисел (так написано во всяком случае) Конечно можно добавлять и удалять данный ключ в реестр с соответствующим значением, но может есть более простой способ? 0

@oleg_botanik 0 / 0 / 0 Регистрация: 14.08.2009 Сообщений: 9
	05.06.2014, 17:04 [ТС]
	И так было время, попробовал. 1. Научился добавлять и удалять нужный ключ реестра - в редакторе реестра запись появляется и удаляется как нужно* - в консоли в оснастке появляется и убирается значок зеленого ключика (ну или не ключика)* - результата ноль (т.е. запись есть, а правило не работает) * обновление происходит, когда щелкаю мышкой (выбираю) другой раздел и снова тот 2. Команда ipseccmd не найдена, скачал и установил средства поддержки и снова не нашел ipseccmd 3. При попытке использовать команду secedit открывается раздел справки (новым графическим окном) и сообщается мол используй gpupdate, пробовал и его после добавления ключа реестра писать, но результата ноль. Может быть есть какая-то команда обновления политики безопасности IP или я неправильно использую gpupdate? 0

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	05.06.2014, 19:51
	Обновления политики не всегда можно произвести через gpupdate. Там включаются в процесс другие системные механизмы. Простейший вариант - перезагрузить систему. 0

@oleg_botanik 0 / 0 / 0 Регистрация: 14.08.2009 Сообщений: 9
	06.06.2014, 11:45 [ТС]
	предыстория или задание как оно есть: задача: начальник попросил сделать ему возможность отключать некоторые пк (в лок. сети) от интернета, но при этом почта и sip point (ip-телефония) должны работать решение 1: посоветовали сервис/программку SkyDNS (очень удобный и простой интерфейс), но она позволяет блокировать только имена серверов (порты не позволяет) и еще и по ip не позволяет, с почтой то все просто, а вот sip как я понял до начала звонка не знает с каким сервером будет связываться решение 2: проблему решает стоящий на сервере kerio control, но начальнику доступ к админке не дашь, т.к. может не туда нажать и плохо будет. решение 3: вот понял как политикой безопасности ограничить порты 80 и 443, думал написать простенькое приложение, которое бы выполняло команду на удаленном пк (или на текущем с установкой параметров на удаленном) вкл/выкл политику. Соответственно перезагружать удаленный пк это не лучший выход из ситуации Если политики при ручном редактировании реестра могут не обновляться, может быть посоветуете какое-нибудь альтернативное средство, которое решило бы мою проблему? 0

@oleg_botanik 0 / 0 / 0 Регистрация: 14.08.2009 Сообщений: 9
	06.06.2014, 12:35 [ТС]
	Забыл сказать удаленный пк WinXP (еще и комплектация зверь по-моему) Но я все же попробовал - не сработало (причем без advfirewall также пробовал) - команда не найдена Насколько я понял Firewall WinXP по умолчанию должен блокировать все, а правила только разрешают программу или порт. А если без правила порт открыт, то его уже не закрыть. Правильно ли я все понял с WinXP или что-то упустил, что-то не знаю? *для справки пробую я не на удаленном, а на VirtualBox (но также WinXP) 0

@oleg_botanik 0 / 0 / 0 Регистрация: 14.08.2009 Сообщений: 9
	10.06.2014, 11:30 [ТС]
	1. Код пробовал - не помог 2. SIP (ну или SIP point) видимо использует HTTP или HTTPS протоколы, поэтому блокировать их мне нет смысла 3. Подумал о таком варианте: написать программку, которая висит в трее (или даже там не висит и работает в фоновом режиме), каждые 5-10 секунд смотрит открыта ли программа (браузеры) и закрывает их, если открыта возникли вопросы: 1. Как поместить bat-файл в фоновый процесс или хотя бы в трей 2. Как лучше устроить постоянное сканирование запущенных процессов (видел в интернете способ ping'овать, чтобы устроить задержку, но не думаю, что это лучшее решение) и не будет ли проверка каждые 5-10 секунд вилять на быстродействие пк? 0

Dr_Quake Заблокирован
	10.06.2014, 13:17
	Не надо самодеятельности такого уровня. SRP. 0