Comments 130
Нормальный способ, однако это не защитит несистемный диск от инфицирования.
Да, в таком виде профиль уязвим. Я сделал несколько экспериментов по частичному переносу профиля и они очень неплохо работали, но там значительно больше возни. У DeepFreeze есть утилитка Igloo, с помощью которой можно в пару кликов редиректить отдельные директории, файлы и ветки реестра. С директориями и файлами все понятно, но повычислять все ветки реестра, которыми пользуется, например, файрвол, было весьма муторно. Потом — да, профиль лежит весь «замороженый», только отдельные кусочки на другом диске шевелятся и нужен очень изощренный вирус, чтобы суметь этим воспользоваться.
Когда все машины одинаковые это можно и нужно сделать, но по таким индивидуальным настройкам я не могу дать никаких рекомендаций, это каждый должен делать самостоятельно.
Когда все машины одинаковые это можно и нужно сделать, но по таким индивидуальным настройкам я не могу дать никаких рекомендаций, это каждый должен делать самостоятельно.
Да, юзерам пришлось с кровью пополам объяснить, что корень диска с:\ не то место, куда удобно скидывать фотки.
У Вас пользователи работают с админскими правами? В Windows пользователю, работающему с правами простого пользователя, запрещено писать в корень системного диска. Писать туда могут только администраторы.
Да, и никто не мешает вирусу работать с правами текущего пользователя, храня свое тело в профиле пользователя и запускаясь во время входа в систему под этим пользователем.
> У Вас пользователи работают с админскими правами?
Некоторые особо упорные и сейчас еще на ХР сидят ) Машины слабые на самом деле…
А по поводу автозагрузки — если не ошибаюсь только ветка Run и RunOnce в профиле, остальное по другим местам. Но это дыра, да. Видимо играет фактор простоты, как раз эти заезженые позиции вирусы не используют. Зря как выясняется. Мне в этом плане Skype нравится — ничего не пропускает.
Некоторые особо упорные и сейчас еще на ХР сидят ) Машины слабые на самом деле…
А по поводу автозагрузки — если не ошибаюсь только ветка Run и RunOnce в профиле, остальное по другим местам. Но это дыра, да. Видимо играет фактор простоты, как раз эти заезженые позиции вирусы не используют. Зря как выясняется. Мне в этом плане Skype нравится — ничего не пропускает.
Зато есть право на создание папки. Создается в корне папка Фотки и туда благополучно все заливается.
Вообще для некоторых случаев способ неплох, но только для некоторых. И если вирусня сидит в пользовательских данных и каждый день запускается при входе юзверя, то мне как — то все равно, перманентно вирусня сидит в машине или заражение происходит каждый день.
Вообще для некоторых случаев способ неплох, но только для некоторых. И если вирусня сидит в пользовательских данных и каждый день запускается при входе юзверя, то мне как — то все равно, перманентно вирусня сидит в машине или заражение происходит каждый день.
> с полностью отключенными ненужными сервисами (вроде бэкапа и обновления)
ну да, своевременное обновление системы только для лохов )
ну да, своевременное обновление системы только для лохов )
:) Некоторые вещи лучше делать централизовано и руками.
Обновление в данном случае действительно вещь совершенно ненужная, а скорее наоборот, автоматические обновления сильно мешают. Я сам так «заморозил» 150 компьютеров в учебных аудиториях. Весь геморрой с вирусами, синими экранами смерти как рукой сняло. Компы работают без всяких сбоев. Неделями никто не подходит с проблемами :) Вот только геморрой с обновлениями пока остался. Они постоянно скачиваются, обновляются, откатываются, снова скачиваются и т.д. И был косяк с вылетом из домена с определенной периодичностью, но и эту задачку решили.
Автору: в Shadow Defender есть возможность добавить папки с исключениями, туда и можно добавить папки профилей и необходимые программы. Отдельный диск будет не нужен
Автору: в Shadow Defender есть возможность добавить папки с исключениями, туда и можно добавить папки профилей и необходимые программы. Отдельный диск будет не нужен
> в Shadow Defender есть возможность добавить папки с исключениями
Вот это как раз в свое время от него и отпугнуло. Если это можно сделать оперативно, без выхода из «фриза» значит тут может быть дыра. Дефрагментация, например, или что-нибудь низкоуровневое пролезет и завалит все дело. DeepFreeze дефрагментацию переживает спокойно, проверено.
Вот это как раз в свое время от него и отпугнуло. Если это можно сделать оперативно, без выхода из «фриза» значит тут может быть дыра. Дефрагментация, например, или что-нибудь низкоуровневое пролезет и завалит все дело. DeepFreeze дефрагментацию переживает спокойно, проверено.
Кстати о учебе. Лет 7 назад на пятом курсе универа делал большую лабу. Файл сохранял на рабочем столе, чтоб потом унести домой на флешке. Внезапно win2k показал мне BSOD, после чего я ребутнулся и не увидел результатов трехчасовых трудов. Вызванный сию секунду третьекурсник-админ мне объяснил, что на прошлой неделе в этой аудитории «заморозил» всЁ! Его лицо на следующий день цветом напоминало BSOD.
WSUS
Угу, особенно после выхода SP1 для Win7, когда на половине офисных машин окошки ушли в циклическую перезагрузку.
Реестр полон грязи от всевозможных левых, полулевых и очень даже правых программ.
Странное состояние реестра для рабочего компьютера.
Если же это домашний компьютер, то здесь «заморозка» скорей во вред, потому как игрушки имеют нехорошее свойство ставить всяческие драйвера защиты и прочие радости. А пользователи существа ленивые и потому после третьей игрушки замарозка будет выключенна насовсем. Или прийдется бегать и отключать «заморозку» по каждому чиху.
Если же это Ваш личный домашний компьютер — то тогда да, такая схема имеет право на жизнь.
Единственное, где я вижу плюсы от системы «заморозки» — это всяческие информационные киоски и компьютеры в школьных классах. И первый и второй случай требуют полного отката системы к исходному состоянию при любых действиях пользователей.
Я еще такое в китайских гостиницах видел ) Но тут немного другая история, гадость состоит в том, что надо оставить некоторую часть свободы для настроек своих и программных.
70 гигов для системного раздела я могу себе позволить. Уже третий год стоит W7, обновляется, бэкапится своими средствами, сомнительной оптимизации разными утилитами не подвергается, периодически ставлю и удаляю разные игрушки, обновляю браузеры, кодеки и прочую утварь. И ни единого разрыва!
Отличная юзерфрендли ОС. Опять вспоминается та самая домохозяка, но теперь восстанавливающая систему, чтобы поглядеть новый рецепт супчика для мужа.
Что бы посмотреть рецепт не обязательно ресторить систему, достаточно Яндекса. Понятно что слабое звено тут интернет, но его не бывает очень редко, в основном когда забыл заплатить в очередной раз )
Скажите, а у вас есть время на всё это? Почему бы не снести нахрен все эти антивирусы, очищатели реестров, оптимизаторы производительности, твикеры кармического перерождения и не поставить нормальную ОС?
Я конечно всё понимаю, но это даже мне, Линуксоиду, слишком толсто.
C OC-толерантностью у меня все в порядке ) Просто слишком много этой винды вокруг, все базы на ней, бухгалтерия на ней, расчеты на ней. Мне самому грустно.
ну, потихоньку перелезут, надеюсь. 1С вроде в каком то виде уже есть, может и до ума доведут. Если б был не аналог, а именно MSOffice под nix — можно было бы уже спокойно переводить бОльшую часть бухгалтерских компьютеров под nix, но не ранее того.
А там может и прочие утилитки налоговые, пенсионные и т.п. подтянулись бы.
А там может и прочие утилитки налоговые, пенсионные и т.п. подтянулись бы.
Я пришел сюда ради этого комментария:)
Очень редко основным фактором по выбору ОС являются предпочтения администратора.
Мне нравится логика укладки файлов в OS X. После винды она кажется непривычной, зато потом понимаешь что тут ребята мозгом думали, а не задницей.
/System/ — чисто система
/Applications/ — чисто программы
/Library/ — конфиги и файлы программ и системы
/Users/ — юзеры и их конфиги и файлы
В /System, как правило, попадают только обновления системы и дрова.
Большинство приложений устанавливаются простым копированием в /Applications/, а удаляются выкидыванием в корзинку приложения и его файлов из /Library/Preferences/ (аналог виндового реестра) и /Library/Application\ Support/ — аналог «Application Data».
На самом деле не обязательно держать программы именно в /Applications/.
Приложение в макоси — это хитрый фолдер с расширением .app. Если его копнуть, то обнаружим: саму прогу, библиотеки, фреймворки, интерфейсы, локализации и прочие ресурсы.
У монстров, типа MS Office или Adobe Suite, особая уличная магия. Они ставятся через свои установщики, по своей логике. Хотя у таких программ обычно всегда есть деинсталляторы.
Если случилась жопка (на моей практике не было ни разу), есть Recovery Partition, восстанавливающий систему начисто (появился в 10.7).
Что характерно, система стоит годами без переустановок и работает месяцами без перезагрузок. А обновления системы (включая мажорные версии) ставятся в два клика на полном автомате.
Большим плюсом является факт что ос тэн — это юникс. То есть, можно скомпилять любой юниксовый софт (для ленивых есть Homebrew).
Так что тут можно жить. Хотя иногда приходит мысль, что при распространении OS X начнётся жопка с вирусами и троянами. Придётся ставить антивирь :(
/System/ — чисто система
/Applications/ — чисто программы
/Library/ — конфиги и файлы программ и системы
/Users/ — юзеры и их конфиги и файлы
В /System, как правило, попадают только обновления системы и дрова.
Большинство приложений устанавливаются простым копированием в /Applications/, а удаляются выкидыванием в корзинку приложения и его файлов из /Library/Preferences/ (аналог виндового реестра) и /Library/Application\ Support/ — аналог «Application Data».
На самом деле не обязательно держать программы именно в /Applications/.
Приложение в макоси — это хитрый фолдер с расширением .app. Если его копнуть, то обнаружим: саму прогу, библиотеки, фреймворки, интерфейсы, локализации и прочие ресурсы.
У монстров, типа MS Office или Adobe Suite, особая уличная магия. Они ставятся через свои установщики, по своей логике. Хотя у таких программ обычно всегда есть деинсталляторы.
Если случилась жопка (на моей практике не было ни разу), есть Recovery Partition, восстанавливающий систему начисто (появился в 10.7).
Что характерно, система стоит годами без переустановок и работает месяцами без перезагрузок. А обновления системы (включая мажорные версии) ставятся в два клика на полном автомате.
Большим плюсом является факт что ос тэн — это юникс. То есть, можно скомпилять любой юниксовый софт (для ленивых есть Homebrew).
Так что тут можно жить. Хотя иногда приходит мысль, что при распространении OS X начнётся жопка с вирусами и троянами. Придётся ставить антивирь :(
Еще выручает VirtualBox если хочется экзотики… Поставил туда Windows и жить можно спокойно это в случае если например есть USB Token для работы с клиент банком
Хочу вас огорчить :-(. Mac OS X тоже можно знатно засрать, тк много программ при установке срут куда не попадя, и часто, либо не имеют собственных деинсталляторов, либо они в образе с инсталлятором, который благополучно удаляется. да и .app кинутый в /Application может при первом запуске насрать куда угодно. Так что все же пакетный менеджер это хорошо, и жаль что его нет в Mac OS X.
Насрать программа может не куда угодно, а куда разрешат. Кроме того, это bad practices, в App Store такую программу не возьмут, а весьма скоро любые манипуляции с софтом будут проходить через него.
Еще, удаленная из /Applications или ~/Applications программа практически гарантированно не оставит после себя ничего, кроме своих безобидных файлов. Всякие Adobe Studio и MS Office не в счет, для них есть деинсталляторы.
Еще, удаленная из /Applications или ~/Applications программа практически гарантированно не оставит после себя ничего, кроме своих безобидных файлов. Всякие Adobe Studio и MS Office не в счет, для них есть деинсталляторы.
Oк, ты ставишь очень нужную тебе программу. Она хочет записать что-то куда-то, и спрашивает пароль. Ведь если она тебе действительно нужна ты введешь. Я уже не говорю про менее образованных пользователей компа которые не задумываясь введут пароль. Да это bad practices, и я стараюсь избегать использования софта который пишет чо-то куда-то куда не должен (речь не о файликах в ~/Library, которые не проблема потереть). Но вот вам пример: Cisco VPN Client который ставится «инсталлятором» и который в своем время очень часто приводил к панике и «полупрозрачным экранам смерти». Так вот если просто удалить его из /Application, ошметки остаются. И возможность словить панику так и остается, да есть вариант: выполнить sudo /usr/local/bin/vpn_uninstall. И все будет в шоколаде. Или к примеру Viscosity. И правда драг эн дроп в каталог /Application но, при первом запуске Viscosity требует пасс чтобы установить дровишки. Но стройная система: «программы копируем/удаляем в/из /Application» рушится. И теперь тебе как и в старину надо точно знать как удалять тот или иной софт, иначе рискуешь замусорить систему…
У меня единственная прога, которая дампила систему в корку это был Parallels Desktop, которая нормально деинсталлировалась. Была пара прог, которые писали свои консольные части в /usr/local/, но обычно на офсайтах были факи как их бахать.
Давайте подытожим. Десяток паршивых прог на сотни тысяч нормальных, это по-моему малоебучий фактор.
Давайте подытожим. Десяток паршивых прог на сотни тысяч нормальных, это по-моему малоебучий фактор.
Пруфлинки в студию…
Удалённый образ с [де]инсталлятором вынуть_из_корзинки/повторно_скачать шариат не велит?
Куда угодно не срут, в обычно в пределах ~/Library
Пакетный менеджер хорошо, да. Но за 6 лет не было у меня проблем, чтобы я прогу не смог снести. Для облегчения процесса существует CleanMyMac, кторый запускает своего хелпера и мониторит удаление программ, сразу подчищая остатки. Кстати треш на флешках тоже умеет тереть.
Удалённый образ с [де]инсталлятором вынуть_из_корзинки/повторно_скачать шариат не велит?
Куда угодно не срут, в обычно в пределах ~/Library
Пакетный менеджер хорошо, да. Но за 6 лет не было у меня проблем, чтобы я прогу не смог снести. Для облегчения процесса существует CleanMyMac, кторый запускает своего хелпера и мониторит удаление программ, сразу подчищая остатки. Кстати треш на флешках тоже умеет тереть.
Ну и кто там называл линуксоидов красноглазиками и задротами?
Спасибо, что поделились опытом! На работе за машинами пользователей конечно слежу, а за своей машиной все руки не доходят:( По сути, мой рабочий комп превратился в полигон для экспериментов с разными программами. Мусора на дисках, в системных папках, в реестре — полно. Тем не менее система (WinXP SP3 OEM) стоит c 17 апреля 2007 года.
А вот домашнюю систему стараюсь беречь. Просто не ставлю ничего лишнего. Работает уже года два.
А вот домашнюю систему стараюсь беречь. Просто не ставлю ничего лишнего. Работает уже года два.
Печально, что SteadyState для win 7+ не выпускался — неплохая была альтернатива DF от MS.
UFO just landed and posted this here
А почему не упомянуто родное решение от микрософта — EWF? И инсталлятор для него есть полуавтоматический с переносом профилей-темпа на другой диск.
Может быть offtop — но все же спрошу: можно ли реализовать аналог unix-ового кросс-монтирования(unionfs, aufs) на win платформе?
Просто по аналогии:
У нас вся инфраструктура АСУ поднимается по tftp (бездисковые станции) с сервера на котором в каталоге с образами бездисковых станций есть эталонный образ к которому кросс-монтируются образы конкретных десктопов и раздаются по nfs конечнымпотребителям станциям. В результате все изменения производимые для конкретной станции никак не отражаются на эталонном образе — а попадают в отдельный каталог: в результате облегчается откат изменений, проще отслеживать проблемы пользователей и экономится дисковое пространство.
Еще вариант который делался на ранних asus EEEPC — там файловая система тоже кроссмонтировалась на локальный эталонный образ = в результате в любой момент можно было сделать откат.
Просто по аналогии:
У нас вся инфраструктура АСУ поднимается по tftp (бездисковые станции) с сервера на котором в каталоге с образами бездисковых станций есть эталонный образ к которому кросс-монтируются образы конкретных десктопов и раздаются по nfs конечным
Еще вариант который делался на ранних asus EEEPC — там файловая система тоже кроссмонтировалась на локальный эталонный образ = в результате в любой момент можно было сделать откат.
Есть технологии, которые выполняют похожий функционал. Их несколько и разными их комбинациями можно добиться разного уровня автоматизации в данном вопросе.
1) Виртуализация user-space — Переносимые профили. Суть в том что профили пользователей висят на File Share в сети. Стоит еще упомянуть что конечный профиль пользователя складывается из суммы All Users и собственно уже пользовательского, поэтому массовые изменения целесообразно проводить в All Users;
2) Групповые политики — как центральное хранилище параметров настроек с принудительным применением;
3) Функционал WSUS для обновлений;
4) PXE+SCCM+USMT — позволяет впринципе содержать один генерализованный через sysprep «золотой образ». Если с рабочей станцией что-то не так — инициируем установку базового образа, ставим нужный для этого компьютера набор ПО (SCCM), переносим предварительно сохраненные пользовательские данные (USMT). Опять же в случае перемещаемых профилей все еще проще;
5) Часть приложений (не поголовно используемые, или используемые редко) — можно предоставлять клиентам как виртуализованные с технологией App-V, при этом не засирается ни реестр ни профиль. То есть аналогично portable-пакетам, вполне справляется даже с монстрами типа MS Office 2007/2010.
1) Виртуализация user-space — Переносимые профили. Суть в том что профили пользователей висят на File Share в сети. Стоит еще упомянуть что конечный профиль пользователя складывается из суммы All Users и собственно уже пользовательского, поэтому массовые изменения целесообразно проводить в All Users;
2) Групповые политики — как центральное хранилище параметров настроек с принудительным применением;
3) Функционал WSUS для обновлений;
4) PXE+SCCM+USMT — позволяет впринципе содержать один генерализованный через sysprep «золотой образ». Если с рабочей станцией что-то не так — инициируем установку базового образа, ставим нужный для этого компьютера набор ПО (SCCM), переносим предварительно сохраненные пользовательские данные (USMT). Опять же в случае перемещаемых профилей все еще проще;
5) Часть приложений (не поголовно используемые, или используемые редко) — можно предоставлять клиентам как виртуализованные с технологией App-V, при этом не засирается ни реестр ни профиль. То есть аналогично portable-пакетам, вполне справляется даже с монстрами типа MS Office 2007/2010.
А если вам ещё про LVM и снапшоты рассказать :)
А чем не устраивает схема централизованной установки апдейтов через WSUS (выше уже написали) + правильная настройка прав пользователей (включая ограничение возможности устанавливать левый софт)?
Я так понял, в вашей схеме установка нужного софта и обновлений на каждой машине производится вручную? Ничего себе автоматизация.
Я так понял, в вашей схеме установка нужного софта и обновлений на каждой машине производится вручную? Ничего себе автоматизация.
Вирусам я права как-то не догадался прописать. Надо будет поправить.
А обновления да — значительно реже ставлю. Но это личное.
А обновления да — значительно реже ставлю. Но это личное.
Обновления в ручную это конечно жесть. Основная задача таких заморозок — спасти систему от вирусов. Они хитрые и обходят всякие там ограничения по правам, антивирусники и прочие грабли. А вот, как показывает практика, из песочницы вылезти пока не могут. Эти морозильники действительно очень облегчают жизнь эникею
Такая «песочница» ничем не поможет против вредоносного ПО, которое будет лежать в автозагрузке и профиле пользователя, работающего с административными правами. Или против вредоносного скрипта на сайте, использующего уязвимость в защите устаревшего браузера и ворующего пользовательские данные.
Стратегию защиты нужно строить от минимально необходимых для работы пользователя прав и привилегий, плюс поддерживать в актуальном состоянии саму систему и используемый софт.
Описываемый в статье метод для этого очень слабо подходит.
Стратегию защиты нужно строить от минимально необходимых для работы пользователя прав и привилегий, плюс поддерживать в актуальном состоянии саму систему и используемый софт.
Описываемый в статье метод для этого очень слабо подходит.
Дочитал до места где назвали обновление системы ненужным, и не стал дальше читать…
Если честно, проблема высосана из пальца. Ограниченные учетки, антивирусы (от вирусов в пользовательском профиле), регулярные обновления — годами ничего не ломается. От самых умных пользователей — отключенные флэшки, отсутствие cd-привода, пароль на биос, в конце концов опечатаный корпус.
Все делали 1 в 1 как вы написали. Какое-то время работает. Но через некоторое появляется синий экран смерти. Компьютеры проходные (нет постоянного пользователя, за ними студенты учатся), возможно из за нехватки хозяйской заботы умирали с постоянной периодичностью. В парке их у нас около 150 штук, поэтому образы катать приходилось постоянно. В летние каникулы везде воткнули Shadow Defender. С начала осени ни единого разрыва ни одного синего экрана!
UFO just landed and posted this here
И вот, у нас есть новорожденная система, быстрая, как болид, с полностью отключенными ненужными сервисами (вроде бэкапа и обновления)
Это прекрасно, ящитаю.
При замороженной системе обновления не применятся, так что именно ненужный сервис. Что до бэкапа — не помню, как оно вWindows работает, но бэкапить замороженный диск есть смысл только один раз, а для пользовательских данных всё равно, как правило, другие средства применяются.
Да, без обновлений способ совсем не комильфолен.
Думаю, все с этого начинали. Когда у вас 200+ рабочих станций и вы бегаете от одной к другой, изощренно настраивая каждую. Это подобие эникея, который позже может вырасти в адекватного администратора. А может и не вырасти.
Символьные ссылки, вам помогут избежать нудное и рискованное изменение путей в реестре: ru.wikipedia.org/wiki/NTFS_symbolic_link#Windows
C символьными ссылками что-то там не получалось, не помню уже. Правда я для их создания Руссиновича junction применял, а не родные системные. Вспомню — отпишусь. А возни никакой — поиск/замена, только перезагрузка потом.
Junction points применять можно, у меня таким способом профили как раз перенесены на диск D:, но в реестре действительно надо в одном месте поправить путь, иначе некоторые обновления системы не смогут устанавливаться, т. к. WSU не умеет работать с точками монтирования правильно. (у меня была проблема, некоторые обновления не ставились). А делаются очень просто в Windows Vista/7: MKLINK /J «c:\Users» «d:\Users»
Начиная с Windows 7 переносил профиль с помощью Symbolic link (mklink /D) без правки реестра. Проблем с обновлениями не было.
Junction Points и Symbolic links — немного разные вещи:
en.wikipedia.org/wiki/Reparse_point#.27Soft.27_links
en.wikipedia.org/wiki/Reparse_point#.27Soft.27_links
Папку профилей /Users нельзя переносить в лоб, дело в том, что по мимо Junction points, там используются ACL ограничения прав некоторых папок. Если это проигнорировать, некоторые «умные» программы могут уйти в рекурсию.
Например, папка c:\Users\User\AppData\Local\Application Data\ в правах стоит ограничение чтения содержимого папки, т. к. это символическая ссылка папки на саму себя, то благодаря ограничению становится невозможным войти в рекурсию при сканировании файловой системы: c:\Users\User\AppData\Local\Application Data\Application Data\Application Data\…
Более того,xcopy не умеет копировать закрытые правами файлы и папки (даже с ключом /O), т. к. самому xcopy запрещены действия с ними теми же правами…
Например, папка c:\Users\User\AppData\Local\Application Data\ в правах стоит ограничение чтения содержимого папки, т. к. это символическая ссылка папки на саму себя, то благодаря ограничению становится невозможным войти в рекурсию при сканировании файловой системы: c:\Users\User\AppData\Local\Application Data\Application Data\Application Data\…
Более того,xcopy не умеет копировать закрытые правами файлы и папки (даже с ключом /O), т. к. самому xcopy запрещены действия с ними теми же правами…
А вообще способ сомнительный, куча программ при установке копируют свои библиотеки в систему (то есть для установки flash-player потребуется пересоздать образ системы на каждом компе), и так каждый раз. Кроме того нет защиты от вирусов (они могут запускаться, как указано выше из Автозагрузки).
О! Это я не написал, забыл уже. Чем примечательна xxcopy — такими вот мелочами — копируется все, включая права доступа.
Возможно, но я сейчас проверил на упомянутой выше, они скопировались только если указать флаг /SC, иначе в скопированную папку можно будет рекурсивно входить до бесконечностипредела в 255 символов
Спасибо я добавлю в шапку. Странно, что у меня ни разу это дело не глюкнуло.
Ну сама то система не глюкнет. Проблемы могут возникать у сторонних программ, или замедления в работе. К примеру Total Commander при поиске файлов будет заходить рекурсивно в подпапки… Или при любой другой задаче когда рекурсивно сканируется файловая система)…
Вот кстати Тоталом только и пользуюсь. Не жаловалсяся. Я другое думаю — xxcopy в режиме /BU по умолчанию массу других ключей объединяет. Все таки бэкап должен зеркально повторять все по максимуму иначе какой в нем смысл? Может они просто не все перечислили? В общем я когда доберусь до правильного компа поиграюсь там. В любом случае /SC вещь правильная и не помешает.
день сурка
Крутота! Давно о таком подумывал и ssdшник гигов на 40 валяется без дела.
Но, блин, без апдейтов все-таки не то… Разве что как-нибудь это дело шедулями реализовать, чтобы антифриз и обновления накатывались сами, раз в месяц. Можно же еще и от антивирусника отказаться с этой схемой, если скачать какой-нибудь бесплатный сканер с апдейтами и сделать, чтобы запускался раз в неделю
Но, блин, без апдейтов все-таки не то… Разве что как-нибудь это дело шедулями реализовать, чтобы антифриз и обновления накатывались сами, раз в месяц. Можно же еще и от антивирусника отказаться с этой схемой, если скачать какой-нибудь бесплатный сканер с апдейтами и сделать, чтобы запускался раз в неделю
UFO just landed and posted this here
Сам практикую регулярное скачивание CriticalPreSp4 (да-да — сижу на XP). — ношу с собой — запускаю везде, где система без автообновления.
Убивает то что венда пытается грузить свои обновления не спрося меня (может я из деревни в роуминге через EDGE сижу!). Может кто знает как на венде сделать типа «apt-get update && apt-get upgrade»?
Убивает то что венда пытается грузить свои обновления не спрося меня (может я из деревни в роуминге через EDGE сижу!). Может кто знает как на венде сделать типа «apt-get update && apt-get upgrade»?
Про автозагрузку. Поправьте меня если я не прав — в профилях лежат только Run и RunOnce, как раз то, что в старт-кнопке болтается. Это как раз не слишком страшно, я что-то не припомню вируса, который бы таким образом запускался.
После первого абзаца статью читать уже невозможно. Хабра — IT ресурс, на мой взгляд, а это шаманство, которое предлагает автор, к информационным технологиям относиться никак не может. Чтобы обезопасить инфраструктуру компании в целом, в первую очередь, нужна политика этой самой компании, которой неукоснительно следуют как рядовые сотрудники, так и руководители и IT отдел. Планирование, разработка и технет должны стать лучшими друзьями всех, кто решил костылями подпирать «ненадежную систему» чтобы сделать ее «надежной» и «стабильной».
Во, блин! А бубен тогда зачем?
Не согласен. Получается недальновидный админ вместо приобщения к высокому «дзен» ( PXE+SCCM+USMT и пр.) выбирает очередные костыли. Это не всегда так. Очень часто приходится применять такое решения. Куевых админов, конечно, никто не отменял, но только в редких случаях у правильного админа есть всё необходимое для перехода в дзен (время, знания, поддержка руководства, лицензии, вменяемые коллеги, дрессированные юзвери и пр.). Зачастую тебе дают железо, день-два и приказ: «Чтобы работало и не ломалось». И лишь когда «замороженное» железо начинает приносить существенную экономию рабочего времени, только тогда появляется возможность начать. (получать знания, устраивать проработанные презентации начальству, чтобы выбить лицензии, вменяемых коллег и дрессированных юзверей). Не всё так просто.
Для своего домашнего ноутбука выбрал другой способ: вся работа делается в виртуальной машине при необходимости всегда можно вернуться к снэпшоту. Притормаживаний особо нет, правда и ноут не самый слабый.
Автор молодец!
Заново открыл /home, /, /boot, /usr, /tmp и прочая.
Заново открыл /home, /, /boot, /usr, /tmp и прочая.
Почитал, подивился тому, как всё плохо стало в win с тех пор, как я перешёл на linux.
У меня тут реестра нет, антивирус не нужен, системные разделы сами по себе не разбухают.
Красота.
У меня тут реестра нет, антивирус не нужен, системные разделы сами по себе не разбухают.
Красота.
реестра нет?
а gconf-editor, dconf-editor на что?
а gconf-editor, dconf-editor на что?
UFO just landed and posted this here
Можно смело удалить этот «реестр» и работать дальше, восстановив пару настроек руками.
Попробуйте такое в винде.
Попробуйте такое в винде.
ваппарпар
Спасибо, нужно будет обязательно попробывать!
Одного не пойму, реестр ведь заморожен? Тогда как происходит установка программ на D:\Programs, требующих записей в реестр? Или вы ВСЕ такие программы предварительно записали на С:\ до заморозки?
Одного не пойму, реестр ведь заморожен? Тогда как происходит установка программ на D:\Programs, требующих записей в реестр? Или вы ВСЕ такие программы предварительно записали на С:\ до заморозки?
В офисе проще. Там для каждого отдела четко оговоренный список программ. К тому же ветка параметров программ в реестре лежит в профиле, а он как раз не заморожен, для очень многих программ этого достаточно.
Дома — два варианта, снять заморозку, установить программу, потом вернуть заморозку. Это геморрой на две перезагрузки, не слишком много, но напрягает, да. Или портативные версии. Сейчас гляну список установленного на d:
— FineReader Portable
— ApexDC
— CDWriter
— CoolReader
— CorelDraw Portable
— CueTools
— DownloadMaster
— EasyBCD
— Firefox Portable
— foobar2000
— FoxitFantom
— FreeRadius
— FrontPage
— MySQL
— Navicat
— Office2007 Port
— Photoshop
— php5.3
— RegistryWorkshop
— RocketDock
— shttps
— Skype Port
— TheBat
— Tor
— TotalCommander
— TrueImage
— UltraISO
— uTorrent
— VLC
— XaraDesigner
на с: установлены
— DaemonTools
— Java
— McAfee
— MS Studio
— firewall
— phpEd (можно было бы и вынести на д:)
— Все драйвера
Дома — два варианта, снять заморозку, установить программу, потом вернуть заморозку. Это геморрой на две перезагрузки, не слишком много, но напрягает, да. Или портативные версии. Сейчас гляну список установленного на d:
— FineReader Portable
— ApexDC
— CDWriter
— CoolReader
— CorelDraw Portable
— CueTools
— DownloadMaster
— EasyBCD
— Firefox Portable
— foobar2000
— FoxitFantom
— FreeRadius
— FrontPage
— MySQL
— Navicat
— Office2007 Port
— Photoshop
— php5.3
— RegistryWorkshop
— RocketDock
— shttps
— Skype Port
— TheBat
— Tor
— TotalCommander
— TrueImage
— UltraISO
— uTorrent
— VLC
— XaraDesigner
на с: установлены
— DaemonTools
— Java
— McAfee
— MS Studio
— firewall
— phpEd (можно было бы и вынести на д:)
— Все драйвера
Не пробуйте. Заведите себе отдельного «ограниченного» пользователя и откройте для себя runas.
Автору: а что действительно, кроме Primo Ramdisk (VSuite Ramdisk) под винду нет рамдиска с ДИНАМИЧЕСКИМ выделением памяти (в линуксе практикую mount -o remount size=2500M -t tmpfs /var/lock с закидыванием туда фильмов и удалением по мере просмотра (диск SSD))?
Было бы неплохо создать temp на рам-диске не заботясь о размере. Фиксированный размер диска неудобен — сделаешь маленький — какая-нибудь софтина глюканет, сделаешь большой — память бесполезно расходуется.
А вообще, меня удивляет система (windiws) которая гадит в свой системный каталог (*.tmp-файлы в СИСТЕМНОЙ папке)…
Было бы неплохо создать temp на рам-диске не заботясь о размере. Фиксированный размер диска неудобен — сделаешь маленький — какая-нибудь софтина глюканет, сделаешь большой — память бесполезно расходуется.
А вообще, меня удивляет система (windiws) которая гадит в свой системный каталог (*.tmp-файлы в СИСТЕМНОЙ папке)…
Я не нашел, хотя искал многократно. У многих эта возможность объявлена, но потом при взгляде на распределение памяти видишь что как-то оно не работает. Мне могут возразить, мол, виндоус врет, он неверно показывает, но я глубоко не лез. Если система сама не понимает, что у нее с памятью, то и программы ее использующие тоже не будут ничего знать о правильном распределении. Короче — если кто чего посоветует, я его сразу в дело пущу.
c:\windows\temp, чтоли? ну да. там их хватает.
Простите, но в нормальной корпоративной среде групповыми политиками запрещен запуск всего того, что не подписано администратором и не имеет хеш/подпись, внесенную в белый список — калькулятор, ворд, ексель, мозилла и так далее и тому подобное.
а при обновлении софтинка раскатывается теми же gpo на все машинки и прописывается в список доверенных хешей/подписей.
а все лишнее выносится на терминальную ферму.
Казалось бы странным, почему у меня с развернутым ms essentials, wsus и поименно известным списком сотрудников, у которых по служебной необходимости есть админские права проблем с вирусами нет. Я уже забыл, когда хелпдеск скачивал drweb cureit для проверки очередного ПК.
а при обновлении софтинка раскатывается теми же gpo на все машинки и прописывается в список доверенных хешей/подписей.
а все лишнее выносится на терминальную ферму.
Казалось бы странным, почему у меня с развернутым ms essentials, wsus и поименно известным списком сотрудников, у которых по служебной необходимости есть админские права проблем с вирусами нет. Я уже забыл, когда хелпдеск скачивал drweb cureit для проверки очередного ПК.
+1 И еще вставлю свои 5 коп. по поводу софта типа ShadowUser, DeepFreeze и т.п.
Любой такой софт ставит дров который хучит всю sdt напрочь. Готовьтесь к возможным проблемам с другим софтом, который ставит драйверы с хуком хоть на что-нибудь, начиная с антивируса (может и правильно не ставить в такую конфигурацию антивирь :) ) и заканчивая vmware, virtualbox и т.д. и т.п.
Подрабатываю «одмином» в небольшой фирме (~25 компов), все юзера сидят под самым restricted аккаунтом на ХР. С 2005го года как я там работаю переставил 1 систему потому как сдохла мать, а систему напрочь не захотела подниматься на новом железе. И заметьте это без AD и доменных политик (пришлось обходиться локальными).
Любой такой софт ставит дров который хучит всю sdt напрочь. Готовьтесь к возможным проблемам с другим софтом, который ставит драйверы с хуком хоть на что-нибудь, начиная с антивируса (может и правильно не ставить в такую конфигурацию антивирь :) ) и заканчивая vmware, virtualbox и т.д. и т.п.
Подрабатываю «одмином» в небольшой фирме (~25 компов), все юзера сидят под самым restricted аккаунтом на ХР. С 2005го года как я там работаю переставил 1 систему потому как сдохла мать, а систему напрочь не захотела подниматься на новом железе. И заметьте это без AD и доменных политик (пришлось обходиться локальными).
Не буду ни с кем спорить, просто добавлю свои пять копеек :)
Если у вас в системе два юзера то можно перетащить чужой акк из-под другого, таким образом отпадёт нужда в лив-системе (конечно, если оба юзера с правами админа)
Папку /Users/Default User лучше оставить на диске С, т.к.
1) она не должна меняться
2) где-то в /win/system32/config/… сидит ссылка на неё, и при создании нового профиля появится тонна ошибок
и лучше создать все профили до заморозки, ибо после придётся ставить Igloo и бубен)
Если у вас в системе два юзера то можно перетащить чужой акк из-под другого, таким образом отпадёт нужда в лив-системе (конечно, если оба юзера с правами админа)
Папку /Users/Default User лучше оставить на диске С, т.к.
1) она не должна меняться
2) где-то в /win/system32/config/… сидит ссылка на неё, и при создании нового профиля появится тонна ошибок
и лучше создать все профили до заморозки, ибо после придётся ставить Igloo и бубен)
Sign up to leave a comment.
В комнате с белым потолком