групп-полиси
Jul. 28th, 2017 12:02 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
brmailРезультаты наблюдений. Полиси для Хрома лежат в реестре в ветке [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] и ниже. Все, что там используется носит вполне распознаваемые названия, и что править и куда - понятно без лишних обьяснений. Теперь механизм противодействия. Самый простой вариант сделать экспорт указанной ветки в reg файл, поправить в нем что надо и когда полиси пришла и порезала вашу любимую стартовую страничку или убрала нужные вам плагины - пойти и даблкликнуть на этом файле и вернуть все как было. Хром правда придется перезапустить. Если же хочется поменьше ручной работы - то в реестре можно на любой ключ повесить аудит. При этом будет писаться сообщение в эвент-лог, типа приложение лезет читать значение ключа. К такому событию - записи в эвентлог можно прикрутить запус задания (в нашем случае импорта рег-файла в реестр) для восстановления ключей меняющих полиси.
Я боялся рекурсии, при которой импорт рег-файла вызывает изменение (или вообще процесс записи в ключ) что вызывает событие в логе и запускает новую попытку импорта. Все оказывается решается просто - вторая копия таки пытается пуститься, но нарывается на то, что первая еще не выгрузилась из памяти и тихонько записав отлуп в свой лог - умирает. Еще аудит за двое суток не обнаружил попыток читать этот ключ реестра извне. Может читают каким то другим способом не поднимая аудит и без события в логе. Побочный эффект - чтение ключа самим хромом вызывает импорт правильных настроек. Короче говоря у меня вроде работает, хотя после рестарта компа от микрософтовского обновления первый запуск хрома принес мне неверный вариант, но после закрыть-открыть браузер все пошло нормально, и в таком виде вполне терпимо. А, главное забыл - для этих плясок нужно иметь локальные административные привилегии.
Я боялся рекурсии, при которой импорт рег-файла вызывает изменение (или вообще процесс записи в ключ) что вызывает событие в логе и запускает новую попытку импорта. Все оказывается решается просто - вторая копия таки пытается пуститься, но нарывается на то, что первая еще не выгрузилась из памяти и тихонько записав отлуп в свой лог - умирает. Еще аудит за двое суток не обнаружил попыток читать этот ключ реестра извне. Может читают каким то другим способом не поднимая аудит и без события в логе. Побочный эффект - чтение ключа самим хромом вызывает импорт правильных настроек. Короче говоря у меня вроде работает, хотя после рестарта компа от микрософтовского обновления первый запуск хрома принес мне неверный вариант, но после закрыть-открыть браузер все пошло нормально, и в таком виде вполне терпимо. А, главное забыл - для этих плясок нужно иметь локальные административные привилегии.
no subject
Date: 2017-07-28 06:03 pm (UTC)no subject
Date: 2017-07-28 06:26 pm (UTC)