প্রক্রিয়া এক্সপ্লোরার উত্তর একবারে কাজ করে তবে আপনি সম্ভবত কম্পিউটার পুনরায় বুট করার পরেও এটি প্রয়োগ করতে চান। এটি করতে আপনি পাওয়ারশেল ব্যবহার করতে পারেন:
Param (
[string[]]$ProcessNames,
[string]$DenyUsername
)
$cscode = @"
using System;
using System.Security;
using System.Security.AccessControl;
using System.Security.Principal;
using System.Runtime.CompilerServices;
using System.Runtime.InteropServices;
public class ProcessSecurity : NativeObjectSecurity
{
public ProcessSecurity(SafeHandle processHandle)
: base(false, ResourceType.KernelObject, processHandle, AccessControlSections.Access)
{
}
public void AddAccessRule(ProcessAccessRule rule)
{
base.AddAccessRule(rule);
}
// this is not a full impl- it only supports writing DACL changes
public void SaveChanges(SafeHandle processHandle)
{
Persist(processHandle, AccessControlSections.Access);
}
public override Type AccessRightType
{
get { return typeof(ProcessAccessRights); }
}
public override AccessRule AccessRuleFactory(System.Security.Principal.IdentityReference identityReference, int accessMask, bool isInherited, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, AccessControlType type)
{
return new ProcessAccessRule(identityReference, (ProcessAccessRights)accessMask, isInherited, inheritanceFlags, propagationFlags, type);
}
public override Type AccessRuleType
{
get { return typeof(ProcessAccessRule); }
}
public override AuditRule AuditRuleFactory(System.Security.Principal.IdentityReference identityReference, int accessMask, bool isInherited, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, AuditFlags flags)
{
throw new NotImplementedException();
}
public override Type AuditRuleType
{
get { throw new NotImplementedException(); }
}
}
public class ProcessAccessRule : AccessRule
{
public ProcessAccessRule(IdentityReference identityReference, ProcessAccessRights accessMask, bool isInherited, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, AccessControlType type)
: base(identityReference, (int)accessMask, isInherited, inheritanceFlags, propagationFlags, type)
{
}
public ProcessAccessRights ProcessAccessRights { get { return (ProcessAccessRights)AccessMask; } }
}
[Flags]
public enum ProcessAccessRights
{
STANDARD_RIGHTS_REQUIRED = (0x000F0000),
DELETE = (0x00010000), // Required to delete the object.
READ_CONTROL = (0x00020000), // Required to read information in the security descriptor for the object, not including the information in the SACL. To read or write the SACL, you must request the ACCESS_SYSTEM_SECURITY access right. For more information, see SACL Access Right.
WRITE_DAC = (0x00040000), // Required to modify the DACL in the security descriptor for the object.
WRITE_OWNER = (0x00080000), // Required to change the owner in the security descriptor for the object.
PROCESS_ALL_ACCESS = STANDARD_RIGHTS_REQUIRED | SYNCHRONIZE | 0xFFF, //All possible access rights for a process object.
PROCESS_CREATE_PROCESS = (0x0080), // Required to create a process.
PROCESS_CREATE_THREAD = (0x0002), // Required to create a thread.
PROCESS_DUP_HANDLE = (0x0040), // Required to duplicate a handle using DuplicateHandle.
PROCESS_QUERY_INFORMATION = (0x0400), // Required to retrieve certain information about a process, such as its token, exit code, and priority class (see OpenProcessToken, GetExitCodeProcess, GetPriorityClass, and IsProcessInJob).
PROCESS_QUERY_LIMITED_INFORMATION = (0x1000),
PROCESS_SET_INFORMATION = (0x0200), // Required to set certain information about a process, such as its priority class (see SetPriorityClass).
PROCESS_SET_QUOTA = (0x0100), // Required to set memory limits using SetProcessWorkingSetSize.
PROCESS_SUSPEND_RESUME = (0x0800), // Required to suspend or resume a process.
PROCESS_TERMINATE = (0x0001), // Required to terminate a process using TerminateProcess.
PROCESS_VM_OPERATION = (0x0008), // Required to perform an operation on the address space of a process (see VirtualProtectEx and WriteProcessMemory).
PROCESS_VM_READ = (0x0010), // Required to read memory in a process using ReadProcessMemory.
PROCESS_VM_WRITE = (0x0020), // Required to write to memory in a process using WriteProcessMemory.
SYNCHRONIZE = (0x00100000), // Required to wait for the process to terminate using the wait functions.
}
"@
Add-Type -TypeDefinition $cscode
$ProcessNames | % {
Get-Process -ProcessName $_ | % {
$handle = $_.SafeHandle
$acl = New-Object ProcessSecurity $handle
$ident = New-Object System.Security.Principal.NTAccount $DenyUsername
$ace = New-Object ProcessAccessRule ($ident, 'PROCESS_TERMINATE, PROCESS_SUSPEND_RESUME, WRITE_DAC', $false, 'None', 'None', 'Deny')
$acl.AddAccessRule($ace)
$acl.SaveChanges($handle)
}
}
এটি এই স্ট্যাক ওভারফ্লো উত্তরের উপর ভিত্তি করে । মূলত, আপনি এটিকে সুরক্ষার জন্য প্রক্রিয়াগুলির তালিকা এবং ব্যবহারকারীকে রক্ষা করার জন্য এটি সরবরাহ করেন এবং এটি প্রক্রিয়াগুলির এসিএলগুলি যথাযথভাবে ম্লান করে। এটিকে .ps1ফাইল হিসাবে সংরক্ষণ করুন (কোথাও ব্যবহারকারী পড়তে পারে তবে লিখতে পারে না), তারপরে ব্যাচের ফাইলটি ব্যবহারকারীর স্টার্টআপে এই জাতীয় কিছু রাখুন:
powershell \path\to\script.ps1 ('snippingtool', 'mspaint') 'Guest' -executionpolicy bypass
এটি গেস্টের দ্বারা নিহত হওয়ার হাত থেকে রক্ষা করে snippingtool.exeএবং mspaint.exe(স্নিপিং সরঞ্জাম এবং রঙ)।
মনে রাখবেন যে এই প্রক্রিয়াগুলি শুরু হওয়ার পরে এটি চালাতে হবে । পাওয়ারশেল স্ক্রিপ্টটি ব্লক sleep 10করার পরে আপনাকে এক বা এক যোগ করতে হতে পারে Param। এটি শেষ হয়ে গেলে, টাস্ক ম্যানেজারের সাহায্যে এই প্রক্রিয়াগুলি হত্যার চেষ্টা করা এর কারণ হয়ে উঠবে:
এছাড়াও মনে রাখবেন যে আপনি যে অ্যাকাউন্টটির সাথে এটি পরীক্ষা করেন এটি কোনও প্রশাসক বা আরও স্পষ্টভাবে থাকলে তা কার্যকর হবে না SeDebugPrivilege।
তাদের উইন্ডোতে এক্সটি ক্লিক করা বা অ্যাপ্লিকেশনগুলির নিজস্ব ঘনিষ্ঠ কার্যকারিতা ব্যবহার করা এখনও প্রক্রিয়াগুলি প্রস্থান করে দেবে, যেহেতু সমস্ত প্রক্রিয়া চলমান বন্ধ করার সিদ্ধান্ত নিতে নির্দ্বিধায়। অন্য উত্তরে বর্ণিত হিসাবে আপনাকে নোটিফিকেশন অঞ্চলটি আড়াল করতে হবে। এছাড়াও, যেহেতু এই গুরুত্বপূর্ণ প্রক্রিয়াগুলি অতিথি ব্যবহারকারী হিসাবে চালিত হয়, সেই ব্যবহারকারীটি প্রক্রিয়াজাতকরণের মালিক, এবং যে কোনও উপায়ে এসিএলকে সামঞ্জস্য করতে সক্ষম হবেন, বা PROCESS_VM_WRITEপ্রক্রিয়াগুলির স্মৃতিতে ক্র্যাবল করতে এবং সেগুলি ক্রাশ করার জন্য দক্ষতা ব্যবহার করতে পারবেন । তাদের জন্য একটি ফাঁকা কুল যোগ করে সমাধান করা যেতে পারে OWNER RIGHTSএবং পরিবর্তন করে 'PROCESS_TERMINATE, PROCESS_SUSPEND_RESUME, WRITE_DAC'থেকে 'PROCESS_ALL_ACCESS'যথাক্রমে।
জিপিওর মাধ্যমে টাস্ক ম্যানেজারের অ্যাক্সেস অস্বীকার করা ব্যবহারকারীকে টাস্ক ম্যানেজার (স্পষ্টতই) ব্যবহার করা থেকে বিরত করবে এবং এটি সর্বাধিক সরল সমাধান, তবে তাদের নিজস্ব প্রোগ্রাম (বা taskkill) যা গ্রুপ নীতি মানছে না তা চালানো থেকে তাদের বিরত করার কিছুই নেই। আপনি যে প্রক্রিয়াগুলি ডিফেন্ড করার চেষ্টা করছেন সেগুলি যদি আপনি যার বিরুদ্ধে রক্ষা করার চেষ্টা করছেন তার থেকে আলাদা ব্যবহারকারী হিসাবে দৌড়ালে ভাল হবে।
অবশ্যই, যদি আপনার অতিথি এই সমস্ত "সুরক্ষা" রোধ করতে এই সমস্ত সমস্যায় যেতে রাজি হন তবে আপনার প্রযুক্তিগতের চেয়ে সামাজিক সমস্যা বেশি হতে পারে।
