А если exe упакован в zip, например? Тоже не скачивать?

Ну зип пусть скачивается. Дело в том, что хотелось бы оградить не очень грамотных пользователей от скачивания бяки. Поставить онтопик не вариант, в силу специфики работы требуется ms power point. Хотелось бы минимизировать риск заражения через скачивание всякой дряни.

Можно на проксе резать. Вроде еще есть расширения, которые могут что-то с загрузками делать, но тут возможно говнокодить придётся. Можно еще в adblock фильтр прописать попробовать.

А бесплатный кашмарский поставить не вариант, если начальство на антивирусы жмётся?

Настройки-приложения, повесь на exe программу для удаления, переименования ехе или поставь следилку за папкой «загрузки» и все ехе сноси. Но если пользователь убиться захочет, то он это сделает.

Это дома, не на работе. У них есть бесплатная версия? Я даже и не знал, надо глянуть, что она может.

Ну убивание происходит не намеренно, а скорее из-за не понимания, что именно было скачано из интернета. Написать скрипт который мониторит загрузки - прикольная идея, можно реализовать.

Вроде как в винде есть возможность запретить запускать левые exe-файлы. Так что можно решить проблему на корню, а не плодить костыли для частных случаев (что если вирус принесли на флешке?).

Но вообще такие вопросы надо задавать на винфаке.

Какой-нибудь public fox. Хотя он вроде пароль просит на скачивание файлов с указанными расширениями.

squid+squidGuard

Открой код firefox, найди нужный участок, отвечающий за скачивание файлов, отредактируй.

Я бы посоветовал посмотреть в сторону виндового SRP. 10 минут настройки и можешь даже антивирус не ставить ;)

Настрой политики ограниченного использования программ и пусть хоть обкачаются.

плагинчик напиши, который будет все сцылки вида *.exe заменять на какой-нибудь URL с 404.

Дело в том, что хотелось бы оградить не очень грамотных пользователей от скачивания бяки.

Выбранный вами путь, как уже отметили, принципиально неверный. Ищите в вашей проприетарщине аналог noexec’а из mount(8).

И в порядке офтопика.

в силу специфики работы требуется ms power point

О! Слушайте, всегда было разбирало любопытство — кто вообще эти люди, кому по роду службы нужен «Power Point» — просветите, пожалуйста.

лорчую, в винде есть AppLocker, который при настройке не даст выполнять {exe, com, bat, msi}, причём здесь линукс?

Поставить онтопик не вариант

Ну тогда тебе на винфак

Учителя начальных классов общеобразовательной школы, например.

Воткини им LibreOffice, или Wine + PowerPoint 2010, или WPS Office. Вот сколько вариантов с онтопиком.

Не думаю, что Libre без проблем откроет документы, отформатированные не как положено со стилями и прочими классными штуками, а пробелами, отступами и переводами строк. Знаю, что кто нибудь скажет «нежуно так форматировать», но суровая реальность такова, что все текущие документы написаны именно так, и никто их переделывать не будет. Пробовал W2007 под вайном, он периодически там зависал при переключении вкладок с инструментами. Более новые версии не пробовал.

Только надо иметь ввиду, что таким макаром можно огрести ещё больше геморроя, особенно если используется софт, который ставится в профиль, или есть необходимость запускать что-то для выполнения должностных обязанностей, не требующее установки.

софт, который ставится в профиль

Разве такой существует если специально не качать портабельные версии?

или есть необходимость запускать что-то для выполнения должностных обязанностей, не требующее установки

Держать в отдельном каталоге с r/o правами вне профиля.

Разве такой существует если специально не качать портабельные версии?

Конечно, например всякие СБИС-плагины, РТС-тендер АРМы, Крипто компоненты, АБДМы, АРМы АСУНО, СЭДДы, СМЭВы и т.д.

Держать в отдельном каталоге с r/o правами вне профиля.

Это нереально, поскольку исполняемые файлы являются частью проектов, которые постоянно перемещаются между заказчиками и подрядчиками.

Конечно, например всякие СБИС-плагины, РТС-тендер АРМы, Крипто компоненты, АБДМы, АРМы АСУНО, СЭДДы, СМЭВы и т.д.

Как же хорошо что всем этим говном я не пользуюсь.

Не знал про AppLocker, настроил его запретил запуск программ из директории юзера, думаю это решит проблему.

LINUX.ORG.RU: Русская информация об ОС Linux
Linux

Интересно, и при чём же тут linux?

Тты не пользуешься, а бухи пользуются. Попробуй объясни, что давайте-ка выкинем кривую софтину по желанию левой пятки сисадмина.

Ты будешь удивлен

opensource.ru

firefox, на сколько я помню, пока еще opensource.

сисадмина

У сисадмина есть AD и групповые политики, никто не мешает ему запретить всё и внести запуск вышеперечисленного говнеца в список исключений для группы бухов.

Запрети ещё .scr.

Он в первую очередь free software.

если используется софт, который ставится в профиль

«В профиль» — это в смысле в домашний каталог? (А не антоним к «анфас»? :-)

Я, конечно, не специалист, но насколько я помню, программы для Винды собираются и пакуются так, чтобы при установке была возможность выбрать путь установки.

Там всё плохо. Подобный софт не имеет механизма централизованного деплоя, часть путей или вообще все захардкожены, конфиги и бинарники свалены в одну кучу, в новых версиях пути могут меняться. Обновления весьма частые и могут выполняться только из под учётки юзера, который с этим софтом работает.

Ещё же в /tmp (или как его там в Windows) может сохраняться.

.scr .lnk .pif .cmd .cpl ...

.vbs, .vbe, .vb, .ws, .wsc, .wsf,.msi, .hta, .dll, .reg, .jse, .bas, .chm, .cmd, .scf, .sct,
http://grandcountyinternet.com/virus.html

Там всё плохо. Подобный софт не имеет механизма централизованного деплоя, часть путей или вообще все захардкожены, конфиги и бинарники свалены в одну кучу, в новых версиях пути могут меняться. Обновления весьма частые и могут выполняться только из под учётки юзера, который с этим софтом работает.

В служебных каталогах хомяка разрешить запуск бинарников, а видимых пользователю — запретить. (Неужели в этой вашей винде нет возможности настроить черные и белые списки для разрешения запуска на основе префикса пути? Наверняка что-то подобное есть.)

С галки «показывать скрытые файлы» в реестре снять права редактирования пользователем. (Там же есть права?)

Всё, без консоли юзер туда не попадёт, а консоль — это слишком сложно для обычного пользователя.