Attualmente stiamo usando Teamviewer 9. Abbiamo un paio di macchine desktop che sono bloccate nel modo seguente:
1). La shell non è più explorer.exe, è un programma personalizzato che abbiamo creato.
2). Il sistema operativo è Windows 7 incorporato, l'ultima versione, le ultime patch di sicurezza.
3). L'utente accede in due modi: Modalità amministratore che consente la shell di Windows e l'accesso completo al computer per la risoluzione dei problemi, l'altro modo avviene tramite l'accesso dell'utente che esegue il software di esecuzione personalizzato e impedisce all'utente di eseguire la shell di Windows.
Abbiamo trovato alcuni buchi però. In vari momenti per lo più prevedibili (quando la persona di supporto esce da una sessione di Teamviewer su un computer bloccato con l'utente bloccato collegato), la finestra di dialogo di Teamviewer viene visualizzata sul computer client. In questa finestra di dialogo di Teamviewer c'è un pulsante delle opzioni che assomiglia a una piccola icona dell'ingranaggio. Questa icona sarebbe la stessa delle opzioni del menu Extra su un normale pannello Teamviewer (le nostre sono personalizzate e quindi mostra solo un'icona a forma di ingranaggio). Quando l'utente inserisce questa finestra di dialogo delle impostazioni e sceglie l'opzione video a sinistra e quindi preme il pulsante di selezione immagine, l'utente può quindi immettere cmd.exe (che eseguirà una shell di comandi), immettere explorer.exe per eseguire la shell. Se eseguono cmd.exe o explorer questo consentirà loro di eseguire IE o ftp.exe.
Poiché queste macchine sono connesse a Internet tramite modem cellulari, preferiremmo che l'utente non sia in grado di eseguire questi programmi. L'esperienza precedente ci ha insegnato che questi utenti accedono ai propri account Netflix e guardano film e varie cose del genere, che quando vengono eseguite tramite connessioni dati cellulari potrebbero essere molto costose in un breve periodo di tempo.
Abbiamo studiato la possibilità di utilizzare la politica di gruppo ma da ciò che la nostra ricerca ci ha mostrato che la politica di gruppo funziona solo se la shell è in esecuzione. Naturalmente potremmo sbagliarci, ma questa è l'informazione che mi è stata data mentre stavo facendo questo post. Ora, se potessimo bloccare la shell fino al punto in cui potrebbe NON fare NIENTE ma eseguire il programma, vogliamo che venga eseguito includendo qualsiasi cosa dalla USB mentre l'utente bloccato è loggato, lo considereremmo, ma quel livello di blocco non sembra possibile dalla nostra ricerca.
Se qualcuno sa di una buona documentazione sul raggiungimento di questo livello di blocco su un computer (simile per molti aspetti al livello di blocco che vorresti vedere su un bancomat) saremmo più interessati a questa informazione.