From da33e6f644c577dc8273a2d42a9b3dac376624d6 Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Fri, 21 Oct 2022 15:22:30 +0400 Subject: [PATCH 1/6] Fix adml for scripts polisy --- en-US/basealtgrouppolicies.adml | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/en-US/basealtgrouppolicies.adml b/en-US/basealtgrouppolicies.adml index 948b7f4b..837e57f7 100755 --- a/en-US/basealtgrouppolicies.adml +++ b/en-US/basealtgrouppolicies.adml @@ -105,8 +105,8 @@ Script execution module for machine This policy enables disables the scripting group policy execution engine for computers. - Script execution module for users - This policy enables disables the scripting group policy execution engine for users. + Script execution module for users + This policy enables disables the scripting group policy execution engine for users. From bc46d2e612df51a62abe15d8f67b096c4c9b5b6c Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Wed, 26 Oct 2022 18:38:49 +0400 Subject: [PATCH 2/6] New admx enabling mechanism of Yandex-browser group policies --- BaseALTGroupPolicies.admx | 10 ++++++++++ en-US/basealtgrouppolicies.adml | 2 ++ ru-RU/basealtgrouppolicies.adml | 2 ++ 3 files changed, 14 insertions(+) diff --git a/BaseALTGroupPolicies.admx b/BaseALTGroupPolicies.admx index 9ce67c84..fb9f96b5 100644 --- a/BaseALTGroupPolicies.admx +++ b/BaseALTGroupPolicies.admx @@ -330,5 +330,15 @@ + + + + + + + + + + diff --git a/en-US/basealtgrouppolicies.adml b/en-US/basealtgrouppolicies.adml index 837e57f7..fb4a9974 100755 --- a/en-US/basealtgrouppolicies.adml +++ b/en-US/basealtgrouppolicies.adml @@ -108,6 +108,8 @@ Script execution module for users This policy enables disables the scripting group policy execution engine for users. + Yandex browser +      This policy enables group policy Yandex-browser applier feature. diff --git a/ru-RU/basealtgrouppolicies.adml b/ru-RU/basealtgrouppolicies.adml index 8decc8ae..1f2687e6 100755 --- a/ru-RU/basealtgrouppolicies.adml +++ b/ru-RU/basealtgrouppolicies.adml @@ -108,6 +108,8 @@ Модуль выполнения сценариев для пользователей Эта политика включает/отключает модуль выполнения групповых политик сценариев для пользователей. + Настройка браузера Yandex +      Эта политика включает применение механизма групповых политик Yandex-браузера. From 362006c8470666ea0ce9d4cfc8f3bd446947c8ff Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Fri, 28 Oct 2022 11:34:22 +0400 Subject: [PATCH 3/6] Admx for group policy - deny removable storage --- BaseALTGroupPolicies.admx | 20 ++++++++++++++++++++ en-US/basealtgrouppolicies.adml | 17 +++++++++++++++++ ru-RU/basealtgrouppolicies.adml | 17 +++++++++++++++++ 3 files changed, 54 insertions(+) diff --git a/BaseALTGroupPolicies.admx b/BaseALTGroupPolicies.admx index fb9f96b5..a8fabd9d 100644 --- a/BaseALTGroupPolicies.admx +++ b/BaseALTGroupPolicies.admx @@ -340,5 +340,25 @@ + + + + + + + + + + + + + + + + + + + + diff --git a/en-US/basealtgrouppolicies.adml b/en-US/basealtgrouppolicies.adml index fb4a9974..510c4993 100755 --- a/en-US/basealtgrouppolicies.adml +++ b/en-US/basealtgrouppolicies.adml @@ -110,6 +110,23 @@ Yandex browser       This policy enables group policy Yandex-browser applier feature. + + All Removable Storage classes: Deny all access +      Configure access to all removable storage classes. + +This policy setting takes precedence over any individual removable storage policy settings. To manage individual classes, use the policy settings available for each class. + +If you enable this policy setting, no access is allowed to any removable storage class. + +If you disable or do not configure this policy setting, write and read accesses are allowed to all removable storage classes. + All Removable Storage classes: Deny all access +      Configure access to all removable storage classes. + +This policy setting takes precedence over any individual removable storage policy settings. To manage individual classes, use the policy settings available for each class. + +If you enable this policy setting, no access is allowed to any removable storage class. + +If you disable or do not configure this policy setting, write and read accesses are allowed to all removable storage classes. diff --git a/ru-RU/basealtgrouppolicies.adml b/ru-RU/basealtgrouppolicies.adml index 1f2687e6..d8c810ed 100755 --- a/ru-RU/basealtgrouppolicies.adml +++ b/ru-RU/basealtgrouppolicies.adml @@ -110,6 +110,23 @@ Настройка браузера Yandex       Эта политика включает применение механизма групповых политик Yandex-браузера. + + Доступ к съемным запоминающим устройствам +      Настройте доступ ко всем классам съемных носителей. + +Этот параметр политики имеет приоритет над любыми отдельными параметрами политики съемных носителей. Для управления отдельными классами используйте параметры политики, доступные для каждого класса. + +Если вы включите этот параметр политики, доступ к любому классу съемных носителей будет запрещен. + +Если вы отключите или не настроите этот параметр политики, доступ на запись и чтение будет разрешен для всех классов съемных носителей. + Доступ к съемным запоминающим устройствам +      Настройте доступ ко всем классам съемных носителей. + +Этот параметр политики имеет приоритет над любыми отдельными параметрами политики съемных носителей. Для управления отдельными классами используйте параметры политики, доступные для каждого класса. + +Если вы включите этот параметр политики, доступ к любому классу съемных носителей будет запрещен. + +Если вы отключите или не настроите этот параметр политики, доступ на запись и чтение будет разрешен для всех классов съемных носителей. From 5d1690b040679604d24c383f1eec8578efd24a14 Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Thu, 15 Dec 2022 16:23:04 +0400 Subject: [PATCH 4/6] Added new group policy for polkit-actions --- BaseALTPolkit.admx | 21 +++++++++++++++++++++ en-US/basealtpolkit.adml | 12 ++++++++++++ ru-RU/basealtpolkit.adml | 12 ++++++++++++ 3 files changed, 45 insertions(+) create mode 100644 BaseALTPolkit.admx create mode 100644 en-US/basealtpolkit.adml create mode 100644 ru-RU/basealtpolkit.adml diff --git a/BaseALTPolkit.admx b/BaseALTPolkit.admx new file mode 100644 index 00000000..b4895bc2 --- /dev/null +++ b/BaseALTPolkit.admx @@ -0,0 +1,21 @@ + + + + + + + + + + + + + + + + + + + + + diff --git a/en-US/basealtpolkit.adml b/en-US/basealtpolkit.adml new file mode 100644 index 00000000..cd701c5a --- /dev/null +++ b/en-US/basealtpolkit.adml @@ -0,0 +1,12 @@ + + + + ALT Group Policies definitions + This file contains the polkits policies definitions used by ALT operating system. + + + Mount a filesystem + Authentication is required to mount the filesystem + + + diff --git a/ru-RU/basealtpolkit.adml b/ru-RU/basealtpolkit.adml new file mode 100644 index 00000000..c1c0e27e --- /dev/null +++ b/ru-RU/basealtpolkit.adml @@ -0,0 +1,12 @@ + + + + Определения политик безопасности операционной системы Альт + Этот файл содержит определения политик безопасности операционной системы Альт. + + + Смонтировать файловую систему + Для монтирования файловой системы требуется аутентификация + + + From fe2c38ab24bef99c72b524fc9595645334ae22dc Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Mon, 26 Dec 2022 13:55:07 +0400 Subject: [PATCH 5/6] Add new admx for polkit actions --- BaseALT.admx | 3 + BaseALTPolkit.admx | 314 +++++++++++++++++++++++++++++++++++++-- en-US/basealt.adml | 2 + en-US/basealtpolkit.adml | 110 +++++++++++++- ru-RU/basealt.adml | 2 + ru-RU/basealtpolkit.adml | 154 ++++++++++++++++++- 6 files changed, 572 insertions(+), 13 deletions(-) diff --git a/BaseALT.admx b/BaseALT.admx index 2442b224..d8aa9948 100644 --- a/BaseALT.admx +++ b/BaseALT.admx @@ -133,5 +133,8 @@ + + + diff --git a/BaseALTPolkit.admx b/BaseALTPolkit.admx index b4895bc2..3a878844 100644 --- a/BaseALTPolkit.admx +++ b/BaseALTPolkit.admx @@ -7,15 +7,311 @@ - - - - - - - - - + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + + + + + + + + + + No + + + + + Yes + + + + + Auth_self + + + + + Auth_admin + + + + + Auth_self_keep + + + + + Auth_admin_keep + + + + + + + + + + + + diff --git a/en-US/basealt.adml b/en-US/basealt.adml index aaa888e2..866f195c 100644 --- a/en-US/basealt.adml +++ b/en-US/basealt.adml @@ -58,6 +58,8 @@ Windows manager Marco settings Keyboard settings Keyboard settings + Polkit rules + Polkit rules diff --git a/en-US/basealtpolkit.adml b/en-US/basealtpolkit.adml index cd701c5a..2a30764e 100644 --- a/en-US/basealtpolkit.adml +++ b/en-US/basealtpolkit.adml @@ -5,8 +5,114 @@ This file contains the polkits policies definitions used by ALT operating system. - Mount a filesystem - Authentication is required to mount the filesystem + Permission to mount a file system + Permission to mount a file system + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + Permission to mount a file system + Permission to mount a file system + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + Permission to mount a file system from a device connected to another workstation + Permission to mount a file system from a device connected to another workstation + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + Permission to mount a filesystem on a system device + Permission to mount a filesystem on a system device + +Disable/Not configured - permissions are determined by system settings - default settings for polkit actions; + +Enable - permission to mount with set rights; + +Possible values: + +«No» - Not authorized; + +«Yes» - Authorized; + +«Auth_self» - Authentication by the owner of the session that the client originates from is required. Note that this is not restrictive enough for most uses on multi-user systems; auth_admin* is generally recommended; + +«Auth_admin» - Authentication by an administrative user is required; + +«Auth_self_keep» - Like auth_self but the authorization is kept for a brief period (e.g. five minutes). The warning about auth_self above applies likewise; + +«Auth_admin_keep» - Like auth_admin but the authorization is kept for a brief period (e.g. five minutes). + + + No + Yes + Auth_self + Auth_admin + Auth_self_keep + Auth_admin_keep + general mount ban + general mount ban + + + Restriction Options: + Block + Blocking changes to this setting by the user. Custom policies for this setting will be ignored. + + + Restriction Options: + Block + locking changes to this setting by the user. Custom policies for this setting will be ignored. + + diff --git a/ru-RU/basealt.adml b/ru-RU/basealt.adml index 182d4cb6..dba674ee 100644 --- a/ru-RU/basealt.adml +++ b/ru-RU/basealt.adml @@ -58,6 +58,8 @@ Настройки оконного менеджера Marco Настройки клавиатуры Настройки клавиатуры + Polkit правила + Polkit правила diff --git a/ru-RU/basealtpolkit.adml b/ru-RU/basealtpolkit.adml index c1c0e27e..016fa5aa 100644 --- a/ru-RU/basealtpolkit.adml +++ b/ru-RU/basealtpolkit.adml @@ -5,8 +5,158 @@ Этот файл содержит определения политик безопасности операционной системы Альт. - Смонтировать файловую систему - Для монтирования файловой системы требуется аутентификация + Разрешение на монтирование файловой системы + Разрешение на монтирование файловой системы + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы + Разрешение на монтирование файловой системы + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + Разрешение на монтирование файловой системы с устройства, подключенного к другому рабочему месту + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы на системном устройстве + Разрешение на монтирование файловой системы на системном устройстве + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + Разрешение на монтирование файловой системы на системном устройстве + Разрешение на монтирование файловой системы на системном устройстве + +Выключить/Не настроено - разрешения определяются системными параметрами - настройки по умолчанию для polkit actions; + +Включить - разрешение на монтирование с установленными правами; + +Возможные значения: + +«No» - Заблокировать разрешения; + +«Yes» - Предоставить разрешения; + +«Auth_self» - Пользователь должен ввести свой пароль для аутентификации. Этого разрешения недостаточно для большинства применений в многопользовательских системах, вместе с этим разрешением также рекомендуется auth_admin; + +«Auth_admin» - Пользователь должен ввести пароль admin при каждом запросе. Требуется аутентификация пользователя с правами администратора; + +«Auth_self_keep» - Подобно auth_self, но авторизация сохраняется в течение короткого периода времени (например, пять минут). Предупреждение об auth_self выше применимо аналогичным образом; + +«Auth_admin_keep» - Аналогично auth_admin, но авторизация сохраняется в течение короткого периода времени (например, пять минут). + + + No + Yes + Auth_self + Auth_admin + Auth_self_keep + Auth_admin_keep + Общий запрет на монтирование + Общий запрет на монтирование + + + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + + + Варианты ограничений: + Блокировать + Блокировка изменений данной настройки пользователем. Пользовательские политики для этой настройки будут проигнорированы. + + From 20455c34351062d15e611155fe028e28582decaf Mon Sep 17 00:00:00 2001 From: Anton Abramov Date: Mon, 26 Dec 2022 13:56:58 +0400 Subject: [PATCH 6/6] Fixed bug in admx-files --- BaseALTGroupPolicies.admx | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/BaseALTGroupPolicies.admx b/BaseALTGroupPolicies.admx index a8fabd9d..6dff6aac 100644 --- a/BaseALTGroupPolicies.admx +++ b/BaseALTGroupPolicies.admx @@ -350,7 +350,7 @@ - +