Посоветуйте, пожалуйста, файервол на бухгалтерский компьютер под Windows 7 Prof.
Файервол должен защищать от запуска любых программ, кроме избранных (банков-клиентов, 1С, Гарант и т.п.), он должен препятствовать открытию в Интернет Эксплорере любых сайтов, кроме банковских.
Еще его настройки должны быть запаролены, чтобы бухгалтерша не лазила.
Желателен протокол запуска программ и сайтов и бесплатность.

Файервол должен защищать от запуска любых программ, кроме избранных (банков-клиентов, 1С, Гарант и т.п.) »
это не дело файрвола. тут смотрите: групповые политики \ пользователь \ политики \ Настройки Виндовс \ настройки безопасности \ политики ограничения программ.
он должен препятствовать открытию в Интернет Эксплорере любых сайтов, кроме банковских »
прокси сервер. Либо убелите шлюз по умолчанию, и пропишите статические маршруты к нужным сайтам.
Еще его настройки должны быть запаролены, чтобы бухгалтерша не лазила. »
права лок админа у неё уберите...

бесплатность »
всё делается средствами винды.

Еще его настройки должны быть запаролены, чтобы бухгалтерша не лазила. »
права лок админа у неё уберите... »

У нее сейчас права доменного пользователя, но были доменного админа, т.к. ей нужно устанавливать обновления и она - командир.
Скоро она обнаружит, что права обрезаны, и поднимет хай, будет увольнять. Лучше вернуть права, но поставить файервол.
Запароленность файервола вряд ли обязательно связана с правами пользователя.
Файервол должен защищать от запуска любых программ, кроме избранных (банков-клиентов, 1С, Гарант и т.п.) »
это не дело файрвола. тут смотрите: групповые политики \ пользователь \ политики \ Настройки Виндовс \ настройки безопасности \ политики ограничения программ. »

Эти групповые политики, имхо, в windows как всегда недоработаны, только для рекламы, а мне нужно для дела. Также как есть якобы удаленная установка программ, а как тронешь - все сыро.Эти политики еще будут выдавать таблички, что "запретил администратор", молча не могут(один раз себе на голову попробовал) - тогда она меня пристрелит. Нужно, чтоб молча не запускалось и все.
Я читал, что в файерволах эти функции тоже бывают и там уж должны быть надежны.Я просто никогда не пользовался этими файерволами и прошу совета, в каком все есть, что надо.


Либо убелите шлюз по умолчанию, и пропишите статические маршруты к нужным сайтам. »
Это как это, где прописать, можете привести пример?(route -p -4 add ip-addressбанка мойgateway ? - такое разве работает?) Если убрать шлюз в настройках TCP/IP, то интернет сразу перестает работать.
Потом сайты банков и пр. прописаны не только в виде статических IP, но и в виде https://url в ИнтЭксплорере, и по нажатию там на ссылку бух перенаправляется, может, на банковский комп с другим ip-адресом.
Прокси - это типа шлюза, совмещенного с файерволом, должно быть еще сложнее, чем просто файервол.

всё делается средствами винды »
Хорошо бы, если б она могла все делать, как надо.

т.к. ей нужно устанавливать обновления »
обновления чего? программы могут устанавливать Power Users
Скоро она обнаружит, что права обрезаны, и поднимет хай, будет увольнять. »
она ваш начальник?
Эти групповые политики, имхо, в windows как всегда недоработаны, только для рекламы, а мне нужно для дела. »
ну в таком случае, любой "фаервол", который вы ищите - ничем не отличается. тоже для рекламы...
(route -p -4 add ip-addressбанка мойgateway ? - такое разве работает?)»
да.
Прокси - это типа шлюза, совмещенного с файерволом, должно быть еще сложнее, чем просто файервол. »
прокси (http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80) может быть не только шлюзом.
если б она могла все делать »
извините, а вы зачем? она будет делать вашу работу?
Сеть доменная?

поднимет хай, будет увольнять. »
Соглашайтесь. Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот.

Эти групповые политики, имхо, в windows как всегда недоработаны »

Вы некомпетентны. Констатация факта.

Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот. »
Так и совершается круговорот воды специалистов в природе.

обновления чего? программы могут устанавливать Power Users »
Обновления Гаранта, банковских программ и программы сдачи электр.отчетности
Потом Acrobat и Java все время предлагают обновляться.(http://www.gazeta.ru/business/2013/02/22/4977801.shtml)

она ваш начальник? »
Да, и хочет, чтоб у нее бессбойно-безвирусно работало, а лазит в интернет за музыкой и просто поболтать, ICQ, вредный mailruClient.

Сеть доменная? »
Сеть доменная. Gpedit надо на ее комп-е запускать или на сервере?

Потом сайты банков и пр. прописаны не только в виде статических IP, но и в виде https://url в ИнтЭксплорере, и по нажатию там на ссылку бух перенаправляется, может, на банковский комп с другим ip-адресом.
А как это статически маршрутом прописать?


Они должны нанимать специалистов, чтобы специалисты их учили работать, а не наоборот »
Они нанимают кого попало, кто меньше попросит.Может, Вы не понимаете сложности задачи или думаете, что на практике, как в книжках Майкрософт написано .

Обновления Гаранта, банковских программ и программы сдачи электр.отчетности »
это всё работает у неё на компьютере? выделите один сервер для этого... Эта статья (http://technet.microsoft.com/ru-ru/windowsserver/hh969429) вам ну очень поможет.
Сеть доменная. Gpedit надо на ее комп-е запускать или на сервере? »
gpmc.msc на сервере, или на компе, где установлен RSAT.
А как это статически маршрутом прописать? »
а шлюзом у вас кто? вообще, как правило банковские он-лайн ресурсы редко меняют свои адреса. А если меняют - то уведомляют клиентов. По этому можете не имени прописать, а по адресу.
что на практике, как в книжках Майкрософт написано »
в большинстве случаев...

это всё работает у неё на компьютере? »
да, это все работает у нее на компьютере под win7Prof, менять лицензию на сервер вряд ли захотят. win2008R2 и так есть в кач-ве DC. Отнимать права доменного админа не получается, т.к. банк.программа почему-то начинает работать тормозно.(это проблема кроме обновлений). Видимо ограничения надо какие-то на комп.накладывать.

а шлюзом у вас кто? »

Шлюзом - локадрес маршрутизатора.

менять лицензию на сервер »
я вообще-т имел ввиду не лицензию, а отдельный сервер, по мимо контроллера домена.
Шлюзом - локадрес маршрутизатора. »
омг... я имею ввиду какое оборудование?

я имею ввиду какое оборудование? »
D-link. Вы хотите предложить еще замену на cisco со всеми проблемами ее настройки, чтоб удавиться?
я вообще-т имел ввиду не лицензию, а отдельный сервер »
Я и понял, что Вы предлагаете заменить ПО на бух.компе на серверное. Или зачем-то задублировать бух.комп?
Возьму книжку про gpmc, почитаю. Может что практическое найду.

gpmc.msc на сервере, или на компе, где установлен RSA »
Нет, чтоб запретить на этот комп-е надо все же запусткать gpedit.msc, я же не на сервере собираюсь ей запрещать.

будут выдавать таблички, что "запретил администратор", »

Может кто знает, как изменить текст этой убийственной таблички на более нейтральный, не подставляющий сисадмина?
(там дословно говорится: "Эта программа заблокирована групповой политикой. Обращайтесь к сисадмину".)

я же не на сервере собираюсь ей запрещать »
прочитайте про групповые политики в домене...
Вы хотите предложить »
я хотел узнать возможности вашего шлюза. ну раз у вас Длинк, то всё сразу становится понятно...

Или зачем-то задублировать бух.комп »
тогда бух программы будут в безопасности, а в интернетом она может и со своего компа пользоваться.

прочитайте про групповые политики в домене... »
Вот опять Вы эти рекламные слова, как теоретики-"специалисты".
Если посмотреть внимательно, то разрекламированный AppLocker к win7Prof не относится.
И политики запрета запуска программ можно применить к объекту пользователь, группа, а не к компьютеру(одному в моем случае нужно и вполне доступному)
Опять же политики надо прописывать зачем-то на сервере, хотя на локкомпьютере удобнее(с указаниями путей), да и с сервера не открывается локполитика.
(Теоретики, конечно, оперируют сотнями-тысячами компьютеров в лесах, находящихся за рубежом. В сети и на oszone куча пустых разглагольствований о групповых политиках без конкретных примеров их применения - запрета конкретной программы хотя бы для группы компьютеров, где она в разных местах может быть установлена).

Вот опять »
вот опять вы говорите отговорки, вместо того чтобы прочитать.
Удачи!