[myhouse_1991]

У тебя должна быть файловая система NTFS - только он поддерживает права доступа для файлов и папок.
1) Пользуясь возможностями NTFS, можно убрать все права доступа для папки Windows для обычного пользователя и внутри этой папки назначить права на чтение+выполнение для обычного пользователя (я так не экспериментировал, так что не знаю, какие могут быть "глюки" при работе системы). Также рекомендую посмотреть на Обход перекрестной проверки. А администратору что-либо запрещать бессмысленно - он может при желании вернуть все обратно (чего только стоит низкоуровневый доступ), а вот под ограниченным пользователем такое возможно только если он найдет у тебя дырки (например: ты папку Windows назначил владельцем обычного пользователя - серьёзная ошибка, дающий обычному пользователю полный доступ к этой папке).
2) Насчет Win+R - в групповой политике настраивается и отключается (Удалить команду "выполнить" из меню "Пуск").
3) Какие именно свойства?

Цитата:

запускать regedit, msconfig и т.д.

Можешь переправить права доступа NTFS для тех EXE файлов и сделать невозможным их запуск. Можно использовать групповую политику, чтобы сделать запрет на запуск некоторых встроенных средств Windows'а (в частности актуально для файловой системы FAT - там нет прав доступа), но возможностей NTFS для таких целей хватает. Также можно отредактировать шаблон безопасности и автоматизировать тем самым переустановку прав доступа.
Но следует учесть, что без политики SRP (Software Restriction Policies) пользователи могут притащить, например, комплект программ от Sysinternals и альтернативный редактор реестра и запустить...

И ещё - тебе действительно нужна такая безопасность? Ограниченный пользователь итак не может изменять данные в системе...

[sepembra]

у меня такой тогда вопрос: все вирусы стремятся попасть в папку windows, можно ли как то полностью закрыть доступ к этой папке, чтобы можно было только вручную рарешать/запрещать именения в ней?

[myhouse_1991]

Если используется файловая система NTFS (там есть поддержка прав доступа), то велосипед изобретать не нужно - есть ограниченный пользователь. Под ним и работайте, когда не нужны завышенные права. А администратору что-либо запрещать по мне бессмысленно т.к. при желании это можно вернуть, а вот с ограниченным пользователем так просто не сделаешь, если у тебя не найдут какую-нибудь дыру.

Единственная проблема этой схемы - программы, пишущие настройки в директорию с программой в защищенной папке (т.е. пользователи могут в этой папке считывать, но не записывать) будут работать некорректно и придется переправлять вручную права доступа. Но это проблема не Windows, а из-за незнаний программиста, который работает с правами администратора постоянно и не понимает, на какой риск он идёт.



Если не нравится задумка Microsoft'а и нужно изобретать велосипед - вы можете использовать различные HIPS программы, например CoreForce.

Единственная проблема - система перестанет быстро работать, могут быть глюки, а также ошибки в стиле "Отказ в обслуживании".