Как защитить систему от "отчаянного" веб-серфера?
 

Здравствуйте. Вообщем, есть человек который все время работает в сети. И соответственно нужно сделать так чтобы - этот пользователь не имел доступа к разделу с виндой (если вдруг заразу подцепит - она не нанесет большого урона), не имел доступа к учетной записи администартора (тоесть что бы зараза из под учетной записи этого юзера - не повредила учетную запись админа) и не имел доступа к реестру (за исключением веток принадлежащих его учетной записи), но при этом мог нормально работать. Это возможно сделать? OS: Windows XP SP3.

P.S.
Действительно ли работает трюк:?

Кстати, а если юзер работает в настроенной (опасные службы и функции отключены и т.д.) учетной записи с ограниченными правами - надо ли в учетной записи администратора (которая находится за длинным паролем и к интернету не подключается, а так же редко используется) отключать опасные службы и т.д.?


Заранее, огромное спасибо!

Ну да, как раз для этого используются учетные записи пользователей.
Если говорить о веб-серфинге, существует DropMyRights, которое понижает привилегии (права) только для запускаемого приложения (статья).

Приведенный вами параметр всего лишь скрывает компьютер в сетевом окружении.

Petya V4sechkin,
А можно поподробнее? Я так понимаю это можно реализовать только с помощью разграничения прав доступа в NTFS?

Я хотел удостовериться в его работоспособности. :)

А что на счет последнего вопроса: :)

Ну вы же сами перечислили:
Все это - учетная запись с правами пользователя, и ничего настраивать не надо.

Параметры служб не зависят от текущей (активной) учетной записи.
Службы запускаются, даже если никто не залогинился.

Petya V4sechkinЯ имел ввиду следующее: скажем для безопастности я отключаю "Удаленного помощника" и удаляю учетную запись SUPPORT_586975a0. Эти действия нужно провести только в учетной записи Администратора или же и в учетной записи Пользователя - тоже или же только в учетной записи Пользователя (формулировка получилась забавной :biggrin:)?

P.S.
Кстати, а где можно переименовать встроенную (я тут прочитал про нее) учетную запись Администратора?

А в SP3 были включены: Windows Installer v3.1, Microsoft .NET Framework v1.1 SP1, Microsoft .NET Framework v2.0 SP1?

Скорее, нелогичной.
Как по вашему, параметры учетных записей зависят от того, под какой учетной записью зашли в систему? Что, у каждой учетной записи свой список учетных записей? Подумайте...

Пуск -> Выполнить -> lusrmgr.msc
Пуск -> Выполнить -> control userpasswords2

Прежде чем это сделать, рекомендую прочесть Безопасность: Великий спор: безопасность через маскировку и в частности врезку Стива Райли.

Petya V4sechkin,
Я просто никогда не поводил подобные опыты. Вот и рассуждаю. :)

Vadikan
Большое спасибо за линк! Прислушаюсь к мнению Стива Райли, от греха - подальше!

Гм... Мне кажется от отчаянного веб сёрфера можно защитится и более просто - подсунуть ему WMware, без заплаток и антивируса, что бы не жрала системные ресурсы по просту, а юзеру сказать - в инет лазать только через вмваре, иначе оторву яйцы или если дувушка - волосы, а если директор - сэр, попадём на бабки, и получим пистон от AYC? да ещё и с проверкой на лицензионность могут придти. И делов :) Ну а вообще, сидеть под гостоем, отрубить уязвимые службы, настроит касперского 2009 на максимум, запустить его под админом, а сидеть под гостем. Действие - автомат. И всё. Анитвирус будет делать свои дела, а то что не сможет, порежет учётка ограниченная.