Пользователь без прав и запрет использования USB накопителей
 

Приветствую!
Хочу сделать так, чтобы создать на winXP пользователя, который бы обладал очень урезанными правами, среди которых:

• отсутствие возможности использования USB устройств
• невозможность сохранять файлы или все сохраненные пользователем файлы будут удаляться после выхода из системы
• отсутствие возможности "бродить" по дискам и локальной сети
• если возможно средствами WinXP разрешить выполнение определенных программ (требуется возможность работы с IE или другим браузером)

Компьютер планируется использовать для выхода в интернет и не более. Компьютер стоит на фирме в углу для просмотра сайта фирмы с каталогом продукции, частенько то кто-то флешку воткнет, то насохраняет чего не надо, а на восстановление работоспособности или чистку уходит время

Возможность удалять автоматически файлы, оставленные пользователем видел когда-то в комп клубе, там еще фишка была, что когда флешку вставляешь комп перезагружаться шел. Также все диски и папки были закрыты, на столе вывешены были только несколько ярлыков

То, что касается USB, теоритически можно попробовать через gpedit.msc (групповую политику) запретить доступ ко всем возможным буквам дисков, кроме используемых (C, D и т. д.)
Еще можно USB в биосе отключить, и поставить пароль на биос, но тогда не будут работать usb девайсы, подключенные к этому компьютеру.
Возможно через прокси-сервер разрешить только нужные службы интернета.
Можно запретить установку новых программ.
Все остальное - скорее всего, только shell для компьютерного клуба :)

Вы можете отключить через диспетчер задач USB хост-контроллер

Можете использовать права доступа NTFS и политику SRP (Software Restrict Policy).

С помощью NTFS прав доступа можно это запретить.

Вы можете использовать фильтр записи EWF. Только единственная проблема - нужно много ОЗУ, но зато после каждой перезагрузки компьютер будет все время чистым.

dimonskif, лично я рекомендую бесплатную программку от MS Steady State

С помощью неё можно скрывать жёсткие, CD-ROM, флешки и прочее; ограничить доступ к программам; "откатывать" систему на сохранённое состояние, удаляя при этом все изменения.

Перед использованием в реальной работе рекомендую поковыряться в ней и решить, что конкретно нужно.

а потом кто-нибудь заменит sethc на cmd и отформатирует вам эту систему :)

Мне кажется, что система у них будет использовать права ограниченного пользователя. Ему даже форматировать запрещено, не то что делать подмену из папки system32.
Кроме того EWF этому процессу воспрепятствует - ну отформатировали вы данные в ОЗУ, перезагрузились и снова все будет как раньше.

Как вот это все сделать? через какое-то меню панели администрирования? Можете дать ссылочку, где почитать об этом?

это вот и есть эта shell ???

Перед ответом я поставил условие, что для частичного решения проблемы не будет использоваться стороннее ПО (если не считать EWF):
1) Возможность использования USB можно отключить через Диспетчер устройств (думаю, многие им уже пользовались) - там просто отключаете USB хосты. Из альтернативы - можно отключить драйвер, что предлагает делать Microsoft How can I prevent users from connecting to a USB storage device?
2) Насчет прав NTFS для запрета лазанья по диску – комбинация двух прав доступа. Для группы “Пользователи” (вы же ограниченного пользователя будете использовать?) не даёте разрешение “Содержание папок \ Чтение данных” для папок и подпапок, а для файлов наоборот даёте разрешение “Содержание папок \ Чтение данных”. Можно также сюда добавить “Обзор папок \ Выполнение данных”. Но обычно не видел, чтобы кто-то так делал, так что некоторые программы могут не работать, если им так нужно просматривать содержимое папки. Я бы порекомендовал таким образом “химичить” на виртуальной среде, чтобы убедиться в том, что необходимые программы работают корректно после правки доступа.
3) Насчет прав доступа NTFS для запрета определенных программ, которые уже установлены в системе - снимайте разрешение “Обзор папок \ Выполнение данных” для группы “Пользователи” у исполняемого файла.
4) Насчет политики SRP для запрета запуска программ – делаете разрешение на запуск только с белого списка (по умолчанию работает по черному списку) т.е. с папки Windows и Program Files можно запускать программы, с остальных мест – запрет. Можно этой же политикой запрещать запуск определенных программ, которые уже установлены в системе.

Политика SRP открывается из Пуска>Панель управления (классический стиль)>Администрирование>Локальная политика безопасности>Политики ограниченного использования программ.
Чтобы изменять права доступа у файловой системы NTFS, вам нужно отключить в Панели управления>Свойства папки>“Использовать простой общий доступ (рекомендуется)”. Тогда появится вкладка безопасность в свойствах диска\папки\файла. Но вам нужно изменять дополнительные разрешения, так что ничего не остается, как нажать кнопку Дополнительно в этой вкладке.

Нет, почитайте внимательно:
Вы, наверное, видели, какие оболочки там стоят, если компьютерный клуб серьёзный?
Но вы можете попробовать MS Steady State - может он решит часть ваших проблем более лёгким способом, чем я предложил.

Чт бы корректно отключить порт USB, именно тот, куда подключают флэшки. Необходимо сделать запрет на
драйвера USBSTOR. Это драйвер запоминающих устройств для USB. Все прочие USB-устройства
(мыши, принтеры, сканеры и т. д.) будут работать, потому что у них другие драйверы.
C:\WINDOWS\inf\usbstor.inf
C:\WINDOWS\inf\usbstor.PNF
Правой кнопкой мыши Свойства - Безопастность - Запретить
Если перед тем как сделать запрет на на драйвер вы подключали USB-устройства то тогда неодходимо запустить
утилиту USBDeview и удалить USB-устройства.
Программа Acronis True Image Home 2010
Функция Try&Decide позволяет создать безопасное, контролируемое временное рабочее пространство на вашем компьютере без необходимости установки специальных программ виртуализации.
Вы сможете выполнять различные операции в системе, не беспокоясь о том, что они могут привести к повреждению операционной системы, программ или данных.
Все сохраненные пользователем файлы будут удаляться после выхода из системы, если конечно вы сами не захотите сохранить сделанные изменения.
Цена 1 лицензии 928,00 руб

Создайте пользователя с ограниченными правами и сделайте запрет на диск этому пользователю во вкладке Безопасность или удалите этого пользователя.
Только обязательно оставте администратора.

Большое спасибо всем за ответы!