Перед ответом я поставил условие, что для частичного решения проблемы не будет использоваться стороннее ПО (если не считать EWF):
1) Возможность использования USB можно отключить через Диспетчер устройств (думаю, многие им уже пользовались) - там просто отключаете USB хосты. Из альтернативы - можно отключить драйвер, что предлагает делать Microsoft
How can I prevent users from connecting to a USB storage device?
2) Насчет прав NTFS для запрета лазанья по диску – комбинация двух прав доступа. Для группы “Пользователи” (вы же ограниченного пользователя будете использовать?) не даёте разрешение “Содержание папок \ Чтение данных” для папок и подпапок, а для файлов наоборот даёте разрешение “Содержание папок \ Чтение данных”. Можно также сюда добавить “Обзор папок \ Выполнение данных”. Но обычно не видел, чтобы кто-то так делал, так что некоторые программы могут не работать, если им так нужно просматривать содержимое папки. Я бы порекомендовал таким образом “химичить” на виртуальной среде, чтобы убедиться в том, что необходимые программы работают корректно после правки доступа.
3) Насчет прав доступа NTFS для запрета определенных программ, которые уже установлены в системе - снимайте разрешение “Обзор папок \ Выполнение данных” для группы “Пользователи” у исполняемого файла.
4) Насчет политики SRP для запрета запуска программ – делаете разрешение на запуск только с белого списка (по умолчанию работает по черному списку) т.е. с папки Windows и Program Files можно запускать программы, с остальных мест – запрет. Можно этой же политикой запрещать запуск определенных программ, которые уже установлены в системе.
Цитата dimonskif:
|
через какое-то меню панели администрирования?
|
Политика SRP открывается из Пуска>Панель управления (классический стиль)>Администрирование>Локальная политика безопасности>Политики ограниченного использования программ.
Чтобы изменять права доступа у файловой системы NTFS, вам нужно отключить в Панели управления>Свойства папки>“Использовать простой общий доступ (рекомендуется)”. Тогда появится вкладка безопасность в свойствах диска\папки\файла. Но вам нужно изменять дополнительные разрешения, так что ничего не остается, как нажать кнопку Дополнительно в этой вкладке.
Цитата dimonskif:
|
это вот и есть эта shell ???
|
Нет, почитайте внимательно:
Цитата Redew:
|
Все остальное - скорее всего, только shell для компьютерного клуба
|
Вы, наверное, видели, какие оболочки там стоят, если компьютерный клуб серьёзный?
Но вы можете попробовать MS Steady State - может он решит часть ваших проблем более лёгким способом, чем я предложил.
