[Redew]

То, что касается USB, теоритически можно попробовать через gpedit.msc (групповую политику) запретить доступ ко всем возможным буквам дисков, кроме используемых (C, D и т. д.)
Еще можно USB в биосе отключить, и поставить пароль на биос, но тогда не будут работать usb девайсы, подключенные к этому компьютеру.

Цитата:

отсутствие возможности "бродить" по дискам и локальной сети

Возможно через прокси-сервер разрешить только нужные службы интернета.

Цитата:

средствами WinXP разрешить выполнение определенных программ

Можно запретить установку новых программ.
Все остальное - скорее всего, только shell для компьютерного клуба

[myhouse_1991]

Цитата dimonskif:

отсутствие возможности использования USB устройств

Вы можете отключить через диспетчер задач USB хост-контроллер

Цитата dimonskif:

если возможно средствами WinXP разрешить выполнение определенных программ (требуется возможность работы с IE или другим браузером)

Можете использовать права доступа NTFS и политику SRP (Software Restrict Policy).

Цитата dimonskif:

отсутствие возможности "бродить" по дискам

С помощью NTFS прав доступа можно это запретить.

Цитата dimonskif:

частенько то кто-то флешку воткнет, то насохраняет чего не надо

Вы можете использовать фильтр записи EWF. Только единственная проблема - нужно много ОЗУ, но зато после каждой перезагрузки компьютер будет все время чистым.

[Darkvar]

dimonskif, лично я рекомендую бесплатную программку от MS Steady State

С помощью неё можно скрывать жёсткие, CD-ROM, флешки и прочее; ограничить доступ к программам; "откатывать" систему на сохранённое состояние, удаляя при этом все изменения.

Перед использованием в реальной работе рекомендую поковыряться в ней и решить, что конкретно нужно.

[rsod]

а потом кто-нибудь заменит sethc на cmd и отформатирует вам эту систему

[myhouse_1991]

Цитата rsod:

а потом кто-нибудь заменит sethc на cmd и отформатирует вам эту систему

Мне кажется, что система у них будет использовать права ограниченного пользователя. Ему даже форматировать запрещено, не то что делать подмену из папки system32.
Кроме того EWF этому процессу воспрепятствует - ну отформатировали вы данные в ОЗУ, перезагрузились и снова все будет как раньше.

[dimonskif]

Цитата myhouse_1991:

Цитата dimonskif: отсутствие возможности использования USB устройств Вы можете отключить через диспетчер задач USB хост-контроллер Цитата dimonskif: если возможно средствами WinXP разрешить выполнение определенных программ (требуется возможность работы с IE или другим браузером) Можете использовать права доступа NTFS и политику SRP (Software Restrict Policy). Цитата dimonskif: отсутствие возможности "бродить" по дискам С помощью NTFS прав доступа можно это запретить. »

Как вот это все сделать? через какое-то меню панели администрирования? Можете дать ссылочку, где почитать об этом?

Цитата Darkvar:

dimonskif, лично я рекомендую бесплатную программку от MS Steady State »

это вот и есть эта shell ???

[myhouse_1991]

Цитата dimonskif:

Как вот это все сделать?

Перед ответом я поставил условие, что для частичного решения проблемы не будет использоваться стороннее ПО (если не считать EWF):
1) Возможность использования USB можно отключить через Диспетчер устройств (думаю, многие им уже пользовались) - там просто отключаете USB хосты. Из альтернативы - можно отключить драйвер, что предлагает делать Microsoft How can I prevent users from connecting to a USB storage device?
2) Насчет прав NTFS для запрета лазанья по диску – комбинация двух прав доступа. Для группы “Пользователи” (вы же ограниченного пользователя будете использовать?) не даёте разрешение “Содержание папок \ Чтение данных” для папок и подпапок, а для файлов наоборот даёте разрешение “Содержание папок \ Чтение данных”. Можно также сюда добавить “Обзор папок \ Выполнение данных”. Но обычно не видел, чтобы кто-то так делал, так что некоторые программы могут не работать, если им так нужно просматривать содержимое папки. Я бы порекомендовал таким образом “химичить” на виртуальной среде, чтобы убедиться в том, что необходимые программы работают корректно после правки доступа.
3) Насчет прав доступа NTFS для запрета определенных программ, которые уже установлены в системе - снимайте разрешение “Обзор папок \ Выполнение данных” для группы “Пользователи” у исполняемого файла.
4) Насчет политики SRP для запрета запуска программ – делаете разрешение на запуск только с белого списка (по умолчанию работает по черному списку) т.е. с папки Windows и Program Files можно запускать программы, с остальных мест – запрет. Можно этой же политикой запрещать запуск определенных программ, которые уже установлены в системе.

Цитата dimonskif:

через какое-то меню панели администрирования?

Политика SRP открывается из Пуска>Панель управления (классический стиль)>Администрирование>Локальная политика безопасности>Политики ограниченного использования программ.
Чтобы изменять права доступа у файловой системы NTFS, вам нужно отключить в Панели управления>Свойства папки>“Использовать простой общий доступ (рекомендуется)”. Тогда появится вкладка безопасность в свойствах диска\папки\файла. Но вам нужно изменять дополнительные разрешения, так что ничего не остается, как нажать кнопку Дополнительно в этой вкладке.

Цитата dimonskif:

это вот и есть эта shell ???

Нет, почитайте внимательно:

Цитата Redew:

Все остальное - скорее всего, только shell для компьютерного клуба

Вы, наверное, видели, какие оболочки там стоят, если компьютерный клуб серьёзный?
Но вы можете попробовать MS Steady State - может он решит часть ваших проблем более лёгким способом, чем я предложил.

[malish_andr]

Цитата dimonskif:

отсутствие возможности использования USB устройств »

Чт бы корректно отключить порт USB, именно тот, куда подключают флэшки. Необходимо сделать запрет на
драйвера USBSTOR. Это драйвер запоминающих устройств для USB. Все прочие USB-устройства
(мыши, принтеры, сканеры и т. д.) будут работать, потому что у них другие драйверы.
C:\WINDOWS\inf\usbstor.inf
C:\WINDOWS\inf\usbstor.PNF
Правой кнопкой мыши Свойства - Безопастность - Запретить
Если перед тем как сделать запрет на на драйвер вы подключали USB-устройства то тогда неодходимо запустить
утилиту USBDeview и удалить USB-устройства.

Цитата myhouse_1991:

Чтобы изменять права доступа у файловой системы NTFS, вам нужно отключить в Панели управления>Свойства папки>“Использовать простой общий доступ (рекомендуется)”. Тогда появится вкладка безопасность в свойствах диска\папки\файла. »

Цитата dimonskif:

невозможность сохранять файлы или все сохраненные пользователем файлы будут удаляться после выхода из системы »

Программа Acronis True Image Home 2010
Функция Try&Decide позволяет создать безопасное, контролируемое временное рабочее пространство на вашем компьютере без необходимости установки специальных программ виртуализации.
Вы сможете выполнять различные операции в системе, не беспокоясь о том, что они могут привести к повреждению операционной системы, программ или данных.
Все сохраненные пользователем файлы будут удаляться после выхода из системы, если конечно вы сами не захотите сохранить сделанные изменения.
Цена 1 лицензии 928,00 руб

Цитата dimonskif:

отсутствие возможности "бродить" по дискам »

Создайте пользователя с ограниченными правами и сделайте запрет на диск этому пользователю во вкладке Безопасность или удалите этого пользователя.
Только обязательно оставте администратора.

[dimonskif]

Большое спасибо всем за ответы!