Здравствуйте. Вообщем, есть человек который все время работает в сети. И соответственно нужно сделать так чтобы - этот пользователь не имел доступа к разделу с виндой (если вдруг заразу подцепит - она не нанесет большого урона), не имел доступа к учетной записи администартора (тоесть что бы зараза из под учетной записи этого юзера - не повредила учетную запись админа) и не имел доступа к реестру (за исключением веток принадлежащих его учетной записи), но при этом мог нормально работать. Это возможно сделать? OS: Windows XP SP3.

P.S.
Действительно ли работает трюк:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter
s]
"Hidden"="1"?

Кстати, а если юзер работает в настроенной (опасные службы и функции отключены и т.д.) учетной записи с ограниченными правами - надо ли в учетной записи администратора (которая находится за длинным паролем и к интернету не подключается, а так же редко используется) отключать опасные службы и т.д.?


Заранее, огромное спасибо!

этот пользователь не имел доступа к разделу с виндой (если вдруг заразу подцепит - она не нанесет большого урона), не имел доступа к учетной записи администартора (тоесть что бы зараза из под учетной записи этого юзера - не повредила учетную запись админа) и не имел доступа к реестру (за исключением веток принадлежащих его учетной записи), но при этом мог нормально работать. Это возможно сделать?
Ну да, как раз для этого используются учетные записи пользователей.
Если говорить о веб-серфинге, существует DropMyRights (http://msdn2.microsoft.com/en-us/library/ms972827.aspx), которое понижает привилегии (права) только для запускаемого приложения (статья (http://www.securitylab.ru/analytics/241751.php)).

Действительно ли работает трюк:
Приведенный вами параметр всего лишь скрывает компьютер в сетевом окружении.

Petya V4sechkin,
Ну да, как раз для этого используются учетные записи пользователей.
А можно поподробнее? Я так понимаю это можно реализовать только с помощью разграничения прав доступа в NTFS?

Приведенный вами параметр всего лишь скрывает компьютер в сетевом окружении.
Я хотел удостовериться в его работоспособности. :)

А что на счет последнего вопроса: если юзер работает в настроенной (опасные службы и функции отключены и т.д.) учетной записи с ограниченными правами - надо ли в учетной записи администратора (которая находится за длинным паролем и к интернету не подключается, а так же редко используется) отключать опасные службы и т.д.? :)

А можно поподробнее?
Ну вы же сами перечислили:
этот пользователь не имел доступа к разделу с виндой (если вдруг заразу подцепит - она не нанесет большого урона), не имел доступа к учетной записи администартора (тоесть что бы зараза из под учетной записи этого юзера - не повредила учетную запись админа) и не имел доступа к реестру (за исключением веток принадлежащих его учетной записи)
Все это - учетная запись с правами пользователя, и ничего настраивать не надо.

А что на счет последнего вопроса:
Параметры служб не зависят от текущей (активной) учетной записи.
Службы запускаются, даже если никто не залогинился.

Petya V4sechkinПараметры служб не зависят от текущей (активной) учетной записи.
Службы запускаются, даже если никто не залогинился.Я имел ввиду следующее: скажем для безопастности я отключаю "Удаленного помощника" и удаляю учетную запись SUPPORT_586975a0. Эти действия нужно провести только в учетной записи Администратора или же и в учетной записи Пользователя - тоже или же только в учетной записи Пользователя (формулировка получилась забавной :biggrin:)?

P.S.
Кстати, а где можно переименовать встроенную (я тут (http://forum.oszone.net/post-831097.html#post831097) прочитал про нее) учетную запись Администратора?

А в SP3 были включены: Windows Installer v3.1, Microsoft .NET Framework v1.1 SP1, Microsoft .NET Framework v2.0 SP1?

формулировка получилась забавной
Скорее, нелогичной.
Как по вашему, параметры учетных записей зависят от того, под какой учетной записью зашли в систему? Что, у каждой учетной записи свой список учетных записей? Подумайте...

а где можной переименовать
Пуск -> Выполнить -> lusrmgr.msc
Пуск -> Выполнить -> control userpasswords2

Кстати, а где можной переименовать встроенную (я тут прочитал про нее) учетную запись Администратора? »
Прежде чем это сделать, рекомендую прочесть Безопасность: Великий спор: безопасность через маскировку (http://technet.microsoft.com/ru-ru/magazine/cc510319.aspx) и в частности врезку Стива Райли.

Petya V4sechkin,
Скорее, нелогичной.
Как по вашему, параметры учетных записей зависят от того, под какой учетной записью зашли в систему? Что, у каждой учетной записи свой список учетных записей? Подумайте... » Я просто никогда не поводил подобные опыты. Вот и рассуждаю. :)

Vadikan
Большое спасибо за линк! Прислушаюсь к мнению Стива Райли, от греха - подальше!

Гм... Мне кажется от отчаянного веб сёрфера можно защитится и более просто - подсунуть ему WMware, без заплаток и антивируса, что бы не жрала системные ресурсы по просту, а юзеру сказать - в инет лазать только через вмваре, иначе оторву яйцы или если дувушка - волосы, а если директор - сэр, попадём на бабки, и получим пистон от AYC? да ещё и с проверкой на лицензионность могут придти. И делов :) Ну а вообще, сидеть под гостоем, отрубить уязвимые службы, настроит касперского 2009 на максимум, запустить его под админом, а сидеть под гостем. Действие - автомат. И всё. Анитвирус будет делать свои дела, а то что не сможет, порежет учётка ограниченная.