Я хочу это сделать с Firefox и Thunderbird из соображений безопастности, чтобы зловред "случайно" не прочитал мою почту и пароли. Есть ли какой бесплатный инструмент, чтобы:

1)Запретить весь доступ (и чтение и запись) к заданной папке и заданной ветке реестра всем ПРОЦЕССАМ кроме указанных в правиле.
или
2)Запретить изменения ACL для заданной папки и заданной ветке реестра. (В таком случае я создаю отдельного пользователя, выставляю ему исключительное разрешение в ACL и EXE-шники запускаю от его имени, напр. с помощью SuRun)

Папки:
%PROGRAMFILES%\Mozilla Thunderbird\
%USERPROFILE%\Application Data\Thunderbird\
%USERPROFILE%\Local Settings\Application Data\Thunderbird\
Раздел реестра:
HKLM\SOFTWARE\Mozilla\Mozilla Thunderbird*
EXE-шники, которым разрешён доступ в эти папки:
%PROGRAMFILES%\Mozilla Thunderbird\thunderbird.exe
%PROGRAMFILES%\Mozilla Thunderbird\uninstall\helper.exe
%USERPROFILE%\Local Settings\Application Data\Thunderbird\Mozilla Thunderbird\updates\0\updater.exe


P.S. Тут вот народ такую фичу для Comodo запрашивает:
http://forums.comodo.com/wishlist-cis/limit-read-access-to-particular-files-in-d-to-specific-programs-t59327.0.html

Можно все это ручками сделать под файловой системой NTFS и в реге то же

вообще, можно попробовать SafenSoft SysWatch Personal или Deluxe)
как примерно это можно сделать с помощью данных продуктов можно почитать здесь:
http://www.anti-malware.ru/reviews/SafenSoft_SysWatch_Personal_Deluxe

Хм, это за деньги... Есть Malware Defender - с недавних пор бесплатный продукт. На ру-борде http://forum.ru-board.com/topic.cgi?forum=5&topic=30852&start=60#8 есть тема по нему, там человек как раз такое применение ему нашёл, какое я хотел. Кстати, тут http://www.matousec.com/projects/proactive-security-challenge/results.php MD сразу за каспером идёт.

Можно все это ручками сделать под файловой системой NTFS и в реге то же »
Нет - там только по пользователям органичение. Вирус, запущенный от имени этого пользователя или админа доступ иметь будет.

P.S. Тут вот народ такую фичу для Comodo запрашивает:
http://forums.comodo.com/wishlist-ci...-t59327.0.html »
Вообще-то у Comodo такая фишка уже реализована
1. Открыть настройки проактивной защиты
2. В параметрах общей политике (а также "доверенных", "системных" и т.д.) добавить запрет на указанные разделы
3. В параметрах политик нужных программ добавить разрешения

Вообще-то у Comodo такая фишка уже реализована »
К сожалению, Вы ошибаетесь. Мне нужно запрет на чтение, а Вы, наверное, имеете в виду запрет на модификацию.
Из хелпа к Comodo:
Protected Files and Folders setting allows you to protect specific files and folders against unauthorized modification especially by malicious programs such as virus, Trojans and spyware. It is also useful for safeguarding very valuable files (spreadsheets, databases, documents) by denying anyone and any program the ability to modify the file - avoiding the possibility of accidental or deliberate sabotage. If a file is 'Protected' it can still be accessed and read by users, but not altered. A good example of a file that ought to be protected is the your 'hosts' file. (c:\windows\system32\drivers\etc\hosts). Placing this in the 'Protected Files and Folders' area would allow web browsers to access and read from the file as per normal. However, should any process attempt to modify it then Comodo Internet Security blocks this attempt and produce a 'Protected File Access' pop-up alert.

kokos76, тогда из безопасности удалить всех пользователей, кроме system

под NTFS к командной мтроке провести такую весчь

attrib +r %windir%\system32\drivers\etc
attrib +r %windir%\system32\drivers\etc\hosts
attrib +r %windir%\system32\drivers\etc\networks
attrib +r %windir%\system32\drivers\etc\services
attrib +r %windir%\system32\drivers\etc\protocol
attrib +r %windir%\system32\drivers\etc\lmhosts.sam
echo y| cacls %windir%\system32\drivers\etc /p все:r >nul
echo y| cacls %windir%\system32\drivers\etc\hosts /p все:r >nul
echo y| cacls %windir%\system32\drivers\etc\networks /p все:r >nul
echo y| cacls %windir%\system32\drivers\etc\services /p все:r >nul
echo y| cacls %windir%\system32\drivers\etc\protocol /p все:r >nul
echo y| cacls %windir%\system32\drivers\etc\lmhosts.sam /p все:r >nul

для начало проверь что бы файл HOSTS был не модифицирован,после чего проводи скрипт