Доброе время. Извините, если повтор, но то, что нашел поиском, мало помогло в решении вопроса..
Много текста (чтоб понятней было)
Дело в следующем. Купили ноутбук с предустановленной "вынь 8.1 для одного языка". Она сильно урезана в плане администрирования. Поскольку ноутом будет пользоваться "блондинка", необхдимо как-то защитить комп от всякого хлама, типа майл-агентов, амиго, стринги-браузера и тп. На обычной винде я это делал используя applocker + учетка с ограниченными правами (хотя тоже слабо помогало). В данной редакции applocker отсутствует без возможности добавить его в систему.
Что я делаю. Активирую встроенную учетку "Администратор", хитрой командой net user администратор /active назначаю ей пароль. Устанавливаю контроль учетных записей на максимум. Создаю учетку с ограниченными правами для пользователя. И пользователь работает только под ней. При попытке установить что-либо на комп, он требует пароль админа. Казалось бы все прекрасно.
Но... Специально скачиваю с "левого" сайта програмулю с внедренным в инсталлятор "хламом" и запускаю. Ок, инсталлятор требует пароль, жму отмена, идет попытка установки. Прерывается. Смотрю папку Temp. Там, как и ожидалось куча распаковавшихся "ништяков" - mail, amigo и тп. Вроде все норм. НИЧЕГО подобного.
Ком начинает конкретно тупить.На рабочем столе появляется уйма иконок (амиго, контакт, майл и тп). Открываю диспетчер задач, загрузка диска 100%. Смотрю что грузит. А грузит инсталлер амиго, в автозагрузке прописался майлгуард и спутник. Эта сволочь каким-то образом наплевала на админский запрет. Обрываю процесс, перезагружаю ноут и... устанавливается майлагент. Т.е. я так понял эта хрень прописалсь каким-то разом в RunOncEx. Это порядком бесит. Возникает закономерный вопрос, для чего все эти "контроли учетных записей" и разные права для учеток, если при любых ограничениях для пользователя, в скрытом режиме "мусор" устанавливается???

Вопрос первый: где я "туплю"? Вопрос главный: как сие победить?

Вообще, ни одна программа не защитит компьютер, если пользователь не будет думать головой. Но, как одну из мер, можете попробовать Unchecky.

lex7868, ничто не помешает установить всякую хрень «на пользователя». Ну, кроме описанного Вами варианта с белым списком.

в автозагрузке прописался майлгуард и спутник. Эта сволочь каким-то образом наплевала на админский запрет. »
«Наплевать» она никак не может. Полагаю, автозагрузка — пользовательская, а не общая. Та же самая песня и с RunOnceEx: он в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion, а не в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion.

lex7868, ПопробуйВот это (http://jameszero.net/srp.htm) Мне помогает :)

sNc-DAntES, Iska, Спасибо, что откликнулись.
Тогда для чего все эти "игры" с учетными записями, если толку от них - нуль? На "пингвинах",например, без root-а ничего не установишь. Я достаточно "продвинутый" пользователь, с компами еще со времен IBM 286. Но вот честно, с задачей такого уровня под виндой (запрет установки приложений в скрытом режиме ) столкнулся впервые. Раньше этого как-то не требовалось.
Тут вопрос даже не в установке программ. Пользователь часто качает с торрентов. В сети есть торренты "честные" т.е. с расширением .torrent, а есть обманки, с расширением .exe. При скачивании браузером честного торрента появляется диалог открыть-сохранить-отмена. При нажатии открыть, запускается торрент и идет скачивание того, что надо. "Левый" же торрент с расширением .ехе предлагает варианты запустить-сохранить-отмена. При выборе запустить происходит та самая ерунда с установкой "хлама" в скрытом режиме. Пользователю не "вдолбить" разницу. Ну такой вот "интеллектуальный кретинизм".
Под windows xp была утилита ExeLockDown, она блокировала вообще все запуски .ехе, кроме тех, что разрешены, например заносил папку Program Files в "белый список" и все нужное установленное работало, все остальное блокировалось. С виндами 8 и старше она не работает, а аналогов я не смог найти. Может есть какие-то варианты под современные винды?
Drakula,
Спасибо, попробую

каким-то образом наплевала на админский запрет »
В командной строке выполните:
Для браузера:
type nul> "%LocalAppData%\Amigo"

Для Агента:
type nul> "%AppData%\Mail.ru"
type nul> "%AppData%\Mra"
после проделанных действий, пусть попробует "наплевать".

При попытке установить браузер, мастер будет долго пытаться установить браузер - в конечном счёте ничего не получится и останется висеть в процессах пока не завершите.

При попытке установмить Mail.Ru Агент последует сообщение с красным крестиком.

Nordek,
Спасибо

lex7868, App Locker http://forum.oszone.net/post-2664846-6.html

x0r,
Вы внимательно читали мой первый пост? Не получается "прикрутить" applocker к windows 8.1 для одного языка

да, чёта затупил... бывает.
Вот прожка, когда то я её ганял на ХП и она работала. Кокраз для этого: ищет процессы и закрывает. Ищет по имени, классу окна и т.д. Дальше не пробовал.


KillProc 2009 Professional (v2.1)
Для чего софтина...
Программа KillProc предназначена для контроля использования (точнее для закрытия) программ на компьютере.

Предостережения...
Данная программа тестирована только в Windows XP Pro, но теоретически, может работать и в Win98SE/2000/Vista, однако при использовании агрессивного режима работы программы могут возникнуть проблемы, когда будут закрываться объекты оболочки. Чтобы использовать агрессивный режим (вне зависимости от вашей ОС), используйте сначала средство "Генерировать список исключений" и "Тест запуск режима"

Основные возможности софтинки...
1) Эта небольшая утилитка позволяет закрывать программы по образу имени файла (например TEST.exe)

2) Закрывать программы по имени окна.

3) Закрывать программы по классу окна.

4) Закрывать также окна проводника (например апплеты (например "Свойства системы"))

5) Возможность настроить показ сообщения при закрытии программ: вы можете установить как одно сообщение об ошибке при закрытии любых программ, либо указать индивидуальное сообщение для нужной программы.

6) Ведение небольшого лога о закрываемых объектах.

7) Возможность самому указать интервал в секундах, через который программа будет повторно проверять объекты на наличии их работы.

8) Возможность установить нужный значок в трее, когда показывается ваше сообщение при закрытии программы.

9) Многоязыковая поддержка интерфейса.

10) Агрессивный режим (требует больше ресурсов). Закрытие ВСЕХ программ (по имени окна), кроме указанных в файле конфигурации (мощный фильтр по имени окна).




KillProc 2.1 (http://gavitex.com/share/x4tctxsed)

Тогда для чего все эти "игры" с учетными записями, если толку от них - нуль? »
lex7868, Вы действительно не понимаете, что в данном случае установка идёт в режиме «на пользователя»? И при этом не происходит ровным счётом ничего за пределами профиля пользователя? Что «установка» ничем не отличается от ручного копирования исполняемого файла в папку пользователя и ручного же изменения в разделе HKCU? Что кроме исполняемых файлов есть скрипты, макросы, внедрённый код во флэш, изображения и т.п.? Что, кроме загрузки файла из интернета, он может тупо принести и запустить код со внешнего носителя. Способов масса… Ну, запретите Вы ему вся и всё — а дальше-то что (я Вам расскажу — придёт мальчик по вызову и снесёт всё нафиг)? Учётные записи для того и предназначены, чтобы идиотизм пользователя ограничивался только его учётной записью, не затрагивая остальные.

Удаление всего и вся делается очень просто: входите под административной учётной записью, перемещаете документы пользователя из его профиля и удаляете его профиль. Входите под пользователем (его профиль создаётся заново), перемещаете документы вобрат, и пусть живёт себе новой жизнью.

Хотите играться в более серьёзные игры — SRP, AppLocker и т.п. Ваше всё. Но за чуть или более, нежели чуть, большие деньги.

Nordek, «Всех не перевешаете!»™ :).

Drakula,
Ваш скрипт помог частично. Приложения от майла не устанавлиаются, но ярлыки на рабочем столе и в панели задач создаются. Кроме того, в браузере меняется стартовая страница и добавляется надстройка mail/ru

lex7868, Также ознакомьтесь с темой: Ставим точку на LLC Mail.Ru &Ko (http://forum.oszone.net/thread-286577.html)

Не исключается помощь реестра, например в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall или HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall создать подраздел в имени которого содержится ID приложения и запретить доступ к нему.
Например после выполнения действия на установку "Менеджер браузеров": Сразу следует завершение - что в конечном счёте ничего не инсталлируется (В данном случае имеется минус: Высокий шанс смены "ID приложения", т.е у новой версии ID будет отличаться.).

Iska,
Ок, спасибо, что "просветили". Вопрос был риторическим, в отношении UAC. Просто вызывает "легкое недоумение" тот факт, что такое поделие стОит от 5000 тыс.р.
Основной-то вопрос был: есть ли какие способы побороть "хлам" от майла? Мне перпендикулярно, на кого и куда идет установка. Админ запретил, значит ничего не должно выполняться. НИЧЕГО. Если вариантов нет - "забью на это дело. А пока пробую то, что люди предлагают.
Со всем уважением. Спасибо всем.

lex7868, да, Вас приходится просвещать, просвещать и ещё раз просвещать, дабы Вы не задавали идиотские, пардон — «риторические» вопросы. UAC является лишь надстройкой над базовой системой безопасности, созданной для целей: а) ограничить привилегии локальных административных учётных записей, б) более простого и прозрачного способа повышения привилегий простых пользователей и в) попытаться компенсировать упёртость и дебилизм отдельных разработчиков ПО, полагающих, что они всё разрабатывают ПО для Windows 3.1 и Windows 9x. Всё это делалось для того, чтобы подвигнуть пользователей не совмещать повседневную работу и административную деятельность, а работать в обыденном режиме с привилегиями простого пользователя, временно повышая их для выполнения административных задач. Так понятнее?

Точно так же Вас видимо придётся просвещать и насчёт целей, задач и возможностей системного администрирования, ибо и насчёт этого у Вас в голове полнейшая каша, совершенно дикие представления. Но предоставлю это другим желающим, ибо данная задача лично у меня большого желания не вызывает.

Iska,
О как! А то, что приложения mail.ru прописываются не только в "профиль пользователя" а во все возможные места это тоже от того, что у меня "дикие представления об администрировании"? Или "мусорщики" из мэйла "круче" парней из редмонда? Я имею желание защитить свой комп он ненужного мне мусора, который ставится скрытно от меня, и что такого бредового я спрашиваю? К вам лично я как-то навязывался, что у вас столько негатива?
С уважением.

А то, что приложения mail.ru прописываются не только в "профиль пользователя" а во все возможные места »
Все «возможные места» ограничены профилем пользователя.

это тоже от того, что у меня "дикие представления об администрировании"? »
Да.

и что такого бредового я спрашиваю? »
То, что Вы приписываете UAC покрытие целей и задач, для которых он никогда не предназначался и не заявлялся.

Iska, Все «возможные места» ограничены профилем пользователя.
К сожалению, не ограничены. При наличии нескольких "учетных записей", не дублируются только ярлыки рабочего стола.
Надстройки браузера, тул-бары и поисковые системы устанавливаются на mail.ru. Приложение "защитник мэйл" присутствует в главном меню всех пользователей (кроме администратора), в реестре записи прописываются в ветки не только HKCU, но и в

[HKEY_CLASSES_ROOT\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}]
@="Поиск@Mail.Ru"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}]

Это для примера. Список длиннее. Если я не ошибаюсь, это не относится к одному пользователю?
Так вот, если вы настолько в этом деле сильны, окажите помощь, если можете или имеете желание, если нет, просто промолчите.
Повторяю, я не навязываюсь.
Если я чем-то "напрягаю" или нарушаю какие-то правила данного форума, ок, пусть модератор потрет тему, а "изображать умное лицо" не делает чести вам, как знающему пользователю.
С уважением.

lex7868, тебе всё правильно разжевали, но ты и этого не можешь проглотить. У тебя не хватает знаний, компенсируешь настырностью? Не вариант...
Хочешь полного разграничения, ну так разгранич: пройдись по разделам реестра и подправь права на запись-изменение для каждого юзера(лучше делать группы). Создай свои группы и настрой им права нужные, потом вводи туда юзеров, будет тебе разграничение как линухе.
В винде такого не сделано по-умолчанию, дабы не вводить в ступор юзеров. Это одно из главных преимуществ виндовых, почему она "везде" - мягкий подход к правам, проще писать программы, пользоваться и т.д.
Но это не значит что нельзя сделать как в линухе, можно. Бери книжки , читай про права NTFS , реестр, экспериментируй и внедряй.
У тебя все юзеры в одной группе "Пользователи", так чему ты удивляешься? Возьми книжку стотью Мыщьх-а "защищенная ось без антивирусов и тормозов" там про это хорошо и понятно. тыц (https://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwi476rqie_QAhUH1iwKHWVKD-cQFgggMAA&url=https://www.evilfingers.com/publications/research_RU/av-test-drive.pdf&usg=AFQjCNFAXHuL2IRygi-O2R8qsEjN2G1eOA)

К сожалению, не ограничены. »
Не подтверждаю.

У тебя не хватает знаний, компенсируешь настырностью? »
Хватает у него знаний (смотрите тему от начала). Представления не сходятся с действительностью.