Как обезопасить компьютер с помощью второго профиля (подробнее в содержании)?

Question

[nickname01]

На компьютере нужно создать второй профиль (не админский).

Ответьте пожалуйста по пунктам:

1) Возможно ли при создании второго профиля, настроить его так, чтобы из второго профиля нельзя было нанести какой-либо вред компьютеру?

2) Возможно ли при создании второго профиля, настроить его так, чтобы из второго профиля нельзя было открыть и просмотреть разделы диска (то есть нельзя открыть и посмотреть диск C, диск D и т.д.)

3) Возможно ли при создании второго профиля, настроить его так, чтобы из второго профиля нельзя было устанавливать какое-либо ПО?

4) Какие угрозы можно нанести компьютеру из второго профиля? (чтобы знать возможные потенциальные угрозы)

5) Если войдя в компьютер с помощью второго профиля, установить шпионское ПО (или любое другое вредоносное ПО), будет ли оно работать если потом войти в первый (админский) профиль?

Операционная система: Windows 7.

Comments

[TNAT]

Windows 98, XP, 7, 8, 8.1, 10? Ответы будут разными для разных версий.
Если в 98 с правами вообще никак, то в 10 уже неплохо.

[nickname01]

TNAT: Windows 7

Answer 1

[iBird Rose]

все что вы хотите - делается через групповые политики контроля учетных записей.

Answer 2

[theurs]

1) можно
2) можно скрыть в проводнике диски, от всех пользователей winreview.ru/kak-skryt-disk-v-provodnike-v-windows-7 есть еще специальные программы подменяющие оболочку и делающие всё такое www.runpad-shell.com
3) можно запретить запуск (и установку) любого софта кроме того что установлено администратором https://habrahabr.ru/post/101971/

5) ничего установить или запустить не получится, никак

Comments

[123459]

3) возможны проблемы - https://habrahabr.ru/company/inoventica/blog/282373/

5) если система не обновлена, то можно использовать эксплоит, например lnk exploit и тогда applocker не поможет.

Answer 3

[Михаил Мирошниченко]

Можно настроить Windows в режиме киоска. При входе во второй профиль автоматически запуститься одно заранее настроенное приложение. Больше ничего сделать будет нельзя.

Comments

[Михаил Мирошниченко]

Есть видео инструкция по настройке Windows в режиме киоска - https://www.youtube.com/watch?v=c7o2VXd97Ws

Answer 4

[lukoie]

можно, например установив песочницу, типа shadow user.

Answer 5

[Константин]

На биос пароль ещё поставь, чтобы нельзя было загрузиться с livecd или флешки и оьойти всю твою защиту

Comments

[АртемЪ]

Хм, а при чем тут пароль на БИОС? Чем он может помочь?

[blackbeard]

АртемЪ:

то есть нельзя открыть и посмотреть диск C, диск D и т.д.

Скорее-всего от этого.

[АртемЪ]

blackbeard: Не пойму как он может помешать открыть и посмотреть диски.
Если диски или профили зашифрованы - не посмотришь в любом случае, если не шифрованы посмотришь в любом случае, вне зависимости от наличия пароля на биос.

[blackbeard]

АртемЪ: видимо Drakonn думает, что на запароленном биосе не загрузится с флешки) У меня других предположений не было.

Answer 6

[kolupalkin]

так создать второй профиль можно с правами пользователь , назначить права на разделы ntfs тоже можно , запуск по определенного можно через gpo ? но все эти труды напрасны если есть физический доступ к пк и работают usb порты загрузка с dvd и других устройств , можно сбросить права доступа на разделе , сбросить пароль админа на свой , а потом менять все в системе даже если не сбрасывать пароль то можно закинуть скрипты и по для атаки на ОС

так что ответ да но нет !

Answer 7

[CityCat4]

1. Сначала надо определиться, что есть вред. Разрушить часть оборудования? Стереть данные? Зашифровать что-нибудь важное? Превратить его в спамобот? Прожечь дырку в матрице монитора?
2. Можно.
3. Можно.
4. Может удалить, повредить, переписать файлы, к которым есть доступ по записи (по умолчанию - профиль, а также все папки, к которым явно не задавался доступ). Может скопировать и унести файлы, к которым есть доступ по чтению. Более продвинутый пользователь может запустить portable-программу с флэшки/DVD - и вся эта Ваша "типо безопасность" превращается в тыкву. Еще более продвинутый может запустить программу сброса админского пароля с флэшки/DVD
5. Скорее всего будет, но это зависит от софта

У Вас тут самая большая дыра, просто с трактор размером - это физический доступ к системнику. Не нужно быть Сноуденом, чтобы догадаться запустить Total Commander/Far с флэшки - и увидеть все диски. Не нужно быть Митником, чтобы записать на DVD пачку ломалок паролей админа - одна да сработает. Должна стоять либо программа контроля сменных носителей и блокировщик USB, либо оные носители должны отсутствовать в компе, а USB просто отключено (провода отцеплены от матери), корпус либо пломбирован, либо просто крепко затянут на все винты.

Answer 8

[TNAT]

1. Возможно, но не на 100% В любом случае случае таким способом можно свести к минимуму возможность нарушения работы системы. Например пользователь запустит шифровальщик и он зашифрует только файлы его фалы. Другие профили и система останутся исправными.

2. Возможно

3. Возможно

4. Если не брать в расчет физический доступ, то пользователь может повысить себе привилегии. В 7 это еще возможно, не помню точно как, но возможно. Это главная и основная угроза. Большинство пользователей это сделать не смогут.

5. Не будет при условии правильной настройки прав. Например запрет запуска и установки ПО.