Разграничение прав и песочница в Windows?

Question

[Robotex]

Читал когда-то здесь, что антивирус по сути не нужен — достаточно правильно настроить систему и правильно раздать права. После очередного падения системы у отца, задумался над этим всерьез.


Так как настроить окна, чтобы они вели себя по аналогии с Линукс? Чтобы не бояться вирусни, кривых рук пользователей и т.п.

Answer 1

[Inflame]

Суть в том, чтобы запретить запуск программ оттуда, где есть права на запись, и разрешить запуск там, где нельзя записывать.
1. Создать пользователя в группе «Пользователи».
2. Далее Панель управления → Администрирование → Политики ограниченного использование программ → Дополнительные правила. Добавить правила с запретом на диски C: и D: (если есть), разрешить Program Files, Windows, system32. Так же можно запретить и флешки.
3. Для удобства, чтобы можно было запускать программы по ярлычкам, из Назначенных типов файлов (находится в Политиках ограниченного использование программ) удалить ярлыки. Там же можно удалить из запрещённых файлов файды справки и т.п.

Установить весь софт нужно до создания политик. Проверенно на XP, на Семёрке не знаю как будет работать. С некоторым ПО могут возникнуть проблемы.

Comments

[Robotex]

А как же тогда качать фильмы, если С и D только чтение. Наоборот — хотелось бы уберечь систему, но оставить пользователю комфортную работу с его личными данными в пределах личной папки (ну как в Linux). Ну и от вирусов уберечься (компьютер старый — серьезный антивирус не тянет, а легкие все равно пропускают заразу).

З.Ы. На линукс всех буду переводить постепенно, как поставлю MS Office 2003 под wine (рано пока им опенофис показывать) и настрою работу с COM-портами для ДОС-приложений через dosbox. Пока хотелось бы приучить к аналогичной системе прав.

[Inflame]

Права на запись в папку Documents and Settings\%username% никуда не денутся. Там только нельзя будет запускать файлы, с расширениями из списка Назначенных типов файлов, то есть программы, скрипты, etc.

[Inflame]

Я просто забыл уточнить, что в Политиках ограниченного использование программ добавляется запрет или разрешение только на запуск из указанного места, а не на запись.

[Inflame]

Проверено также на Семёрке: софт с применением политик ограниченного использования работает лучше, чем на XP.

Answer 2

[Sergey]

Гость + runas. Ничего необычного.

Comments

[Sergey]

Только тут важный момент, то, что в linux это просто, логично и нативно, а под Win получается как жоский BDSM.

[Robotex]

Под гостем вирусня не опасна что-ли?

[Sergey]

Большая часть вирусов-троянов тупы и рассчитаны на права админа для закрепления в системе. Но бывают и более продвинутые варианты, да.
Под линуксом вирусня/трояны/etc. так же опасны, просто их пока мало (читай — нет в диком виде). Это с точки зрения порчи/кражи личных данных юзера и вообще, работы на уровне юзера, запустившего сплойт.
Гость убережет систему от краха и лишит зловреда возможности крепко спрятаться/закрепиться в системе.

Answer 3

[agul]

Буквально вчера всплывал вопрос: http://habrahabr.ru/qa/4761/

Answer 4

[Dr_Zoidberg]

хм, в Windows 7 просто не отключайте UAC и не качайте exe из почты и порносайтов

Comments

[Robotex]

Я выше уже писал, что Win7 не тянет.

Answer 5

[3em]

немного по теме было на хабре habrahabr.ru/blogs/sysadm/97594/

Answer 6

[Николай]

Не уверен, что вам подойдёт, но посмотрите в сторону «песочниц», например. Сверхполезная штука.

Answer 7

[charon]

боюсь, окна не получится так настроить, как Виндоус — слишком много желающих сломать и слишком одинаковый везде код, что упрощает написание эксплойтов.
Кроме вышеупомянутыъх советов рекомендую установить 64-битную Виндоус 7. При её разработке МС внедрила несколько дополнительных преград на пути хакеров, что вместе с небольшой распространённостью пока что служит хорошей дополнительной защитой.