Всем привет.

Решил пойти по верному пути защиты от shit'a - не сидеть под админом. В принципе все настроил, но есть вопросы:

1. Где можно тонко настроить, что можно сделать, а что нельзя? Имею в виду не доступ к файлам и реестру(это уже настроено), а опред. действия - например, группе "пользователи" нельзя изменять настройки оптимизации программ, DEP'a и пр - все это до мелочей хочется настроить. Особо интересуют права на отладку, внедрение в процесс и прочие потенциально опасные деяния.

2. Что вы думаете о проге admilink? Можно ли ей доверять?

3. Как вы оцените такой подход - создать несколько юзеров с опред. правами (напр, с разрешением только на запись в опред. папку и пр.) под каждую нуждающуюся в этом прогу, и с помощью адмилинка или встроенных в прогу средств запускать их от имени нужного юзера - т.е. чтоб каждая прога знала свое место и делала только то, что надо.

Заранее спасибо за ответы.

| Сообщение посчитали полезным:

AirSpirit пишет:
Имею в виду не доступ к файлам и реестру(это уже настроено), а опред. действия

Политика безопасности как раз и регулируется доступом к файлам(ntfs) и веткам реестра.

AirSpirit пишет:
admilink? Можно ли ей доверять?
Наверное не больше и не меньше, чем runas с ключом /savecred

3. Если прога больше никуда не пытается писать и ниоткуда - читать, то вполне логичный подход, хотя слегка параноидальный.

| Сообщение посчитали полезным:

bash пишет:
Политика безопасности как раз и регулируется доступом к файлам(ntfs) и веткам реестра.

Не только. Еще простым юзерам нельзя отключать локалку и изменять многие её свойства; в свойствах системы многое нельзя менять итд итп, как это связано с реестром и файлами?

-added-

Или хотя б ткните где почитать, а то находятся одни семинары для админов...

| Сообщение посчитали полезным:

AirSpirit пишет:
Не только. Еще простым юзерам нельзя отключать локалку и изменять многие её свойства; в свойствах системы многое нельзя менять итд итп, как это связано с реестром и файлами?
То, о чём ты говоришь, регулируется групповыми политиками, сл-но запускай gpedit.msc и настраивай. Так или иначе простой пользователь не сможет изменить в реестре настройки сетевого интерфейса, а администратор - сможет, так что как ни крути, а с реестром связано.

| Сообщение посчитали полезным: