Mam laptopa, a jego użytkownik prowadzi konto gościa,
Istnieją 2 programy, które uruchamiają się automatycznie po uruchomieniu systemu (NetLimiter i TeamViewer). Programy te są ukryte w zasobniku, ale użytkownik-gość może je zamknąć, jeśli chce. Czy istnieje sposób, aby temu zapobiec?
Mam pełny dostęp do laptopa, więc jeśli jest jakaś konfiguracja lub program do zainstalowania, mogę to zrobić.
Odpowiedzi:
Aby zapobiec zamykaniu za pomocą menedżera zadań
Pobierz „ Eksploratora procesów ” i ustaw uprawnienia dla „Gościa” w obu programach, aby nie miały uprawnień „Zakończ”.
To nadal nie uniemożliwia im zwykłego zamknięcia programu. Musisz ukryć okno i ikonę zasobnika systemowego za pomocą programu innej firmy lub rejestru.
Aby dławić użytkownika sieci, który używa zbyt dużej przepustowości
To wydaje się być twoim rzeczywistym problemem.
Widzieć:
źródło
Odpowiedź Process Explorer działa raz, ale prawdopodobnie chcesz, aby to się stało nawet po ponownym uruchomieniu komputera. Aby to zrobić, możesz użyć programu PowerShell:
Opiera się na odpowiedzi na przepełnienie stosu . Zasadniczo udostępniasz mu listę procesów do ochrony i użytkownika, przed którym ma się zabezpieczyć, i odpowiednio poprawia listy ACL procesów. Zapisz go jako
.ps1
plik (gdzieś użytkownik może czytać, ale nie pisać), a następnie umieść plik wsadowy zawierający coś takiego w Autostartie użytkownika:To chroni
snippingtool.exe
imspaint.exe
(narzędzie wycinania i farbę) przed zabiciem przez gościa.Pamiętaj, że musi to działać po uruchomieniu tych procesów. Być może trzeba dodać
sleep 10
mniej więcej poParam
bloku skryptu PowerShell. Po zakończeniu próba zabicia tych procesów za pomocą Menedżera zadań spowoduje:Pamiętaj też, że nie przyniesie to żadnego pożytku, jeśli konto, na którym go testujesz, jest administratorem, a ściślej ma
SeDebugPrivilege
.Kliknięcie X w ich oknach lub użycie własnej funkcji zamykania aplikacji nadal spowoduje zamknięcie procesów, ponieważ wszystkie procesy mogą zdecydować o zatrzymaniu działania. Może być konieczne ukrycie obszaru powiadomień, jak opisano w innej odpowiedzi. Ponadto, ponieważ te ważne procesy są uruchamiane jako użytkownik-gość, użytkownik ten jest właścicielem obiektów procesów i będzie mógł zrezygnować z ACL z powrotem, lub może użyć
PROCESS_VM_WRITE
umiejętności do wypisania się na pamięci procesów i ich awarii. Można je rozwiązać, dodając odpowiednio pustą pozycję ACEOWNER RIGHTS
i zmieniając'PROCESS_TERMINATE, PROCESS_SUSPEND_RESUME, WRITE_DAC'
na'PROCESS_ALL_ACCESS'
.Odmowa dostępu do Menedżera zadań przez GPO uniemożliwiłaby użytkownikowi korzystanie z Menedżera zadań (oczywiście) i jest najprostszym rozwiązaniem, ale nic nie powstrzymuje ich przed uruchomieniem własnego programu (lub
taskkill
), który nie przestrzega zasad grupy. Byłoby najlepiej, gdyby procesy, które próbujesz bronić, działały jako inny użytkownik niż ten, przed którym próbujesz się bronić.Oczywiście, jeśli gość jest gotów podjąć wszelkie trudy, aby obejść te różne „zabezpieczenia”, możesz mieć więcej problemów społecznych niż technicznych.
źródło
To naprawdę zależy od tego, jak bardzo chcesz zablokować swoje konto użytkownika gościa, więc przydatne będą dodatkowe informacje na temat tego, co chcesz, aby twoje konto gościa mogło robić / czego nie robić. Czy domena komputera jest również podłączona?
To powiedziawszy, moja osobista opinia jest taka, że każda domena konta gościa podłączona lub nie powinna być mocno zablokowana, aby upewnić się, że nic złego nie może być zrobione przy użyciu tego komputera, szczególnie jeśli przypadkowo trafi w niepowołane ręce. Zaczynam od wykonania następujących czynności przy użyciu zasad grupy.
Całkowicie ukryj obszar powiadomień, aby użytkownik nie mógł uzyskać dostępu do żadnej aplikacji działającej w tle. Jeśli potrzebujesz ich do interakcji z NetLimiter i TeamViewer, zawsze mogą je uruchomić z menu Start.
Określony element GP, którego potrzebujesz, znajduje się w obszarze Konfiguracja użytkownika> Szablony administracyjne> Menu Start i pasek zadań> Ukryj obszar powiadomień
Wyłączono dostęp do Menedżera zadań, co powinno uniemożliwić im zakończenie procesu.
Konfiguracja użytkownika> Szablony administracyjne> System> Usuń Menedżera zadań
Uważam, że NetLimiter ma możliwość ustawiania uprawnień dla różnych użytkowników. Przejrzyj je i sprawdź, czy możesz usunąć możliwość kontrolowania aplikacji przez konto użytkownika.
To dobry początek, który powinien ograniczyć większość użytkowników, jeśli jesteś nieco bardziej zaawansowany, być może będziesz musiał ustalić bardziej kompleksowe zasady grupy
Oto dobry przewodnik na temat korzystania z usług GP w celu ograniczenia polityk do konkretnych użytkowników, jeśli są potrzebne http://www.sevenforums.com/tutorials/151415-group-policy-apply-specific-user-group.html
źródło
Dziękuję wszystkim za wszystkie szczegółowe odpowiedzi, w końcu skorzystałem z niektórych sugestii w komentarzu, oto co zrobiłem:
Całkowicie wyłącz konto gościa, ponieważ z jakiegoś powodu edytowanie wpisu rejestru nie będzie działać, będziesz potrzebować uprawnienia administratora, a gdy go otrzymasz, modyfikacja zostanie również zastosowana do konta administratora (nie jestem pewien, czy jest to powszechna sprawa lub po prostu błąd dla mnie)
Utwórz nowego użytkownika i wykonaj dla niego następujące czynności:
Ikona Wyłącz tacę (w rejestrze)
Wyłącz panel sterowania (w rejestrze)
Wyłącz Menedżera zadań (w rejestrze)
Odmów pewnych uprawnień, aby nie mógł uzyskać dostępu do lokalizacji tych programów (nie może ich usunąć ani odinstalować)
Robię to, aby mój brat nie mógł użyć więcej niż 20% prędkości internetu (po prostu nie przestanie streamować i torrentować ...) i myślę, że są one wystarczające, aby go zablokować.
Dzięki jeszcze raz!
źródło
HKLM
, co zmienia go dla wszystkich użytkowników (zasadniczo modyfikujesz ustawienie „domyślne”, które jest używane, gdy nie ma ustawienia dla użytkownika). Ponadto, jeśli to możliwe, ograniczenia prędkości Internetu najlepiej ustawić na routerze w zależności od urządzenia; musisz zmienić adres MAC lub uzyskać dostęp do konfiguracji routera, aby obejść ten problem.