J'ai un ordinateur portable et son utilisateur utilise un compte invité.
Deux programmes démarrent automatiquement au démarrage du système (NetLimiter et TeamViewer). Ces programmes sont cachés dans le bac, mais l’utilisateur invité peut les fermer s’il le souhaite. Y a-t-il un moyen d'empêcher cela?
J'ai un accès complet à l'ordinateur portable, donc s'il y a une configuration ou un programme à installer, je peux le faire.
Réponses:
Pour empêcher la fermeture via le gestionnaire de tâches
Obtenez " Process explorer " et définissez les autorisations pour "Invité" sur les deux programmes afin de ne pas disposer des autorisations "Terminate".
Cela ne les empêche toujours pas de simplement fermer le programme normalement. Vous devrez masquer la fenêtre et l'icône de la barre d'état système à l'aide d'un programme tiers ou d'un fauchage de registre.
Pour limiter un utilisateur du réseau utilisant trop de bande passante
Cela semble être votre problème actuel.
Voir:
la source
La réponse Process Explorer fonctionne une fois, mais vous souhaitez probablement que cela s'applique même après le redémarrage de l'ordinateur. Pour ce faire, vous pouvez utiliser PowerShell:
C'est basé sur cette réponse de débordement de pile . Fondamentalement, vous lui fournissez la liste des processus à protéger et les utilisateurs contre lesquels il doit se protéger, et il manipule les listes de contrôle d'accès des processus de manière appropriée. Enregistrez-le en tant que
.ps1
fichier (quelque part que l'utilisateur peut lire mais pas écrire), puis mettez un fichier de commandes contenant quelque chose comme ceci au démarrage de l'utilisateur:Qui protège
snippingtool.exe
etmspaint.exe
(l'outil de découpage et la peinture) d'être tués par Guest.Notez que cela doit être exécuté après le démarrage de ces processus. Il se peut que vous deviez en ajouter
sleep 10
environ après leParam
bloc du script PowerShell. Une fois l'opération terminée, essayer de supprimer ces processus avec le Gestionnaire des tâches aura les conséquences suivantes:Notez également que cela ne servira à rien si le compte avec lequel vous le testez est un administrateur, ou plus précisément
SeDebugPrivilege
.En cliquant sur le X dans leur fenêtre ou en utilisant la fonctionnalité de fermeture des applications, les processus resteront fermés, car tous les processus sont libres de décider de s’arrêter. Vous devrez peut-être masquer la zone de notification, comme décrit dans une autre réponse. De plus, étant donné que ces processus importants sont exécutés en tant qu'utilisateur invité, cet utilisateur est le propriétaire des objets de processus et pourra quand même réajuster la liste de contrôle d'accès
PROCESS_VM_WRITE
. Ceux-ci pourraient être résolus en ajoutant un ACE vierge pourOWNER RIGHTS
et en changeant'PROCESS_TERMINATE, PROCESS_SUSPEND_RESUME, WRITE_DAC'
pour'PROCESS_ALL_ACCESS'
, respectivement.Refuser l’accès au gestionnaire de tâches via un objet de stratégie de groupe empêcherait l’utilisateur d’utiliser le gestionnaire de tâches (évidemment) et constitue la solution la plus simple, mais rien ne les empêche d’exécuter leur propre programme (ou
taskkill
) qui ne respecte pas la stratégie de groupe. Il serait préférable que les processus que vous essayez de défendre soient exécutés sous un utilisateur différent de celui contre lequel vous essayez de vous défendre.Bien sûr, si votre invité est prêt à tout mettre en œuvre pour contourner ces différentes "protections", vous aurez peut-être davantage un problème social que technique.
la source
Cela dépend vraiment du degré de verrouillage de votre compte utilisateur invité. Il serait donc utile de disposer de davantage d'informations sur ce que vous souhaitez que votre compte invité puisse faire / ne pas faire. Le domaine de l'ordinateur est-il également connecté?
Cela dit, mon opinion personnelle est que tout domaine de compte invité connecté ou non devrait être fortement verrouillé afin de garantir que rien de malveillant ne puisse être fait en utilisant cette machine, en particulier si elle tombe accidentellement entre de mauvaises mains. Je commence par procéder comme suit à l'aide de la stratégie de groupe.
Cachez complètement la zone de notification afin que votre utilisateur ne puisse accéder à aucune des applications exécutées en arrière-plan. Si vous souhaitez qu’ils interagissent avec NetLimiter & TeamViewer, ils peuvent toujours les lancer à partir du menu Démarrer.
L'élément de stratégie de groupe dont vous avez besoin est sous Configuration de l'utilisateur> Modèles d'administration> Menu Démarrer et barre des tâches> Masquer la zone de notification.
Accès désactivé au gestionnaire de tâches, ce qui devrait les empêcher de mettre fin au processus.
Configuration utilisateur> Modèles d'administration> Système> Supprimer le gestionnaire de tâches
Je crois que NetLimiter a la capacité de définir des autorisations pour différents utilisateurs. Explorez-les et voyez si vous pouvez supprimer la capacité du compte d'utilisateur à contrôler l'application.
C'est un bon début qui devrait limiter la plupart des utilisateurs si ceux-ci sont un peu plus avancés que vous devrez peut-être définir des stratégies de groupe plus complètes.
Voici un bon guide sur l'utilisation de GP pour limiter les stratégies à des utilisateurs spécifiques si vous en avez besoin http://www.sevenforums.com/tutorials/151415-group-policy-appol-apply-specific-user-group.html
la source
Merci à tous pour toutes les réponses détaillées, j'ai fini par utiliser certaines des suggestions du commentaire, voici ce que j'ai fait:
Désactivez complètement le compte invité car, pour une raison quelconque, modifier l'entrée du registre ne fonctionnera pas. Vous aurez besoin de l'autorisation de l'administrateur. Dès que vous l'obtiendrez, la modification s'appliquera également au compte administrateur (vous ne savez pas si c'est une chose courante) ou juste un bug pour moi)
Créez un nouvel utilisateur et procédez comme suit:
Désactiver l'icône de la barre d'état (dans le registre)
Désactiver le Panneau de configuration (dans le registre)
Désactiver le gestionnaire de tâches (dans le registre)
Refuser certaines autorisations afin qu'il ne puisse pas accéder aux emplacements de ces logiciels (ne peut pas les supprimer ou les désinstaller)
Je fais cela pour que mon frère ne puisse pas utiliser plus de 20% de la vitesse de l'internet (il n'arrêtera tout simplement pas de diffuser en continu et de torrent ...) et je pense que cela suffit pour le garder sous clé.
Merci encore!
la source
HKLM
, qui la modifie pour tous les utilisateurs (essentiellement le paramètre "par défaut" utilisé si un paramètre par utilisateur est absent). En outre, il est probablement préférable de définir les limites de vitesse Internet au niveau du routeur, périphérique par périphérique, si possible. vous devrez changer votre adresse MAC ou accéder à la configuration du routeur pour résoudre ce problème.