Saya punya laptop dan penggunanya menjalankan akun tamu,
Ada 2 program yang mulai secara otomatis ketika sistem dimulai (NetLimiter & TeamViewer). Program-program ini disembunyikan di baki tetapi pengguna tamu dapat menutupnya jika dia mau. Apakah ada cara untuk mencegahnya?
Saya memiliki akses penuh ke laptop jadi jika ada konfigurasi atau program untuk menginstal saya bisa melakukannya.
Jawaban:
Untuk mencegah penutupan melalui pengelola tugas
Dapatkan " Process explorer " dan atur izin untuk "Tamu" di kedua program agar tidak memiliki izin "Hentikan".
Ini masih tidak mencegah mereka dari hanya menutup program secara normal. Anda harus menyembunyikan ikon baki jendela dan sistem menggunakan program pihak ketiga atau mengotak-atik registri.
Untuk membatasi pengguna jaringan menggunakan terlalu banyak bandwidth
Ini tampaknya menjadi masalah Anda yang sebenarnya.
Lihat:
sumber
Jawaban Process Explorer berfungsi sekali, tetapi Anda mungkin ingin ini berlaku bahkan setelah komputer di-boot ulang. Untuk melakukan itu, Anda dapat menggunakan PowerShell:
Ini didasarkan pada jawaban Stack Overflow ini . Pada dasarnya, Anda memberikan daftar proses untuk melindungi dan pengguna untuk melindungi, dan itu mengotak-atik ACL proses secara tepat. Simpan sebagai
.ps1
file (di suatu tempat pengguna dapat membaca tetapi tidak menulis), lalu taruh file batch yang berisi sesuatu seperti ini di Startup pengguna:Itu melindungi
snippingtool.exe
danmspaint.exe
(Snipping Tool and Paint) agar tidak terbunuh oleh Tamu.Perhatikan bahwa ini harus dijalankan setelah proses tersebut dimulai. Anda mungkin harus menambahkan kira-kira
sleep 10
setelahParam
blok skrip PowerShell. Setelah selesai, mencoba untuk mematikan proses tersebut dengan Task Manager akan menyebabkan ini:Perhatikan juga bahwa tidak akan ada gunanya jika akun yang Anda uji itu adalah administrator, atau lebih tepatnya dimiliki
SeDebugPrivilege
.Mengklik X pada windows mereka atau menggunakan fungsi dekat aplikasi sendiri masih akan membuat proses keluar, karena semua proses bebas untuk memutuskan untuk berhenti berjalan. Anda mungkin perlu menyembunyikan area notifikasi, seperti dijelaskan dalam jawaban lain. Juga, karena proses-proses penting ini berjalan sebagai pengguna tamu, pengguna tersebut adalah pemilik objek proses, dan akan dapat menyesuaikan kembali ACL, atau dapat menggunakan
PROCESS_VM_WRITE
kemampuan untuk mencoret-coret memori proses dan menghancurkannya. Mereka bisa diselesaikan dengan menambahkan ACE kosong untukOWNER RIGHTS
dan dengan mengubah'PROCESS_TERMINATE, PROCESS_SUSPEND_RESUME, WRITE_DAC'
ke'PROCESS_ALL_ACCESS'
masing-masing.Menolak akses ke Task Manager melalui GPO akan menghentikan pengguna dari menggunakan Task Manager (jelas) dan merupakan solusi yang paling mudah, tetapi tidak ada yang menghentikan mereka dari menjalankan program mereka sendiri (atau
taskkill
) yang tidak mematuhi Kebijakan Grup. Akan lebih baik jika proses yang Anda coba pertahankan dijalankan sebagai pengguna yang berbeda dari yang Anda coba lawan.Tentu saja, jika tamu Anda bersedia untuk bersusah payah menghindari berbagai "perlindungan" ini, Anda mungkin memiliki lebih banyak masalah sosial daripada masalah teknis.
sumber
Ini sangat tergantung pada seberapa banyak Anda ingin mengunci akun pengguna tamu Anda sehingga beberapa informasi lebih lanjut tentang apa yang Anda ingin akun tamu Anda dapat lakukan / tidak lakukan akan berguna. Juga apakah domain komputer terhubung?
Yang mengatakan pendapat pribadi saya adalah bahwa setiap domain akun tamu yang terhubung atau tidak harus sangat dikunci untuk memastikan bahwa tidak ada yang dapat dilakukan dengan menggunakan mesin itu, terutama jika itu secara tidak sengaja berakhir di tangan yang salah. Saya mulai dengan melakukan hal berikut menggunakan kebijakan grup.
Sembunyikan area notifikasi sepenuhnya sehingga pengguna Anda tidak dapat mengakses aplikasi yang berjalan di latar belakang. Jika Anda membutuhkan mereka untuk berinteraksi dengan NetLimiter & TeamViewer maka mereka selalu dapat meluncurkannya dari menu mulai.
Item GP spesifik yang Anda butuhkan ada di bawah Konfigurasi Pengguna> Template Administratif> Menu Mulai dan Bilah Tugas> Sembunyikan area Pemberitahuan
Akses yang dinonaktifkan ke Task Manager yang seharusnya mencegah mereka menghentikan proses.
Konfigurasi Pengguna> Template Administratif> Sistem> Hapus Pengelola Tugas
Saya percaya bahwa NetLimiter memiliki kemampuan untuk mengatur izin untuk pengguna yang berbeda. Jelajahi ini dan lihat apakah Anda dapat menghapus kemampuan akun pengguna untuk mengontrol aplikasi.
Itu adalah awal yang baik yang seharusnya membatasi sebagian besar pengguna jika Anda pengguna sedikit lebih maju maka Anda mungkin harus menetapkan beberapa kebijakan grup yang lebih komprehensif
Berikut ini adalah panduan yang baik untuk menggunakan GP untuk membatasi kebijakan untuk pengguna tertentu jika Anda memerlukannya http://www.sevenforums.com/tutorials/151415-group-policy-apply-specific-user-group.html
sumber
Terima kasih untuk semua jawaban terperinci, saya akhirnya menggunakan beberapa saran di komentar, inilah yang saya lakukan:
Nonaktifkan akun tamu sepenuhnya karena karena alasan tertentu mengedit entri registri untuk itu tidak akan berfungsi, Anda akan memerlukan izin Admin, dan begitu Anda mendapatkannya, modifikasi juga akan diterapkan untuk akun Admin (tidak yakin apakah ini merupakan hal yang umum atau hanya bug untuk saya)
Buat pengguna baru dan lakukan hal berikut untuk itu:
Nonaktifkan ikon Baki (dalam registri)
Nonaktifkan Panel Kontrol (dalam registri)
Nonaktifkan Task Manager (dalam registri)
Tolak izin tertentu sehingga ia tidak dapat mengakses lokasi perangkat lunak ini (tidak dapat menghapus atau menghapus instalannya)
Saya melakukan ini sehingga saudara saya tidak dapat menggunakan lebih dari 20% dari kecepatan internet (dia tidak akan berhenti streaming dan torrent ...) dan saya pikir ini sudah cukup untuk membuatnya terkunci.
Terima kasih lagi!
sumber
HKLM
, yang mengubahnya untuk semua pengguna (pada dasarnya memodifikasi pengaturan "default" yang digunakan jika pengaturan per pengguna tidak ada). Juga, batas kecepatan internet mungkin paling baik ditetapkan di router berdasarkan per perangkat jika memungkinkan; Anda perlu mengubah alamat MAC Anda atau mendapatkan akses ke konfigurasi router untuk menyiasatinya.