Запрет доступа на запись в папки пользователям в WinXP
 

У меня вопрос - какие папки в WindowsXP (системные) можно безболезненно запретить пользователям на запись для повышения общей безопасности системы?

Или всё то, что задано по-умолчанию, является оптимальной настройкой?

Т.е. хотелось бы сделать так, чтобы какие бы вирусы пользователь не запускал из-под своей учётной записи и как бы не пытался сломать windows, максимум что он мог бы сделать - сломать свою учётную запись.

Через групповую политику запретите то что необходимо и нужно. И пользователь ничего не сможет сделать.

Так я и спрашиваю - ЧТО можно запретить-то? :)

Т.е. образно говоря если всей папке \windows\system32 поставить только право на чтение для юзеров - не будет ли у них проблем, смогут ли они вообще зайти в систему?
Или сразу всей \windows папке поставить право на чтение. Ну это же точно нельзя. Или можно?

Поэтому и спрашиваю :)

TrenAr, а может проще заставить пользователя работать под учетной записью с ограниченными правами, и выставить нужные права доступа к некоторым программам и папкам/дискам ?

Базовая концепция системы безопасности ОС Windows семейства NT, прочтите

Да, пользователь уже работает под записью с ограниченными правами. Просто хотелось бы завинтить гайки покруче, не мешая при этом пользователю нормально работать.
Хорошо, ссылку прочитаю.

Ну, вообще идея "запретить всё, кроме явно разрешённого" неплоха. Только вот за каждой программой гнаться разрешать - очень долго и нудно. Там же вроде каждый ехе-файл отдельно придётся разрешать, а если их десятки? Ужас же...