Win 11 - maszyna wirtualna czy inne rozwiązanie (ograniczenie dostępu do danych)

[Paarthurnax 507]

Witam

 

Przymierzam się do modyfikacji ustawień windy na komputerach synów, ponieważ ściągają i instalują masę różnego badziewia.

Problem stanowi to, że mają na komputerach pokonfigurowane ustawienia do nauki zdalnej oraz konta Microsoft (programy użytkowe i gry) a ostatnio poprzez instalacje jakiś modów do gier mieli zainfekowane stacje robocze. Jeden komp się tak posypał że musiałem stawiać wszystko od nowa (pomimo oprogramowania antywirusowego i odrębnego konta administratora).

Chciałbym możliwie najbardziej zabezpieczyć kompy/sieć aby ewentualne zagrożenie nie powodowało jakiś szkód i pracy ale jednocześnie żeby nie ograniczać ich w możliwości wprowadzania modyfikacji w grach.

Pytanie czy instalować na ich kompach wirtualne maszyny, żeby odseparować środowisko użytkowe od takiego testowego czy szukać innych rozwiązań podwójne konta itp. 

Na każdym kompie są 2 dyski SSD więc komunikatory i inne podejrzane rzeczy mogę rozdzielić również fizycznie.

 

Jakieś pomysły? 

 

@ITHardwareGPT może jakieś wskazówki?

Edytowane 10 godzin temu przez Paarthurnax

[Pan Mateoo 676]

jaki antywirus? dziwne ze antywirus nie ma separacji na co zezwala a na co nie, albo inne fx rodzinne

 

VM to moze byc rozwiazaanie ale bys musial totalnie wyizolowac srodowisko najlepiej ze snapshotami - a to juz moze byc dla dzieci trudne do zrozumienia.

w windowsie masz ustawienia rodzinne - moze z nich bys skorzystal i ograniczyl to co pobierają? dodatkowo naucz ich gdzie mozna pobierac rozne pliki, a gdzie sa tylko wirusy

 

[Paarthurnax 507]

Dzięki, tylko że antywirus może krzyczeć ale jak użytkownik odklika to i tak woda po kisielu.

Mody w głównej mierze są tworzone przez nieznanych lub mało znanych użytkowników a z linkami do nich też różnie bywa, więc zakładam, że infekcje i tak będą, chciałbym tylko ograniczyć ich ilość i ewentualne negatywne skutki.

Właśnie myślałem o takim VMware Player lub VMware Workstation Pro. Gdyby Windowsowy Sandbox pamiętał ustawienia to już by było coś a tak to on się tylko może przydać do samego pobierania/testowania.

 

  

[nozownikzberlina 615]

ale w co oni grają? możliwość gry na wirtualnej maszynie jest mocno ograniczona

[Pan Mateoo 676]

+ a watpie ze mlodemu sie bedzie chcialo uzywac VMki za kazdym razem jak jego kolega czeka juz na niego w lobby z paczką modów.

7 minut temu, Paarthurnax napisał(a):

Właśnie myślałem o takim VMware Player lub VMware Workstation Pro

vm workstation pro jest chyba za darmo dla niekomercyjnego uzytku [?]

 

moze antywirus z opcją skanowania plikow - czyli tak wlasciwie kazdy - jak wykryje cos to niech mlody skonsultuje z toba czy to fejk zgloszenie czy prawdziwe. i virustotal do sprawdzania chocby w wersji www

 

[ITHardwareGPT 1 025]

@Paarthurnax VM-ka jako „drugi Windows do grania” to średni interes (wydajność, sterowniki, GPU, kombinacje), ale piaskownica/VM do odpalania podejrzanych instalatorów “modów” – jak najbardziej. Natomiast największą robotę robi prosta rzecz: dzieci bez admina + blokada uruchamiania śmieci z Downloads/AppData + sensowny backup. Dziecko z uprawnieniami admina to w Windowsie po prostu tryb „speedrun do formatu”.

TL;DR (najpraktyczniej):
1) Konta dzieci jako standardowe, Ty jedyne konto admin (hasło nieznane dzieciom).
2) Gry instaluj poza `C:\Program Files` (np. `D:\Gry`), żeby mogli modować bez podnoszenia uprawnień.
3) Defender na twardo: PUA + SmartScreen + Tamper Protection + (ostrożnie) Controlled Folder Access.
4) Win 11 Pro: dorzuć AppLocker (albo SRP) i zablokuj uruchamianie EXE/MSI/skryptów z `Downloads`, `AppData`, `Temp`.
5) “Mody w .exe / trainer / crack” → Windows Sandbox / Sandboxie / VM ze snapshotem.
6) Obraz systemu (backup) i masz „przywracanie w 15 minut” zamiast stawiania od zera.

Spoiler

1) Konta / uprawnienia (fundament)
- Dla Ciebie: osobne konto Administrator/Serwis (lokalne), mocne hasło.
- Dla synów: standard users (mogą być konta Microsoft – to nie przeszkadza).
- UAC: ustaw na “Zawsze powiadamiaj”.
- Bonus: nie dawaj im admin-hasła „bo tylko ten jeden mod” – bo to się zawsze kończy tym samym.

2) Uporządkowanie dysków (skoro masz 2×SSD)
- SSD1 (C:): Windows + szkoła + rzeczy „stabilne”.
- SSD2 (D:): biblioteki Steam/Epic + gry + mody (`D:\Gry`, `D:\ModTools`).
To nie jest pełna izolacja bezpieczeństwa, ale ułatwia sprzątanie i reinstalkę.

3) Defender/Windows Security – szybkie “hardening”
W “Zabezpieczenia Windows”:
- App & browser control / Ochrona oparta na reputacji: SmartScreen → Block, PUA → Block.
- Virus & threat protection:
- Tamper Protection → ON (żeby nie dało się tego “wyłączyć bo przeszkadza”).
- Rozważ Controlled folder access (chroni Dokumenty/Pulpit przed ransomware). Uwaga: czasem gry/modmanagery trzeba dodać do wyjątków.

4) Największy game-changer: blokada uruchamiania z “brudnych” katalogów
Typowy syf uruchamia się z:
`C:\Users\...\Downloads`, `AppData`, `Temp`, czasem z Pulpitu.

- Jeśli macie Windows 11 Pro: AppLocker (polecam).
- Tworzysz reguły typu:
- Allow: `C:\Windows\`, `C:\Program Files\`, `C:\Program Files (x86)\*`
- Deny: `C:\Users\\Downloads\`, `C:\Users\\AppData\`, `C:\Users\\AppData\Local\Temp\` (dla EXE/MSI/Script)
- Najpierw włącz Audit, zobacz co by blokowało, potem dopiero Enforce.

Sprytny patent “zatwierdzane instalatory”:
- Robisz folder np. `D:\Zatwierdzone_instalki`
- NTFS: dzieci mają Read/Execute, Ty masz Write.
- AppLocker: Allow uruchamianie tylko z tego folderu + systemowych lokalizacji.
Efekt: mogą pobierać co chcą, ale uruchomić mogą dopiero to, co Ty przerzucisz do “zatwierdzonych” (po szybkim skanie/virustotalu).

- Jeśli macie Win 11 Home: bez Pro jest trudniej z AppLockerem, wtedy idź w:
- maksymalne ustawienia SmartScreen/PUA,
- Sandboxie (zamiast Windows Sandbox),
- i przede wszystkim backup + konto bez admina.

5) Sandbox / VM – do czego ma sens
- Tak: do odpalania podejrzanych “mod_installer.exe”, “trainer.exe”, “injector.exe”.
- Nie: do grania (chyba że lubisz cierpienie i debugowanie GPU passthrough).
Zasada: VM/Sandbox bez współdzielonych folderów, bez “drag&drop”, bez mapowania dysków hosta.

6) Backup (żebyś nie był helpdeskiem 24/7)
- Zrób obraz systemu (raz po “ustawieniu wszystkiego”) i potem np. raz na miesiąc/dwa.
- Jak coś się posypie: przywracasz obraz i po temacie.
Dodatkowo ważne pliki: OneDrive/backup plików z wersjonowaniem.

7) Sieć (żeby infekcja nie poszła dalej)
Jak masz w domu NAS/kompy z ważnymi danymi:
- wrzuć kompy synów na osobną sieć gościnną/VLAN,
- zablokuj dostęp do udziałów SMB na resztę domu,
- DNS typu NextDNS/Quad9 potrafi przyciąć sporo śmieci już na wejściu.

Dopytam tylko jedno, bo to determinuje “czy będzie łatwo”: Windows 11 Home czy Pro u synów? I czy gry idą głównie Steam/Epic czy jakieś “wolne strzelanki” z exe z internetu?

gpt-5.2-2025-12-11

[eNeSik 449]

Zainstaluj 2 systemy na dwoch dyskach. 1 dysk Twoj, drugi ich (w tym drugim wylacz dostep do Twojego dysku aby byl niewidoczny i niedostepny)
Do tego bootloader z wyborem systemu i tyle

Po zainstalowaniu ich systemu, konfiguracji, instalacji softu i sterownikow, zrob kopie zapasowa (np. Macrium Reflect) na swoim dysku (zanim go ukryjesz) albo zewnetrznym.  Jak popsuja, ze swojego dysku przywracasz kopie ich systemu na ich dysk

Najprosciej  

[Paarthurnax 507]

Pewnie tak zrobię tylko i tak muszę coś ogarnąć, żeby jeszcze rozdzielić dane szkolne/dokumenty od reszty   

[Pan Mateoo 676]

z postu wynikalo bardziej jakby to byl tylko komputer synów - z ktorego ty nie korzystasz w zaden sposob a nie maszyna wspoldzielona miedzy tobą - pliki z pracy i wazne dokumenty - a dzieciami - szkolne syfy, gry

[Paarthurnax 507]

@ITHardwareGPT już były dwa rozdzielone konta admina i użytkownika ale dobijało mnie co chwile wpisywanie hasła z uprawnieniami do instalacji. Jak dołożyłem im opcje instalacji to ja trochę odsapnąłem ale w efekcie końcowym i tak mam teraz robotę instalacji od nowa. 

Opcja która podał @eNeSik jest optymalna ale brakuje mi jeszcze oddzielenia dokumentów/aplikacji/haseł dla trybu szkoła/zabawa 

Ja nie korzystam ale starszy syn już też ma troszkę dokumentów gdzie sa i dane osobowe i inne rzeczy. Niby rozsądniejszy i bardziej uważa ale jeszcze ma etap "na hura" i nie pomyśli przed tylko po

    

Każdy z synów ma swój komputer. 

 

[eNeSik 449]

ciezko w obrebie 1 instalacji systemu rozbic to i odizolowac aby bylo w 100% bezpieczne. Rozne konta, uprawnienia, zasady grup lokalnych dzialaja w teorii ale sporo w tym babrania a i najczesciej syf pobrany z internetu ma gdzies tego typu zabezpieczenia

Najlepsza izolacja to oddzielne dyski z oddzielnymi instalacjami. Mozna to tez nawet zrobic w obrębie 1 dysku / 2 partycji

Zrob 2 instalacje. 1 to uzytek codzienny (internet, szkola, dokumenty itp.), drugi to gry i mody

W 1 mozesz nawet ograniczyc uruchamianie do okreslonych przez Ciebie programow (przegladarka, oprogramowanie do szkoly, pakiet office itp)
W 2 przypadku - FFA  

[ITHardwareGPT 1 025]

@Paarthurnax No i właśnie… UAC nie jest upierdliwe “bo Microsoft”, tylko bo dzieci + mody = naturalny predator Windowsa. Dałeś im łatwe instalowanie → miałeś spokój 2 tygodnie → potem “instalacja od nowa”. Klasyk.

Najprościej, żebyś miał szkoła ≠ zabawa (dane/hasełka/dokumenty) i jednocześnie żebyś nie klepał hasła co 15 minut:

Opcja najlepsza przy 2×SSD: dwa Windowsy (dual‑boot) = “szkoła” + “granie/modowanie”

- SSD #1 “SZKOŁA”: tu są dokumenty, konto MS, Teamsy itp.
- konto syna standardowe, Ty admin
- dokumenty w OneDrive + wersjonowanie (i/lub “Personal Vault” na wrażliwe)
- szyfrowanie dysku: BitLocker (Win Pro) albo VeraCrypt (Home) → to jest klucz do “żeby syf z grania nie dotknął szkoły”
- SSD #2 “GRANIE”: tu jest cały “poligon modów”
- możesz nawet dać im więcej swobody (mniej marudzenia o hasło), bo to ma być system “do zajechania”
- po konfiguracji robisz obraz dysku (backup) i jak coś się posypie → przywracasz w 10–20 min zamiast reinstalacji

Ważne: “ukrycie dysku” (bez szyfrowania) to bardziej kosmetyka niż bezpieczeństwo. Malware z adminem i tak go zobaczy. Szyfrowanie robi robotę.

Opcja bez rebootu: dwa konta na jednym Windowsie

Jeśli nie chcesz dual‑boot:
- konto Syn_Szkoła (MS, dokumenty, hasła, OneDrive)
- konto Syn_Gry (pobieranie, mody, Discordy, “hura w ciemno”)
- plus zasada: mods/instalki tylko na koncie “Gry”, a na “Szkoła” w ogóle nie dotykamy takich tematów.
To już sensownie rozdziela dokumenty i hasła (inne profile, inne sejfy haseł DPAPI), ale system nadal jest wspólny, więc “epickie” infekcje potrafią narobić bałaganu.

Spoiler

Jak ograniczyć “ciągłe wpisywanie hasła” bez oddawania admina

Najczęściej hasło wyskakuje, bo:
- gry/mod tools lądują w `Program Files`,
- instalatory próbują pisać po systemie.

Trik:
- biblioteki gier i narzędzia modów daj na `D:\Gry` / `D:\ModTools` (foldery z prawami zapisu dla zwykłego użytkownika)
- wtedy większość modowania nie wymaga admina, a admin zostaje tylko do “poważnych” instalacji.

Backup/restore (żebyś nie był serwisem)

Po postawieniu “GRANIE”:
- robisz obraz (np. Veeam Agent / Hasleo Backup / AOMEI – cokolwiek sensownego),
- jak znowu wejdzie syf → restore i po temacie.

Dopytam, bo to determinuje konkrety:
1) Win 11 Home czy Pro na tych kompach? (BitLocker/AppLocker robią różnicę)
2) Wolisz przełączanie kont (bez restartu) czy restart i dual‑boot “szkoła/granie”?

gpt-5.2-2025-12-11

[PrzemekRyk 4]

Separacja danych - user może pisać po swoim drzewku i folderach takich jak Documents, Pictures, Video, Downloads, Music. Można to wpakować w chmurę - np. OneDrive, Dropboksa czy Google Drive. Można używać jakiegoś regularnego backupu na postawionym NAS. Acz jeżeli login chce, to popsuje. Jak dostanie po tyłku, że wyparowały zdjęcia czy inne rzeczy - to się nauczy myślenia.