Я имею в виду защитить настройки. чтобы нельзя было их изменить. в частности пароль

Теоретически, можно наклепать запускатор(launcher) для Буревестника, который будет тянуть с какого-нить внутреннего ftp файлы с паролями в профиль буревестника.
При этом, в винде(КМК в линухе это проще) сделать юзера с урезанными "правами"; при помощи "Политик" и такой-то матери, настроить запрет на пользование сетью и копирование файлов на флешку(вроде такое есть\было).
Затем, с помощью программы типа AdmiLink & AdmiRun сделать ярлык на самописный запускатор(launcher) к Буревестнику, чтоб он пускался от 0дмена(которую, учётку, закрыть паролем и не давать юзеру).

AdmiRun заведёт Запускатор из-под 0дмена; запускатор скачает файл паролей, поместит его в профиль Тб и запустит Тб. Он должен продолжать висеть в процессах в скрытом виде и ждать закрытия Тб, дабы по-закрытию удалить файлы паролей из Тб.
Тб настроить так(userChrome.css + config.js), чтоб он не показывал кнопки и менюшки "управления паролями".  юзера и даже ламера должно озадачить надолго.
Вот только, как это всё будет работать яхз. Теория рабочая вроде... но ниразу непроверялась на практике, потому что рассылка проще.