никакое программное или аппаратное средство их защитить не сможет »
Вот и выходит что SRP не какая не защита а всего лишь инструмент запрета запуска приложений...

Всё равно так и так для установки ПО в большинстве случаев нужна административная учётная запись. »
Про Portable что нить слышали?
Мои пользователи очень это любили до прихода SRP :)

Как вариант запретить запись в эту папку, переназначить владельца (или сразу создавать под Администратором) и устанавливать игры в эту папку под Администратором. Тогда защита будет работать. »
И к чему извращения?

Вирусы сами себя не записывают в папку F:\Scripts »
Вирусы могут себя записывать в любое место на которое у них есть права на запись.

P.S Кстати WindowsNT все же был прав, если разобраться то настроить SRP не так уж и тяжело )))

Конешно. Вернитесь к касперским/нодам/симантекам, они-то уж точно — защита, а не инструменты запрета запуска приложений.. .)

WindowsNT, Защиты нет вообще.

Про Portable что нить слышали? »

Слышал. Можно перенести сами приложения в папку C:\Program Files, а их настройки перенести в профиль, где им и место. Либо дать возможность писать в отдельный файл настроек типа Program.ini или Program.cfg, если приложение не умеет менять местоположение файла своих настроек.

И к чему извращения? »

А к чему тогда вообще ПК?

Вирусы могут себя записывать в любое место на которое у них есть права на запись. »

Да если бы они были такими умными! А то в половине случаев они перестают работать, если %SystemDir% не C:\WINDOWS, что уж там про запись в некий отдельный каталог.

P.S Кстати Windows NT все же был прав, если разобраться то настроить SRP не так уж и тяжело ))) »
Расскажите об этом домохозяйкам. :)

Конешно. Вернитесь к касперским/нодам/симантекам, они-то уж точно — защита, а не инструменты запрета запуска приложений.. .) »
Можно всё же услышать ответ на мой проигнорированный вопрос:

WindowsNT, вот об этом и идёт речь, в вашей системе всё разложено по полочкам - всё настроено по вашему, пользователи выдрессированы по вашей программе и делают только то что вы разрешаете и только так, как вы объяснили и разрешили. Объясните мне что помешает пользователю скачать заражённый файл в каталог, разрешённый для запуска приложений через SRP, запустить его с правами администратора и не допустить заражения системных файлов/служб и т.п.? Кто помешает вредоносной программе после этого осуществить сброс все настроенных локальных политик и заменить их своими? Кто помешает программе, запущенной с администраторскими правами (мы же не будем здесь разжёвывать как обходится UAC с помощью методов социальной инженерии) записаться в область разрешённых через SRP каталогов (те же Program Files, Windows и т.п.)? »

Да если бы они были такими умными! А то в половине случаев они перестают работать, если %SystemDir% не C:\WINDOWS, что уж там про запись в некий отдельный каталог. »
Кто это вам сказал подобную ерунду? Большинство вирусов лучше многих пользователей знает куда что записывать и где прятаться.

Слышал. Можно перенести сами приложения в папку C:\Program Files, а их настройки перенести в профиль, где им и место. Либо дать возможность писать в отдельный файл настроек типа Program.ini или Program.cfg, если приложение не умеет менять местоположение файла своих настроек. »
Можно вообще никуда ничего не переносить - эти приложения могут запускаться (в большинстве случаев) без инсталляции из любого места.

WindowsNT, Защиты нет вообще. »

Тогда следует всё же определить, какой из инструментов запрета запуска приложений лучше, в том числе где и в какой ситуации.
По мне, так "белосписочный" инструмент запрета запуска приложений всяко эффективнее и надёжнее "черносписочного" инструмента запрета запуска приложений уже по самой природе их различий. Обо что и говорится в данной теме.

Кто это вам сказал подобную ерунду? »

Статистика. Сейчас вирусописатели в большинстве своём школьники и студенты, в общем новички в программировании, и часто не знают/не хотят знать про переменные среды.

Можно вообще никуда ничего не переносить - эти приложения могут запускаться (в большинстве случаев) без инсталляции из любого места. »

Только вот SRP будет блокировать их запуск. Можно конечно вносить исключения, но это только усложнит всё. Проще закинуть в Program Files или отдельный каталог, в который запрещено писать под простым пользователем.

Статистика. Сейчас вирусописатели в большинстве своём школьники и студенты, в общем новички в программировании, и часто не знают/не хотят знать про переменные среды. »
Д какая нафиг статистика если вы даже норм вирусов не видели?

Расскажите об этом домохозяйкам. »
или дайте им справку Windows по SRP )))

если вы даже норм вирусов не видели? »

Я разве отрицаю, что есть умные вирусы? Нет. Я лишь намекаю, что большинство вирусов тупые до безобразия.

На системах с высоким уровнем безопасности вы будете контролировать все папки, доступные для записи; со средним уровнем безопасности — ограничивать и администратора, и пользователей; на приемлемом уровне — только пользователей. »
Вы сразу обозначьте, какой уровень безопасности вы рекомендуете домашним пользователям, которым вы тут рекомендуете SRP.
Вирусы сами себя не записывают в папку F:\Scripts, это делает человек сознательно. »
Именно, но человек не знает, вирус это или нет. Он же человек.
нет проблемы безопасности с тем, что какие-то несистемные папки будут разрешены для Исполнения программ. »
Вот это да! Давйте я сделаю папку D:\Downloads разрешенной и буду запускать оттуда все, что я скачал. Зачем тогда вообще нужны SRP? :)

А если молотком по диску поколотить? Человек же не знает, станет от этого компьютеру плохо или нет. Зачем тогда вообще нужны все эти защиты и фаерволы?

Попробуйте папку Downloads не добавлять. Что по сути всё равно значения не имеет. Человек с привилегиями администратора, который что-то откуда-то скачал с намерением установить, всё равно зайдёт с повышенными правами и установит всё, что захочет. Это же его желание, даже если антивирус скажет, что там вирус, сей человек антивирус отключит и всё равно всё запустит и установит. Кстати, как вы решаете такую проблему?

WindowsNT, минутку, мы говорим о защите, которая гарантирует блокировку выполнения вредоносного кода (в те моменты, когда она включена) вне зависимости от квалификации пользователя и его способности идентифицировать угрозу. Если вы следуете правилу, запрещено все, куда нет прав на запись, то я такую защиту могу считать целесообразной.

Но когда вы начинаете делать исключения в виде папок для того или для сего, то это уже не защита, а решето. И не надо молотком колотить по диску, это не улучшит принцип защиты.

Кстати, как вы решаете такую проблему? »
Какую проблему? Технически я полагаюсь на антифишинговые фильтры браузера, SmartScreen и встроенный антивирус. И я не запускаю то, что они считают опасным.

Как вы решаете проблему "пользователь выключает антивирус и упорно запускает заражённую программу, получив предупреждение"?

Как вы решаете проблему "пользователь выключает антивирус и упорно запускает заражённую программу, получив предупреждение"? »
Это происходит гораздо реже если антивирус сделан с умом - выводится устрашающе красное сообщение об опасности, запуск (даже если разрешили) производится в песочнице, ну или выводится уведомление о том, что файл удалён так как был инфицирован. Ежели антивирус не раздражает пользователя по делу и без дела ругаясь на всё что попало, то пользователь в 90% случаев ему поверит и не будет искать приключения на свою пятую точку. :) В SRP такого нет - тут или запуск разрешён или запрещён.

Я разве отрицаю, что есть умные вирусы? Нет. Я лишь намекаю, что большинство вирусов тупые до безобразия. »
Можно пруф на такую статистику?

или дайте им справку Windows по SRP ))) »
В никсах самые подробные мануалы, однако ни одна домохозяйка не сможет их переварить, да и не станет переваривать. ))

Можно пруф на такую статистику? »

Нельзя.

Нельзя. »
То есть её нет, следовательно это голословное утверждение. :)

Как вы решаете проблему "пользователь выключает антивирус и упорно запускает заражённую программу, получив предупреждение"? »
ремнём.

следовательно это голословное утверждение. »

Обратные утверждения пока так же голословны.

Как вы решаете проблему "пользователь выключает антивирус и упорно запускает заражённую программу, получив предупреждение"? »
Антивирус под политикой и паролем. + Контроль запуска программ и контроль устройств. И пользователи отдыхают от прав админа.

Обратные утверждения пока так же голословны. »
Статистика заражений, количество новых угроз, появляющихся ежедневно, и количество пострадавших от зловредов пока опровергают ваши слова. Или написание подобного зверька - http://habrahabr.ru/post/159811/ - дело пары минут?