Два запароленных аккаунта Админа и Пользователя. Агрессивно настроенный AppLocker, разрешивший запуск админу чего угодно, а пользователю только с program files и windows и программ, подписаных парой издателей. Естественно, сижу я только под пользователем. Таким образом я думаю обходиться без антивируса. Безопасно ли это? По идее, гадость лаже не должна запускаться.

И да, UAC зверствует на максимуме

Зараза может попасть в систему из интернета. К чему такие извращения, не проще ли поставить антивирус? Тот же MSE, например.

а пользователю только с program files и windows и программ, подписаных парой издателей. »Этого достаточно чтобы все ваши труды на смарку. Наверняка ещё и интернет подключен.
Вот только один пример временный патч, закрывающий уязвимость AppLocker (http://www.softon.info/news/apploicker_patch), а сколько ещё будет?
Это не панацея. Нет универсальных таблеток от всех болезней сразу.

2Phoenix
попасть-то попадет, а что без прав сможет сделать? и запуститься никак не сможет, кроме как из програмфайлз и виндоус, на которые не хватит прав

yurfed »
интернет естесственно подключен. только в них еще надо попасть сквозь UAC. обновы регулярно ставлю, должно помочь.

jamesraynor, да, это очень надежно (за исключением моментов, когда вы отключаете AppLocker для обновления версий ПО). Для полного счастья в AppLocker следует включить проверку библиотек.

Думаю, вам также будет любопытна дискуссия Домашний ПК: антивирус или SRP (http://forum.oszone.net/thread-244759.html).

Этого достаточно чтобы все ваши труды на смарку. »
Утверждение неверно из-за непонимания принципов работы AppLocker. По правилам исполняемые файлы запускаются только из расположений, в которые у пользователя нет права на запись. Подумайте над этим...

jamesraynor, да, это очень надежно (за исключением моментов, когда вы отключаете AppLocker для обновления версий ПО). Для полного счастья в AppLocker следует включить проверку библиотек.
Думаю, вам также будет любопытна дискуссия Домашний ПК: антивирус или SRP. »
Мне, как обычному малолетнему нубу Очень приятно слышать, спасибо=) А я его не отключаю: всё, что нужно запускаю с админ правами (они-то ничем не ограничены). Ну библиотеки это на десерт.

всё, что нужно запускаю с админ правами »
Ну вот в этот момент вы и остаетесь без контроля AppLocker при отсутствующем антивирусе...

Ну вот в этот момент вы и остаетесь без контроля AppLocker при отсутствующем антивирусе... »
Так точно, но дать админ права можно только умышленно. А если я это делаю, то программе полностью доверяю и не даю на нее влиять любому антивирусу. На всякий случай имеется cureit, который подскажет. Тем более, абсолютной защиты не ищу.

Тем более, абсолютной защиты не ищу. »
Так и живите, как жили.

Так и живите, как жили. »
Экспериментировать всегда интересней. Тем более, неопробованная фича не даст мне покоя.

Утверждение неверно из-за непонимания принципов работы AppLocker. »Дело совсем не в этом. Просто нет идеально написанных программ, которые "выскакивают из пера" в последней и окончательной редакции.
Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"?
Огульно полагаться на какой то один вариант (в чём угодно), не совсем логично. Даже, казалось бы, самые надёжные источники, в один момент могут оказаться провальными.
Тем более, неопробованная фича не даст мне покоя. »Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас.

yurfed, технически AppLocker не является границей защищенной зоны, но при правильной настройке это решение обеспечивает более высокую степень защиты, чем антивирус. Разница в том, что антивирус блокирует запуск кода только в том случае, если считает его небезопасным. AppLocker блокирует всегда.

Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"? »
Угу, именно поэтому вероятность попасть под 0-day намного выше с антивирусом, ибо может эксплуатироваться любая уязвимость, а не конкретно уязвимость AppLocker.

В описании не указаны ещё пара пунктов:
- вовремя устанавливаются обновления на операционную систему, приложения и аддоны;
- разрешения NTFS не позволяют стандартному пользователю писать в папки приложений;
- чистые руки Администратора, который не скачивает абы что абы откуда.
Впрочем, вы полное описание настроек уже читали.

Мой опыт работы в указанной вами конфигурации: 10+ лет (да, Апплокеру меньше 10, но SRP встроено в XP с конца 2001 года). На объёме сети около 1000 компьютеров вирусов нет. Но я защищаю Апплокером и Администратора тоже, ведь администратор — самый опасный пользователь!

За отдельно взятые дыры Апплокера я бы пока не стал бояться. Почитал описание — для эксплуатации конкретно той уязвимости требуются "специальные манипуляции". Таких макросов in the wild ещё никто не регистрировал ни разу, полагаю. Зато макросы по умолчанию уже давно не запускаются.

У антивирусных программ дыр на порядки порядков больше, а процент успешного отлова новых вирусов традиционно крайне низок. Практически все громкие эпидемии прошлись по компьютерам, на которых был антивирус, но не было whitelisting, это факт.

Цитата jamesraynor:
Тем более, неопробованная фича не даст мне покоя. »
Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас. »
Спасибо за хорошие слова, трудностей действительно оказалось много...

Например?

Например? »
Спасибо за ценную информацию. Я считаю себя уверенным пользователем, варезом не пользуюсь, порнушкой не балуюсь =)
Ну например- я собираюсь защитить и администратора, и мне как-то надо для определенных папок Пользователю разрешить только чтение, а админу полный доступ (чтобы их можно было считать безопасными и запускать с них файлы), но не могу его человечески настроить: так я хочу,чтоб эти папки выглядели (мне удалось задать разрешения самому):

Например? »
А вот так выглядит, и НУЖНЫМ изменениям не поддаются:

Пробовал даже присвоить владение этими папками (добавил пункт в контекст take ownership), но не возымело действия..

Ну это всего лишь показывает, что разрешения назначены не на требуемую папку, а наследуются сверху.
Прервите наследование вышестоящих разрешений в кнопке Дополнительно и назначайте разрешения по вкусу.

Единственное, я бы делал несколько иначе, а именно:
- доступ с системы снимать нежелательно (должен остаться Full Control)
- доступ пользователям поштучно назначать нежелательно, для этого есть группы (например, группа Users)
- доступ пользователям не должен превышать Modify. Full Control - для администраторов.