Известно, что в целях безопасности инет-серфинг лучше делать из режима стандартного пользователя. Поэтому мне пришла мысль, а не избавиться ли от админов вообще. Потому что паразит, если проникнет в систему, будет стараться заполучить права админа, чтобы получить полный доступ к системе. Допустим, если удалить локального админа, а встроенного отключить? Теоретически тогда изменения в системе невозможны. Но тогда вопрос - как его включить в случае необходимости? Знаю сложный способ с помощью загрузочной флехи. Муторно. Из стандартного пользователя можно включить встроенного админа? Доступен ли будет админ из командной строки?

Допустим, если удалить локального админа, а встроенного отключить? »
Встроенный и так отключен. Если удалите локальную учетную запись с правами администратора, то обратной дороги не будет, да. Ну либо
сложный способ с помощью загрузочной флехи. Муторно. »
так.

Из стандартного пользователя можно включить встроенного админа? »
Нет конечно. Иначе, согласитесь, в ограничении прав юзера нет ни малейшего смысла. :) Включить встроенного Администратора может только учетная запись с правами администратора. Что в общем-то логично.

Доступен ли будет админ из командной строки? »
Нет. Да и потом... Вы считаете себя умнее вирусописателей? Не надо.

Мне понятен ваш подход, но вы копаете не в том направлении. Во-первых, исходите из того, что ваши данные уже украдены. То бишь озаботьтесь включением двухфакторной аутентификации на почте и в других местах, чтобы даже знание ваших паролей не помогло злоумышленникам. Во-вторых, конфиденциальную информацию храните либо на зашифрованных разделах, либо вообще на съемных накопителях, которые будут лежать в ящике стола. Там до них никакой троян не доберется.

А делать из компьютера неприступную крепость... Ну, надо понимать, что технически это действительно возможно сделать, однако с ростом уровня защищенности падает удобство и скорость работы. Существующая на данный момент связка (Windows 10 + UAC + встроенный в систему антивирус) представляют из себя достаточно хороший уровень защиты, чтобы юзер мог пользоваться компьютером как обычно и при этом чувствовать себя достаточно защищенным. Методы противодействия вторжению стары как мир и не изменились за последнее время: не запускайте файлы, присланные неизвестно кем, качайте всё из проверенных источников (официальные сайты или торренты), устанавливайте все обновления для системы и используемого ПО.

Вы считаете себя умнее вирусописателей? Не надо. »
разумеется, не считаю. И не считаю, что вообще когда-либо кто-либо сможет тотально справиться с этой проблемой. Мой подход - понаставить столько препонов, чтобы пока гад ко мне рвется, я бы его заметил и убил.

Во-вторых, конфиденциальную информацию храните либо на зашифрованных разделах, либо вообще на съемных накопителях, которые будут лежать в ящике стола. Там до них никакой троян не доберется. »
копии и лежат в ящике. Но рабочие то файлы постоянно получают и обрабатывают инфу онлайн. Из ящика никак не получится. Разумеется, все на съемных дисках. А зашифрованные файлы могут работать онлайн, или их перед использованием нужно расшифровывать?

Существующая на данный момент связка (Windows 10 + UAC + встроенный в систему антивирус) представляют из себя достаточно хороший уровень защиты »
тоже так думал. Нет, не представляет. Еще у меня платный корп антивирус. Тоже не представляет. Прорвался гад. Потому и ищу способы, иначе не маялся бы. Тут нужна очень хытрая конфигурация системы. Вот ищу.

не запускайте файлы, присланные неизвестно кем, качайте всё из проверенных источников (официальные сайты или торренты), устанавливайте все обновления для системы и используемого ПО. »
ну, это советы для начинающих. Именно так я и делаю. У меня даже в хостах адреса прописаны, куда конкретно можно ходить. Вы просто не сталкивались с настоящими профи.

А смысл? Сейчас основная атака на пользовательские данные (шифровальщики, трояны), они доступны даже без админа. Если повредят систему, то ее переустановить не проблема.

Из чего следует вывод: надо запретить доступ к важным данным и интернету всем приложениям, кроме белого списка. При том, надо иметь в виду, что, например, у браузеров могут быть уязвимости, поэтому им лучше разрешить только интернет. А делиться с ними своими файлами через посредника - файлового менеджера.

Прорвался гад »
Если вы по каким-то причинам стали целью для человека или для группы лиц, то вас никакие антивирусы не спасут. Если цель заключается в том, чтобы украсть некие данные с вашего ПК, то сначала попробуют сделать это удаленно. Не смогут сделать удаленно - найдут не слишком довольного своей зарплатой человечка в вашей фирме, сунут ему конвертик с деньгами и дадут флэшку, которую он должен вставить в ваш ПК и запустить с нее файлик... Самое слабое звено - это всегда человек, а не операционная система или антивирус.

Тут нужна очень хытрая конфигурация системы »
Для этого используют ПК, не подключенные к сети. По другому 100% защиту не обеспечить.

Ну и да, товарищ artenaki правильно подметил. Если цель - просто уничтожить файлы, то никакие права для этого не нужны. Вы-то (как пользователь) имеете доступ к файлам? Имеете. Значит, и удалить их можно, и зашифровать и т.д.

Для этого используют ПК, не подключенные к сети. По другому 100% защиту не обеспечить. »
абсолютно согласен. Щас активно изучаю администрирование, понял одну простую вещь: все, что можно сделать программно, программно же можно и изменить. Да, все что можно делать без инета, нужно делать без инета. тут нет вопросов. Но как быть с файлами, которые получают и обрабатывают инфу онлайн?

как быть с файлами, которые получают и обрабатывают инфу онлайн? »
Я не спец по информационной безопасности, но, думается мне, вы немного не там спрашиваете. Обратитесь в ту же Лабораторию Касперского, у них наверняка есть коммерческие продукты, которые в ручном режиме можно настроить так, чтобы все общение ПК с внешним миром происходило только через несколько заданных портов и всё это тщательнейшим образом контролировалось, мгновенно перекрывая кислород при малейших подозрения на вторжение извне.

Catilina, S Mode / WDAG http://www.outsidethebox.ms/18937/

Vadikan, S Mode? Да вы смеетесь что ли? В ней вообще работать невозможно. У меня ни одна рабочая прога на нее не встанет. Давно видел эту статью, посмеялсо и дальше пошел.

Avatar-Lion, Каспер - отличный выход конечно. Но в любом случае надо понимать, что и как он делает. Потому что и на старуху бывает проруха, и Каспер везде об этом честно пишет. А во вторых, надо же понимать, за что платишь деньги. Порты, кстати, и ручками прописать можно. Через групповые политики.

Каспер - отличный выход конечно. Но в любом случае надо понимать, что и как он делает.»
Если нужно составить предварительное мнение, то можно в их фан-клубе (https://forum.kasperskyclub.ru/) задать вопрос. Наверняка вы не первый человек, который хочет решить такую задачу и наверняка там найдутся люди, которые прошли всё это на своих предприятиях (или личных ПК), так что смогут поделиться мнениями и впечатлениями.

на старуху бывает проруха, и Каспер везде об этом честно пишет »
Совершенно верно. Любая защита может быть взломана, вопрос лишь в сроках и в цене взлома. Это как с угоном автомобиля. Вы знаете, что его рано или поздно угонят, поэтому заранее подкладываете себе соломки в виде GPS-передатчика и т.д. Так же и тут. Исходите из того, что ваши данные будут украдены и сделайте так, чтобы минимизировать риски и последствия сего неприятного события.

Avatar-Lion,
Если нужно составить предварительное мнение, то можно в их фан-клубе задать вопрос. »

на форумы Каспера не пойду, там поругаться нельзя. А поругаться очень хочется. Потому что все лихо научились брать деньги, но не научились думать о клиентах. Все происходит по принципу - гладко было на бумаге, да забыли про овраги. Я когда начинал с Каспером работать, я проги свои настраивал аж по 2 недели. Потому что никто толком не знает, как его продукты будут взаимодействовать с другими продуктами, какие службы нужны/не нужны, как это все будет работать с политиками настройки Винды, короче 1000 нюансов. Все работают по принципу - свои геморы каждый лечит сам.

S Mode? Да вы смеетесь что ли? В ней вообще работать невозможно. У меня ни одна рабочая прога на нее не встанет. Давно видел эту статью, посмеялсо и дальше пошел. »
Если бы вы вникли в написанное в статье, то поняли бы, что в S Mode работают любые приложения. Однако как минимум все не входящее в комплект нужно явно разрешать политиками.

Kонтроль запуска исполняемого кода - пожалуй, самое эффективное средство защиты ОС Windows, будь то AppLocker или WDAG. И уж куда эффективнее, чем отключать службы, а потом бежать на форум с вопросами, почему бэкап не работает (http://forum.oszone.net/thread-345376.html)...

Vadikan,
Kонтроль запуска исполняемого кода - пожалуй, самое эффективное средство защиты ОС Windows, будь то AppLocker или WDAG. И уж куда эффективнее, чем отключать службы, а потом бежать на форум »
да, спасибо за верный путь. Хотя я уже и сам это понял.