[jamesraynor]

Цитата Denisoff:

Так и живите, как жили. »

Экспериментировать всегда интересней. Тем более, неопробованная фича не даст мне покоя.

[yurfed]

Цитата Vadikan:

Утверждение неверно из-за непонимания принципов работы AppLocker. »

Дело совсем не в этом. Просто нет идеально написанных программ, которые "выскакивают из пера" в последней и окончательной редакции.
Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"?
Огульно полагаться на какой то один вариант (в чём угодно), не совсем логично. Даже, казалось бы, самые надёжные источники, в один момент могут оказаться провальными.

Цитата jamesraynor:

Тем более, неопробованная фича не даст мне покоя. »

Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас.

[Vadikan]

yurfed, технически AppLocker не является границей защищенной зоны, но при правильной настройке это решение обеспечивает более высокую степень защиты, чем антивирус. Разница в том, что антивирус блокирует запуск кода только в том случае, если считает его небезопасным. AppLocker блокирует всегда.

Цитата yurfed:

Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"? »

Угу, именно поэтому вероятность попасть под 0-day намного выше с антивирусом, ибо может эксплуатироваться любая уязвимость, а не конкретно уязвимость AppLocker.

[WindowsNT]

В описании не указаны ещё пара пунктов:
- вовремя устанавливаются обновления на операционную систему, приложения и аддоны;
- разрешения NTFS не позволяют стандартному пользователю писать в папки приложений;
- чистые руки Администратора, который не скачивает абы что абы откуда.
Впрочем, вы полное описание настроек уже читали.

Мой опыт работы в указанной вами конфигурации: 10+ лет (да, Апплокеру меньше 10, но SRP встроено в XP с конца 2001 года). На объёме сети около 1000 компьютеров вирусов нет. Но я защищаю Апплокером и Администратора тоже, ведь администратор — самый опасный пользователь!

За отдельно взятые дыры Апплокера я бы пока не стал бояться. Почитал описание — для эксплуатации конкретно той уязвимости требуются "специальные манипуляции". Таких макросов in the wild ещё никто не регистрировал ни разу, полагаю. Зато макросы по умолчанию уже давно не запускаются.

У антивирусных программ дыр на порядки порядков больше, а процент успешного отлова новых вирусов традиционно крайне низок. Практически все громкие эпидемии прошлись по компьютерам, на которых был антивирус, но не было whitelisting, это факт.

[jamesraynor]

Цитата yurfed:

Цитата jamesraynor: Тем более, неопробованная фича не даст мне покоя. » Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас. »

Спасибо за хорошие слова, трудностей действительно оказалось много...

[WindowsNT]

Например?

[jamesraynor]

Цитата WindowsNT:

Например? »

Спасибо за ценную информацию. Я считаю себя уверенным пользователем, варезом не пользуюсь, порнушкой не балуюсь
Ну например- я собираюсь защитить и администратора, и мне как-то надо для определенных папок Пользователю разрешить только чтение, а админу полный доступ (чтобы их можно было считать безопасными и запускать с них файлы), но не могу его человечески настроить: так я хочу,чтоб эти папки выглядели (мне удалось задать разрешения самому):

[jamesraynor]

Цитата WindowsNT:

Например? »

А вот так выглядит, и НУЖНЫМ изменениям не поддаются:

[jamesraynor]

Пробовал даже присвоить владение этими папками (добавил пункт в контекст take ownership), но не возымело действия..

[WindowsNT]

Ну это всего лишь показывает, что разрешения назначены не на требуемую папку, а наследуются сверху.
Прервите наследование вышестоящих разрешений в кнопке Дополнительно и назначайте разрешения по вкусу.

Единственное, я бы делал несколько иначе, а именно:
- доступ с системы снимать нежелательно (должен остаться Full Control)
- доступ пользователям поштучно назначать нежелательно, для этого есть группы (например, группа Users)
- доступ пользователям не должен превышать Modify. Full Control - для администраторов.