Можно ли жить без админов
 

Известно, что в целях безопасности инет-серфинг лучше делать из режима стандартного пользователя. Поэтому мне пришла мысль, а не избавиться ли от админов вообще. Потому что паразит, если проникнет в систему, будет стараться заполучить права админа, чтобы получить полный доступ к системе. Допустим, если удалить локального админа, а встроенного отключить? Теоретически тогда изменения в системе невозможны. Но тогда вопрос - как его включить в случае необходимости? Знаю сложный способ с помощью загрузочной флехи. Муторно. Из стандартного пользователя можно включить встроенного админа? Доступен ли будет админ из командной строки?

Встроенный и так отключен. Если удалите локальную учетную запись с правами администратора, то обратной дороги не будет, да. Ну либо
так.

Нет конечно. Иначе, согласитесь, в ограничении прав юзера нет ни малейшего смысла. :) Включить встроенного Администратора может только учетная запись с правами администратора. Что в общем-то логично.

Нет. Да и потом... Вы считаете себя умнее вирусописателей? Не надо.

Мне понятен ваш подход, но вы копаете не в том направлении. Во-первых, исходите из того, что ваши данные уже украдены. То бишь озаботьтесь включением двухфакторной аутентификации на почте и в других местах, чтобы даже знание ваших паролей не помогло злоумышленникам. Во-вторых, конфиденциальную информацию храните либо на зашифрованных разделах, либо вообще на съемных накопителях, которые будут лежать в ящике стола. Там до них никакой троян не доберется.

А делать из компьютера неприступную крепость... Ну, надо понимать, что технически это действительно возможно сделать, однако с ростом уровня защищенности падает удобство и скорость работы. Существующая на данный момент связка (Windows 10 + UAC + встроенный в систему антивирус) представляют из себя достаточно хороший уровень защиты, чтобы юзер мог пользоваться компьютером как обычно и при этом чувствовать себя достаточно защищенным. Методы противодействия вторжению стары как мир и не изменились за последнее время: не запускайте файлы, присланные неизвестно кем, качайте всё из проверенных источников (официальные сайты или торренты), устанавливайте все обновления для системы и используемого ПО.

разумеется, не считаю. И не считаю, что вообще когда-либо кто-либо сможет тотально справиться с этой проблемой. Мой подход - понаставить столько препонов, чтобы пока гад ко мне рвется, я бы его заметил и убил.

копии и лежат в ящике. Но рабочие то файлы постоянно получают и обрабатывают инфу онлайн. Из ящика никак не получится. Разумеется, все на съемных дисках. А зашифрованные файлы могут работать онлайн, или их перед использованием нужно расшифровывать?

тоже так думал. Нет, не представляет. Еще у меня платный корп антивирус. Тоже не представляет. Прорвался гад. Потому и ищу способы, иначе не маялся бы. Тут нужна очень хытрая конфигурация системы. Вот ищу.

ну, это советы для начинающих. Именно так я и делаю. У меня даже в хостах адреса прописаны, куда конкретно можно ходить. Вы просто не сталкивались с настоящими профи.

А смысл? Сейчас основная атака на пользовательские данные (шифровальщики, трояны), они доступны даже без админа. Если повредят систему, то ее переустановить не проблема.

Из чего следует вывод: надо запретить доступ к важным данным и интернету всем приложениям, кроме белого списка. При том, надо иметь в виду, что, например, у браузеров могут быть уязвимости, поэтому им лучше разрешить только интернет. А делиться с ними своими файлами через посредника - файлового менеджера.

Если вы по каким-то причинам стали целью для человека или для группы лиц, то вас никакие антивирусы не спасут. Если цель заключается в том, чтобы украсть некие данные с вашего ПК, то сначала попробуют сделать это удаленно. Не смогут сделать удаленно - найдут не слишком довольного своей зарплатой человечка в вашей фирме, сунут ему конвертик с деньгами и дадут флэшку, которую он должен вставить в ваш ПК и запустить с нее файлик... Самое слабое звено - это всегда человек, а не операционная система или антивирус.

Для этого используют ПК, не подключенные к сети. По другому 100% защиту не обеспечить.

Ну и да, товарищ artenaki правильно подметил. Если цель - просто уничтожить файлы, то никакие права для этого не нужны. Вы-то (как пользователь) имеете доступ к файлам? Имеете. Значит, и удалить их можно, и зашифровать и т.д.

абсолютно согласен. Щас активно изучаю администрирование, понял одну простую вещь: все, что можно сделать программно, программно же можно и изменить. Да, все что можно делать без инета, нужно делать без инета. тут нет вопросов. Но как быть с файлами, которые получают и обрабатывают инфу онлайн?

Я не спец по информационной безопасности, но, думается мне, вы немного не там спрашиваете. Обратитесь в ту же Лабораторию Касперского, у них наверняка есть коммерческие продукты, которые в ручном режиме можно настроить так, чтобы все общение ПК с внешним миром происходило только через несколько заданных портов и всё это тщательнейшим образом контролировалось, мгновенно перекрывая кислород при малейших подозрения на вторжение извне.

Catilina, S Mode / WDAG https://www.outsidethebox.ms/18937/

Vadikan, S Mode? Да вы смеетесь что ли? В ней вообще работать невозможно. У меня ни одна рабочая прога на нее не встанет. Давно видел эту статью, посмеялсо и дальше пошел.

Avatar-Lion, Каспер - отличный выход конечно. Но в любом случае надо понимать, что и как он делает. Потому что и на старуху бывает проруха, и Каспер везде об этом честно пишет. А во вторых, надо же понимать, за что платишь деньги. Порты, кстати, и ручками прописать можно. Через групповые политики.

Если нужно составить предварительное мнение, то можно в их фан-клубе задать вопрос. Наверняка вы не первый человек, который хочет решить такую задачу и наверняка там найдутся люди, которые прошли всё это на своих предприятиях (или личных ПК), так что смогут поделиться мнениями и впечатлениями.

Совершенно верно. Любая защита может быть взломана, вопрос лишь в сроках и в цене взлома. Это как с угоном автомобиля. Вы знаете, что его рано или поздно угонят, поэтому заранее подкладываете себе соломки в виде GPS-передатчика и т.д. Так же и тут. Исходите из того, что ваши данные будут украдены и сделайте так, чтобы минимизировать риски и последствия сего неприятного события.

Avatar-Lion,
на форумы Каспера не пойду, там поругаться нельзя. А поругаться очень хочется. Потому что все лихо научились брать деньги, но не научились думать о клиентах. Все происходит по принципу - гладко было на бумаге, да забыли про овраги. Я когда начинал с Каспером работать, я проги свои настраивал аж по 2 недели. Потому что никто толком не знает, как его продукты будут взаимодействовать с другими продуктами, какие службы нужны/не нужны, как это все будет работать с политиками настройки Винды, короче 1000 нюансов. Все работают по принципу - свои геморы каждый лечит сам.

Если бы вы вникли в написанное в статье, то поняли бы, что в S Mode работают любые приложения. Однако как минимум все не входящее в комплект нужно явно разрешать политиками.

Kонтроль запуска исполняемого кода - пожалуй, самое эффективное средство защиты ОС Windows, будь то AppLocker или WDAG. И уж куда эффективнее, чем отключать службы, а потом бежать на форум с вопросами, почему бэкап не работает...

Vadikan,
да, спасибо за верный путь. Хотя я уже и сам это понял.