Цитата pankraty:
когда нельзя будет во время сеанса IE вносить изменения в реестр
|
Можно так сделать и без DropMyRight - нажмите правой кнопкой мыши на IEXPLORE.EXE, Запуск от имени, поставь галочку "Защитить компьютер от несанкционированных действий данной программы". После данная программа запустится от группы "ОГРАНИЧЕННЫЕ" - в правах он ограничен ещё жестче, чем обычный пользователь: нет доступа к папке пользователя, реестр становится полностью в режиме "Только чтение"...
Цитата pankraty:
Если ее под админом запускать с ограниченными правами
|
Если просто запускать от прав обычного пользователя (не от группы ОГРАНИЧЕННЫЕ, а от группы Пользователи), то в Windows XP есть дыра - владелец имеет полный доступ ко всем своим процессам. Для примера вы можете запустить диспетчер задач от обычного пользователя и уничтожить свои процессы, которые имеют права администратора. Также владелец может спокойно модифицировать все свои процессы. Хотя многие этого не знают, так что шансы на то, что кто-то этим воспользуется, минимальны, но если зловредное ПО будет проводить, например, инъекцию DLL в каждый процесс, то вас не спасёт отдельный запуск программы от группы Пользователи, а только от группы ОГРАНИЧЕННЫЕ. Кстати, в Windows Vista и Windows 7 такой дыры нет и процессы текущего пользователя, но с разными привилегиями, полностью друг от друга отделяются.
Кроме того работать постоянно под администратором таким методом всё равно опасно - вы можете, например, столкнуться с уязвимостью обработки картинок в explorer.exe и выполнится произвольный код от имени администратора. Или же при чтении PDF Adobe Reader'ом вы можете наткнуться на уязвимость и выполнится произвольный код от имени администратора...