А UAC зачем отключать? Вы, надеюсь, не из-под админа при этом сидите?
Насчет антивирусов — для дома они точно не нужны, ни для слабых ПК, ни для любых других. Только две недели назад видел комп со свежим антивирусом и зашифрованным хомяком — малварь запустилась из системного темпа. Белый список ПО (например, при помощи srp) и малварь бы просто не запустилась.
Работает и на 1Гб. Просто сначала надо поставить вручную фикс для сервиса обновления или сразу накатить кучу обновлений в одном пакете. Потом все нормально ищется и ставится.
Это отстойный софт, если ему нужны повышенные права для постоянной работы. От админа я предложил запускать только установщики, а для обновления(особенно, если несколько раз в день) разработчикам надо было написать сервис. Если этого нет, то придется делать свой каталог для подобного ПО и разрешать по сертификатам через srp/applocker.
Чтобы было легко запустить от админа часто обновляемый софт, но не было так же легко случайно запустить от админа кривой инсталлятор.
Можно посмотреть сертификат(кому и кем выдан, винда недоверенные выделяет другим цветом(видимо специально для простых пользователей)), если не подписан, то сразу в топку.
Похоже ms просто ждет, когда win32 вымрет и заменит все modern-ом. И еще там, что радует, не пройдут любители читать и писать файлы в ui-потоке.
Попробуйте себе сами через security policies запретить запуск исполняемых файлов из каталога %userprofile% много нового узнаете.
У меня все запрещено: и на работе, и дома.
Разработка софта, visual studio по умолчанию создаёт проекты в моих документах и соответственно оттуда запускает исполняемые файлы.
Поменять путь? У меня VS работает от своего пользователя.
Половина инсталляторов сначала распаковывается в каталог %temp% а потом продолжает установку оттуда. А каталог темп по умолчанию в пользовательской appdata.
Софт ставится через админа, для админа нет ограничений, ограничения для обычных пользователей. Просто из-под админа не надо сидеть.
Это в корпоративной среде можно в раз и выключить пользователям запуск из собственного каталога, а потом начинаются мучения, то банк-клиент, то контур-экстерн, то очень-важная-программа.ехе
srp и applocker поддерживают правила по сертификатам. Но да, говнософта очень много. Нужен централизованный updater.
Разве это не вызовет UAC, а в случае отказа на повышение сбой программы?
А почему он должен его вызывать? Может я ошибаюсь, но если в манифесте нет требования запускать с повышенными правами(если нет манифеста(старое ПО), то если включено определение установщиков, тогда может появиться запрос на повышение прав), то uac сам не вызывается.
вот только я не знаю можно ли их вручную назначить приложениям.
можно назначить уровень целостности, например, через icacls.
Тогда еще больше непонятно, почему ms по дефолту не отберет права на выполнение в таких каталогах, если нормальный софт туда все равно ставить не нужно.
Что я не понял? Как защититься от шифровальщиков? Белый список ПО тут рулит — если запускаются строго определенное ПО(DLL туда же относятся + скрипты). Как это реализовать на винде: ACL, srp, applocker. Если нужно обезопасить от записи один каталог, то можно просто повысить ей обязательный уровень целостности.
Но в десктопной ОС обычно только 1 пользователь и защита не имеет смысла.
Как минимум 2:root/admin(в винде еще system и trustedinstaller) и обычный user(+ пользователи, например, для Steam, visual studio, torrent клиента). Если вы сидите из-под админа, то это ваши проблемы.
Гении из Гугла придумали гораздо более умную систему разделения прав в Андроид. Там они запускают каждую программу под отдельным пользователем, и она не может испортить чужие файлы. Плюс, можно урезать полномочия, отрубая даже выход в Интернет. Идеально! Мерзкий скайп не может стырить ваши браузерные куки для целей аналитики! Калькулятор не может сливать информацию в Интернет.
Это также возможно под виндой — свой пользователь на каждую программу — ограничивай как хочешь доступ к данным, сеть и инет — белый список в FIREWALL. Проблема только в том, что это все надо делать руками, но это работает. Почему MS не сделает для обычных пользователей удобный инструмент — я не знаю.
Если ПО установлено в каталоги, где запись обычным пользователям запрещена — их просто включить в список по пути.
Если нет, то по сертификатам. Если не подписано — все плохо, в srp есть правила по хешу, но это очень не удобно.
ПО которое пишет в «Program files» — адовое зло. Приходится создавать отдельных пользователей и настраивать кучу прав. Еще было ПО, которое писало временные файлы на «D:\» !!!..
Тут может помочь отсутствие прав на исполнение, либо srp/applocker. Но из «коробки» везде, где разрешена запись обычным пользователям, разрешено исполнение. Зачем, например, выполнение в документах или «appdata» — непонятно.
До сих пор не понимаю, почему ms из «коробки» не реализует белый список ПО с удобным управлением(для home версий)? Тогда будет не нужна поделка(да еще и не работающая), описываемая в посте.
Прочитал описание в readme. Там говорится, что даже у гостевой группы есть доступ на запись в /windows/tasks. Но на моем компе обычным пользователям доступ только read-only. Или я что-то не понял?
Насчет антивирусов — для дома они точно не нужны, ни для слабых ПК, ни для любых других. Только две недели назад видел комп со свежим антивирусом и зашифрованным хомяком — малварь запустилась из системного темпа. Белый список ПО (например, при помощи srp) и малварь бы просто не запустилась.
Можно посмотреть сертификат(кому и кем выдан, винда недоверенные выделяет другим цветом(видимо специально для простых пользователей)), если не подписан, то сразу в топку.
Похоже ms просто ждет, когда win32 вымрет и заменит все modern-ом. И еще там, что радует, не пройдут любители читать и писать файлы в ui-потоке.
У меня все запрещено: и на работе, и дома.
Поменять путь? У меня VS работает от своего пользователя.
Софт ставится через админа, для админа нет ограничений, ограничения для обычных пользователей. Просто из-под админа не надо сидеть.
srp и applocker поддерживают правила по сертификатам. Но да, говнософта очень много. Нужен централизованный updater.
А почему он должен его вызывать? Может я ошибаюсь, но если в манифесте нет требования запускать с повышенными правами(если нет манифеста(старое ПО), то если включено определение установщиков, тогда может появиться запрос на повышение прав), то uac сам не вызывается.
можно назначить уровень целостности, например, через icacls.
Как минимум 2:root/admin(в винде еще system и trustedinstaller) и обычный user(+ пользователи, например, для Steam, visual studio, torrent клиента). Если вы сидите из-под админа, то это ваши проблемы.
Это также возможно под виндой — свой пользователь на каждую программу — ограничивай как хочешь доступ к данным, сеть и инет — белый список в FIREWALL. Проблема только в том, что это все надо делать руками, но это работает. Почему MS не сделает для обычных пользователей удобный инструмент — я не знаю.
Еще srp обходится с mshta, но права на его запуск можно просто у всех забрать.
Если нет, то по сертификатам. Если не подписано — все плохо, в srp есть правила по хешу, но это очень не удобно.
ПО которое пишет в «Program files» — адовое зло. Приходится создавать отдельных пользователей и настраивать кучу прав. Еще было ПО, которое писало временные файлы на «D:\» !!!..
Почему бы не запускать браузер из-под урезанного пользователя?
У вас flash из-под рута работал?