Еще бы починили установку прав на свои директории — зачем-то делают владельцем непривилегированного пользователя с полным доступом. Приходится запускать из-под отдельного пользователя.
Вообще, софт, который упрямо пытается ставиться в каталог пользователя сильно раздражает необходимостью прописывать кучу правил в srp. Как один из вариантов - можно делать отдельного пользователя для такого ПО и запускать из-под него.
не понятно, почему наплодив столько сервисов, они забили сделать хотя бы сниженный приоритет для них. Из всех системных, что видел, только cервис оптимизации томов работает со сниженным приоритетом, остальное - везде обычный.
cами сделали уровни приоритета для цп, io и памяти - но ими не пользуются.
В предупреждении Microsoft сказано, что «в поддерживаемых версиях Windows 10 успешная атака может привести только к выполнению кода в контексте песочницы AppContainer с ограниченными привилегиями и возможностями».
на домашнем ПК тоже можно использовать учетную запись с обычным уровнем прав + иметь админскую для запуска от ее имени ПО, когда это требуется.
да, если под обычной учетной записью указанные в статье проблемы не существуют, то не очень понятно зачем создавать какие-то проверки.
Проявляются ли указанные в статье проблемы в случае использования учетной записи с обычным уровнем прав?
К UAC не относится окно запроса учетных данных при попытке выполнить с правами админа?
Все эти обходы UAC работают когда пользователь НЕ входит в группу "Администраторы"?
куда? в /program files(x86) ?
Вообще, софт, который упрямо пытается ставиться в каталог пользователя сильно раздражает необходимостью прописывать кучу правил в srp. Как один из вариантов - можно делать отдельного пользователя для такого ПО и запускать из-под него.
на том, смонтированный на букву d?
зачем? в чем плюсы?
по-умолчанию, нет. но лучше бы он был - в чем смысл устраивать проходной двор из системы - хз.
да, но приложения при этом устанавливаются для каждого пользователя, при этом не нужно устраивать проходной двор в каталоге пользователя.
Что плохого в том, чтобы повысить безопасность, ограничив список запускаемого ПО?
Исполняемые файлы должны быть там, куда обычным пользователям писать запрещено. Иначе, привет малварь.
Если не ошибаюсь, UWP приложения из winstore ставятся для каждого пользователя в windowsapps, которая расположена в program files.
это не значит, что он x86.
chrome для amd64 тоже по-умолчанию зачем-то туда ставится.
не понятно, почему наплодив столько сервисов, они забили сделать хотя бы сниженный приоритет для них. Из всех системных, что видел, только cервис оптимизации томов работает со сниженным приоритетом, остальное - везде обычный.
cами сделали уровни приоритета для цп, io и памяти - но ими не пользуются.
железо очень норм в сравнении с тем атомным нетбуком.
— постоянно?
Просто 7-8 минут — это очень долго, даже нетбук 2011 года с дохлым атомом грузится быстрее.
Встроенный «защитник» отключали?
/update:
если правильно понял статью:
www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates
Пытаются убедить запустить «обновление»?
Но какой админ это сделает?
С подобным софтом и на более мощном железе все печально.
доступа не должно же быть ко всей файловой системе?
т.е. можно не париться(в случае десятки)?
Совсем, наверное, не запретят, иначе как делать аккаунты для сервисов и программ.