Останні три місяці я працюю з подібним налаштуванням на своїй головній робочій станції. Мій основний користувач або виконує дозволи до каталогу, або дозволи на запис, але ніколи і те й інше.
Це означає, що за допомогою цього облікового запису не можна вводити нові виконувані файли. Це профі, я можу виконувати програми вже в системі або встановлені іншими обліковими записами, але я не можу завантажувати будь-яку нову програму і запускати її, це означає, що будь-яке зловмисне програмне забезпечення, яке надходить через браузер чи інші засоби, має набагато важчий час для запуску у моїй системі просте введення DLL також не працює.
Як зазначали інші, головна проблема полягає в тому, що деяке законне програмне забезпечення використовує локації, які я заблокував. У моєму випадку:
- Google Chrome - я встановив версію msi
- будь-яке додаток Portable Apps - яке я зараз запускаю під іншим користувачем
- Провідник процесів - я безпосередньо використовую витягнуту 64-бітну версію
- dism.exe - запускати як адміністратор, що мені доводиться робити більшу частину часу.
Таким чином, я в основному використовую три облікові записи, один з яких я входив, інший звичайний обліковий запис користувача для виконання певних перевірених програм як, а обліковий запис адміністратора для встановлення нового програмного забезпечення для двох інших.
Мені подобається те, що він змушує мене перевірити будь-яке нещодавно завантажене програмне забезпечення у віртуальній машині.
Я запускаю більшість своїх програм через PowerShell і маю три оболонки, по одній для кожного облікового запису мені добре. Чи справді це працює для вас насправді, залежить від того, скільки програмного забезпечення ви використовуєте, до якого потрібно поводитися по-різному.
На машині розробника це насправді не працює, тому що я повинен скласти свій код і потім виконати його. Тому я зробив виняток для свого каталогу коду на накопичувачі даних, зловмисне програмне забезпечення могло просканувати всі диски та знайти це.
Я використовую ACL-файли NTFS, а не політику для цього. Це заважає запускати будь-які програми, але я все одно можу створити сценарій PowerShell, а потім запустити це, і це може завдати достатньої шкоди.
Тож, хоча це ускладнює справи, він не є на 100% захищеним, але все одно захистить вас від більшості поточних шкідливих програм.
Of course, this could impact legitimate programs as well.
- трохи ...