Au cours des trois derniers mois, je cours avec une configuration similaire sur mon poste de travail principal. Mon utilisateur principal dispose de droits d'exécution sur un répertoire ou d'écriture mais jamais des deux.
Cela signifie qu'aucun nouveau fichier exécutable ne peut être introduit par ce compte. C'est le pro, je peux exécuter des programmes déjà sur le système ou installés par d'autres comptes, mais je ne peux pas télécharger de nouveau programme et l'exécuter, cela signifie que tout logiciel malveillant qui arrive via un navigateur ou d'autres moyens a beaucoup plus de mal à s'exécuter sur mon système, l'injection de DLL simple ne fonctionne pas non plus.
Comme d'autres l'ont souligné, le principal problème est que certains logiciels légitimes utilisent les emplacements que j'ai bloqués. Dans mon cas:
- Google Chrome - J'ai installé la version msi
- n'importe quelle application Portable Apps - que j'exécute maintenant sous un autre utilisateur
- Process Explorer - J'utilise directement la version 64 bits extraite
- dism.exe - exécutez en tant qu'administrateur, ce que je dois faire la plupart du temps de toute façon.
Donc, fondamentalement, j'utilise trois comptes, un avec lequel je suis connecté, un autre compte utilisateur normal pour exécuter certains programmes validés et un compte administrateur pour installer de nouveaux logiciels pour les deux autres.
J'aime le fait que cela m'oblige à tester tout logiciel nouvellement téléchargé dans une machine virtuelle.
Je démarre la plupart de mes programmes via PowerShell et ayant trois shells, un pour chaque compte me convient. Que cela fonctionne pour vous dépend vraiment de la quantité de logiciels que vous utilisez qui doit être traitée différemment.
Sur une machine de développeur, cela ne fonctionne pas vraiment car je dois compiler mon code puis l'exécuter. J'ai donc fait une exception pour mon répertoire de code sur un lecteur de données, les logiciels malveillants pourraient analyser tous les lecteurs et trouver cela.
J'utilise des listes de contrôle d'accès NTFS plutôt que des politiques pour appliquer cela. Cela empêche l'exécution de tout programme, mais je peux toujours créer un script PowerShell, puis l'exécuter et cela peut causer suffisamment de dégâts.
Donc, même si cela rend les choses plus difficiles, il n'est pas sûr à 100% mais vous protégerait toujours contre la plupart des logiciels malveillants actuels.
Of course, this could impact legitimate programs as well.
- légèrement ...