Контроль учетных записей Windows или что не хватает в UAC, типа Super UAC.

Начало собственной безопасности начинается из положительной локальной блокировке параметров реестра, как и наоборот, глобальной деструктивной блокировке компьютеров из Интернета. Ряд мер направленные на собственную безопасность ЭВМ в ходе регламента или для усиления собственной безопасности компьютера, что и помогает в конечном счете избегать крупных неполадок или действенная и проверенная наработка в информационных баталиях. Итак, реестр Windows и далее файлы, папки:
а). Смотрим параметры внимательно в ветви реестра и ведь удивительно и разница какая - то бывает, там "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup" и там "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Advanced INF Setup", отличающихся или непонятных записей не должно быть.
б). Смотрим внимательно параметры в ветви реестра "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts" различий или непонятных записей не должно быть, блокируем установив допуска для стандартных объектов безопасности "Чтение", например "Администраторы, Система, Пользователь, Все пакеты приложений, Создатель - Владелец", владелец "Пользователь" текущей учетной записи из которой рассматриваем реестр в всех учетных записях.
в). Смотрим параметры внимательно и сравните на постоянство по времени использования, там "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband" - Панель инструментов - почему - то часто самопроизвольно изменялся параметр "FavoritesChanges" - 4, на другие цифры от 7 до 20. блокируем установив параметр 4 и далее разрешения - запреты безопасности параметров реестра "Чтение" для стандартных объектов безопасности "Администраторы, Система, Пользователь, Все пакеты приложений, Создатель - Владелец", владелец "Пользователь" текущей учетной записи из которой рассматриваем реестр в всех учетных записях или "Администраторы".
г). Смотрим внимательно параметры и направления, не все директории прописаны в ветви реестра "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" и "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders", восстанавливаем и блокируем установив допуска "Чтение" для стандартных объектов безопасности "Администраторы, Система, Пользователь, Все пакеты приложений, Создатель - Владелец", владелец - "Система" и соответственно владелец - "Система" в "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" и "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders". Точно так - же и там "HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" и "HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders". Обращаю внимание не должно быть числовых значений в названии папок вообще, заменяем на прописные значения по названию месторасположения конечной папки, типа с право конечная папка "Links" и на лево название "Links".
д). Смотрим параметры внимательно, там не странно так ведь, если не знаешь, что ветвь реестра "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet 001,002,003\Enum" - это параметры драйверов и разрешениях не должно быть объекта безопасности "Все" - явная "Программная Аллергия", можно заменить на "Прошедшие проверку", все остальное так "Система - Администраторы - "Полный доступ", Пользователи - Прошедшие проверку - "Чтение", Создатель - "Особые". В рассматриваемой ветви реестра из текущей учетной записи владелец - "Администратор или Система".
е). Смотрим внимательно параметры там, разнобой так ведь, например ветвь реестра "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs" и там "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\SharedDLLs", параметры должны быть в числе "2" - Windows 7 и "1" - Windows 10 и на всех пунктах раздела одинаковы, восстанавливаем, блокируем установив разрешения для стандартных объектов безопасности "Чтение", например "Администраторы, Система, Пользователь, Все пакеты приложений, Создатель - Владелец ".
ё). Смотрим параметры внимательно в директории автозагрузка приложений (Run, RunOnce), например, там "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" и скрупулезно там вот "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" и детально там "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run" - автозагрузка программ из реестра - ненужные программы удаляем и блокируем параметр "Run" установив допуска для стандартных объектов безопасности "Чтение", например "Администраторы, Система, Пользователь, Все пакеты приложений, Создатель - Владелец". В ветви "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" владелец объект безопасности "Пользователь" текущей учетной записи из которой рассматриваем реестр в всех учетных записях существующих на компьютере или "Администраторы", далее Владелец - "Система" в ветви "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", политики разрешений - запретов те - же.
ж). Смотрим внимательно параметры в направление разрешения свойств безопасности файлов в папке "C:\Windows\inf" - вот эти два файлы "defltbase.inf - defltwk.inf" - файлы конфигурации загрузки устройств и программ Windows, блокируем разрешения установив разрешения "Чтение и выполнение" в свойствах файла для "Администраторы, Система, Пользователь, Все пакеты приложений, Создатель - Владелец", владелец - "Система". В свойствах безопасности файла на вкладке "Общие - Только чтение - галка", для всех файлов и папок, в принципе можно вообще установить на папку "C:\Windows\inf" ограничение только для чтения для всех папок - файлов из свойства папки "Общие".
з). Кроме того рекомендуется так - же установить галку в свойствах папок - файлов "Только чтение", для всех папок и файлов в Главном меню - Общее меню - Пользовательское меню - Программы там "C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu" и там "C:\ProgramData\Microsoft\Windows\Start Menu\", включая ярлыки в "Быстром запуске" и области уведомления панели задач на Рабочем столе в директории "C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar". Например блокируем от внешних дестуктивных действий третьей стороны все иконки - значки - ярлыки программ в папках "Быстрый запуск в директории "C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch" и папка "Отправить в..." в директории "C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\SendTo" установив флажки в свойствах безопасности папки - Общие", только для чтения к данной папке и всем вложенным файлам.
и). Парольная защита учетных записей пользователей и других данных в принципе полезна, однако единственный верный метод не держите пароли в памяти своей, для этого блокноты есть бумажные, создали и забыли... Вот где прячется вопрос утечки данных... и образуется причинно - следственная связь. Перед установкой нового ПО или обновления не забудьте вернуть все в исходное.
Вывод: - в результате 10 тестовых пунктов само диагностики пройдены положительно, в данном случае применены правила "Авионики" для безопасного использования любой информационной технологии, где принцип действия технического обслуживания означает действие, типа "включил взаимосвязанные программы - выключил паразитические взаимосвязи".