Виктор Ганелес

В большинстве случаев это реализовано через Certificate Pinning.

Т.е. ни какое ПО не может встать посередине (MITM), так как не сможем предоставить необходимый сертификат приложению.

Скажу сразу - о сроках жизни даже не беспокойся)

Одним из главных факторов срока жизни SSD является количество перезаписей на ячейки диска. Чем объёмнее накопитель и больше допустимых циклов перезаписи, тем дольше он прослужит. Тип SSD с TLC имеет 500-1000 (возможно, и более) циклов перезаписи ячейки, и соответственно есть такой параметр, как TBW (Total Byte Write), - общее число байт которое можно записать на диск, после чего ячейки памяти израсходуют свой ресурс.

Все мои SSD (Samsung, Plextor) жили не более 4-5 лет, получается Macbook Air проживет также?

SSD в MacBook'ах стоят хорошего качества и с огромным количеством циклов перезаписи, да стоят они дорого. Если сравнивать твои SSD с теми, что использует Apple, цифры будут сильно отличаться в пользу Apple - и в цене, циклах перезаписи, и тп. На такие диски, как в iMac/MacBook, производители обещают срок службы до 10 лет.

А теперь посчитаем. Допустим, SSD у MacBook Air 2018 имеет объём 128Гб и 800 циклов перезаписи на одну ячейку памяти, а железо меняют раз в 4 года в среднем. Срок службы производитель заявляет до 10 лет.

1. "Чтобы угробить диск за 4 года, нужно...":
а) TBW = 128Гб * 800 циклов / 1024 = 100 ТБ информации можно записать на диск, чтобы ячейки памяти отказали.
б) 100ТБ / (4 * 365 дней) * 1024 = 70 ГБ нужно перезаписывать в день, чтобы диск за 4 года пришёл в негодность.
в) DWPD = 100ТБ / (128Гб * 4 * 365 дней) * 1024 = 0.54 - количество перезаписей всего объема накопителя в день (из 800 допустимых).

2. Время жизни с учётом погрешностей:
Средний пользователь записывает-удаляет 20Гб информации ежедневно (с учётом нагрузки софта на диск).
100 ТБ * 1024 / (20Гб * 365 дней) = 14 лет службы диска, берём в расчёт различные внешние факторы, влияющие на жизнь SSD = получаем 8-11 лет безотказной работы SSD у MacBook Air 18г.

3. "Если объём увеличен в двое":
Точно такой же диск, но с объёмом памяти 256Гб будет иметь показатели, увеличенные в 2 раза.
Например, TBW = 200Тб или 140 ГБ/день перезаписи за 4 года. Но DWPD останется прежним и срок службы тоже до 10 лет.

Вывод:
а) MacBook Air 2018 c 128Гб будет иметь жизнь диска 8-11 лет при условии эксплуатации среднего пользователя;
б) Если ты покупал недорогие SSD с 128-256Гб памяти с меньшим циклом перезаписи, срок службы для них 4-6 лет - как и получилось в твоём случае;
в) У более объёмных носителей показатель TBW может достигать и 900Тб, и даже выше.

Evercookie. Ранее для таких задач было популярным решение Evercookie (github, статья 1, статья 2). Это решение и на данный момент используется на различных проектах, над которыми я работал. Если кратко, это «стойкие cookie», которые сохраняются множеством различных способов, и которые сложнее очистить. В прошлом это решение позволяло получать значение таких cookie даже работая в разных браузерах или даже после переустановки браузера.

Для борьбы с Evercookie, существуют например приложения, которые умеют чистить такие «стойкие cookie» (предполагаю, что Bleachbit одно из таких приложений).

Fingerprint. Другие более современные решения, которые можно использовать отдельно и совместно c Evercookie — это Anonymous browser Fingerprint, которые уже указали здесь ранее. Они работают на основе отпечатков браузера/ОС/девайса и т. п. Статья по теме. Одной из популярных библиотек является Valve/fingerprintjs2.

Для борьбы с Fingerprint клиентские приложения научились предотвращать автоматическое считывание Fingerprint, уведомлять о таких попытках пользователей и даже делать подсказки пользователям, как работать в интернете, чтобы оставаться анонимным и Fingerprint невозможно было получить. Ещё одну проблему с этим решением можно почувствовать на мобильных устройствах, среди которых возможны нередкие совпадения отпечатков, но тут спасает сочетание различных техник.

И дополнительно можно почитать про определение локальных IP-адресов через WebRTC.

Вам верно написали про политики ограничения запуска программ (Software Restriction Policy или SRP / App Locker). Попробую немного прояснить суть решения проблемы.

Главное что нужно сделать это при помощи NTFS ACL заблокировать пользователям возможность запускать программы отовсюду куда они могут записать файлы и при помощи SRP ограничить операционке права запускать программы только каталогами каталогами в которые пользователи не могут писать. В общем случае должно быть разрешено запускать программы только из Program Files и Windows, но запрещено запускать из systemdrive:\Windows\tmp и systemdrive:\Windows\blablabla\spooler

Для этого нужно понимать, что такое права NTFS их наследование. Все диски в системе на которых есть программы которые можно запускать программы — сделать NTFS. Лучше всего всегда чтобы запускаемые программы были только в Program Files при этом пользователи этих программ никогда не должны иметь прав записи в системные каталоги.

Любые манипуляции с NTFS и ACL должен проводить человек который понимает что делает!

Затем:

1. изменить права на диски таким образом чтобы гость, да и вообще пользователи не могли создавать каталоги и файлы. Единственное обязательное разрешение папки с профилями пользователей и временные папки Windows включая "принтерный спулер". Главный запрет папка с Program Files (незачем туда писать ни пользователям ни пользователям удалённого рабочего стола ни инсталяторам. Всёравно ставить программы и обновления будем от учётки админа)
   
2. снять к права пользователей c папки Program Files. Не запретить, а именно снять! (запретом можно случайно сломать доступ и админам) Пользователям можно оставить только Читать каталоги и подкаталоги но не файлы! Traverse folders
   
3. после этого включите политику ограничения программ или App Locker и проверьте что пути откуда допускается запуск программ не допускают пользователям записывать данные. Для пущего запрета можете добавить блокировку запуска из некоторых каталогов в Program Files но очень осторожно! Можно повредить систему так что потом и системы и у админа будут проблемы.
   
4. проверьте и добавьте ограничение запуска из временных папкок Windows и spooler Windows. Они обычно находятся в папке Windows, а на неё включено разрешение запуска программ (иначе система не стартанёт).
   
5. после этого разрешите в Program Files пользователям запускать программы только из папки Google Chrome хотя я рекомендую Mozilla Firefox
   
6. также рекомендую снять право пользователей запускать Internet Explorer (некоторые программы Microsoft умеют обходить SRP)
   

Теперь при установке программ от учётной записи администратора нужно будет отключать SRP и ставить программу или обновление, затем включать SPR.

Несколько замечаний.
SRP и/или AppLocker есть не во всех дистрибутивах Windows. Понятно, что MS это машина по зарабатыванию денег. Но SRP напрямую затрагивает основу основ компьютерной безопасности операционных систем Windows и для меня выглядит не совсем логичным добавить UAC но не дать возможность защищать систему при помощи SRP на самой дешёвой OEM Windows системе. До появления SRP я пользовался замечательной программой TrustNoExe. Она бесплатна ставится в виде сервиса имеет белые и чёрные списки. На новых дистрибутивах Windows я её не испытывал, но она могла бы закрыть брешь в безопасности Windows где есть NTFS но нет SRP.

SRP это не панацея. К сожалению программы умеющие исполнять скрипты например Word, Excel и т д можно использовать для инжекции постороннего исполняемого кода, а значит можно пытаться поднять привилегии используя известные и не очень уязвимости.

Дополнительные рекомендации:
При установке всяких программ типа Google Chrome, Mozilla Firefox, Skype, FoxItReader и т д (их количество будет продолжать расти). следить чтобы они не наставили своих сервисов. С появлением UAC в Windows, всем есть дело и все явно (есть птичка отказаться) или подло (нет выбора) ставят такие сервисы. Если программа ставит такой сервис — удалить его sc delete имя_сервиса. Назначение этих сервисов — скрытая установка своих программ. Отвратительные побочные явления — внезапная поломка системы после неудачного обвноления (включая обновления Windows) У нас был случай когда на клиентских серверах Win2008 после автоматического обновления тотально (у большого числа клиентов) перестал работать терминальный сервер, в результате чего пришлось удалять часть обновлений и ставить другие. После этогого все автообновления были отключены и заблокированы. Нехотите таких сюрпризов — пресекайте все попытки программ установить свои сервисы. Есть программы которые после своей установки хамским образом меняют NTFS acl таким образом что разрешают писать всем в каталог этой программы в Program Files — это сведёт к нулю все ваши старания ограничить запуск программ. Избавляйтесь от таких программ используйте нормальные которые не пишут в Program Files.

Кроме этого такой подход позволит вам отказаться от антивирусов если не будете бездумно ставить всякий неизвестный и даже известный софт.

Поставить Chrome OS. Вам же кроме браузера ничего не нужно, да и на антивирус не надо раскошеливаться.

del %~s0 /q

Ну про одновременно - не знаю, но вместо Alt+space и переместить используйте Win+shift+влево/вправо, в зависимости от того, какой монитор был основным. Это намного проще для одного окна.