Рекомендации:
1. Используйте файловую систему NTFS. Только в ней для Windows можно назначать права доступа к файлам и папкам.
Запретите запись, изменение, создание и удаление файлов и папок:
-- в корне системного диска
-- для папок Program Files и Windows
Пользователь должен иметь права записи только в свою домашнюю и папку и папку для всех пользователей (All Users)
2. Используйте последние обновления системы.
3. НЕ ПОЛЬЗУЙТЕСЬ УЧЕТНОЙ ЗАПИСЬЮ С ПРАВАМИ АДМИНИСТРАТОРА СИСТЕМЫ ДЛЯ ВЫПОЛНЕНИЯ ПОВСЕДНЕВНЫХ ЗАДАЧ! Для этого создайте учетную запись с правами пользователя.
4. Обязательно используйте пароль для учётных записей с правами администратора. Пароль должен отвечать следующим требованиям:
-- должен иметь длину не менее 7 символов
-- не выбирать в качестве пароля или части пароля любое слово, которое может являться словом словаря или его модификацией
-- и уж тем более не использовать в качестве пароля имя пользователя, свое имя, фамилию или дату рождения и пароли вроде "qwerty" и "123456".
-- пароль должен содержать символы из возможно большого символьного набора. Нельзя ограничиваться только символами A-Z, желательнее использовать в пароле и буквы, и цифры, и специальные символы
-- символы пароля, являющиеся буквами, должны быть как верхнего, так и нижнего регистра, что затруднит восстановление пароля, производимое по NT-хэшу
5. Пользуйтесь антивирусом. Даже при работе с правами пользователя нет 100% гарантии того, что ваша система или личные данные не подвергнуться заражению.
6. При наличии интернета, желательно установить firewall.
7. Запретить удалённое управление реестром, отключив службу "Удаленный реестр"
8. отменить использование особых общих папок ADMIN$, C$ и т.д., позволяющих пользователю с административными правами подключаться к ним через сеть. Для этого необходимо добавить в реестр параметр AutoShareWks или AutoShareServer (для версии Server) типа DWORD и установить его в 0 в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Диапазон: 0-1, по умолчанию - 1.
0 - не создавать особые общие ресурсы;
1 - создавать особые общие ресурсы.
9. Пользователь должен иметь права на изменение и создание параметров реестра только для своей ветки HKEY_CURRENT_USER.
10. Если вы используете автоматический вход в систему (что не рекомендуется) настраивайте автоматический вход только через
control userpasswords2. В этом случае пароль будет храниться в системе в зашифрованном виде. А это предпочтительнее использования ключа реестра DefaultPassword, где пароль храниться в открытом виде.

Настройка прав доступа к файлам и папкам:

NTFS и права человека

Для каждого объекта, который хранится на диске в NTFS, поддерживается контрольный список доступа (ACL). Он определяет перечень пользователей, которым разрешен доступ к данному объекту, а также тех, кому запрещен. Каждая запись в таком списке называется записью, контролирующей доступ АСЕ (Access Control Entry). В ней содержатся:

SID пользователя или группы пользователей;
список разрешений доступа (например, на чтение и запись);
данные о наследовании, которые определяют будет ли Windows использовать разрешения из родительской папки;
флаг, указывающий на разрешение или запрет доступа.
Для того чтобы разрешить или отказать в доступе к объекту (файлу или папке), необходимо модифицировать АСЕ. Делать это могут владельцы объекта, члены группы «Администраторы» и обычные пользователи, которым разрешили это сделать либо первые, либо вторые.

В Windows XP при включенной опции «Использовать простой общий доступ ко всем файлам» возможности по изменению прав весьма ограничены. Заблокировав эту опцию в меню Проводника «Сервис—> Свойства папки —> Вид», вы получите доступ к набору прав NTFS (пользователям XP Home Edition, чтобы блокировать «простой общий доступ», придется перезагружаться в безопасном режиме). Дальнейшее управление правами производится на закладке «Безопасность» в свойствах объекта.

В Windows XP управление доступом к ресурсам реализовано с помощью набора предопределенных базовых прав доступа (их шесть): полный доступ, чтение, запись и т. д.. Но есть еще и двенадцать специальных прав доступа, с помощью которых разрешения настраиваются более тонко. Добраться к ним можно, нажав «Дополнительно» на вкладке «Безопасность», после чего нужно два раза щелкнуть на имени пользователя. Использование предопределенных прав упрощает процесс администрирования. На самом деле, если вы устанавливаете флаг «Чтение и выполнение», операционная система сама назначает пять отдельных прав доступа: выполнение файлов, чтение данных, атрибутов, дополнительных атрибутов, разрешений. Считается, что шести предопределенных прав в обычных случаях вполне достаточно.

Права доступа предоставляются установкой флажка в столбце «Разрешить». Флажки «Запретить» устанавливаются, когда требуется явно запретить применение указанного права доступа пользователю. Они имеют высший приоритет по сравнению с разрешениями и применяются в основном для внесения ясности при наложении прав нескольких пользователей. Если требуется полностью блокировать доступ к объекту, выберите для нежелательного пользователя «Запретить» в строке «Полный доступ».

В разделе NTFS каждый файл или папка имеют владельца, который может предоставлять или отказывать в правах доступа другим пользователям или группам. Владельцы могут заблокировать любого пользователя, включая членов группы «Администраторы». Владелец объекта может предоставлять свои права другому пользователю, если тот является членом группы «Администраторы». Сменить владельца можно на закладке «Безопасность —> Дополнительно —> Владелец». Кроме того, администратор системы может получить право собственности на любой объект.

Разнообразие средств управления учетными записями не может не радовать. Так, наряду с визуальными утилитами в ХР есть возможность пользоваться для администрирования утилитами командной строки, например cacls. Эта программа позволяет организовывать просмотр существующих прав доступа к файлам и папкам путем ввода в консоли команды: cacls имя_файла. Права доступа к указанному файлу изменяются добавлением соответствующих параметров в конце строки. При просмотре разрешений с помощью cacls отображается сокращенный перечень АСЕ для каждого файла, указанного в качестве аргумента. Каждый АСЕ нключает имя пользователя и одну букву для любого из стандартных настроек прав доступа: F (full control) — полный контроль, С (change) — изменение и т. д.

Настройка прав доступа к реестру.

Чтобы просмотреть и изменить права доступа в реестре, запустите из меню «Пуск» regedit, щелкните на нужной ветви правой кнопкой мыши и в ниспадающем меню выберите пункт «Разрешения». Все почти как при работе с файлами, но отличия все же есть. При работе с реестром используется ограниченный SID. В результате запуска программы на выполнение из-под пользовательской учетной записи к ней добавляется маркер restricted, блокирующий попытки изменения системного реестра.

Источник: http://www.winlab.ru/page3.html

Слово о RUNAS..
Коротко: runas - это утилита командной строки, с помощью которой можно запускать программы от имени другого пользователя. Например, многие программы по тем или иным причинам не могут работать с ограниченными правами.
Общий формат команды:

Однако вам каждый раз надо будет вводить пароль пользователя, от имени которого вы хотите запустить программу. Это неудобно, но очень разумно с точки зрения безопасности, ибо пароль не должен так просто лежать в bat-файле.
В Windows XP Professional и Windows 2003 у команды RUNAS появился новый ключ, который эту проблему решает - /SAVECRED. Если вы укажете его в команде RUNAS, то пароль вам будет предложено ввести только один раз. А далее всевозможные запуски любых программ от имени этого пользователя через команду RUNAS пароля запрашивать не будут!
Очевидно, рано или поздно вы захотите, чтобы возможность запуска без пароля прекратилась. Для этого следуем в "Пуск -> Выполнить" и в командной строке набираем команду control userpasswords2, а в открывшемся окне идём на вкладку "Дополнительно". Нажимаем кнопку "Управление паролями". Тут можно удалить все те строчки пользователей и аккаунтов, для которых вам не нужен автоматический ввод пароля. Обратите внимание, что в этом хранилище находятся пароли не только для системной команды RUNAS, но и для работы в локальной сети.