Noob aqui.
Eu olhei em volta e não consegui encontrar uma resposta para isso na Plataforma Windows 7. Isso se refere à proteção de arquivos de dados.
A idéia básica é que os arquivos não devem ter permissão para serem modificados diretamente pelo usuário. Somente através do uso de uma aplicação designada, ela pode ser modificada (Assim Indiretamente). A ideia é que o Aplicativo Designado contenha seus próprios registros de autenticação, controle de acesso e auditoria e possa manipular o conteúdo dos arquivos de dados e manter um registro das alterações feitas nos arquivos de dados.
Aqui estão algumas ilustrações.
Existe um diretório D para o qual o usuário U não tem acesso.
O usuário U usa o Aplicativo A para gerar arquivos de dados F1, f2, F3 que o aplicativo grava no Diretório D.
Isso ilustra o fato de que o usuário só pode gravar no diretório D usando o aplicativo A para criar arquivos de dados, F1, F2, F3, Fn
Se o Usuário U usar o Windows Explorer (ou similar) para renomear / excluir esses arquivos F1, F2, F3, Fn no Diretório D, ele terá acesso negado.
Se o Usuário U usar o Windows Explorer (ou similar) para ler esses arquivos F1, F2, F3, Fn no Diretório D, ele terá acesso negado. Ele precisa usar o Aplicativo A para ler e visualizar esses arquivos no Aplicativo A.
A única solução que eu encontrei para elevar privilégios usando runas com / savecred (credenciais de administrador), mas meu entendimento é que isso aumenta a possibilidade do usuário usar as credenciais salvas para executar algum outro programa (digamos CMD) e ganhar acesso não privilegiado aos arquivos de dados F1, F2, Fn no Diretório D
Finalmente, note que este é um Windows 7 Pro Edition que está sendo executado em um grupo de trabalho.
PS: tenho acesso a admin e posso configurar o PC conforme necessário.