Следовательно, наибольшая опасность исходит от локального пользователя, и минимальная - снаружи.
Следовательно, надо лишить локального пользователя как можно большей части функционала, заставить все оставшиеся операции выполнять через танец с бубном, и добавить бэкдоров.
А чтобы этот самый локальный пользователь чего не сотворил - по умолчанию давать админские права всему, что выполняется снаружи, и лишить пользователя возможности эти админские права у выполняемого извне отобрать.
По-моему, действительно, логично. И, нет, это я даже не про винду.