Можно ли использовать учетную запись администратора для повседневного использования, если UAC включен?

Поскольку я перешел на Windows 7 около 3 лет назад и теперь с использованием Windows 8.1, я познакомился с концепцией контроля учетных записей пользователей и использовал свой компьютер следующим образом: стандартную учетную запись, которую я использую для повседневной работы, В учетной записи администратора активирована и используется только для повышения процессов, когда они этого требуют, или приложений «Запускать как администратора», когда мне это нужно.

Однако недавно, прочитав больше об Управлении учетными записями пользователей, я начал задаваться вопросом, хорош ли мой способ работы? Или я должен использовать учетную запись администратора для ежедневной работы, так как учетная запись администратора не повышается до тех пор, пока не будет запрошена приложениями, или пока я не запрошу ее через параметр «Запуск от имени администратора»? Я спрашиваю об этом, потому что я где-то читал, что встроенная учетная запись администратора является истинным администратором, под которым я подразумеваю, что UAC не появляется при входе в нее, и я боюсь, что у меня не будет проблем при появлении потенциального вредоносного программного обеспечения место действия. Я должен упомянуть, что я не использую его ежедневно, только когда мне нужно поднять некоторые приложения. Я не могу войти в него 10 раз в год …

Итак, как лучше? Спасибо за ваши ответы! И с Новым годом, конечно!

PS Я спросил об этом год назад (: P), и я думаю, что я должен повторить его: в настоящее время учетная запись администратора является безопасной в качестве стандартной учетной записи в сочетании со встроенной учетной записью администратора?

Является ли учетная запись администратора безопасной в наши дни стандартной учетной записью вместе со встроенной учетной записью администратора, когда это необходимо?

Короче: все еще нет.

Более длинный ответ …

UAC не является функцией безопасности

Еще во времена Windows XP и предыдущих версий Windows было довольно сложно практиковать Принцип наименьшей привилегии , не в последнюю очередь в корпоративной среде. Принцип подразумевал, что вы будете выполнять все ваши повседневные задачи, используя стандартную учетную запись пользователя. Любые задачи, требующие прав администратора, будут выполняться с использованием отдельной учетной записи с правами администратора (учитывая, что у пользователя была законная потребность в ней).

Но Windows XP не была разработана с учетом этого, и было много причуд и ограничений при запуске в качестве стандартного пользователя – даже если у вас также был доступ к учетной записи администратора. В качестве стандартного пользователя вы не могли нажимать на часы systray, чтобы показать аккуратный месячный календарь, вы не смогли изменить настройки сети, а функция «работать как» не работала для всего (особенно для Windows Explorer, и, следовательно, Запланированные задания, Принтеры и другие папки папок, если память мне подходит).

Конечно, были обходные пути для многих этих недостатков, но потребовалось много времени, чтобы обнаружить, документировать и, ну, работать вокруг них.

Безопасность – это баланс между безопасностью и удобством . UAC был представлен с Windows Vista, в первую очередь для обнаружения, когда необходимы права администратора, и автоматически запрашивать аутентификацию с другой учетной записью с правами администратора. Это значительно упростило практику Принципа наименьшей привилегии.

В качестве побочного эффекта выполнение задач, требующих прав администратора, при входе в систему с учетной записью администратора дает вам возможность фактически подтвердить, что вы хотите реализовать эти права. Запросы UAC при установке программного обеспечения кажутся разумными, тогда как при открытии обычной веб-страницы нет.

Однако оказалось, что большинство пользователей не используют отдельные учетные записи, и довольно много ежедневных задач требуют прав администратора (настройка параметров для часов, сети, плана питания и т. Д.) И, таким образом, запускает приглашение UAC в Vista. Это множество подсказок приводит к тому, что большинство пользователей

A) Слегка принять любые приглашения UAC, не обращая внимания на то, что на самом деле требует повышения, или

Б) полностью отключить подтверждение UAC

В Windows 7 Microsoft выполнила несколько разрешений для автозапуска Windows, поэтому, если вы используете учетную запись администратора, некоторые действия автоматически выполняются с повышенными правами (admin). Это сделало ОАК намного менее навязчивым.

Автоувеличение UAC может быть использовано

Итак, в Windows 7 есть встроенный механизм для автоматического повышения прав. Если этот механизм может быть использован, приложением, работающим со стандартными правами пользователя, тогда UAC (который не был разработан как механизм безопасности), можно обойти, и вы можете закончить запуск приложений с правами администратора, хотя вы еще не были Было предложено подтвердить это.

Оказывается, автоопределение UAC на самом деле может быть использовано, введя код, как доказал Лео Дэвидсон ( белый список Windows 7 UAC: проблема с вводом кода (и более) ), а также обсужден и продемонстрирован Long Zheng ( UAC в Windows 7 все еще сломан, Microsoft не сможет / не сможет исправить уязвимость в отношении кода ).

Вывод

С точки зрения безопасности все же имеет смысл использовать отдельные учетные записи для повседневной работы и все, что требует прав администратора. Это единственный способ быть (разумно) уверенным, что никакие приложения не запускаются с правами администратора без вашего явного разрешения.

Тем не менее, это баланс между удобством и безопасностью. Как отметил @GeminiDomino, вы также можете заполнить все порты эпоксидной смолой, которые используются военными. Вы также можете запускать свой компьютер «воздушным ударом», например, Брюсом Шнайером , чтобы он никогда не подключался напрямую к какой-либо сети.

В конце концов, все сводится к тому, что вам все равно, если вы должны явно аутентифицироваться при выполнении задач администратора или нет.

Самый безопасный? Отключите сеть и монитор, заполните все порты эпоксидной смолой и разоберите жесткий диск, рассеивая детали через подземелья Hyrule.

Серьезно, однако, мои опасения обоснованы, по моему опыту. Не только из-за вредоносного ПО и других непослушных программ, но и потому, что вы, в конце концов, человек. Разумеется, в контексте ограниченного пользователя вы можете совершать ошибки, наносящие большой урон. Как администратор, вы можете сделать весь этот урон и многое другое.

Бег изо дня в день, поскольку администратор может быть очень заманчивым, особенно при работе с определенными пакетами программного обеспечения, которые, похоже, не любят сотрудничать с «Запуск от имени администратора» в своих обновлениях (я смотрю на вас, VirtualBox … ), Но так как ваш заголовок говорит «безопасно», я собираюсь сказать, что лучше иметь дело с теми, кто иногда появляется, как и сейчас. Хорошие инстинкты.

С новым годом!

  • Совместное использование одной учетной записи onedrive между двумя учетными записями пользователей на Mac
  • Как определить регистрацию пользователя в Windows XP?
  • Samba + Windows: разрешить несколько подключений для разных пользователей?
  • SSH ключ RSA с пользователем без root
  • Синхронизация учетных записей между двумя компьютерами Windows
  • Учетная запись администратора предотвращает возврат Windows 10 до 8.1
  • Как добавить пользователей на FTP-сайт в IIS Windows 7?
  • Как добавить пользователя Azure Active Directory в группу локальных администраторов
  • Запуск интерактивной задачи, даже если пользователь не зашел в Windows
  • Как запустить Chrome с помощью указанного «профиля пользователя»?
  • Как вернуться к работе с ПК с Windows 7, у которого нет учетной записи администратора?
  • Interesting Posts

    Резюме прерванной копии файла Mac OS X

    Как удалить или деактивировать мою лицензию на Windows 7 на одном компьютере и использовать ее на другом

    Как форматировать номер телефона в виде строки в Java?

    Где находится папка сборки Xcode?

    Аннотировать точки данных при построении графика из Pandas DataFrame

    Получение страницы facebook с помощью app_scoped_user_id больше не возможно?

    Преобразование строки в имя переменной или тип переменной

    SSRS 2005 Устанавливает SimplePageHeaders в отчете вместо сервера?

    SVG-анимация не работает на IE11

    Служба Windows не смогла получить скриншот в Windows 7

    Есть ли способ доступа к серверу приложений GAE dev в локальной сети?

    Действиям ребенка не разрешено выполнять действия перенаправления после установки сайта на HTTPS

    Как получить домен и имя приложения?

    Метод setMobileDataEnabled больше не может быть вызван как для Android L, так и позже

    Можно ли получить идентичный hash SHA1?

    Давайте будем гением компьютера.