Стандартные пользователи все еще полезны, когда Windows 8 имеет UAC?

8

Мой последний компьютер работал под управлением XP; администраторы имели неограниченный доступ (без UAC), и моя обычная повседневная учетная запись была обычным пользователем. Я просто сделал «запустить как», а затем ввел учетные данные администратора, когда мне нужно было что-то сделать, например, установить программное обеспечение. Имеет смысл иметь ограниченную ежедневную учетную запись (как в Linux).

Я недавно купил новый компьютер с Windows 8. При управлении учетными записями пользователей, когда я вошел в систему как администратор, UAC выдает приглашение «разрешить / запретить», если приложение пытается внести изменения в компьютер.

Если вместо этого я делаю свою повседневную учетную запись стандартной учетной записью, то, когда я делаю что-то, требующее прав администратора, оно также запрашивает меня (но для пароля и имени пользователя). Поскольку обе учетные записи пользователя все равно подскажут, есть ли смысл делать мою повседневную учетную запись стандартной? Что такое «лучшая» практика, и все ли вы лично следуете ей?

windows windows-8 security uac AG
источник
1
Начиная с Windows Vista, для определенных действий, таких как удаление файла из защищенной папки, требуется приглашение UAC. Как вы обнаружили, это происходит с администратором или учетной записью пользователя. Если у вас нет собственных причин использовать ограниченную учетную запись, UAC защитит ваш компьютер от вас, если вы всегда читаете подсказку.
Ramhound

Ответы:

3

UAC не считается границей безопасности. Это означает, что существует только (относительно) слабая защита, не позволяющая вредоносным программам «ускользнуть» от UAC и получить доступ администратора. (В частности, Microsoft не обещает исправлять проблемы, которые позволяют этому случиться.)

Лично я всегда использую стандартную учетную запись пользователя на своем домашнем компьютере, за исключением случаев, когда я фактически администрирую компьютер.

Гарри Джонстон
источник
Есть ли у вас доказательства того, что вредоносное ПО «ускользает» от UAC и Microsoft ничего не делает для этого? Из всего, что я знаю о том, что Windows может обойти UAC, это довольно неприятное повышение привилегий, и оно наверняка будет исправлено.
Скотт Чемберлен
@ScottChamberlain: см. Technet.microsoft.com/en-us/magazine/2007.06.uac.aspx и blogs.msdn.com/b/e7/archive/2009/02/05/update-on-uac.aspx
Гарри Джонстон
@ScottChamberlain: рассмотрим случай, когда вредоносная программа внедряется в непривилегированный, но хорошо известный исполняемый файл, такой как Firefox или Adobe Flash, и заставляет эту программу генерировать ложное уведомление об обновлении. Вполне вероятно, что пользователь будет обманут в предоставлении высоты. Такой подход позволяет вредоносным программам повышать свою эффективность, не делая ничего, что явно не разрешено моделью безопасности Windows (хотя AV может ее поймать).
Гарри Джонстон
Я не понимаю, как эти две статьи подтверждают вашу точку зрения. Также ваш пример так же действителен для стандартной учетной записи пользователя, однако вам просто нужно будет ввести пароль вместо нажатия кнопки ОК.
Скотт Чемберлен
@ScottChamberlain: ну, первая содержит фразу «UAC не является границей безопасности», которая, как мне показалось, подтвердила мое первое предложение. Остальное в основном просто описание того, что означает «не граница безопасности». Обратите также внимание на такие фразы, как «Позиция Microsoft о том, что отчеты об UAC не представляют собой уязвимости» и «Поскольку повышения прав не являются границами безопасности, нет никакой гарантии, что вредоносное ПО, работающее в системе со стандартными правами пользователя, не сможет скомпрометировать процесс с повышенными правами, чтобы получить административные права. "
Гарри Джонстон
4

Когда речь заходит о вашем персональном компьютере (компьютерах), «лучшие» практики обычно бывают разными и часто игнорируются. Каждый по-своему использует свой компьютер (и), и безопасность также отличается. Вы должны делать то, что вы считаете лучшим сочетанием безопасности и удобства для вас. То, что работает для других, может быть неправильно для вашей ситуации.

Лично все мои пользователи имеют учетные записи администратора в Windows, это просто удобнее. Если бы я , чтобы кто - то живет со мной , и они были использовать свои компьютеры, я бы дал им стандартный счет. Я также был бы более сознательным, чтобы заблокировать или выйти из моих компьютеров.

И помните, что запросы UAC для стандартной учетной записи могут быть связаны с тем, что приложение имеет права администратора, а не пользователя.

Keltari
источник
Это всегда хорошая идея , чтобы сделать все ваши пользователи «стандарт», а не «администратор». Если есть какая-либо уязвимость безопасности, приложение не будет иметь «божественного» доступа к вашему компьютеру, если это «обычный» пользователь.
Лизз
уверен, что вы можете следовать рекомендациям по безопасности дома. Но для меня, и, вероятно, для большинства людей, это того не стоит.
Келтари
@Keltari: вы используете интернет-банкинг? Если да, какие меры вы принимаете, чтобы предотвратить вмешательство вредоносного ПО?
Гарри Джонстон
@HarryJohnston - Да, я использую интернет-банкинг. Что касается вредоносных программ, у меня их нет на моем ПК, так что это не проблема.
Келтари
@Keltari: Хммм. В мире, где атаки нулевого дня являются обычным явлением, а руткиты очень хорошо прячутся, как вы можете быть уверены, что на вашем компьютере нет вредоносных программ? Или, если там сейчас нет никого, чего там не будет завтра?
Гарри Джонстон
0

Да, особенно если вы параноик по поводу физической безопасности. Позвольте мне проиллюстрировать.

Если вы вошли в систему как администратор с включенным UAC, у вас (лично, физически) есть возможность стать полноценным администратором, пройдя через диалоговое окно повышения прав. Таким образом, любой, кто подходит к вашей системе, является администратором.

Представьте, что вы проводите презентацию из PowerPoint на своем ноутбуке. Внезапно кто-то из зрителей вскакивает и вставляет USB-устройство в ваш ноутбук. На экране быстро происходят странные вещи, и злоумышленник покидает здание. Это USB-устройство представляло ОС как клавиатуру и печатало плохие вещи. (И вы можете купить одно из них менее чем за 50 долларов!) Но какой урон он нанес?

Если вы вошли в систему как обычный пользователь, худшее, что он мог сделать, это получить или изменить документы, к которым у вас есть доступ. Если вы вошли в систему как UAC , защищенный администратор, он мог бы создать административную команду проворная - Win+ X, A, Alt+ Y- и в корне изменили ОС, может быть , чтобы вставить бэкдор или шпионит программу , которая влияет на всех , кто использует машину.

Единственный способ гарантировать, что плохой актер - ни электронный, ни физический - не сможет стать локальным администратором, - войти в систему как обычный пользователь.

Бен Н
источник