Стандартные пользователи все еще полезны, когда Windows 8 имеет UAC?

Мой последний компьютер работал под управлением XP; администраторы имели неограниченный доступ (без UAC), и моя обычная повседневная учетная запись была обычным пользователем. Я просто сделал «запустить как», а затем ввел учетные данные администратора, когда мне нужно было что-то сделать, например, установить программное обеспечение. Имеет смысл иметь ограниченную ежедневную учетную запись (как в Linux).

Я недавно купил новый компьютер с Windows 8. При управлении учетными записями пользователей, когда я вошел в систему как администратор, UAC выдает приглашение «разрешить / запретить», если приложение пытается внести изменения в компьютер.

Если вместо этого я делаю свою повседневную учетную запись стандартной учетной записью, то, когда я делаю что-то, требующее прав администратора, оно также запрашивает меня (но для пароля и имени пользователя). Поскольку обе учетные записи пользователя все равно подскажут, есть ли смысл делать мою повседневную учетную запись стандартной? Что такое «лучшая» практика, и все ли вы лично следуете ей?

— AG
источник

Начиная с Windows Vista, для определенных действий, таких как удаление файла из защищенной папки, требуется приглашение UAC. Как вы обнаружили, это происходит с администратором или учетной записью пользователя. Если у вас нет собственных причин использовать ограниченную учетную запись, UAC защитит ваш компьютер от вас, если вы всегда читаете подсказку.

— Ramhound

Ответы:

UAC не считается границей безопасности. Это означает, что существует только (относительно) слабая защита, не позволяющая вредоносным программам «ускользнуть» от UAC и получить доступ администратора. (В частности, Microsoft не обещает исправлять проблемы, которые позволяют этому случиться.)

Лично я всегда использую стандартную учетную запись пользователя на своем домашнем компьютере, за исключением случаев, когда я фактически администрирую компьютер.

— Гарри Джонстон
источник

Есть ли у вас доказательства того, что вредоносное ПО «ускользает» от UAC и Microsoft ничего не делает для этого? Из всего, что я знаю о том, что Windows может обойти UAC, это довольно неприятное повышение привилегий, и оно наверняка будет исправлено.

— Скотт Чемберлен

@ScottChamberlain: см. Technet.microsoft.com/en-us/magazine/2007.06.uac.aspx и blogs.msdn.com/b/e7/archive/2009/02/05/update-on-uac.aspx

— Гарри Джонстон

@ScottChamberlain: рассмотрим случай, когда вредоносная программа внедряется в непривилегированный, но хорошо известный исполняемый файл, такой как Firefox или Adobe Flash, и заставляет эту программу генерировать ложное уведомление об обновлении. Вполне вероятно, что пользователь будет обманут в предоставлении высоты. Такой подход позволяет вредоносным программам повышать свою эффективность, не делая ничего, что явно не разрешено моделью безопасности Windows (хотя AV может ее поймать).

— Гарри Джонстон

Я не понимаю, как эти две статьи подтверждают вашу точку зрения. Также ваш пример так же действителен для стандартной учетной записи пользователя, однако вам просто нужно будет ввести пароль вместо нажатия кнопки ОК.

— Скотт Чемберлен

@ScottChamberlain: ну, первая содержит фразу «UAC не является границей безопасности», которая, как мне показалось, подтвердила мое первое предложение. Остальное в основном просто описание того, что означает «не граница безопасности». Обратите также внимание на такие фразы, как «Позиция Microsoft о том, что отчеты об UAC не представляют собой уязвимости» и «Поскольку повышения прав не являются границами безопасности, нет никакой гарантии, что вредоносное ПО, работающее в системе со стандартными правами пользователя, не сможет скомпрометировать процесс с повышенными правами, чтобы получить административные права. "

— Гарри Джонстон

Когда речь заходит о вашем персональном компьютере (компьютерах), «лучшие» практики обычно бывают разными и часто игнорируются. Каждый по-своему использует свой компьютер (и), и безопасность также отличается. Вы должны делать то, что вы считаете лучшим сочетанием безопасности и удобства для вас. То, что работает для других, может быть неправильно для вашей ситуации.

Лично все мои пользователи имеют учетные записи администратора в Windows, это просто удобнее. Если бы я , чтобы кто - то живет со мной , и они были использовать свои компьютеры, я бы дал им стандартный счет. Я также был бы более сознательным, чтобы заблокировать или выйти из моих компьютеров.

И помните, что запросы UAC для стандартной учетной записи могут быть связаны с тем, что приложение имеет права администратора, а не пользователя.

— Keltari
источник

Это всегда хорошая идея , чтобы сделать все ваши пользователи «стандарт», а не «администратор». Если есть какая-либо уязвимость безопасности, приложение не будет иметь «божественного» доступа к вашему компьютеру, если это «обычный» пользователь.

— Лизз

уверен, что вы можете следовать рекомендациям по безопасности дома. Но для меня, и, вероятно, для большинства людей, это того не стоит.

— Келтари

@Keltari: вы используете интернет-банкинг? Если да, какие меры вы принимаете, чтобы предотвратить вмешательство вредоносного ПО?

— Гарри Джонстон

@HarryJohnston - Да, я использую интернет-банкинг. Что касается вредоносных программ, у меня их нет на моем ПК, так что это не проблема.

— Келтари

@Keltari: Хммм. В мире, где атаки нулевого дня являются обычным явлением, а руткиты очень хорошо прячутся, как вы можете быть уверены, что на вашем компьютере нет вредоносных программ? Или, если там сейчас нет никого, чего там не будет завтра?

— Гарри Джонстон

Да, особенно если вы параноик по поводу физической безопасности. Позвольте мне проиллюстрировать.

Если вы вошли в систему как администратор с включенным UAC, у вас (лично, физически) есть возможность стать полноценным администратором, пройдя через диалоговое окно повышения прав. Таким образом, любой, кто подходит к вашей системе, является администратором.

Представьте, что вы проводите презентацию из PowerPoint на своем ноутбуке. Внезапно кто-то из зрителей вскакивает и вставляет USB-устройство в ваш ноутбук. На экране быстро происходят странные вещи, и злоумышленник покидает здание. Это USB-устройство представляло ОС как клавиатуру и печатало плохие вещи. (И вы можете купить одно из них менее чем за 50 долларов!) Но какой урон он нанес?

Если вы вошли в систему как обычный пользователь, худшее, что он мог сделать, это получить или изменить документы, к которым у вас есть доступ. Если вы вошли в систему как UAC , защищенный администратор, он мог бы создать административную команду проворная - Win+ X, A, Alt+ Y- и в корне изменили ОС, может быть , чтобы вставить бэкдор или шпионит программу , которая влияет на всех , кто использует машину.

Единственный способ гарантировать, что плохой актер - ни электронный, ни физический - не сможет стать локальным администратором, - войти в систему как обычный пользователь.

— Бен Н
источник