Windows 7: Korzyści ze standardowego konta użytkownika z UAC aktywnym w jednym ustawieniu użytkownika?

W ciągu ostatnich dni prowadziłem badania, aby znaleźć najlepszy sposób na skonfigurowanie bezpiecznych kont użytkowników w systemie Windows 7. Nauczyłem się nowych rzeczy na temat kontroli konta użytkownika i trybu AAM (tryb zatwierdzania przez administratora), ale wciąż są pewne pytania lewo. Następnie przedstawię to, co wiem o tej sprawie (lub przynajmniej to, co myślę, że wiem), a następnie moje pozostałe pytania.

Po pierwsze, system, o którym mowa, to komputer z jednym użytkownikiem, a użytkownik będzie miał dostęp do uprawnień administratora. Najczęściej zaleca się utworzenie konta administratora i oddzielnego użytkownika. Ale patrząc na to, jak działają UAC i AAM, wydaje się, że takie podejście nie przynosi żadnych korzyści - przynajmniej dla zamierzonego ustawienia.

Podczas logowania do konta administratora tworzone są dwa tokeny dostępu - jeden z ograniczonymi prawami i jeden z uprawnieniami administratora. Ogólnie administrator zawsze używa tych samych ograniczonych praw, co standardowy użytkownik. Dopiero gdy chce wykonać akcję, dla której te prawa nie są wystarczające, system prosi go o potwierdzenie swoich działań. Następnie jego prawa zostaną podniesione do uprawnień administratora i tylko w przypadku tego zadania. To zachowanie jest podobne do tego, jakiego doświadcza standardowy użytkownik z 3 szczególnymi różnicami, które prowadzą do stwierdzenia, że ​​praca z kontem administratora jest mniej bezpieczna:

• Użytkownik administracyjny zobaczy tylko okno potwierdzenia, musi kliknąć, podczas gdy standardowy użytkownik będzie musiał wprowadzić hasło, aby podnieść swoje prawa. Ale można to zmienić, aby użytkownik admin musiał również wprowadzić hasło [w rejestrze lub edytorze zasad].
• Kilka działań (np. Uruchamianie pewnych zaufanych aplikacji Microsoft) nie wywołuje okna dialogowego potwierdzenia po zalogowaniu się jako użytkownik admin. Ponownie można to zmienić również dla użytkownika admin [w normalnych ustawieniach użytkownika].
• Wreszcie, co najważniejsze, oddzielne konta administratora i użytkownika mają oddzielne obszary dla swoich plików, wpisów do rejestru itp. Tak więc, jeśli coś złośliwego zostanie wprowadzone podczas pracy z ograniczonymi prawami (np. Plik wykonywalny w katalogu tymczasowym, zmienione skojarzenia plików itp.), Zostanie ono zlokalizowane w innym kontekście, gdy standardowy użytkownik zażąda i otrzyma podwyższone prawa, a nie ten sam kontekst, co w przypadku, gdy administrator żąda podwyższonych uprawnień.

Pierwsze dwa problemy są w rzeczywistości nieistotne, ponieważ można je skonfigurować tak, aby działały dokładnie tak samo dla standardowego użytkownika i administratora. To trzecia kwestia, która sprawiła, że ​​zacząłem myśleć. Czy to sprawia, że ​​konfiguracja z osobnym kontem administratora i użytkownika jest bezpieczniejsza niż pojedyncze konto administratora? Gdy tylko zostaną przyznane podwyższone prawa, wszystko przechowywane w dowolnej przestrzeni użytkownika jest dostępne i możliwe do wykonania. Tak więc, nawet gdy standardowy użytkownik żąda podniesienia uprawnień i je otrzymuje, a teraz pracuje w kontekście konta administratora, dostęp do złośliwego kodu z jego oryginalnego kontekstu można uzyskać i wykonać bez dalszych ostrzeżeń.

A więc, aby wrócić do moich pytań: w przedstawionym ustawieniu jedno konto administratora jest tak bezpieczne, jak przy użyciu oddzielnego konta administratora i użytkownika, pod warunkiem, że zmienisz poziom powiadomień na maksimum i zażądasz hasła, aby uzyskać podwyższone prawa? Jedyną różnicą między tymi dwoma ustawieniami byłyby oddzielne obszary plików / wpisy rejestru. Ale o ile wiem, nie przyniosłoby to więcej bezpieczeństwa. A może się mylę w moim założeniu?

W mojej konfiguracji Kontrola konta użytkownika jest ustawiona tak, aby zawsze odmawiać podniesienia dla standardowych kont; nie pyta o hasła, po prostu zawsze zaprzecza. Różnica między kontami standardowymi a kontami administratora z tym ustawieniem polega na tym, że nie ma możliwości popełnienia błędu. I to jest więcej pracy, aby uruchomić ten fragment złośliwego oprogramowania: musisz skopiować go do publicznych plików do pobrania, zalogować się jako administrator, a następnie wykonać go.

Jednak złośliwe oprogramowanie jest obecnie inteligentniejsze, a niektóre nie wymagają uprawnień administratora. Zdalny dostęp do trojana / narzędzia (RAT) może wyświetlać ekran, pobierać dokumenty, przeglądać zdjęcia, planować zadanie wysyłania wszystkich nowych plików do atakującego. Wszystko to działa dobrze w ramach standardowego konta. Ich celem nie jest uzyskanie uprawnień administratora na twoim komputerze. Ta linia ataku nie jest zajęta przez separację kont standardowych i administracyjnych. I potrzebujesz dodatkowej ochrony.

Pozwól, że podam proste wyjaśnienie praw administracyjnych w systemie Windows. Domyślnie po skonfigurowaniu pierwszego konta użytkownika zostanie ono przypisane do grupy Administratorzy. W celu późniejszego utworzenia konta użytkownika system Windows zaleci ustawienie go jako użytkowników standardowych, co oznacza prawa inne niż administracyjne.

W przypadku pierwszego konta użytkownika na pewno działa ono w grupie Administratorzy, ale różne są wszystkie aplikacje działające jak Użytkownicy Standardowi, co oznacza, że ​​jeśli nie potrzebujesz żadnych uprawnień administracyjnych do żadnych aplikacji do wykonywania, czytania lub pisania, Windows wygrał zapewnić uprawnienia administracyjne dla tej akcji. Ten model działa jak Użytkownicy Standardowi, których firma Microsoft zmienia zdanie, aby kontrolować korzystanie z uprawnień administracyjnych na koncie grup Administratorzy. Krótko mówiąc, gdy aplikacje wymagają uprawnień administracyjnych, muszą najpierw zapytać, zanim je otrzymają. Użytkownik będzie miał prawo do samodzielnego decydowania, czy go zezwolić, czy odmówić.

W przypadku drugiego konta użytkownika z pewnością działa ono w grupie Użytkownicy standardowi, co oznacza to samo, wszystkie aplikacje działają w ramach uprawnień innych niż administracyjne. Główna różnica polega na tym, że pracujesz jako Użytkownicy Standardowi. Gdy potrzebujesz uprawnień administracyjnych, musisz mieć użytkownika, który jest w grupie Administratorzy, aby zatwierdzić akcję dla użytkowników standardowych. To działa tak, jak „Pożyczam twoje poświadczenia administracyjne, aby pomóc mi wykonać zadania”. Poza tym załóżmy, że Kontrola konta użytkownika (UAC) jest wyłączona. Gdy pracujesz jako Użytkownicy Standardowi, nie będziesz miał szans na pożyczenie poświadczeń z innych kont administracyjnych w celu zatwierdzenia jakichkolwiek działań administracyjnych, ponieważ wszystkie działania nie będą uzyskiwać uprawnień administracyjnych. To jest różnica.

Dla części złośliwego oprogramowania upraszczajmy ją. Jeśli pozwolisz złym ludziom dostać się do twojego komputera, znikniesz. Jeśli pozwolisz złośliwemu oprogramowaniu na posiadanie przywilejów administracyjnych, będzie on wyglądał tak, jakby nie było inaczej, czy używam uprawnień administratora czy zwykłych użytkowników, ponieważ mam już uprawnienia administracyjne. Nawet najsilniejsze złośliwe oprogramowanie, które próbuje ominąć kontrolę konta użytkownika (UAC), również wymaga uprawnień administracyjnych, więc czy wiesz, dlaczego złośliwe oprogramowanie może zostać pomyślnie zainstalowane na komputerze? Odpowiedź będzie następująca: przypadkowo dozwolone, ślepo dozwolone lub podatność na atak w systemie Windows.

Proszę nie traktować Użytkowników Standardowych jako zawsze bezpiecznych dla bezpieczeństwa komputerowego. Jest to kolejna warstwa środków zapobiegawczych, która uniemożliwia uruchamianie aplikacji lub złośliwego oprogramowania na komputerze, gdy potrzebują uprawnień administracyjnych. Musimy wiedzieć, jakie aplikacje działają na naszych komputerach, zanim nadamy im uprawnienia administracyjne. Używanie aplikacji antymalware do wykrywania i usuwania zagrożeń jest również niezbędne, aby chronić komputer przed zagrożeniami złośliwym oprogramowaniem.