W ciągu ostatnich dni prowadziłem badania, aby znaleźć najlepszy sposób na skonfigurowanie bezpiecznych kont użytkowników w systemie Windows 7. Nauczyłem się nowych rzeczy na temat kontroli konta użytkownika i trybu AAM (tryb zatwierdzania przez administratora), ale wciąż są pewne pytania lewo. Następnie przedstawię to, co wiem o tej sprawie (lub przynajmniej to, co myślę, że wiem), a następnie moje pozostałe pytania.
Po pierwsze, system, o którym mowa, to komputer z jednym użytkownikiem, a użytkownik będzie miał dostęp do uprawnień administratora. Najczęściej zaleca się utworzenie konta administratora i oddzielnego użytkownika. Ale patrząc na to, jak działają UAC i AAM, wydaje się, że takie podejście nie przynosi żadnych korzyści - przynajmniej dla zamierzonego ustawienia.
Podczas logowania do konta administratora tworzone są dwa tokeny dostępu - jeden z ograniczonymi prawami i jeden z uprawnieniami administratora. Ogólnie administrator zawsze używa tych samych ograniczonych praw, co standardowy użytkownik. Dopiero gdy chce wykonać akcję, dla której te prawa nie są wystarczające, system prosi go o potwierdzenie swoich działań. Następnie jego prawa zostaną podniesione do uprawnień administratora i tylko w przypadku tego zadania. To zachowanie jest podobne do tego, jakiego doświadcza standardowy użytkownik z 3 szczególnymi różnicami, które prowadzą do stwierdzenia, że praca z kontem administratora jest mniej bezpieczna:
- Użytkownik administracyjny zobaczy tylko okno potwierdzenia, musi kliknąć, podczas gdy standardowy użytkownik będzie musiał wprowadzić hasło, aby podnieść swoje prawa. Ale można to zmienić, aby użytkownik admin musiał również wprowadzić hasło [w rejestrze lub edytorze zasad].
- Kilka działań (np. Uruchamianie pewnych zaufanych aplikacji Microsoft) nie wywołuje okna dialogowego potwierdzenia po zalogowaniu się jako użytkownik admin. Ponownie można to zmienić również dla użytkownika admin [w normalnych ustawieniach użytkownika].
- Wreszcie, co najważniejsze, oddzielne konta administratora i użytkownika mają oddzielne obszary dla swoich plików, wpisów do rejestru itp. Tak więc, jeśli coś złośliwego zostanie wprowadzone podczas pracy z ograniczonymi prawami (np. Plik wykonywalny w katalogu tymczasowym, zmienione skojarzenia plików itp.), Zostanie ono zlokalizowane w innym kontekście, gdy standardowy użytkownik zażąda i otrzyma podwyższone prawa, a nie ten sam kontekst, co w przypadku, gdy administrator żąda podwyższonych uprawnień.
Pierwsze dwa problemy są w rzeczywistości nieistotne, ponieważ można je skonfigurować tak, aby działały dokładnie tak samo dla standardowego użytkownika i administratora. To trzecia kwestia, która sprawiła, że zacząłem myśleć. Czy to sprawia, że konfiguracja z osobnym kontem administratora i użytkownika jest bezpieczniejsza niż pojedyncze konto administratora? Gdy tylko zostaną przyznane podwyższone prawa, wszystko przechowywane w dowolnej przestrzeni użytkownika jest dostępne i możliwe do wykonania. Tak więc, nawet gdy standardowy użytkownik żąda podniesienia uprawnień i je otrzymuje, a teraz pracuje w kontekście konta administratora, dostęp do złośliwego kodu z jego oryginalnego kontekstu można uzyskać i wykonać bez dalszych ostrzeżeń.
A więc, aby wrócić do moich pytań: w przedstawionym ustawieniu jedno konto administratora jest tak bezpieczne, jak przy użyciu oddzielnego konta administratora i użytkownika, pod warunkiem, że zmienisz poziom powiadomień na maksimum i zażądasz hasła, aby uzyskać podwyższone prawa? Jedyną różnicą między tymi dwoma ustawieniami byłyby oddzielne obszary plików / wpisy rejestru. Ale o ile wiem, nie przyniosłoby to więcej bezpieczeństwa. A może się mylę w moim założeniu?