Я поспорил с другом на другом форуме о правах пользователя операционной системы. Мой вопрос: лучше ли использовать обычную учетную запись без прав администратора для обычной установки Windows? Кажется, он считает, что это важно только для администраторов домена.
Спасибо!
С точки зрения безопасности имеет смысл использовать отдельные учетные записи для повседневной работы. Это единственный способ (разумно) быть уверенным, что никакие приложения не запускаются с правами администратора без вашего явного разрешения. Тем не менее, это баланс между удобством и безопасностью.
Ежедневная работа с правами администратора может быть очень заманчивой, особенно когда речь идет о некоторых программных пакетах, которые, похоже, не хотят сотрудничать с "Запуск от имени администратора" в своих обновлениях, таких как Virtual Box ... Иногда это немного болезненно, но может спасти МНОГО головных болей, если у пользователей вообще нет прав администратора. Я лично рекомендую дать стандартные привилегии обычному пользователю, будь то серверная или несерверная ОС.
В конце концов, все сводится к тому, что у вас все в порядке с явной аутентификацией при выполнении задач администратора или нет.
Это в значительной степени вопрос мнения и зависит от того, насколько вы хотите безопасности и с какими угрозами вы ожидаете столкнуться. Тем не менее, есть выдающийся вариант, о котором вы не упомянули и о котором могли не подозревать. Я расскажу об этом.
В современных версиях Windows (Vista и новее) UAC большую часть времени автоматически удерживает вас в непривилегированном состоянии. Тем не менее, новейшие версии Windows (8 и 10+) начали позволять многим запросам на повышение прав (тем, которые запрашиваются бинарными файлами Windows), выполняться молча. Я лично предпочитаю, чтобы это было не так, но YMMV.
Если вы хотите, чтобы все запросы на повышение прав требовали утверждения, и, если у вас есть версия Windows, включающая локальный диспетчер политик безопасности, вы можете использовать локальный диспетчер политик безопасности, чтобы запретить повышение привилегий в автоматическом режиме и / или даже потребовать пароль для повышения прав. , Нажмите меню «Пуск» и введите secpol для поиска присутствия диспетчера локальной политики безопасности. Щелкните правой кнопкой мыши значок « Local Security Policy и выберите « Run as administrator (просто чтобы убедиться, что у него есть необходимые привилегии).
Оттуда перейдите к Local Policies > Security Options и найдите элемент внизу, названный User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode . Я предлагаю использовать Prompt for Credentials который будет запрашивать пароль каждый раз, когда приложение запрашивает повышение прав, и аналогично поведению gksudo в Ubuntu Linux и т.п. Prompt for Consent также доступен, если вы хотите просто нажать да или нет в запросах UAC. Вы также можете выбрать параметры безопасного рабочего стола, если вас беспокоят попытки удаленного управления вашим компьютером в злонамеренных целях.
Я скажу, что по моему опыту работы в качестве технического специалиста по ремонту компьютеров, работающего как с домашними пользователями, так и с предприятиями, улучшенная безопасность, возникающая в результате использования UAC при правильной реализации и использовании, полностью изменила мой личный подход к советам по безопасности для моих клиентов. До того, как я понял, что для большинства пользователей это было в основном безнадежным делом, и я мог бы объяснить им множество лучших практик, но, в конечном счете, даже если бы они следили за каждым, кто только отключался от Интернета и не использовал его, он не давал им звонить. мне каждый год или около того, чтобы навести порядок в их компьютерах.
UAC полностью изменил это. Теперь, когда мои клиенты звонят мне, я обнаруживаю, что сижу (в основном) на компьютерах с хорошим поведением и ограниченным дерьмом (игры-загадки с вредоносными программами, бесплатные приложения и тому подобное). По сравнению с предыдущим, каждый вызов службы начинался с нескольких минут, когда под контроль попадали самые яркие вредоносные программы. Очевидно, что YMMV, но мой опыт работы с UAC заключается в том, что деэскалация привилегий делает использование явно непривилегированной учетной записи избыточным (в сочетании с небольшим количеством здравого смысла).
Стоит также отметить, что непривилегированные учетные записи в версиях Windows до UAC были практически непригодны из-за того, что даже легитимное стороннее программное обеспечение всегда предполагало, что оно будет иметь привилегированный доступ ко всему. Это также кое-что изменилось из-за того, что UAC заставляет сторонних поставщиков программного обеспечения заставить свое программное обеспечение следовать стандартным рекомендациям по безопасности, изложенным Microsoft.
