Привилегии безопасности действий пользователя: рекомендуется ли для собственного действия пользователя снизить привилегии от (меня) официального действия администратора и системы?

Question

Win 7 система. Четыре названы "Пользователи": 1. "Аутентифицированные пользователи" (что бы это ни значило); 2. "СИСТЕМА"; 3. Администратор (я); 4. «Пользователи (я)».

"СИСТЕМА" и "Администратор" имеют все привилегии. «Users (me)» имеет только привилегии "Чтение и выполнение", "Список содержимого папки" и "Чтение" на диске C. Пользователь me НЕ предоставляет "Полный доступ", "Изменить" или "Запись". привилегии разрешены. Я предполагаю, что это настройки Win 7 по умолчанию?

У меня была проблема с исправленным жестким диском XP (теперь диск F) из моей старой системы, теперь в моей новой системе Win 7, который был очищен только после того, как я получил больше привилегий по сравнению с диском F, в отличие от уменьшенного диска C привилегии, где я занимаюсь 99% своей компьютерной деятельности. Скрытый файл "thumbs.db" перестраивался сам, правильно отображая картинки для переваривания Win 7, как только я получил контроль над F-диском, и проблема была исправлена. Должен ли я сейчас отступить от привилегий безопасности? Это мой компьютер один, а не общий.

Я даже не вижу, как еще войти в систему, кроме User me, и я не уверен, является ли вход через официальный акт "Администратор", или User me ... Я подозреваю, что Пользователь меня. То, как я перешел бы к официальному действию "Администратор" для выполнения административных обязанностей, является небольшой загадкой.

Подводя итог, есть ли рекомендуемый протокол безопасности для использования вашего компьютера в режиме «понижения» по сравнению с режимом администратора, чтобы лучше предотвратить взлом системы из-за взлома? Или, если вы являетесь единственным пользователем, рекомендуется, учитывая среду угрозы, использовать компьютер со всеми привилегиями, предоставленными на вкладке безопасности? Куда я мог бы обратиться к учебнику по привилегиям безопасности Win 7 по настройкам и безопасным методам? Тот факт, что у меня есть более старый жесткий диск XP со всеми его старыми протоколами XP ... вставленный в мою новую систему Win 7, я думаю, является чем-то вроде критика в этом вопросе.

Я нахожусь за брандмауэром маршрутизатора и программным брандмауэром Win 7 и имею AV, если это даже имеет значение здесь.

Answer 1

Ваш вопрос, кажется, в первую очередь касается ACL файловой системы.

В ACL файловой системы вы должны предоставить привилегии, необходимые пользователю для доступа к системе. Для диска / папки, в которой вы храните свои данные, обычно предоставляется полное управление.

Если ваша система не зашифрована, очень просто обойти ACL файловой системы, просто перезагрузив систему с диска Linux или другой системы, которая игнорирует ACL файловой системы. Поэтому не имеет смысла беспокоиться о ACL файловой системы в папках данных однопользовательской системы без шифрования, поскольку их очень легко обойти

Вы почти наверняка не должны изменять ACL в стандартных папках Windows (c:\windows, c:\program files, c:\users). В последних версиях Windows они установлены с соответствующими списками ACL.

Но установка разрешающих ACL для файловой системы не означает, что вы должны войти в систему как пользователь в группе администраторов. Списки ACL в стандартных папках Windows, реестре и других объектах обычно пытаются предотвратить перегрузку системы пользователями без прав администратора, когда она работает нормально.

Answer 2

В Windows 7 вы можете довольно безопасно работать от имени администратора. На самом деле вы не вошли в систему как администратор, но Windows позволяет легко переключаться на администратора при необходимости, используя ваш текущий пароль. Еще безопаснее работать от имени пользователя, но некоторые задачи (например, Панель управления) может раздражать, когда вам приходится вводить пароль администратора несколько раз.

Я понимаю, что это не относится к вам, но недавно я увидел, как компьютер с Windows XP сильно заражен вредоносным веб-сайтом. Это только вошло, потому что пользователь был администратором. В Windows XP и более ранних версиях настоятельно рекомендуется не работать от имени администратора.