3

Я только что установил Windows 10 на новый ПК, и мне было интересно, что является более безопасным. Предполагая, что UAC включен на самом высоком уровне, и я единственный, кто использует ПК.

  • отдельная учетная запись администратора и стандартная учетная запись, для которой запрашивается пароль администратора, если он хочет выполнять действия, требующие повышения прав
  • учетная запись администратора с локальной политикой безопасности изменена, чтобы запрашивать пароль вместо подтверждения

Поэтому в обоих случаях на защищенном рабочем столе меня просят предоставить пароль администратора, если необходимы повышенные права. Нет ли разницы в плане безопасности?

1 ответ1

1

Обе учетные записи (любой пользователь локальной группы администраторов или ваш пользователь "Стандартный") будут работать в "Стандартном" пользовательском контексте (маркер, с которым они работают, "Стандартный" пользователь) при обычном использовании.

Explorer.exe - это родительский процесс, для которого все приложения, запускаемые пользователем, наследуют стандартный токен, используемый Explorer.

Когда действие требует повышения прав, цель UAC - запросить дополнительный токен "Администратор", который сообщит ОС, что вы доказали, что у вас есть учетные данные администратора для выполнения требуемого действия.

Установив в локальной политике безопасности запрос пароля для своего пользовательского администратора, вы, по сути, не изменили механизм токенов, но вы снизили влияние любых злонамеренных действий, если оставили свой компьютер незаблокированным и кто-то пытался выполнить какое-то действие, требующее административных разрешений.

В корпоративной среде, вероятно, было бы лучше включить эту локальную политику безопасности с помощью групповой политики, чтобы для всех действий требовался пароль, но другой стороной этого является разочарование вашего ИТ-персонала, которому придется вводить свои учетные данные для каждого действия администратора. Это взвешивает риск и потенциальное воздействие.

Microsoft "Как работает контроль учетных записей пользователей": https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .