Это в значительной степени вопрос мнения и зависит от того, насколько вы хотите безопасности и с какими угрозами вы ожидаете столкнуться. Тем не менее, есть выдающийся вариант, о котором вы не упомянули и о котором могли не подозревать. Я расскажу об этом.
В современных версиях Windows (Vista и новее) UAC большую часть времени автоматически удерживает вас в непривилегированном состоянии. Тем не менее, новейшие версии Windows (8 и 10+) начали позволять многим запросам на повышение прав (тем, которые запрашиваются бинарными файлами Windows), выполняться молча. Я лично предпочитаю, чтобы это было не так, но YMMV.
Если вы хотите, чтобы все запросы на повышение прав требовали утверждения, и, если у вас есть версия Windows, включающая локальный диспетчер политик безопасности, вы можете использовать локальный диспетчер политик безопасности, чтобы запретить повышение привилегий в автоматическом режиме и / или даже потребовать пароль для повышения прав. , Нажмите меню «Пуск» и введите secpol
для поиска присутствия диспетчера локальной политики безопасности. Щелкните правой кнопкой мыши значок « Local Security Policy
и выберите « Run as administrator
(просто чтобы убедиться, что у него есть необходимые привилегии).
Оттуда перейдите к Local Policies > Security Options
и найдите элемент внизу, названный User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
. Я предлагаю использовать Prompt for Credentials
который будет запрашивать пароль каждый раз, когда приложение запрашивает повышение прав, и аналогично поведению gksudo в Ubuntu Linux и т.п. Prompt for Consent
также доступен, если вы хотите просто нажать да или нет в запросах UAC. Вы также можете выбрать параметры безопасного рабочего стола, если вас беспокоят попытки удаленного управления вашим компьютером в злонамеренных целях.
Я скажу, что по моему опыту работы в качестве технического специалиста по ремонту компьютеров, работающего как с домашними пользователями, так и с предприятиями, улучшенная безопасность, возникающая в результате использования UAC при правильной реализации и использовании, полностью изменила мой личный подход к советам по безопасности для моих клиентов. До того, как я понял, что для большинства пользователей это было в основном безнадежным делом, и я мог бы объяснить им множество лучших практик, но, в конечном счете, даже если бы они следили за каждым, кто только отключался от Интернета и не использовал его, он не давал им звонить. мне каждый год или около того, чтобы навести порядок в их компьютерах.
UAC полностью изменил это. Теперь, когда мои клиенты звонят мне, я обнаруживаю, что сижу (в основном) на компьютерах с хорошим поведением и ограниченным дерьмом (игры-загадки с вредоносными программами, бесплатные приложения и тому подобное). По сравнению с предыдущим, каждый вызов службы начинался с нескольких минут, когда под контроль попадали самые яркие вредоносные программы. Очевидно, что YMMV, но мой опыт работы с UAC заключается в том, что деэскалация привилегий делает использование явно непривилегированной учетной записи избыточным (в сочетании с небольшим количеством здравого смысла).
Стоит также отметить, что непривилегированные учетные записи в версиях Windows до UAC были практически непригодны из-за того, что даже легитимное стороннее программное обеспечение всегда предполагало, что оно будет иметь привилегированный доступ ко всему. Это также кое-что изменилось из-за того, что UAC заставляет сторонних поставщиков программного обеспечения заставить свое программное обеспечение следовать стандартным рекомендациям по безопасности, изложенным Microsoft.