Ich habe gerade Windows 10 auf einem neuen PC installiert und frage mich, was sicherer ist. Vorausgesetzt, UAC ist auf der höchsten Einstellung aktiviert und ich bin der Einzige, der den PC verwendet.
- ein separates Administrator- und Standardkonto, das zur Eingabe des Administratorkennworts aufgefordert wird, wenn es Aktionen ausführen möchte, die erhöhte Rechte erfordern
- ein Administratorkonto mit geänderter lokaler Sicherheitsrichtlinie, bei dem nach einem Passwort gefragt wird, anstatt es einfach zu bestätigen
In beiden Fällen werde ich auf einem sicheren Desktop aufgefordert, das Administratorkennwort einzugeben, wenn erhöhte Rechte erforderlich sind. Gibt es in Bezug auf die Sicherheit keinen Unterschied?
Antwort1
Beide Konten (jeder lokale Benutzer der Administratorgruppe oder Ihr benutzerdefinierter „Standard“-Benutzer) werden bei normaler Verwendung im „Standard“-Benutzerkontext ausgeführt (das Token, mit dem sie ausgeführt werden, ist der „Standard“-Benutzer).
Explorer.exe ist der übergeordnete Prozess, für den alle vom Benutzer ausgeführten Anwendungen das vom Explorer verwendete Standardtoken erben.
Wenn für eine Aktion eine Erhöhung der Rechte erforderlich ist, besteht der Zweck der Benutzerkontensteuerung darin, das zusätzliche „Administrator“-Token anzufordern, das dem Betriebssystem mitteilt, dass Sie nachgewiesen haben, dass Sie über die Administratoranmeldeinformationen zum Ausführen der gewünschten Aktion verfügen.
Indem Sie die lokale Sicherheitsrichtlinie so einstellen, dass für Ihren benutzerdefinierten Administratorbenutzer ein Kennwort angefordert wird, haben Sie im Wesentlichen keinen Unterschied hinsichtlich des Token-Mechanismus bewirkt, aber die Auswirkungen böswilliger Aktionen verringert, wenn Sie Ihren Computer unverschlossen lassen und jemand versucht, eine Aktion auszuführen, die Administratorrechte erfordert.
In einer Unternehmensumgebung wäre es wahrscheinlich am besten, diese lokale Sicherheitsrichtlinie per Gruppenrichtlinie zu aktivieren, sodass für alle Aktionen ein Kennwort erforderlich ist. Auf der anderen Seite frustriert dies jedoch Ihr IT-Personal, das für jede Administratoraktion seine Anmeldeinformationen eingeben muss. Es geht darum, das Risiko und die möglichen Auswirkungen abzuwägen.
Microsoft „So funktioniert die Benutzerkontensteuerung“:https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx