¿Diferencia entre administrador/usuario estándar separado y administrador con UAC/solicitud de contraseña?

tag-icon tag-icon windows-10 security user-accounts administrator uac
¿Diferencia entre administrador/usuario estándar separado y administrador con UAC/solicitud de contraseña?

Acabo de instalar Windows 10 en una PC nueva y me preguntaba qué es más seguro. Suponiendo que UAC esté habilitado en la configuración más alta y que soy el único que usa la PC.

  • una cuenta estándar y de administrador separada a la que se le solicita la contraseña de administrador si desea realizar acciones que requieran elevación
  • una cuenta de administrador con política de seguridad local modificada para solicitar una contraseña en lugar de simplemente confirmar

Entonces, en ambos casos, en un escritorio seguro, se me solicita que proporcione la contraseña de administrador si se necesitan derechos elevados. ¿No hay diferencia en términos de seguridad?

Respuesta1

Ambas cuentas (cualquier usuario del grupo de administradores local o su usuario "Estándar" personalizado) se ejecutarán en el contexto de usuario "Estándar" (el token con el que se ejecutan es el usuario "Estándar") cuando se usan normalmente.

Explorer.exe es el proceso principal por el cual todas las aplicaciones ejecutadas por el usuario heredarán el token estándar utilizado por Explorer.

Cuando una acción requiere elevación, el propósito de UAC es solicitar el token de "Administrador" adicional que le indicará al sistema operativo que usted ha demostrado que tiene las credenciales de administrador para realizar la acción deseada.

Al configurar la política de seguridad local para solicitar una contraseña para su usuario administrador personalizado, esencialmente no ha hecho ninguna diferencia en términos del mecanismo del token, pero ha reducido el impacto de cualquier acción maliciosa si dejara su computadora desbloqueada y alguien intentó realizar alguna acción que requería permisos administrativos.

En un entorno empresarial, probablemente sería mejor habilitar esta política de seguridad local mediante Política de grupo para que todas las acciones requieran una contraseña, pero la otra cara de esto es frustrar al personal de TI, que tendría que ingresar sus credenciales para cada acción administrativa. Se trata de sopesar el riesgo y el impacto potencial.

Microsoft "Cómo funciona el control de cuentas de usuario":https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx

información relacionada