방금 새 PC에 Windows 10을 설치했는데 무엇이 더 안전한지 궁금합니다. UAC가 가장 높은 설정에서 활성화되어 있고 PC를 사용하는 유일한 사람이라고 가정합니다.
- 권한 상승이 필요한 작업을 수행하려는 경우 관리자 비밀번호를 묻는 별도의 관리자 및 표준 계정
- 단지 확인하는 대신 비밀번호를 묻는 메시지를 표시하도록 로컬 보안 정책이 변경된 관리자 계정
따라서 두 경우 모두 높은 권한이 필요한 경우 보안 데스크톱에서 관리자 비밀번호를 제공하라는 메시지가 표시됩니다. 보안상 별차이가 없나요?
답변1
두 계정(로컬 관리자 그룹 사용자 또는 사용자 정의 "표준" 사용자)은 일반적으로 사용될 때 "표준" 사용자 컨텍스트(실행하는 토큰은 "표준" 사용자임)에서 실행됩니다.
Explorer.exe는 사용자가 실행하는 모든 응용 프로그램이 Explorer에서 사용하는 표준 토큰을 상속하는 상위 프로세스입니다.
작업에 권한 상승이 필요한 경우 UAC의 목적은 원하는 작업을 수행할 수 있는 관리자 자격 증명이 있음을 OS에 알리는 추가 "관리자" 토큰을 요청하는 것입니다.
사용자 지정 관리자에 대한 비밀번호를 요청하도록 로컬 보안 정책을 설정하면 기본적으로 토큰 메커니즘 측면에서 아무런 차이가 없지만 컴퓨터를 잠금 해제된 상태로 두고 컴퓨터를 잠금 해제한 상태로 놔둘 경우 악의적인 작업의 영향이 줄어듭니다. 누군가가 관리 권한이 필요한 작업을 수행하려고 했습니다.
기업 환경에서는 모든 작업에 암호가 필요하도록 그룹 정책을 통해 이 로컬 보안 정책을 활성화하는 것이 가장 좋을 것입니다. 그러나 다른 측면은 모든 관리 작업에 대해 자격 증명을 입력해야 하는 IT 직원을 좌절시키는 것입니다. 위험과 잠재적 영향을 평가하고 있습니다.
Microsoft "사용자 계정 컨트롤 작동 방식":https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx