Acabei de instalar o Windows 10 em um novo PC e queria saber o que é mais seguro. Supondo que o UAC esteja ativado na configuração mais alta e eu seja o único usando o PC.
- um administrador separado e uma conta padrão que será solicitada a senha do administrador se quiser executar ações que exijam elevação
- uma conta de administrador com política de segurança local alterada para solicitar uma senha em vez de apenas confirmar
Portanto, em ambos os casos, sou solicitado, em uma área de trabalho segura, a fornecer a senha do administrador, se forem necessários direitos elevados. Não há diferença em termos de segurança?
Responder1
Ambas as contas (qualquer usuário do grupo Administrador local ou seu usuário "Padrão" personalizado) serão executadas no contexto de usuário "Padrão" (o token com o qual elas são executadas é o usuário "Padrão") quando usadas normalmente.
Explorer.exe é o processo pai para o qual todos os aplicativos executados pelo usuário herdarão o token padrão usado pelo Explorer.
Quando uma ação requer elevação, o objetivo do UAC é solicitar o token adicional de "Administrador" que informará ao sistema operacional que você provou que possui as credenciais de administrador para executar a ação desejada.
Ao definir a política de segurança local para solicitar uma senha para seu usuário administrador personalizado, você essencialmente não fez diferença em termos do mecanismo de token, mas reduziu o impacto de quaisquer ações maliciosas se deixasse seu computador desbloqueado e alguém tentou realizar alguma ação que exigia permissões administrativas.
Num ambiente empresarial, provavelmente seria melhor ativar esta política de segurança local através da Política de Grupo, para que todas as ações exijam uma palavra-passe - mas o outro lado disto é frustrar a sua equipa de TI, que teria de introduzir as suas credenciais para cada ação administrativa. É avaliar o risco e o impacto potencial.
Microsoft "Como funciona o controle de conta de usuário":https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx