Разница между отдельным администратором/стандартным пользователем и администратором с запросом UAC/пароля?

tag-icon tag-icon windows-10 security user-accounts administrator uac
Разница между отдельным администратором/стандартным пользователем и администратором с запросом UAC/пароля?

Я только что установил Windows 10 на новый ПК и задавался вопросом, что безопаснее. Предполагая, что UAC включен на самом высоком уровне и я единственный, кто использует ПК.

  • отдельная учетная запись администратора и стандартная учетная запись, которая будет запрашивать пароль администратора, если он захочет выполнить действия, требующие повышения прав
  • учетная запись администратора с локальной политикой безопасности, измененной для запроса пароля вместо простого подтверждения

Так что в обоих случаях меня просят на защищенном рабочем столе предоставить пароль администратора, если требуются повышенные права. Разве нет никакой разницы в плане безопасности?

решение1

Обе учетные записи (любой локальный пользователь группы администраторов или ваш пользовательский «Стандартный» пользователь) будут работать в контексте пользователя «Стандарт» (токен, с которым они работают, — «Стандартный» пользователь) при обычном использовании.

Explorer.exe — родительский процесс, для которого все приложения, запускаемые пользователем, наследуют стандартный токен, используемый Explorer.

Когда действие требует повышения прав, цель UAC — запросить дополнительный токен «Администратор», который сообщит ОС, что вы доказали наличие у вас учетных данных администратора для выполнения желаемого действия.

Настроив локальную политику безопасности на запрос пароля для вашего пользователя-администратора, вы, по сути, не внесли никаких изменений в механизм токенов, но вы уменьшили влияние любых вредоносных действий, если бы вы оставили свой компьютер разблокированным, а кто-то попытался выполнить какое-либо действие, требующее прав администратора.

В корпоративной среде, вероятно, лучше всего включить эту локальную политику безопасности через групповую политику, чтобы все действия требовали пароля, но с другой стороны, это может разочаровать ваш ИТ-персонал, которому придется вводить свои учетные данные для каждого административного действия. Это взвешивание риска и потенциального воздействия.

Microsoft «Как работает контроль учетных записей пользователей»:https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx

Связанный контент