我剛剛在一台新電腦上安裝了 Windows 10,想知道什麼比較安全。假設 UAC 在最高設定下啟用,並且我是唯一使用 PC 的人。
- 一個單獨的管理員和標準帳戶,如果他想要執行需要提升的操作,系統會提示他輸入管理員密碼
- 具有本機安全性原則的管理員帳戶會變更為提示輸入密碼,而不僅僅是確認
因此,在這兩種情況下,如果需要提升權限,我都會被要求在安全桌面上提供管理員密碼。安全性方面沒有差別嗎?
答案1
正常使用時,兩個帳戶(任何本機管理員群組使用者或自訂「標準」使用者)都將在「標準」使用者上下文中執行(它們執行的令牌是「標準」使用者)。
Explorer.exe 是父進程,使用者執行的所有應用程式都將繼承 Explorer 使用的標準令牌。
當某個操作需要提升時,UAC 的目的是請求額外的「管理員」令牌,該令牌將告訴作業系統您已證明您擁有執行所需操作的管理員憑證。
透過設定本機安全性原則來請求自訂管理員使用者的密碼,本質上,您在令牌機制方面沒有任何區別,但是如果您讓電腦保持解鎖狀態,則可以減少任何惡意操作的影響有人試圖執行某些需要管理權限的操作。
在企業環境中,最好透過群組原則啟用此本機安全性原則,以便所有操作都需要密碼 - 但這樣做的另一方面會讓您的 IT 員工感到沮喪,因為他們必須為每個管理作業輸入憑證。它正在權衡風險和潛在影響。
微軟「用戶帳戶控制如何運作」:https://technet.microsoft.com/en-us/library/jj574202(v=ws.11).aspx