UAC açıksa günlük kullanım için yönetici hesabı kullanmak uygun mudur?

12

Yaklaşık 3 yıl önce Windows 7'ye geçtiğimden ve şimdi Windows 8.1 kullandığımdan beri, Kullanıcı Hesabı Denetimi kavramına aşina oldum ve bilgisayarımı şu şekilde kullandım: günlük işler ve yerleşik için kullandığım standart bir hesap Yönetici hesabında etkinleştirilir ve yalnızca istedikleri zaman işlemleri yükseltmek veya gerektiğinde "Yönetici olarak çalıştır" uygulamaları için kullanılır.

Ancak, son zamanlarda Kullanıcı Hesabı Denetimi hakkında daha fazla bilgi okuduktan sonra, çalışma şeklimin iyi olup olmadığını merak etmeye başladım. Veya yönetici hesabı uygulamalar tarafından talep edilene kadar yükseltilmediğinden veya “Yönetici olarak çalıştır” seçeneği ile talep edene kadar günlük işler için bir yönetici hesabı kullanmalı mıyım? Bunu soruyorum çünkü bir yerde yerleşik Yönetici hesabının gerçek bir yönetici olduğunu okudum, yani UAC içinde oturum açıldığında açılmıyor ve potansiyel kötü amaçlı yazılımlar geldiğinde sorun yaşamamaktan korkuyorum faliyet alani, sahne. Sadece bazı uygulamaları yükseltmem gerektiğinde günlük olarak kullanmadığımı belirtmeliyim. Yılda 10 kez zar zor giriyorum ...

Peki, nasıl daha iyi? Cevaplarınız için teşekkürler! Ve elbette Mutlu Yıllar!

PS Bunu bir yıl önce sordum (: P) ve bunu tekrarlamam gerektiğini düşünüyorum: Bir yönetici hesabı gerektiğinde yerleşik Yönetici hesabıyla birlikte standart bir hesap olarak bu günlerde güvenli mi?

windows  security  user-accounts  administrator  uac 
Valentin Radu
kaynak

Yanıtlar:

8

bir yönetici hesabı, gerektiğinde yerleşik Yönetici hesabıyla birlikte standart bir hesap olarak güvenli midir?

Kısacası: Hala hayır.

Uzun cevap ...

UAC bir güvenlik özelliği değildir

Windows XP ve Windows'un önceki sürümlerinde, en azından kurumsal bir ortamda değil , En Küçük Ayrıcalık İlkesini uygulamak oldukça zordu . İlke, günlük görevlerinizi standart bir kullanıcı hesabı kullanarak yapacağınız anlamına geliyordu. Yönetici ayrıcalıkları gerektiren tüm görevler, yönetici haklarına sahip ayrı bir hesap kullanılarak yürütülür (kullanıcının yasal bir ihtiyacı olması koşuluyla).

Ancak Windows XP bunu göz önünde bulundurarak tasarlanmadı ve standart bir kullanıcı olarak çalışırken bir yönetici hesabına erişiminiz olsa bile birçok tuhaflık ve sınırlama vardı. Standart bir kullanıcı olarak, düzenli ay takvimini göstermek için systray saatini tıklayamadınız, ağ ayarlarını değiştiremediniz ve "farklı çalıştır" işlevi her şey için işe yaramadı (özellikle Windows Gezgini ve dolayısıyla Bellek bana uygunsa Zamanlanmış Görevler, Yazıcılar ve diğer kabuk klasörleri).

Elbette bu eksikliklerin birçoğu için geçici çözümler vardı, ancak bunların çevresinde çalışmak, belgelemek ve iyi çalışmak çok zaman aldı.

Güvenlik, güvenlik ve rahatlık arasındaki dengedir . UAC, öncelikle yönetici haklarının ne zaman gerekli olduğunu saptamak ve otomatik olarak yönetici haklarıyla (diğer) bir hesapla kimlik doğrulaması yapmanızı istemek için Windows Vista ile tanıtıldı. Bu, En Az Ayrıcalık İlkesinin uygulanmasını çok daha kolay hale getirdi.

Bir yan etki olarak, bir yönetici hesabıyla oturum açarken yönetici hakları gerektiren görevleri yerine getirmek, bu hakları kullanmak istediğinizi gerçekten onaylama şansı verir. Normal bir web sayfasını açarken UAC yazılımı kurarken makul görünebilir.

Ancak, çoğu kullanıcının ayrı hesaplar kullanmadığı ve günlük görevlerin birkaçının yönetici hakları (saat, ağ, güç planı vb. İçin ayarların yapılması) gerektirdiği ve dolayısıyla Vista'da bir UAC isteminin tetiklendiği ortaya çıkıyor. Bu bilgi istemi çoğu kullanıcının

a) Gerçekte yükselme gerektiren şeylere dikkat etmeden UAC istemlerini körü körüne kabul edin veya

b) UAC onayını tamamen devre dışı bırakın

Windows 7 ile Microsoft birkaç Windows yürütülebilir otomatik yükseltme izni yaptı, bu nedenle bir yönetici hesabı kullanıyorsanız, bazı işlemler otomatik olarak yükseltilmiş (yönetici) haklarla yürütülür. Bu, UAC'yi daha az rahatsız edici hale getirdi.

UAC otomatik yükseklikten yararlanılabilir

Yani, Windows 7'de hakları otomatik olarak yükseltmek için yerleşik bir mekanizma var. Bu mekanizmadan, standart kullanıcı haklarıyla çalışan bir uygulama tarafından yararlanılabiliyorsa, UAC (bir güvenlik mekanizması olarak tasarlanmamıştır) atlanabilir ve son kullanmadığınız halde yönetici haklarına sahip uygulamaları çalıştırabilirsiniz. onaylamanız istenir.

UAC otomatik yükseltmesinin aslında Leo Davidson ( Windows 7 UAC beyaz listesi: Kod enjeksiyon Sorunu (ve daha fazlası) ) tarafından kanıtlandığı gibi kod enjekte edilerek kullanılabilir ve Long Zheng ( Windows 7'de UAC hala kırık, Microsoft kod enjeksiyon güvenlik açığını gidermez / düzeltemez ).

Sonuç

Güvenlik açısından bakıldığında, günlük işler ve yönetici hakları gerektiren her şey için ayrı hesaplar kullanmak yine de mantıklıdır. Açık bir izniniz olmadan hiçbir uygulamanın yönetici haklarıyla çalışmadığından (makul olarak) emin olmanın tek yolu budur.

Bununla birlikte, kolaylık ve güvenlik arasında bir denge olduğunu söyledi. @GeminiDomino tarafından işaret edildiği gibi, ordu tarafından kullanılan tüm portları epoksi ile de doldurabilirsiniz. Ayrıca bilgisayarınızı Bruce Schneier gibi "hava boşluğu" olarak çalıştırabilirsiniz , böylece herhangi bir ağa asla doğrudan bağlanmaz.

Sonunda yönetici görevlerini yerine getirirken açıkça kimlik doğrulaması yapmakta sorun yaşamazsınız.

abstrask
kaynak
Bu 2 istismar Windows 7 RTM'de giderilmedi mi? Makaleler 2009 tarihli ve W7 RTM yayınlanmadan önce görünmektedir. Daha fazla bilgi için bu gönderiye
Joe Schmoe
Bağlantı kurduğunuz blog girişini okurken, UAC seviyesini değiştirmenin UAC onayını da tetikleyeceğinden emin oldular (kulağa mantıklı geliyor). Leo'nun web sitesine (bağlı olduğum) göre: "Aşağıdaki her şey Windows 7'nin son perakende sürümü için (ve 14 / Eylül / 2011 tarihinden itibaren tüm güncellemeler için geçerlidir)". O zamandan beri çok sayıda yama yayınlandığını biliyorum, ancak bir güvenlik deliği olarak kabul ediliyor ve MS bunu düzeltmek istemeyebilir ("bu davranış tasarım gereğidir")?
abstrask
Evet haklısın. Bu önemli kısmı kaçırdım - 2011 itibariyle hala geçerli. Daha fazla dikkat etmeliydim.
Joe Schmoe
Windows blogundaki bilgilendirici gönderinin bağlantısı artık öldü. Bağlantıyı güncelledim, bu yüzden archive.org'daki son taramayı gösteriyor
abstrask
Bugün itibariyle, Windows 10'da UAC otomatik yükseltmeyi devre dışı bırakma seçeneği vardır, bu da her yönetici görevi için istem gösterecektir.
Hey
4

En güvenli? Ağı ve monitörü ayırın, tüm portları epoksi ile doldurun ve parçaları Hyrule zindanlarından saçarak sabit sürücüyü sökün.

Yine de, endişelerim tecrübelerime dayanarak sağlam temellere dayanıyor. Sadece kötü amaçlı yazılımlar ve diğer yaramaz yazılımlar nedeniyle değil, sonunda insan olduğunuz için. Sınırlı bir kullanıcı bağlamında, elbette çok fazla hasar veren hatalar yapabilirsiniz. Yönetici olarak, tüm bu hasarları ve çok daha fazlasını yapabilirsiniz.

Yönetici olarak günlük çalışma çok cazip olabilir, özellikle güncellemelerinde "Yönetici Olarak Çalıştır" ile işbirliği yapmak istemeyen bazı yazılım paketleri ile uğraşırken (Sana bakıyorum, VirtualBox ... ), ancak başlığınız "güvenli" dediği için, şimdi yaptığınız gibi, zaman zaman ortaya çıktıkça bunlarla başa çıkmanın daha iyi olduğunu söyleyeceğim. İyi içgüdüler.

Yeni Yılınız mutlu olsun!

GeminiDomino
kaynak
Tamam, ne demek istediğini anladım! Rakibini paylaştığın için teşekkürler: D
Valentin Radu
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.