过去几天我一直在研究如何在 Windows 7 中设置安全用户帐户。我学到了一些有关 UAC(用户帐户控制)和 AAM(管理员批准模式)的新知识,但仍有一些问题。接下来,我将介绍我对此事的了解(或至少我认为我知道的),然后介绍我剩下的问题。
首先,所讨论的系统是一台单用户 PC,用户将拥有管理员权限。通常建议创建一个管理员帐户和一个单独的用户。但阅读 UAC 和 AAM 的工作原理后,你会发现这种方法似乎几乎没有安全优势 - 至少对于预期的设置而言。
登录管理员帐户时,会创建两个访问令牌 - 一个具有受限权限,另一个具有管理员权限。一般来说,管理员将始终使用与标准用户相同的受限权限。只有当他想要执行这些权限不足以执行的操作时,系统才会要求他确认其操作。只有这样,他的权限才会提升为管理员权限,并且只能执行此任务。此行为与标准用户的体验类似,但有 3 个特别的不同之处,这导致人们表示使用管理员帐户不太安全:
- 管理员用户只会看到一个确认对话框,他必须点击它,而标准用户则必须输入密码才能提升其权限。但是,这可以更改为要求管理员用户也输入密码(在注册表或策略编辑器中)。
- 以管理员用户身份登录时,某些操作(例如启动某些受信任的 Microsoft 应用程序)不会触发确认对话框。同样,管理员用户也可以更改此设置(在普通用户设置中)。
- 最后,最重要的是,单独的管理员和用户帐户有单独的文件、注册表项等区域。因此,如果在使用受限权限时引入了恶意内容(例如临时目录中的可执行文件、更改的文件关联等),当标准用户请求并获得提升权限时,它将位于不同的上下文中,而不是与管理员用户请求提升权限时位于相同的上下文中。
前两个问题实际上不算什么,因为它们可以设置为对标准用户和管理员用户完全相同。第三个问题引起了我的思考。这真的会使设置单独的管理员和用户帐户比单个管理员帐户更安全吗?一旦授予提升权限,存储在任何用户空间中的所有内容都可以访问和执行。因此,即使标准用户请求提升权限并收到这些权限,并且现在正在管理员帐户的上下文中工作,也可以访问和执行来自其原始上下文的恶意代码,而无需进一步警告。
那么,回到我的问题:在所呈现的设置中,使用单个管理员帐户是否与使用单独的管理员和用户帐户一样安全,前提是您将通知级别更改为最高级别并要求输入密码才能获得提升的权限?这两种设置之间的唯一区别是分离的文件区域/注册表项。但据我所知,这不会带来任何更高的安全性。还是我的假设是错误的?
答案1
让我简单解释一下 Windows 中的管理权限。默认情况下,当您设置第一个用户帐户时,它将被分配到管理员组下。对于后续创建的用户帐户,Windows 将建议您将其设置为标准用户,即非管理权限。
对于第一个用户帐户,它肯定是在管理员组下运行的,但不同之处在于所有应用程序都像标准用户一样运行,这意味着如果您不需要任何应用程序的管理权限(无论是执行、读取还是写入),Windows 将不会为该操作提供管理权限。此模型的工作方式与标准用户类似,但 Microsoft 改变了主意,以控制管理员组帐户中管理权限的使用。简而言之,当应用程序需要管理权限时,它们必须先请求才能获得。用户有权自行决定是否允许或拒绝。
对于第二个用户帐户,它肯定是在标准用户组下运行,这意味着相同,所有应用程序都在非管理权限下运行。主要区别在于,您以标准用户身份运行。当您需要管理权限时,您需要让管理员组下的用户批准标准用户的操作。这就像“我借用您的管理凭据来帮助我完成任务”。除此之外,我们假设用户帐户控制 (UAC) 已关闭。当您以标准用户身份运行时,您将没有机会从其他管理帐户借用凭据来批准任何管理操作,因为所有操作都将直接被拒绝获取管理权限。这就是区别。
对于恶意软件部分,我们简单说一下。如果你让坏人进入你的电脑,你就完了。如果你允许恶意软件拥有管理权限,那么无论我以管理权限还是标准用户身份运行,它都会变得没有区别,因为我已经拥有管理权限了。即使是最强大的恶意软件,试图绕过用户帐户控制 (UAC) 也需要管理权限,那么你知道为什么恶意软件可以成功安装在电脑上吗?答案只有:意外允许、盲目允许或 Windows 中的漏洞。
请不要将标准用户视为始终安全的计算安全。这只是另一层预防措施,可防止应用程序或恶意软件在需要管理权限时在您的计算机上执行。在授予它们管理权限之前,我们必须首先知道我们的计算机上正在运行哪些应用程序。使用反恶意软件应用程序检测和删除威胁也是保护计算机免受恶意软件威胁的必要条件。
答案2
在我的设置中,UAC 设置为始终拒绝标准帐户的提升;它不会要求输入密码,只是始终拒绝。使用此设置,标准帐户和管理员帐户之间的区别在于,没有犯错的机会。而且,要让该恶意软件运行起来需要做更多的工作:您必须将其复制到公共下载,以管理员身份登录,然后执行它。
话虽如此,如今的恶意软件更加智能,有些甚至不需要管理员权限。远程访问木马/工具 (RAT) 可以查看您的屏幕、检索您的文档、查看您的照片、安排任务以将您的所有新文件发送给攻击者。所有这些操作在标准帐户中都可以正常进行。它们的目的不是获取您 PC 的管理员权限。标准帐户与管理员帐户的分离无法解决这种攻击方式。您需要额外的保护。