我很快就要买一台新笔记本电脑了,但不确定在这个问题上最好的做法是什么。在我以前的电脑上,我一直有一个标准用户和一个管理员,我大部分时间都在使用这个用户,只有当有应用程序需要“以管理员身份运行”时我才会使用管理员帐户(我几乎从未登录过管理员帐户)。但是,有了 UAC 和其他东西,将我的管理员帐户用作我日常大部分工作的主要帐户是否安全?
答案1
以Administrator(名为 Administrator 的帐户) 是一个坏主意,但是以管理员组中的普通用户身份运行比在 Windows XP 上要安全得多,正如您所说的那样,因为有了 UAC。
UAC 的主要作用是更改Session ID进程的权限,使其在权限较低的会话中运行,除非您以管理员身份成功启动该程序并通过 UAC 提示(来自安全桌面,因此非常非常很难绕过或强制接受真正的 UAC 提示)。
话虽如此,使用最少的权限运行总是更安全的。除非输入实际管理员帐户的有效凭据,否则标准用户帐户甚至没有权限使用 UAC 提升为管理员。这是从以管理员组成员身份运行中移除的一个级别,在管理员组中,您只需在 UAC 安全桌面上的提示上单击“是”即可获得管理员权限。
最后,请考虑大多数人真正认为有价值的是他们主文件夹中的个人数据,例如 C:\Users\You\Documents 等。即使没有任何 UAC 权限,任何可执行代码(或受感染的进程,例如 Web 浏览器)都可以访问您的全部或部分用户配置文件数据,无论您分配了什么权限。因此,无论您如何取消用户帐户的权限,您都应始终警惕从互联网上下载的可执行代码。否则,攻击者可以充分利用您的 Firefox 或 Chrome 用户配置文件数据(您访问的网站、您的书签、任何已保存的密码等)、Word 文档;他们甚至可能想窃取您的音乐,或者只是制造麻烦,然后直接删除所有内容。
以管理员身份运行是安全的呃比以前在 Windows XP 上要好,但微软所做的一切都没有让运行不受信任的代码变得更安全。你必须保持警惕,以免自己受到恶意或不受信任的代码的攻击。要避免的主要事情是不要访问你不信任的网站或点击电子邮件中的链接。即使你从未明确下载任何可执行代码,浏览器漏洞仍然是攻击客户端计算机的主要媒介之一,尽管对浏览器安全模型进行了十年的深入研究和开发。
答案2
是的,使用普通用户是安全的,这就是 UAC 的发明目的。所有提升权限的命令都会提示您。
在某些情况下,您应该注意(域管理员、管理员用户或 UAC 已以某种方式禁用)可能不会提示 UAC。
答案3
对于普通用户来说,是的。双重权限设置正是 UAC 旨在复制的功能,只不过使用一个帐户而不是两个。只需确保在您希望权限分离生效时适当设置 UAC 警报级别即可。