我上一台电脑运行的是 XP;管理员拥有不受限制的访问权限(无 UAC),而我日常使用的账户是标准用户。当我需要执行某些操作(例如安装软件)时,我只需执行“以...身份运行”,然后输入管理员凭据即可。将日常账户设为受限账户(如 Linux)是合理的。
我最近购买了一台新的 Windows 8 电脑。使用用户帐户控制时,当我以管理员身份登录时,如果应用程序尝试对计算机进行更改,UAC 将弹出允许/拒绝提示。
如果我改为将我的日常帐户设为标准帐户,当我执行需要管理员权限的操作时,它也会提示我(但需要密码和用户名)。由于两个用户帐户都会提示我,将我的日常帐户设为标准帐户有什么意义吗?什么是“最佳”做法?你们都亲自遵循吗?
答案1
UAC 不被视为安全边界。这意味着只有(相对)薄弱的保护措施可以防止恶意软件“逃脱”UAC 并获得管理员访问权限。(特别是,微软不承诺修复导致这种情况发生的问题。)
就我个人而言,除非我实际管理计算机,否则我总是在家用机器上使用标准用户帐户。
答案2
当涉及到你的个人的计算机的“最佳”做法往往千差万别,而且经常被忽视。每个人在家中使用计算机的方式不同,安全性也不同。您应该采取您认为最适合您的安全性和便利性相结合的做法。对其他人有效的方法可能不适合您的情况。
就我个人而言,我的所有用户都是 Windows 上的管理员帐户,这样更方便。如果我有一个人和我住在一起,他们有要使用我的电脑,我会给它们一个标准账户。我也会更有意识地锁定或注销我的电脑。
请记住,标准帐户上的 UAC 提示可能是由于应用程序具有管理员权限,而不是用户。
答案3
是的,特别是如果你对物理安全有疑虑的话。让我来举例说明。
如果您以管理员身份登录并启用 UAC,则您(个人、物理上)可以通过提升对话框成为完全管理员。因此,任何走进您登录的机器的人都是管理员。
想象一下,您正在笔记本电脑上运行 PowerPoint 进行演示。突然,观众中的某个人跳起来,将一个 USB 设备塞进您的笔记本电脑。屏幕上很快出现了奇怪的事情,攻击者逃离了大楼。该 USB 设备以键盘的形式出现在操作系统中,并输入了一些恶意内容。(您可以买其中一个不到 50 美元!)但是它造成了多大的损失呢?
如果您实际上是以标准用户身份登录的,那么它可能做的最糟糕的事情就是获取或修改您有权访问的文档。如果您以受 UAC 保护的管理员身份登录,它可能会创建一个管理命令提示符 - Win+ X, A, Alt+ Y- 并从根本上改变操作系统,也许是为了插入影响的后门或间谍程序所有人谁使用这台机器。
保证不良行为者(无论是电子行为者还是物理行为者)不能成为本地管理员的唯一方法是以标准用户身份登录。