Va bene usare un account amministratore per l'uso quotidiano se l'UAC è attivo?

Da quando sono passato a Windows 7 circa 3 anni fa e ora utilizzo Windows 8.1, ho acquisito familiarità con il concetto di controllo dell'account utente e ho utilizzato il mio PC nel modo seguente: un account standard che utilizzo per il lavoro quotidiano e il nell'account amministratore attivato e utilizzato solo per elevare i processi quando richiesto, o per eseguire le applicazioni "Esegui come amministratore" quando necessario.

Tuttavia, recentemente dopo aver letto di più sul Controllo dell'account utente, ho iniziato a chiedermi se il mio modo di lavorare è buono? O dovrei usare un account amministratore per il lavoro quotidiano, poiché un account amministratore non è elevato fino a quando non viene richiesto dalle app o fino a quando non lo richiedo tramite l'opzione "Esegui come amministratore"? Lo sto chiedendo perché ho letto da qualche parte che l'account Administrator incorporato è un vero amministratore, il che significa che UAC non viene visualizzato quando si accede al suo interno e ho paura di non avere problemi quando entrano potenziali software dannosi scena. Devo dire che non lo uso quotidianamente, proprio quando ho bisogno di elevare alcune app. A malapena riesco ad accedervi 10 volte all'anno ...

Quindi, come va? Grazie per le tue risposte! E buon anno, ovviamente!

PS L'ho chiesto un anno fa (: P) e penso che dovrei ribadirlo: un account amministratore è sicuro oggi come un account standard accoppiato con l'account amministratore incorporato quando necessario?

un account amministratore è sicuro al giorno d'oggi come un account standard accoppiato con l'account amministratore incorporato quando necessario?

In breve: ancora no.

La risposta più lunga ...

Controllo dell'account utente non è una funzione di sicurezza

Ai tempi di Windows XP e versioni precedenti di Windows, era abbastanza difficile praticare il Principio del privilegio minimo , non ultimo in un ambiente aziendale. Il principio implicava che avresti svolto tutte le tue attività quotidiane utilizzando un account utente standard. Qualsiasi attività che richieda privilegi di amministratore verrebbe eseguita utilizzando un account separato con diritti di amministratore (dato che l'utente ne aveva un bisogno legittimo).

Ma Windows XP non è stato progettato pensando a questo, e c'erano molte stranezze e limitazioni quando si eseguiva come utente standard, anche se si avesse anche accesso a un account amministratore. Come utente standard, non sei stato in grado di fare clic sull'orologio systray per mostrare il calendario mensile pulito, non è possibile modificare le impostazioni di rete e la funzione "Esegui come" non ha funzionato per tutto (in particolare Esplora risorse di Windows, e quindi anche Attività pianificate, stampanti e altre cartelle shell, se la memoria mi serve bene).

Ovviamente ci sono state soluzioni alternative per molte di queste carenze, ma ci è voluto molto tempo per scoprirle, documentarle e, beh, aggirarle.

La sicurezza è un equilibrio tra, beh, sicurezza e convenienza . Controllo dell'account utente è stato introdotto con Windows Vista, principalmente per rilevare quando erano necessari i diritti di amministratore e per richiedere automaticamente l'autenticazione con un (altro) account, con diritti di amministratore. Ciò ha reso molto più semplice la pratica del Principio del privilegio minimo.

Come effetto collaterale, l'esecuzione di attività che richiedono diritti di amministratore, mentre si è connessi con un account amministratore, ti dà la possibilità di confermare effettivamente che desideri esercitare questi diritti. Il controllo dell'account utente quando si installa il software sembra ragionevole, mentre quando si apre una normale pagina Web no.

Tuttavia, risulta che la maggior parte degli utenti non utilizza account separati e alcune attività quotidiane richiedono diritti di amministratore (regolazione delle impostazioni per orologio, rete, piano di alimentazione, ecc.), E quindi attiverebbero un prompt UAC in Vista. Questa serie di istruzioni provoca la maggior parte degli utenti

a) accettare ciecamente qualsiasi richiesta di controllo dell'account utente, senza alcuna attenzione a ciò che stava effettivamente richiedendo l'elevazione, oppure

b) Disabilitare completamente la conferma UAC

Con Windows 7, Microsoft ha creato diverse autorizzazioni per l'elevazione automatica degli eseguibili di Windows, quindi se si utilizza un account amministratore, alcune azioni vengono eseguite automaticamente con diritti elevati (admin). Ciò ha reso l'UAC molto meno invadente.

L'elevazione automatica UAC può essere sfruttata

Quindi, in Windows 7 esiste un meccanismo integrato per i diritti di elevazione automatica. Se questo meccanismo può essere sfruttato, da un'applicazione in esecuzione con diritti utente standard, UAC (che non è stato progettato per essere un meccanismo di sicurezza), può essere aggirato e si può finire per eseguire applicazioni con diritti di amministratore, anche se non lo si è fatto richiesto di confermarlo.

Si scopre che l'ascensore automatico UAC può infatti essere sfruttato tramite l'iniezione di codice, come dimostrato da Leo Davidson ( whitelist UAC di Windows 7: codice di iniezione del codice (e altro) ) e discusso e dimostrato da Long Zheng ( UAC in Windows 7 ancora rotto, Microsoft non risolverà / non potrà correggere la vulnerabilità dell'iniezione di codice ).

Conclusione

Visto dal punto di vista della sicurezza, ha ancora senso utilizzare account separati per il lavoro quotidiano e tutto ciò che richiede diritti di amministratore. Questo è l'unico modo per essere (ragionevolmente) sicuro che nessuna applicazione funziona con diritti di amministratore, senza la tua esplicita autorizzazione.

Detto questo, è un equilibrio tra convenienza e sicurezza. Come sottolineato da @GeminiDomino, potresti anche riempire tutte le porte con resina epossidica, come usato dai militari. Potresti anche far funzionare il tuo computer "air gapped", come Bruce Schneier , in modo che non si connetta mai direttamente a nessuna rete.

Alla fine si arriva a capire se stai bene con l'autenticazione esplicita quando esegui le attività di amministrazione o meno.

Il più sicuro? Scollega la rete e monitora, riempi tutte le porte con resina epossidica e disassembla il disco rigido, disperdendo le parti attraverso i sotterranei di Hyrule.

Seriamente, però, le tue preoccupazioni sono fondate, nella mia esperienza. Non solo a causa di malware e altri software cattivi, ma perché alla fine sei umano. Nel contesto di un utente limitato, puoi ovviamente fare errori che causano molti danni. Come amministratore, puoi fare tutto quel danno e molto altro.

Eseguire quotidianamente come amministratore può essere molto allettante, specialmente quando si tratta di determinati pacchetti software che non sembrano cooperare con "Esegui come amministratore" nei loro aggiornamenti (ti sto guardando, VirtualBox ... ), ma dal momento che il tuo titolo dice "sicuro", sto per dire che è meglio avere a che fare con quelli che occasionalmente escono, come fai ora. Buoni istinti.

Felice anno nuovo!