un account amministratore è sicuro al giorno d'oggi come un account standard accoppiato con l'account amministratore incorporato quando necessario?
In breve: ancora no.
La risposta più lunga ...
Controllo dell'account utente non è una funzione di sicurezza
Ai tempi di Windows XP e versioni precedenti di Windows, era abbastanza difficile praticare il Principio del privilegio minimo , non ultimo in un ambiente aziendale. Il principio implicava che avresti svolto tutte le tue attività quotidiane utilizzando un account utente standard. Qualsiasi attività che richieda privilegi di amministratore verrebbe eseguita utilizzando un account separato con diritti di amministratore (dato che l'utente ne aveva un bisogno legittimo).
Ma Windows XP non è stato progettato pensando a questo, e c'erano molte stranezze e limitazioni quando si eseguiva come utente standard, anche se si avesse anche accesso a un account amministratore. Come utente standard, non sei stato in grado di fare clic sull'orologio systray per mostrare il calendario mensile pulito, non è possibile modificare le impostazioni di rete e la funzione "Esegui come" non ha funzionato per tutto (in particolare Esplora risorse di Windows, e quindi anche Attività pianificate, stampanti e altre cartelle shell, se la memoria mi serve bene).
Ovviamente ci sono state soluzioni alternative per molte di queste carenze, ma ci è voluto molto tempo per scoprirle, documentarle e, beh, aggirarle.
La sicurezza è un equilibrio tra, beh, sicurezza e convenienza . Controllo dell'account utente è stato introdotto con Windows Vista, principalmente per rilevare quando erano necessari i diritti di amministratore e per richiedere automaticamente l'autenticazione con un (altro) account, con diritti di amministratore. Ciò ha reso molto più semplice la pratica del Principio del privilegio minimo.
Come effetto collaterale, l'esecuzione di attività che richiedono diritti di amministratore, mentre si è connessi con un account amministratore, ti dà la possibilità di confermare effettivamente che desideri esercitare questi diritti. Il controllo dell'account utente quando si installa il software sembra ragionevole, mentre quando si apre una normale pagina Web no.
Tuttavia, risulta che la maggior parte degli utenti non utilizza account separati e alcune attività quotidiane richiedono diritti di amministratore (regolazione delle impostazioni per orologio, rete, piano di alimentazione, ecc.), E quindi attiverebbero un prompt UAC in Vista. Questa serie di istruzioni provoca la maggior parte degli utenti
a) accettare ciecamente qualsiasi richiesta di controllo dell'account utente, senza alcuna attenzione a ciò che stava effettivamente richiedendo l'elevazione, oppure
b) Disabilitare completamente la conferma UAC
Con Windows 7, Microsoft ha creato diverse autorizzazioni per l'elevazione automatica degli eseguibili di Windows, quindi se si utilizza un account amministratore, alcune azioni vengono eseguite automaticamente con diritti elevati (admin). Ciò ha reso l'UAC molto meno invadente.
L'elevazione automatica UAC può essere sfruttata
Quindi, in Windows 7 esiste un meccanismo integrato per i diritti di elevazione automatica. Se questo meccanismo può essere sfruttato, da un'applicazione in esecuzione con diritti utente standard, UAC (che non è stato progettato per essere un meccanismo di sicurezza), può essere aggirato e si può finire per eseguire applicazioni con diritti di amministratore, anche se non lo si è fatto richiesto di confermarlo.
Si scopre che l'ascensore automatico UAC può infatti essere sfruttato tramite l'iniezione di codice, come dimostrato da Leo Davidson ( whitelist UAC di Windows 7: codice di iniezione del codice (e altro) ) e discusso e dimostrato da Long Zheng ( UAC in Windows 7 ancora rotto, Microsoft non risolverà / non potrà correggere la vulnerabilità dell'iniezione di codice ).
Conclusione
Visto dal punto di vista della sicurezza, ha ancora senso utilizzare account separati per il lavoro quotidiano e tutto ciò che richiede diritti di amministratore. Questo è l'unico modo per essere (ragionevolmente) sicuro che nessuna applicazione funziona con diritti di amministratore, senza la tua esplicita autorizzazione.
Detto questo, è un equilibrio tra convenienza e sicurezza. Come sottolineato da @GeminiDomino, potresti anche riempire tutte le porte con resina epossidica, come usato dai militari. Potresti anche far funzionare il tuo computer "air gapped", come Bruce Schneier , in modo che non si connetta mai direttamente a nessuna rete.
Alla fine si arriva a capire se stai bene con l'autenticazione esplicita quando esegui le attività di amministrazione o meno.