Câu hỏi Quyền quản trị trên cài đặt Windows không phải của máy chủ


Tôi đã tranh luận với một người bạn trên một diễn đàn thảo luận khác về quyền của người dùng hệ điều hành. Câu hỏi của tôi là, cách tốt nhất là sử dụng tài khoản không phải quản trị để sử dụng hàng ngày trên cài đặt Windows thông thường? Anh ta dường như nghĩ rằng điều này chỉ quan trọng đối với quản trị viên miền.

http://news.povray.org/povray.windows/thread/%3C594d5dc7%241%40news.povray.org%3E/?mtop=416703&moff=12

Cảm ơn!


0
2017-07-03 03:57


gốc




Các câu trả lời:


Điều này là rất nhiều vấn đề về ý kiến ​​và phụ thuộc vào mức độ bảo mật mà bạn mong muốn và loại mối đe dọa bạn mong đợi phải đối mặt. Tuy nhiên, có một lựa chọn nổi bật mà bạn không đề cập đến và có thể không biết. Vì vậy, tôi sẽ bao gồm điều đó.

Với các phiên bản Windows hiện đại (Vista và mới hơn) UAC sẽ tự động giữ bạn ở trạng thái không có đặc quyền hầu hết thời gian. Tuy nhiên, các phiên bản mới nhất của Windows (8 & 10+) đã bắt đầu cho phép nhiều yêu cầu nâng cao (những yêu cầu của Windows nhị phân) thành công âm thầm. Cá nhân tôi thích rằng đây không phải là trường hợp, nhưng YMMV.

Nếu bạn muốn thực hiện tất cả yêu cầu độ cao yêu cầu phê duyệt và giả sử bạn có phiên bản Windows có Trình quản lý chính sách bảo mật cục bộ, bạn có thể sử dụng Trình quản lý chính sách bảo mật cục bộ để không cho phép leo thang đặc quyền im lặng và / hoặc thậm chí yêu cầu mật khẩu của bạn để nâng cao . Nhấp vào menu bắt đầu và nhập secpol để tìm kiếm sự hiện diện của Trình quản lý chính sách bảo mật cục bộ. Nhấp chuột phải vào Local Security Policy biểu tượng và chọn Run as administrator (chỉ để đảm bảo nó có các đặc quyền cần thiết).

Từ đó điều hướng đến Local Policies > Security Options và tìm mục gần cuối có tên User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode. Tôi đề nghị sử dụng Prompt for Credentials sẽ yêu cầu mật khẩu mỗi khi có yêu cầu về độ cao và ứng xử tương tự như gksudo trên Ubuntu Linux và các ứng dụng tương tự. Prompt for Consent cũng có sẵn nếu bạn chỉ muốn nhấp vào có hoặc không có lời nhắc UAC. Bạn cũng có thể chọn các tùy chọn an toàn trên máy tính để bàn nếu bạn lo lắng về việc cố gắng điều khiển từ xa máy tính của mình vì mục đích độc hại.

Tôi sẽ nói rằng trong kinh nghiệm của tôi là công nghệ sửa chữa máy tính đối với cả người dùng gia đình và doanh nghiệp, bảo mật được cải thiện do UAC, khi được triển khai và sử dụng đúng cách, đã thay đổi hoàn toàn cách cá nhân tôi tiếp cận lời khuyên bảo mật cho khách hàng của tôi. Trước khi tôi chấp nhận rằng đó là nguyên nhân chính gây mất mát cho đa số người dùng và tôi có thể giải thích nhiều thực tiễn tốt nhất cho họ nhưng cuối cùng, ngay cả khi họ theo dõi từng người một chỉ ngắt kết nối Internet và không sử dụng nó sẽ khiến họ không cần phải gọi tôi mỗi năm hoặc lâu hơn để dọn sạch đống lộn xộn máy tính của họ đã trở thành.

UAC đã hoàn toàn thay đổi điều đó. Bây giờ khi khách hàng của tôi gọi cho tôi, tôi thấy mình đang ngồi xuống (hầu hết) các máy tính có hành vi tốt với các đồ trang sức hạn chế (các trò chơi bí ẩn và các ứng dụng miễn phí và những thứ tương tự). So với trước, mỗi cuộc gọi dịch vụ bắt đầu với một vài phút chỉ nhận được phần mềm độc hại rõ ràng nhất dưới sự kiểm soát. Rõ ràng, YMMV, nhưng kinh nghiệm của tôi với UAC là đặc quyền của nó de-leo thang làm cho bằng cách sử dụng một tài khoản rõ ràng không có đặc quyền dư thừa (khi kết hợp với một chút thông thường).

Cũng cần lưu ý rằng các tài khoản không có đặc quyền trên các phiên bản Windows trước UAC gần như không thể sử dụng được do ngay cả phần mềm hợp pháp của bên thứ ba luôn cho rằng nó có quyền truy cập đặc quyền vào mọi thứ. Đây cũng là thứ đã thay đổi do UAC làm cho nó cần thiết cho các nhà cung cấp phần mềm của bên thứ ba để làm cho phần mềm của họ tuân theo các thực hành tốt nhất về bảo mật tiêu chuẩn được Microsoft đưa ra.


1
2017-07-03 04:36



Tôi sẽ lưu ý những mẹo đó nếu tôi nâng cấp lên Windows 10. - posfan12
Chúng cũng được áp dụng cho Windows 7. Xin lỗi nếu tôi không làm rõ điều đó. Windows Vista / 7 mặc định Prompt for consent trong đó Windows 8/10 + mặc định Prompt for consent for non-Windows binaries. Khác với tất cả những gì tôi nói là giống nhau cho Vista, 7, 8 và 10. - Cliff Armstrong


Từ quan điểm bảo mật, bạn nên sử dụng các tài khoản riêng cho công việc hàng ngày. Đây là cách duy nhất để được (hợp lý) chắc chắn, rằng không có ứng dụng nào chạy với quyền quản trị, mà không có sự cho phép rõ ràng của bạn. Điều đó nói rằng, đó là một sự cân bằng giữa tiện lợi và an ninh.

Việc chạy từng ngày với tư cách là quản trị viên có thể rất hấp dẫn, đặc biệt là khi xử lý các gói phần mềm nào đó dường như không thích hợp tác với "Chạy với tư cách quản trị viên" trong các cập nhật của họ như Virtual Box ... Đôi khi nó là một loại đau đớn, nhưng có thể lưu MANY nhức đầu để có người dùng không có quyền quản trị ở tất cả. Cá nhân tôi khuyên bạn nên cung cấp các đặc quyền tiêu chuẩn cho người dùng hàng ngày cho dù đó là máy chủ hoặc hệ điều hành không phải máy chủ.

Cuối cùng nó đi xuống nếu bạn đang OK với việc phải xác thực một cách rõ ràng khi thực hiện nhiệm vụ quản trị hay không.


1
2017-07-03 04:25