it-mure.jp.net

UACを完全に上げたWindows7で標準ユーザーとして実行することには、セキュリティ上の利点はありますか?

現在、Windows 7マシンをセットアップして、メインユーザーアカウント(日常的に使用するアカウント)が標準ユーザーになるようにしています。管理者として設定されている別のアカウントを持っています。

UACは、最も制限の厳しい設定(常に通知)に設定されています。このように、標準ユーザーアカウントにログインしているときにアプリケーションに管理者権限が必要な場合(99%の場合)、管理者アカウントのパスワードの入力を求めるUACプロンプトが表示されます。

私は、この設定によってセキュリティ上の脅威の可能性に対する重要な保護が提供されると信じて、この不便にさらされました。

これは正確な認識ですか?それとも私は不必要に自分自身に迷惑をかけていますか? UAC設定を低いレベルに下げることで、システムのセキュリティリスクを大幅に高めることができますか?

あなたが提供できるアドバイスをありがとう。

(参照:2009年、Microsoftのエンジニアは、UACが「 セキュリティ境界ではない 」であると指定しました。)

7
Mantis

(参照:2009年、Microsoftのエンジニアは、UACは「セキュリティ境界ではない」と指定しました。)

そして、彼らは完全に正しいです。懸念事項は、システムでのユーザーの役割です。通常のユーザーとして設定しているが、UACプロンプトが常に表示される場合、または作業を行うためにパスワードプロンプトを使用して特権を昇格する必要がある場合は、実質的にシステムの管理者であり、1人としてログオンする必要があります。

実際、UACプロンプトのセキュリティは、そうしなかった場合に危険にさらされます。これは、常にプロンプ​​トオプションを機械的に押し始め、UACプロンプトを、ユーザーと日常のアクションの間の潜在意識の確認レイヤーに限定するためです。すぐに、正当なプロンプトと実際に疑わしいプロンプトを区別できなくなります。

つまり、マシンを管理している場合、コンピューターへの管理アクセスを常に必要としている場合は、コンピューターの管理者であり、アカウントをそのように設定する必要があります。


逆に、通常のユーザーには多くのプロンプトが表示されないはずです。アプリケーションを開いたり、印刷するドキュメントを送信したり、電子メールを読んだり返信したりする日常の操作は、管理者権限を必要とする操作ではありません(またはそうすべきではありません)。アプリケーションをインストールしたり、システム設定を変更したりするなど、UACが介入するのは、すべきでないことをしようとしたときです。次に、システム管理者に確認を求め、次のようにしてその操作の権限を昇格させます。彼のパスワード、またはその愚かさに参加することを拒否します。

.。

したがって、セキュリティは依然としてほとんどの場合ユーザーの懸念と責任です。 UACは間違いなく役立ちます。しかし、ユーザーと管理者の役割を明確に分離することによって責任の境界を確立することによって(Vista以前のMicrosoftデスクトップオペレーティングシステムにはなかったもの)。これを行うことで、UACは、セキュリティ上の懸念のほとんど(すべてではないにしても)が管理者に委任されるようにするのに役立ちます。

それは確かに特定のマルウェアを複雑にする機能を導入します。 UAC仮想化はその1つです。しかし、UACはユーザーの役割を置き換えたくありません。繰り返しますが、管理者の場合は、管理者としてログインしてください。


UACを深く理解するには、Windows 7ユーザーアカウント制御内を読んでください。 Mark Russinovich の1つです。それを担当する専門家。特に、全文を読むときは彼のリンクをたどることをお勧めします。特に会議ビデオ、および「コンテンツ」セクションの「UAC内部」および「UACとセキュリティの関係の再検討」を読んだビデオ。ただし、一般的に言えば、この機能を深く理解するには、すべてのリンクをクリックする必要があります。あなたがおそらく知りたいと思ったことは、そこにあります。

中のすべての概念を完全に読み、内部化するのに約3日かかりました。しかし、自分のペースでそれを取るなら、それはそれだけの価値があります。

12
A Dwarf