Windows 7: Benefícios de uma conta de usuário padrão com o UAC ativo em uma única configuração de usuário?

Venho pesquisando nos últimos dias para encontrar a melhor maneira de configurar contas de usuário seguras no Windows 7. Aprendi algumas coisas novas sobre o UAC (controle de conta de usuário) e o AAM (modo de aprovação do administrador), mas ainda há algumas perguntas esquerda. A seguir, apresentarei o que sei sobre esse assunto (ou pelo menos o que acho que sei), seguido pelas minhas perguntas restantes.

Primeiro, o sistema em questão é um PC de usuário único e o usuário terá acesso aos direitos de administrador. Na maioria das vezes, é recomendável criar uma conta de administrador e um usuário separado. Mas lendo sobre como o UAC e o AAM funcionam, parece haver poucos ou nenhum benefício de segurança nessa abordagem - pelo menos na configuração pretendida.

Ao fazer login em uma conta de administrador, dois tokens de acesso são criados - um com direitos restritos e outro com direitos de administrador. Em geral, o administrador sempre usará os mesmos direitos restritos que um usuário padrão. Somente quando ele deseja executar uma ação para a qual esses direitos não são suficientes, o sistema solicita que ele confirme suas ações. Apenas seus direitos serão elevados aos direitos de administrador e somente para esta tarefa. Esse comportamento é semelhante ao que um usuário padrão enfrentaria com três diferenças particulares, que levam as pessoas a afirmar que trabalhar com uma conta de administrador é menos seguro:

• O usuário administrador verá apenas uma caixa de diálogo de confirmação, ele precisará clicar, enquanto o usuário padrão precisará digitar uma senha para elevar seus direitos. Mas isso pode ser alterado para que o usuário administrador seja obrigado a digitar uma senha também [no registro ou no editor de políticas].
• Várias ações (por exemplo, iniciando alguns aplicativos confiáveis ​​da Microsoft) não provocam a caixa de diálogo de confirmação quando conectado como usuário administrador. Novamente, isso também pode ser alterado para o usuário administrador [nas configurações normais do usuário].
• Por fim, e mais importante, contas de administrador e de usuário separadas têm áreas separadas para seus arquivos, entradas de registro, etc. Portanto, se algo malicioso for introduzido ao trabalhar com direitos restritos (por exemplo, um executável em um diretório temporário, associações de arquivos alteradas etc.), ele estará localizado em um contexto diferente quando o usuário padrão solicitar e receber direitos elevados e não no diretório mesmo contexto em que um usuário administrador solicita direitos elevados.

Os dois primeiros problemas não são problemas, pois podem ser configurados para funcionar exatamente da mesma maneira para um usuário padrão e para um usuário administrador. É a terceira questão que me fez pensar. Isso realmente torna uma configuração com conta de administrador e usuário separada mais segura do que uma única conta de administrador? Assim que os direitos elevados são concedidos, tudo o que é armazenado em qualquer espaço do usuário é acessível e executável. Portanto, mesmo quando um usuário padrão solicita direitos elevados e os recebe e agora trabalha no contexto da conta de administrador, o código malicioso do seu contexto original pode ser acessado e executado sem avisos adicionais.

Portanto, para retornar às minhas perguntas: Na configuração apresentada, usar uma única conta de administrador é tão segura quanto usar uma conta de administrador e usuário separada, desde que você altere o nível de notificação para o máximo e exija uma senha para obter direitos elevados? A única diferença entre as duas configurações seria as áreas de arquivo / entradas de registro separadas. Mas até onde eu sei, isso não traria mais segurança. Ou estou errado em minha suposição?

Deixe-me fornecer uma explicação simples para os direitos administrativos no Windows. Por padrão, quando você configura sua primeira conta de usuário, ela será atribuída no grupo Administradores. Para a criação subsequente da Conta de Usuário, o Windows recomendará que você a faça como Usuários Padrão, o que significa direitos não administrativos.

Para a primeira conta de usuário, definitivamente ela está sendo executada no grupo Administradores, mas o diferente é que todos os aplicativos estão sendo executados como usuários padrão, o que significa que, se você não precisar de privilégios administrativos para nenhum aplicativo, seja para executar, ler ou escrever, o Windows venceu fornece privilégios administrativos para essa ação. Esse modelo está funcionando como Usuários padrão, que a Microsoft muda de idéia para controlar o uso de privilégios administrativos na conta de grupos Administradores. Em resumo, quando os aplicativos precisam de permissão administrativa, eles precisam primeiro perguntar antes de obtê-la. O usuário terá o direito de decidir se deve permitir ou negar.

Para a segunda conta de usuário, definitivamente ela está sendo executada no grupo Usuários padrão, o que significa o mesmo: todos os aplicativos estão sendo executados com privilégios não administrativos. A principal diferença é que você está executando como usuários padrão. Quando você precisa de privilégios administrativos, precisa de um usuário que esteja no grupo Administradores para aprovar a ação para Usuários Padrão. Isso funciona como "Eu empresto suas credenciais administrativas para me ajudar a executar as tarefas". Além disso, vamos supor que o Controle de Conta de Usuário (UAC) esteja desativado. Quando você estiver executando como usuários padrão, não terá chances de emprestar credenciais de outras contas administrativas para aprovar quaisquer ações administrativas, pois toda a ação será negada diretamente de obter privilégios administrativos. Essa é a diferença.

Para a parte do malware, vamos simplificar. Se você deixar os bandidos entrarem no seu computador, você se foi. Se você permitiu que o malware tivesse privilégios administrativos, seria como se não estivesse sendo executado como privilégios administrativos ou usuários padrão, porque já tenho os direitos administrativos. Mesmo o malware mais forte que tenta ignorar o UAC (Controle de Conta de Usuário) também requer direitos administrativos. Você sabe por que o malware pode ser instalado com sucesso em um computador? A resposta será apenas: Permitida acidentalmente, cegamente ou vulnerabilidade no Windows.

Por favor, não trate os Usuários Padrão como os sempre seguros para a segurança da computação. Esta é apenas outra camada de medidas preventivas que impedem a execução de aplicativos ou software malicioso no seu computador quando eles precisam de direitos administrativos. Primeiro precisamos saber quais aplicativos estão sendo executados em nossos computadores antes de conceder direitos administrativos. O uso de aplicativos antimalware para detectar e remover as ameaças também é essencial para manter o computador protegido contra ameaças de malware.

Na minha configuração, o UAC está definido para sempre negar elevação para contas padrão; não pede senhas, apenas sempre nega. A diferença entre contas padrão e contas de administrador com essa configuração é que não há chance de cometer um erro. E é mais trabalhoso executar esse malware: você deve copiá-lo para downloads públicos, fazer login como administrador e, em seguida, executá-lo.

Dito isto, o malware é mais inteligente hoje em dia e alguns não exigem direitos de administrador. Um trojan / ferramenta de acesso remoto (RAT) pode ver sua tela, recuperar seus documentos, ver suas fotos, agendar uma tarefa para enviar todos os seus novos arquivos para o invasor. Tudo isso funciona muito bem em uma conta padrão. O objetivo deles não é obter direitos de administrador sobre o seu PC. Essa linha de ataque não é tratada pela separação de contas padrão x administração. E você precisa de proteção extra.