UAC a konto standardowe i konto administratora

Witam,

Wiele się mówi o wyższości konta standardowego nad kontem administratora z perspektywy bezpieczeństwa.

 

Chciałbym się dowiedzieć jaka jest różnica pomiędzy kontem standardowym a kontem administratora z perspektywy zezwolonej infekcji malware na maksymalnym uac, bo przecież jeśli mam konto administratora i UAC ustawione na maksymalny poziom to i tak pyta przy zainstalowaniu programów o zgodę na zainstalowanie. Zauważyłem, że na koncie standardowym jest to samo, tylko że trzeba podać hasło albo nie jeśli nie ustawiłem admina na hasło. W jaki sposób wpływa to na infekcję malware? Jeśli przez przypadek zainstaluję je (program z malware) w komputerze na koncie administratora czy też na koncie standardowym czy będzie to samo? Przecież i tak zezwoliłem UAC na dokonywanie zmian? Nie rozumiem tej kwestii. Czy wystarczy konto administratora z UAC na maksymalnym poziomie? Jeśli nie to w jaki konkretnie sposób konto standardowe jest lepsze?

 

 

Prosiłbym o w miarę rozbudowane wyjaśnienie. Nie podawajcie tylko innych sposobów zabezpieczeń, tylko skupcie się na zagadnieniu kont.

Zabezpieczenia Windowsa (UAC, Zapora, Defender) są słabe. Mimo wszystko lepsze niż żadne.

Najlepszym zabezpieczeniem jest dobry antywirus, dobry firewall, UAC (ja pozostawiam włączone, ale suwak na minimum) no i Twój mózg - bez tego nawet najlepsze zabezpieczenia wysiadają…

Do zezwolonej/kontrolowanej infekcji najbezpieczniej użyć dowolny sandbox.

 

Antywirus? Kwestia gustu…

Zapora? Comodo Firewall

Sandbox? VirtualBox, albo Piaskownica z w/w-go.

 

Wydaje mi się, że UAC jest po prostu pierwszą linią obrony. Aby mieć pewność co do ograniczeń to musisz sam je ustawić w zaawansowanych ustawieniach uprawnień i takie tam…

Dzięki, ale to nie jest odpowiedź na moje pytanie.

Możliwe, że to będzie odpowiedź…cytat pochodzi z mojego tekstu na temat programu DropMyRights, którego celem jest własnie “wybiórcze” obniżanie uprawnień dla aplikacji

Dziękuję za tę informację, ale nie rozumiem jednej rzeczy. Po co tworzyć konto standardowe jak na koncie administratora jest uac? Przecież nawet jak zezwolimy na koncie standardowym instalację zainfekowanego programu (uac wyświetli się tak samo jak na koncie administratora), to infekcja będzie taka sama? Prawda?

 

Chodzi mi tutaj o stopień infekcji malware, jak zezwolimy czy na koncie admina czy na koncie standardowym to szkody będą takie same?

Dokładnie tak, to ma tylko być tylko ochrona żeby nie świadomy użytkownik nie zainstalował niczego co mogło by zainfekować komputer. Bezpieczeństwo windowsa jest na bardzo niskim poziomie więc infekcja z konta standardowego nie będzie miała problemu z przejęciem uprawnień administratora.

Windows to system zakładający i dający możliwość pracy dla kilku użytkowników na ich własnych profilach, więc z założenia jest tylko jedna osoba - admin - który powinien mieć dostęp do wszystkich kont, który może je nadzorować, kontorlować, modyfikować, a to wszystko jeszcze chronione jest hasłem. Pzostali mają podstawowe uprawnienia do pracy i bardzo ograniczone dojście do systemu, żeby po prostu nieczego nie mogli popsuc :slight_smile:

Czyli reasumując jeśli sam korzystam z komputera konto standardowe nie daje mi większej ochrony niż konto administratora, więc nie ma sensu zakładać takiego konta?

Dokładnie, takie rozwiazanie ma sens na systemach w ktorych jest relatywna roznica miedzy adminem a standardowym kontem i standardowe konto nie moze uzyskac uprawnien administratora (linux i macos), na windowsie to po prostu nie dziala, zreszta zeby coś zainstalować musisz sam nadać prawa administratora na plik ktory moze byc zainfekowany.

Dokładnie o tę informację mi chodziło. Bo wiele razy na dobrych programach i nie tylko poleca się instalowanie konta standardowego zamiast korzystania z konta administratora, a bezpieczeństwo z perspektywy właściciela komputera to zwykła fikcja. Bez sensu jest więc tworzenie konta standardowego, tym bardziej jeśli mam uac ustawione na maksymalny poziom na koncie administratora. Konto standardowe wynika z tego, jest przeznaczone dla innych osób, które korzystają z komputera, np. w szkole. Nie wiem tylko dlaczego większość serwisów usilnie próbuje przekonać na konto administratora, np. tutaj:

http://www.dobreprogramy.pl/Windows-moze-byc-bezpieczny-o-ile-pracujemy-na-koncie-standardowym,News,62117.html

 

Nie ma to najmniejszego sensu.

Niestety jesteś w błędzie…to ma sens i to bardzo prosty…konto administratora to generalnie pełna “władza” i możliwość dokonywania dowolnych zmian w systemie, a dobrowolne obniżenie sobie uprawnień to jedynie opcja - to jakby dodatkowy nałożony filtr na pewne działania w systemie, na które możesz się wtedy zgodzić lub nie i to w zakresie obejmującym cały system i wszystkich użytkowników. Konto zwykłego uzytkownika ma z góry nałożone restrykcje i pewne zdarzenia nigdy nie zajdą…zostaną z góry zablokowane przez systemowe restrykcje, a jeśli cos się zdarzy, to dotyczyc będzie tylko jednego konta i jednego uzytkownika, a nie ewentualnych innych współużytkowników. Na koncie administratora malware się uruchomi, ale na koncie zwykłym już niekoniecznie.

Mozna więc uzyć takiej analogii…konto zwykłe to zwykła karta kredytowa z małym limitem, niewilkimi kwotami jednorazowych wypłat i zasadniczo mało przywilejów czyli atrakcji mało, ale w przypadku kradzieży karty i strata niezbyt wielka…konto administratora to oczywiście większy limit na koncie i do wypłaty jednorazowej, dodatkowe ubezpieczenia, przywileje i nawet jeśli sam sobie narzucisz ograniczenia co do ilości i wielkości wypłat, to można oskubac Cię na znacznie większą kwotę.

Tu jest fajny artykuł

http://wss.geekclub.pl/baza-wiedzy/windows-vista-user-account-control,1623

Hmmm. Dalej nie jestem przekonany. Cytat z twojego linku:

 

Z tego wynika, że również konto administratora jest w pewien sposób ograniczone. Słyszałem i trochę czytałem o koncie Super Administratora:

http://blogkomputerowy.cba.pl/index.php/2010/03/aktywacja-konta-super-administratora-w-systemie-windows-vista-oraz-windows-7/ które daje o wiele większe uprawnienia.

Czyli jest jakieś jeszcze konto administratora o wyższych uprawnieniach niż zwykły administrator jednak jest ukryte?

Dlatego jeśli nie włączę super administrator a korzystam ze zwykłego konta administratora jestem tak samo bezpieczny jak standardowe konto. W końcu jest UAC. A na standardowym koncie jak zapyta UAC o instalację malware i zgodzę się to infekcja będzie taka sama jak na koncie admina. Tak myślę. A dla komputera, które nie współużytkuję, korzystam z niego sam, konto standardowe jest chyba bez sensu. Dlatego sądzę, że serwisy, które zachęcają do użytkowania konta standardowego dla jednego usera wprowadzają go w błąd. Daje to złudne poczucie bezpieczeństwa. Bo zezwalając w uac na coś złego i tak zainfekuję konto i po danych. Malware przebije się bo zezwolę to w uac. Prawda?

Poprawcie mnie jeśli się mylę.

Musisz odróżnić dwie rzeczy. Kiedy użytkownik jest członkiem grupy Administratorzy (grupa Administrators) oraz kiedy użytkownik jest administratorem (konto Administrator).

Po instalacji systemu operacyjnego zostajesz członkiem grupy Administratorzy (nie wiem jak jest teraz bo nie używam Windowsa). Po zalogowaniu do systemu na takim koncie dostajesz dwa tokeny dostępu (access token), jeden od grupy Administratorzy

a drugi z tymi samymi właściwościami użytkownika tylko z usuniętymi właściwościami administracyjnymi czyli jako zwykły użytkownik. Normalnie pracujesz na tym drugim tokenie, jeśli trzeba wykonać jakąś

operację wymagającą podniesienia uprawnień (do grupy Administratorzy) to wtedy pojawi się monit od UAC z informacją o wymaganych większych uprawnieniach i przyciskach ‘tak’ i ‘nie’. Wciskasz ‘tak’

i system zaczyna wykonywać tą operację z uprawnieniami grupy Administratorzy.

 

To w przeciwieństwie do poprzedniego to jest konto ‘Administrator’. Konto Administrator domyślnie także nalezy do grupy Administratorzy, więc ma wszystkie uprawnienia grupy Administratorzy plus swoje własne.

Uprawnienia jakie ma każdy typ konta zależą od ACLek danego zasobu, domyślnie system Windows pozwala na więcej kontu Administrator niż grupie Administratorzy ale oczywiście wszystko zależy od ACLek,

jako ciekawy przykład można podać dostęp do katalogu do którego dostęp damy zwykłemu użytkownikomi natomiast zabronimy kontu Administrator, przykład:

Zakładamy katalog c:\prosiaczek oraz sprawdzamy jakie ma domyślnie aclki:

 

c:\>mkdir prosiaczek

c:\>icacls prosiaczek
prosiaczek BUILTIN\Administrators:(I)(F)
           BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
           NT AUTHORITY\SYSTEM:(I)(F)
           NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
           BUILTIN\Users:(I)(OI)(CI)(RX)
           NT AUTHORITY\Authenticated Users:(I)(M)
           NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)

Usuwamy wszystkie odziedziczone uprawnienia z katalogu nadrzędnego

 

c:\>icacls prosiaczek /inheritance:r
processed file: prosiaczek
Successfully processed 1 files; Failed processing 0 files

c:\>icacls prosiaczek
prosiaczek
Successfully processed 1 files; Failed processing 0 files

I dajemy uprawnienia tylko dla użytkownika IEUser (używam maszyny wirtualnej z http://dev.modern.ie i ona ma domyślnie stworzone takie konto):

 

c:\>icacls prosiaczek /grant IEUser:f
processed file: prosiaczek
Successfully processed 1 files; Failed processing 0 files

I teraz ciekawostka, konto Administrator nie ma prawa zobaczyć co jest w środku, muszę się przelogować na IEUser aby wyświetlić zawartość katalogu.

 

Podsumowując to co wg Ciebie jest zwykłe konto administratora to jest wtedy kiedy użytkownik należy do grupy Administratorzy natomiast to ‘super’ konto

to wtedy kiedy logujemy się bezpośrednio na konto Administrator.

 

Standardowe konto to jest jeszcze co innego, to jest konto które nie należy do grupy Administratorzy (ani nie jest Administratorem). Jeśli dana operacja wymaga

podniesienia uprawnień i masz włączony UAC to wtedy wystąpi monit o wybranie konta administracyjnego czyli pojawi się lista na której będzie konto Administrator oraz

konta które należą do grupy Administratorzy, wybierasz interesujące konto, podajesz hasło i operacja wykonuje się z uprawnieniami określonego konta (czyli albo Administrator

albo grupa Administratorzy).

A kwestia bezpieczeństwa zależy od ACLek do zasobów, domyślnie windows pozwala na więcej kontu Administrator niż grupie Administratorzy.

 

Jeśli z konta zwykłego użytkownika podniesiesz uprawnienia to oczywiście malware zrobi wszystko co może zrobić z podniesionymi uprawnieniami, natomiast

różnica jest taka że z konta zwykłego użytkownika okno do podniesienia uprawnień (UAC) będzie zawierało listę kont administracyjnych i trzeba będzie

podąć hasło do takiego konta (zamiast tylko przycisków tak/nie).

Czyli mówiąc krótko nie warto tworzyć konta standardowego, tylko korzystać z domyślnego konta w Windowsie? Zdrowy rozsądek to podstawa, a konto standardowe w żaden sposób nie ochroni bardziej użytkownika.

Jeśli założymy że nie ma błędów w implementacji UAC to tak, domyślne konto będzie równe standardowemu.