¿Siguen siendo útiles los usuarios estándar cuando Windows 8 tiene UAC?

8

Mi última computadora ejecutó XP; Los administradores tenían acceso sin restricciones (sin UAC) y mi cuenta normal del día a día era un usuario estándar. Simplemente hice una 'ejecución como' y luego ingresé las credenciales de administrador cuando necesitaba hacer algo como instalar software. Tenía sentido que la cuenta del día a día fuera limitada (como con Linux).

Recientemente compré una nueva computadora con Windows 8. Con el Control de cuentas de usuario, cuando inicie sesión como administrador, UAC mostrará un mensaje de permiso / denegación si una aplicación intenta realizar cambios en la computadora.

Si, en cambio, hago de mi cuenta del día a día una cuenta estándar, cuando hago algo que requiere privilegios de administrador, también se me solicitará (pero para una contraseña y nombre de usuario). Como ambas cuentas de usuario me preguntarán de todos modos, ¿hay algún punto en hacer que mi cuenta diaria sea estándar? ¿Cuál es la "mejor" práctica y todos ustedes la siguen personalmente?

windows windows-8 security uac AG
fuente
1
A partir de Windows Vista, ciertas acciones, como eliminar un archivo de una carpeta protegida, requieren un aviso de UAC. Como descubrió, esto sucede con un administrador o una cuenta de usuario. A menos que tenga sus propios motivos para ejecutar una cuenta restringida, el UAC protegerá su computadora de usted mismo siempre que lea el aviso.
Ramhound

Respuestas:

3

UAC no se considera un límite de seguridad. Lo que esto significa es que solo hay una protección (relativamente) débil que impide que el software malicioso "escape" de UAC y obtenga acceso de administrador. (En particular, Microsoft no promete solucionar problemas que permitan que esto suceda).

Personalmente, siempre uso una cuenta de usuario estándar en mi máquina doméstica, excepto cuando realmente estoy administrando la computadora.

Harry Johnston
fuente
¿Tiene alguna evidencia de malware "escapando" UAC y Microsoft no haciendo nada al respecto? Por lo que sé, las ventanas que se mueven alrededor de UAC es una escalada de privilegios bastante desagradable y definitivamente se solucionaría.
Scott Chamberlain
@ScottChamberlain: consulte technet.microsoft.com/en-us/magazine/2007.06.uac.aspx y blogs.msdn.com/b/e7/archive/2009/02/05/update-on-uac.aspx
Harry Johnston
@ScottChamberlain: considere el caso en el que el malware se inyecta en un ejecutable no privilegiado pero conocido, como Firefox o Adobe Flash, y hace que ese programa genere una notificación de actualización falsa. Es probable que un usuario sea engañado para que otorgue elevación. Este tipo de enfoque permite que el malware se eleve sin hacer nada que el modelo de seguridad de Windows no permita explícitamente (aunque AV podría detectarlo).
Harry Johnston
No veo cómo esos dos artículos prueban tu punto. Además, su ejemplo es igual de válido para una cuenta de usuario estándar, sin embargo, solo tendrá que escribir la contraseña en lugar de hacer clic en el botón Aceptar.
Scott Chamberlain
@ScottChamberlain: bueno, el primero contiene la frase "UAC no es un límite de seguridad" que pensé que probó mi primera oración. El resto es principalmente una descripción de lo que significa "no un límite de seguridad". Tenga en cuenta también frases como "La posición de Microsoft de que los informes sobre UAC no constituyen una vulnerabilidad" y "Debido a que las elevaciones no son límites de seguridad, no hay garantía de que el malware que se ejecuta en un sistema con derechos de usuario estándar no pueda comprometer un proceso elevado para obtener derechos administrativos ".
Harry Johnston
4

Cuando se trata de su (s) computadora (s) personal (es), las "mejores" prácticas tienden a variar ampliamente y a menudo se ignoran. Todos usan sus computadoras de manera diferente en el hogar y la seguridad también es diferente. Debe hacer lo que considere la mejor combinación de seguridad y conveniencia para usted. Lo que funciona para otros, puede estar mal para su situación.

Personalmente, todos mis usuarios son cuentas de administrador en Windows, es más conveniente. Si tuviera a alguien viviendo conmigo y tuvieran que usar mis computadoras, les daría una cuenta estándar. También sería más consciente de bloquear o cerrar sesión en mis computadoras.

Y recuerde que los avisos de UAC en una cuenta estándar pueden deberse a que una aplicación tiene privilegios de administrador, no el usuario.

Keltari
fuente
Es siempre una buena idea para que todos sus usuarios "estándar", y no "administrador". Si hay alguna vulnerabilidad de seguridad, la aplicación no tendrá acceso "divino" a su computadora si es un usuario "estándar".
Lizz
seguro de que puede seguir las mejores prácticas de seguridad en el hogar. Pero para mí, y probablemente para la mayoría de la gente, no vale la pena.
Keltari
@ Keltari: ¿usas banca por internet? Si es así, ¿qué medidas toma para evitar que el malware interfiera con él?
Harry Johnston
@HarryJohnston - Sí, uso la banca por Internet. En cuanto al malware, no tengo ninguno en mi PC, por lo que no es un problema.
Keltari
@ Keltari: Hmmm. En un mundo donde los ataques de día cero son comunes y los rootkits son muy buenos para esconderse, ¿cómo puede estar tan seguro de que no tiene ningún malware en su PC? ¿O si no hay ninguno ahora, que no habrá ninguno mañana?
Harry Johnston
0

Sí, especialmente si eres paranoico con respecto a la seguridad física. Déjame ilustrar.

Si ha iniciado sesión como administrador con UAC activado, usted (personalmente, físicamente) tiene la capacidad de convertirse en un administrador completo al pasar por un cuadro de diálogo de elevación. Por lo tanto, cualquiera que se acerque a su máquina conectada es un administrador.

Imagine que está dando una presentación de PowerPoint que se ejecuta en su computadora portátil. De repente, alguien de la audiencia salta y mete un dispositivo USB en su computadora portátil. Cosas extrañas suceden rápidamente en la pantalla, y el atacante huye del edificio. Ese dispositivo USB se presentó al sistema operativo como un teclado y escribió cosas malas. (¡Y puede comprar uno de ellos por menos de $ 50!) Pero, ¿cuánto daño causó?

Si realmente inició sesión como usuario estándar, lo peor que podría haber hecho fue tomar o modificar los documentos a los que tiene acceso. Si estaba conectado como un administrador, protegido por la UAC, podría haber creado un comando de administración pronta - Win+ X, A, Alt+ Y- y fundamentalmente alterado el sistema operativo, tal vez para insertar un programa de puerta trasera o espionaje que afecta a todo el mundo que utiliza la máquina.

La única forma de garantizar que un mal actor, ya sea electrónico o físico, no pueda convertirse en administrador local es iniciar sesión como usuario estándar.

Ben N
fuente